VPN Ipsec

Guía del usuario de IPsec VPN para los
dispositivos de seguridad
Published
2021-05-03
ii
Juniper Networks, Inc.

1133 Innovation Way
Sunnyvale, California 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, the Juniper Networks logo, Juniper, and Junos are registered trademarks of Juniper Networks, Inc.
in the United States and other countries. All other trademarks, service marks, registered marks, or registered service
marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right
to change, modify, transfer, or otherwise revise this publication without notice.
Guía del usuario de IPsec VPN para los dispositivos de seguridad

Copyright © 2021 Juniper Networks, Inc. All rights reserved.
The information in this document is current as of the date on the title page.
YEAR 2000 NOTICE
Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related
limitations through the year 2038. However, the NTP application is known to have some difficulty in the year 2036.
END USER LICENSE AGREEMENT
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use
with) Juniper Networks software. Use of such software is subject to the terms and conditions of the End User License
Agreement ("EULA") posted at https://support.juniper.net/support/eula/. By downloading, installing or using such
software, you agree to the terms and conditions of that EULA.
iii
Contents
Acerca de esta guía | xxvii
1 Fundamentos de la PKI
Infraestructura de clave pública (PKI) | 2
2 Fundamentos de IPsec
Intercambio de claves por red | 10
Introducción a las ICR | 10
ICR versiones anteriores | 11
Interacción entre ICR e IPSec | 11
Intercambio de mensajes IKEv1 | 12
Fase 1 de la ICR de túnel | 12
ID de proxy | 17
Selectores de tráfico | 17
ICR de acceso (clave previamente compartida y autenticación basada en certificados) | 18
Traducción de direcciones de red-Traversal (TDR-T) | 19
Conjuntos criptográficos Suite B y PRIME | 19
Fundamentos de IPsec | 20
Descripción general de IPsec | 21
Administración de claves IPsec | 22
Protocolos de seguridad IPsec | 25
Negociación de túnel IPsec | 27
Estándares compatibles con IPsec y ICR | 27

iv
3 PKI en Junos OS
PKI en Junos OS | 32
Introducción a la PKI en Junos OS | 32
Componentes de PKI en Junos OS | 35
Certificados digitales | 37
Generar manualmente certificados digitales: Información general de configuración | 38
Certificados digitales auto firmados | 38
Descripción de los certificados autofirmados | 39
Ejemplo Generar un par de claves pública y privada | 40
Aplicables | 40
Descripción general | 40
Automática | 41
Comproba | 41
Ejemplo Generar manualmente certificados autofirmados | 41
Aplicables | 42
Automática | 42
Comproba | 43
Uso de certificados autofirmados generados automáticamente (procedimiento CLI) | 43
Autoridad de certificación | 44
Configuración de un grupo de CA de confianza | 45
Crear un grupo de CA de confianza para una lista de perfiles de CA | 45
Eliminación de un perfil de CA de un grupo de CA de confianza | 46
Eliminación de un grupo de entidades de certificación de confianza | 47
Descripción de los perfiles de autoridad de certificados | 48
Ejemplo Configuración de un perfil de CA | 49
Aplicables | 50
Automática | 50
Comproba | 52
v
Ejemplo Configuración de una dirección IPv6 como dirección de origen de un perfil de CA | 52
Inscripción de certificados | 53
Inscripción en línea de certificados digitales: Información general de configuración | 54
Descripción de la inscripción de certificados de CA en línea | 55
Descripción de las solicitudes de certificados locales | 55
Inscripción en línea de un certificado de CA con SCEP | 55
Ejemplo Inscripción en línea de un certificado local con SCEP | 56
Aplicables | 56
Automática | 58
Comproba | 59
Ejemplo Uso de SCEP para renovar automáticamente un certificado local | 59
Aplicables | 59
Automática | 60
Comproba | 61
Descripción de la inscripción de certificados CMPv2 y SCEP | 61
Descripción de la inscripción de certificados con CMPv2 | 62
Ejemplo Generar manualmente un CSR para el certificado local y enviarlo al servidor de la CA | 65
Aplicables | 65
Automática | 66
Comproba | 66
Ejemplo Cargar manualmente certificados de CA y locales | 67
Aplicables | 67
Automática | 68
Comproba | 68
Eliminar certificados (procedimiento de la CLI) | 69
Revocación de certificados | 70
vi
Descripción del Protocolo de estado de certificados en línea y listas de revocación de

certificados | 70
Ejemplo Carga manual de una CRL en el dispositivo | 73
Aplicables | 74
Automática | 74
Comproba | 75
Descripción de la descarga y comprobación de CRL dinámicas | 75
Ejemplo Configuración de un perfil de autoridad de certificados con ubicaciones de CRL | 77
Aplicables | 78
Automática | 79
Comproba | 79
Ejemplo Comprobar la validez de los certificados | 80
Aplicables | 80
Automática | 80
Comproba | 81
Eliminación de una CRL cargada (procedimiento de CLI) | 81
Validación de certificados | 82
Descripción de la validación de certificados digitales | 82
Ejemplo Validación de un certificado digital mediante la configuración de OID de directiva en un

dispositivo serie SRX | 89
Aplicables | 89
Automática | 90
Comproba | 91
4 VPN IPsec en Junos OS

Intercambio de claves por red (ICR) para VPN IPsec | 96
ICR y procesamiento de paquetes IPsec | 96
Introducción a ICR en Junos OS | 105

vii
ICR propuesta | 111
ICR de desarrollo | 111
Reesclave y reauteticación | 111
ICR de acceso (autenticación basada en certificados) | 113
Ejemplo Configurando un dispositivo para validación de cadena de certificado de mismo nivel | 117
Aplicables | 117
Automática | 118
Comproba | 127
Error de SA de ICR e IPsec para un certificado revocado | 128
Fragmentación ikEv2 | 130
ICR política de desarrollo con un sistema de AC | 131
Configurar-túnel de establecimiento de sólo respuesta en ICR | 133
Introducción a IPsec VPN | 135
Topologías VPN de IPsec en dispositivos serie SRX | 143
Comparación de VPN basadas en la Directiva y las basadas en la ruta | 144
Comparación de VPN basadas en políticas y VPN basadas en la ruta | 147
Descripción del procesamiento de paquetes de ICR y IPsec | 148
Distribución de sesiones de ICR e IPsec en SPUs | 151
Compatibilidad de VPN para insertar tarjetas de procesamiento de servicios | 153
Habilitando conjunto de características de IPsec VPN en la tarjeta de procesamiento de

servicios SRX5K SPC3 | 155
Compatibilidad de características VPN IPsec en la línea de dispositivos SRX5000 con SRX5K-

SPC3 y vSRX instancias con un paquete nuevo | 156
Descripción de VPN de concentrador y periferia | 159
5 Descripción general de la configuración de VPN

Introducción a la configuración de IPsec VPN | 163
viii
Introducción a la configuración de IPsec VPN con Autokey ICR | 163
Introducción a la configuración de claves manuales de IPsec VPN | 165
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas | 166
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con
direcciones IP dinámicas | 167
Descripción de VPN de IPsec con extremos dinámicos | 169
Descripción de ICR configuración de identidad | 171
Configuración de identificadores de ICR remotos para VPN de sitio a sitio | 174
Descripción de la autenticación OSPF y OSPFv3 en dispositivos serie SRX | 175
Ejemplo Configuración de la autenticación IPsec para una interfaz de OSPF en un dispositivo

serie SRX | 177
Aplicables | 177
Automática | 178
Comproba | 183
Configuración de IPsec VPN mediante el Asistente para VPN | 184
Ejemplo Configuración de una VPN de concentrador y periferia | 184
Aplicables | 185
Automática | 199
Comproba | 231
6 VPN basada en políticas

VPN basadas en políticas | 245
Descripción de VPN de IPsec basadas en directivas | 245
Ejemplo Configuración de una VPN basada en políticas | 246
Aplicables | 246
Automática | 252
Comproba | 267
ix
Configurar VPN IPsec basada en políticas con certificados | 273
Aplicables | 273
Automática | 277
Comproba | 290
Solución de problemas de ICR, PKI e IPsec | 298
Configure VPN IPsec con OCSP para el estado de revocación de certificados | 309
Aplicables | 310
Automática | 314
Comproba | 325
VPN de IPsec para IPv6 | 332
Compatibilidad con características de VPN para direcciones IPv6 | 332
Descripción del procesamiento de paquetes IPsec e ICR de IPv6 | 339
Introducción a la configuración IPsec de IPv6 | 347
Ejemplo Configuración de una VPN manual de IPsec para IPv6 | 348
Aplicables | 348
Automática | 349
Comproba | 351
Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en políticas | 352
Aplicables | 352
Automática | 360
Comproba | 374
7 VPN basada en rutas

VPN basadas en enrutamiento de IPsec | 381
Descripción de VPN de IPsec basadas en rutas | 381
Ejemplo Configuración de una VPN basada en rutas | 382

x
Aplicables | 382
Automática | 387
Comproba | 401
VPN basada en rutas con IKEv2 | 408
Ejemplo Configuración de una VPN basada en rutas para IKEv2 | 409
Aplicables | 409
Automática | 414
Comproba | 429
Ejemplo Configurando el serie SRX para el aprovisionamiento pico de celda con carga de
configuración IKEv2 | 435
Aplicables | 436
Automática | 442
Comproba | 463
Interfaz de túnel seguro en un enrutador virtual | 471
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas | 472
Ejemplo Configuración de una interfaz st0 en un enrutador virtual | 473
Aplicables | 474
Automática | 474
Comproba | 480
Dos túneles de pila a través de una interfaz externa | 481
Descripción de los modos de túnel VPN | 481
Ejemplo Configuración de túneles de pila dual a través de una interfaz externa | 485
Aplicables | 485
Automática | 489
Comproba | 495
Túneles VPN de IPsec con clústeres de chasis | 499

xi
Comprensión de los clústeres de chasis de VPN IPsec de reserva activa dual | 500
Ejemplo Configuración de grupos de redundancia para interfaces de bucle invertido | 502
Aplicables | 502
Automática | 506
Comproba | 510
Selectores de tráfico en VPN basadas en rutas | 512
Descripción de los selectores de tráfico en VPN basadas en rutas | 512
Ejemplo Configuración de selectores de tráfico en una VPN basada en rutas | 520
Aplicables | 520
Automática | 522
Comproba | 536
8 VPN basada en clase de servicio

VPN de IPsec basadas en CoS | 543
Descripción de VPN de IPsec basadas en CoS con varias SA de IPsec | 543
Descripción de los selectores de tráfico y VPN de IPsec basados en CoS | 547
Ejemplo Configuración de VPN de IPsec basadas en CoS | 549
Aplicables | 550
Automática | 554
Comproba | 575
Descripción de la compatibilidad con CoS en interfaces st0 | 580
9 TDR-T
VPN basadas en la ruta y en la Directiva con TDR-T | 585
Descripción TDR-T | 585
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un
dispositivo TDR | 587
Aplicables | 587
Automática | 595
xii
Comproba | 620
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor

detrás de un dispositivo TDR | 629
Aplicables | 629
Automática | 637
Comproba | 668
Ejemplo Configurando TDR-T con VPN de extremo dinámico | 678
Aplicables | 679
Automática | 681
Comproba | 697
10 VPN de grupo
Agrupar VPNv1 | 704
Descripción general del grupo VPNv1 | 704
Descripción general de la configuración del grupo VPNv1 | 716
Descripción ICR configuración de la fase 1 para el grupo VPNv1 | 717
Descripción de la configuración de SA de IPsec para el grupo VPNv1 | 717
Descripción de las políticas dinámicas para el grupo VPNv1 | 718
Descripción de Antireplay para el VPNv1 del grupo | 719
Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo | 720
Aplicables | 720
Automática | 722
Comproba | 739
Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del servidor para mensajes de
regeneración de claves de unidifusión | 742
Aplicables | 742
Automática | 743
Comproba | 744
xiii
Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro del servidor para
mensajes de regeneración de claves de multidifusión | 744
Aplicables | 744
Automática | 745
Comproba | 747
Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor | 748
Aplicables | 749
Automática | 750
Comproba | 759
Agrupar VPNv2 | 761
Descripción de la dirección de tráfico del grupo VPNv2 | 771
Descripción del proceso del VPNv2 de la prueba de recuperación del grupo | 773
Descripción de los VPNv2 de grupo Antireplay | 774
Ejemplo Configuración de un grupo VPNv2 servidores y miembros | 774
Aplicables | 775
Automática | 777
Comproba | 813
Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del servidor para mensajes de
regeneración de claves de unidifusión | 822
Aplicables | 822
Automática | 823
Comproba | 823
Agrupar VPNv2 clústeres de servidores | 824

xiv
Descripción de los clústeres de servidor VPNv2 de grupo | 824
Descripción de las limitaciones de clúster de servidor VPNv2 de grupo | 829
Descripción de los mensajes del clúster del servidor VPNv2 de grupo | 831
Descripción de los cambios de configuración con clústeres de servidores de VPNv2 de grupo | 833
Migrar un grupo independiente VPNv2 servidor a un grupo VPNv2 clúster de servidores | 839
Ejemplo Configurar un clúster de servidor VPNv2 y miembros | 840
Aplicables | 841
Automática | 845
Comproba | 915
11 ADVPN
Detección automática de VPN | 930
Descripción de VPN de detección automática | 930
Descripción del enrutamiento del tráfico con túneles de acceso directo | 936
Ejemplo Mejorar la utilización de recursos de red con detección automática de túneles

dinámicos de VPN | 939
Aplicables | 940
Automática | 946
Comproba | 971
Ejemplo Configurando ADVPN con OSPFv3 para el tráfico de IPv6 | 995
Aplicables | 996
Automática | 1000
Comproba | 1030
Permitir que OSPF actualice las rutas rápidamente después de establecer los túneles de
ADVPN | 1033
12 AutoVPN
AutoVPN en dispositivos concentrados y radiales | 1036
Descripción de AutoVPN | 1036

xv
Descripción de la autenticación de radios en implementaciones de AutoVPN | 1040
Descripción general de la configuración de AutoVPN | 1043
Ejemplo Configuración de AutoVPN básicos con iBGP | 1044
Aplicables | 1044
Automática | 1048
Comproba | 1076
Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de IPv6 | 1080
Aplicables | 1080
Automática | 1085
Comproba | 1115
Ejemplo Configuración de AutoVPN con iBGP y ECMP | 1118
Aplicables | 1119
Automática | 1124
Comproba | 1149
Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de seguridad activa | 1154
Aplicables | 1154
Automática | 1160
Comproba | 1185
Ejemplo Configuración de AutoVPN básicos con OSPF | 1193
Aplicables | 1193
Automática | 1197
Comproba | 1223
Ejemplo Configurando AutoVPN con OSPFv3 para el tráfico de IPv6 | 1227
Aplicables | 1227
Automática | 1232
Comproba | 1261
xvi
Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico | 1265
Aplicables | 1265
Automática | 1270
Comproba | 1283
Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y los selectores de
tráfico | 1288
Aplicables | 1288
Automática | 1292
Comproba | 1313
13 VPN de acceso remoto

VPN de acceso remoto con cliente de acceso remoto NCP exclusivo | 1320
Descripción de VPN de IPsec con cliente de acceso remoto NCP exclusivo | 1320
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1325
Ejemplo Configuración del dispositivo de serie SRX para clientes de acceso remoto NCP y
exclusivos | 1329
Aplicables | 1329
Automática | 1333
Comproba | 1344
VPN dinámicas con clientes de pulsos seguros | 1347
Introducción a VPN dinámico | 1348
Ejemplo Configuración de VPN dinámico | 1358
Aplicables | 1358
Automática | 1363
Comproba | 1371
Ejemplo Configurar autenticación local y conjunto de direcciones | 1374
Aplicables | 1374
Automática | 1375
xvii
Comproba | 1377
Ejemplo Configuración de un ID ICR de grupo para varios usuarios | 1378
Aplicables | 1378
Automática | 1381
Comproba | 1387
Ejemplo Configuración de identificadores de ICR individuales para varios usuarios | 1388
Aplicables | 1389
Automática | 1393
Comproba | 1404
Juniper Secure Connect | 1406
14 Supervisión de VPN
Supervisión del tráfico VPN | 1411
Descripción de las alarmas y auditoría de VPN | 1411
Descripción de la supervisión VPN | 1413
Descripción de los eventos de túnel | 1419
Ejemplo Configuración de una alerta sonora como notificación de una alarma de seguridad | 1420
Aplicables | 1420
Automática | 1420
Comproba | 1421
Ejemplo Generar alarmas de seguridad en respuesta a posibles violaciones | 1422
Aplicables | 1422
Automática | 1423
Comproba | 1426
Supervisión de sesiones VPN IPsec | 1427

xviii
15 Afinación del rendimiento

Afinidad de sesión VPN | 1436
Descripción de la afinidad de sesión VPN | 1436
Habilitar afinidad de sesión VPN | 1438
Aceleración del rendimiento de tráfico VPN de IPsec | 1441
Perfil de distribución IPsec | 1442
Mejorar el rendimiento de IPsec con PowerMode IPsec | 1443
Ejemplo Configurar clasificador de acumulación de comportamiento en PMI | 1449
Aplicables | 1450
Automática | 1451
Comproba | 1454
Ejemplo Configuración de un clasificador de agregado de comportamiento en PMI para

instancias de vSRX | 1455
Aplicables | 1455
Automática | 1456
Comproba | 1461
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en

PMI | 1462
Aplicables | 1462
Automática | 1463
Comproba | 1468
Ejemplo Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en

PMI | 1469
Aplicables | 1469
Automática | 1470
Comproba | 1473
Configure el modo de solo autenticación ESP de IPsec en PMI | 1474

xix
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad | 1475
PowerMode IPSec | 1476
Aplicables | 1477
Automática | 1478
Comproba | 1481
Ejemplo Configuración de un clasificador de agregado de comportamiento en PMI para

instancias de vSRX | 1482
Aplicables | 1482
Automática | 1483
Comproba | 1488
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en

PMI | 1489
Aplicables | 1489
Automática | 1490
Comproba | 1495
Ejemplo Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en

PMI | 1496
Aplicables | 1496
Automática | 1497
Comproba | 1500
16 Solución de problemas
Solución de problemas de un túnel VPN de flapping | 1504
Solución de problemas de una VPN que está en servicio pero no pasa tráfico | 1507
Solución de problemas de un túnel VPN que no está disponible | 1512

xx
Cómo analizar los mensajes ICR de estado de VPN de fase 2 | 1514
17 Instrucciones de configuración
AAA | 1524
asignación de direcciones (Access) | 1526
advpn | 1531
autenticación: orden (Perfil de acceso) | 1534
reinscripción automática (seguridad) | 1535
CA-Profile (PKI de seguridad) | 1539
certificado (Juniper Secure Connect) | 1542
certificado | 1544
client-config (Juniper Secure Connect) | 1547
clientes (seguridad) | 1550
CRL (seguridad) | 1552
detección de pares de tráfico muerto | 1554
detección de elementos de mismo nivel (servidor VPN de grupo de seguridad) | 1556
descifrado: errores | 1558
perfil predeterminado (Juniper Secure Connect) | 1560
Grupo DH (ICR de seguridad) | 1561
nombre distintivo (seguridad) | 1564
Perfil de distribución | 1566
dinámica (seguridad) | 1569
VPN dinámico | 1572
algoritmo de cifrado (ICR de seguridad) | 1575
cifrado: errores | 1577
archiva | 1579
xxi
puerta de enlace (grupo de seguridad VPN miembro ICR) | 1581
puerta de enlace (servidor VPN de grupo de seguridad ICR) | 1583
puerta de enlace (ICR de seguridad) | 1586
opciones globales (Juniper Secure Connect) | 1592
Grupo (VPN de grupo de seguridad) | 1593
VPN de grupo | 1596
ike (alta disponibilidad) | 1600
IKE (seguridad) | 1603
IKE (miembro del grupo de seguridad VPN) | 1607
IKE (servidor VPN de grupo de seguridad) | 1610
IKE (VPN de seguridad de IPsec) | 1613
ike-phase1-failures | 1616
fpga-crypto en línea | 1620
interno (seguridad IPsec) | 1621
ipsec (alta disponibilidad) | 1624
IPSec (seguridad) | 1627
IPSec (miembro de la VPN del grupo de seguridad) | 1630
IPSec (servidor VPN de grupo de seguridad) | 1633
IPSec-Directiva | 1635
IPSec-SA (grupo de seguridad VPN) | 1637
identidad local | 1639
manual (seguridad IPsec) | 1641
miembro (grupo de seguridad VPN) | 1645
Mode (VPN del grupo de seguridad) | 1647

xxii
varios SA | 1649
OCSP (PKI de seguridad) | 1652
pública | 1654
Directiva (VPN del grupo de seguridad ICR) | 1656
política (ICR de seguridad) | 1658
Directiva (seguridad IPsec) | 1661
modo de energía-IPSec | 1665
power-mode-ipsec-qat | 1667
perfil (Juniper Secure Connect) | 1668
propuesta (grupo de seguridad VPN miembro ICR) | 1671
propuesta (grupo de seguridad ICR servidor VPN) | 1673
propuesta (IPsec de servidor VPN de grupo de seguridad) | 1676
propuesta (ICR de seguridad) | 1678
propuesta (seguridad IPsec) | 1681
propuesta: conjunto (ICR de seguridad) | 1686
acceso remoto (Juniper Secure Connect) | 1689
identidad remota | 1692
ataques de reproducción | 1694
revocación-comprobación (PKI de seguridad) | 1696
Asociación de seguridad | 1699
servidor (VPN de grupo de seguridad) | 1702
clúster de servidores (servidor VPN de grupo de seguridad) | 1706
comunicación de miembro de servidor (servidor VPN de grupo de seguridad) | 1709
afinidad de sesión | 1711
TCP-encap | 1713
xxiii
TraceOptions (VPN de seguridad dinámica) | 1715
TraceOptions (grupo de seguridad VPN) | 1717
TraceOptions (ICR de seguridad) | 1721
TraceOptions (seguridad IPsec) | 1725
TraceOptions (PKI de seguridad) | 1727
TraceOptions (encapsulación TCP) | 1730
Selector de tráfico | 1734
Verify-path | 1737
VPN (seguridad) | 1740
monitor de VPN | 1747
inicio de sesión en windows (Juniper Secure Connect) | 1749
xauth-atributos | 1752
18 Comandos operativos
borrar seguridad dinámica-VPN All | 1758
borrar seguridad de usuario de VPN dinámico | 1759
Borrar grupo de seguridad-grupo de miembros de VPN | 1761
Borrar grupo de seguridad-asociaciones de seguridad IKE de miembro de VPN | 1763
Borrar grupo de seguridad-miembro VPN seguridad IPSec-asociaciones | 1764
Borrar grupo de seguridad-miembro VPN seguridad IPSec-estadísticas de asociaciones | 1766
Borrar grupo de seguridad estadísticas IPSec de miembros de VPN | 1768
Borrar grupo de seguridad-servidor VPN | 1769
Borrar grupo de seguridad-servidor del servidor VPN-estadísticas del clúster | 1771
Borrar grupo de seguridad-estadísticas del servidor VPN | 1773
seguridad clara respuesta IKE-IRP-SPI-recuento | 1774
borrar seguridad IKE seguridad-asociaciones | 1776

xxiv
seguridad clara-asociaciones de seguridad IPSec | 1778
borrar estadísticas de seguridad de IPSec | 1780
estadísticas ike de seguridad claras | 1782
borrar seguridad túnel IPSec-eventos-estadísticas | 1785
borrar el par de claves de PKI de seguridad (certificado local) | 1786
borrar seguridad PKI local-certificado (dispositivo) | 1788
solicitar seguridad IKE depuración-deshabilitar | 1791
solicitar seguridad IKE depuración-habilitar | 1792
Desactive las estadísticas de seguridad de TCP encap | 1794
solicitar carga de PKI de seguridad de certificado de CA, de Perfil de grupo | 1795
solicitar seguridad PKI entidad emisora de certificados inscripción (seguridad) | 1798
solicitar PKI de seguridad carga de certificados de entidad emisora (seguridad) | 1800
Request Security PKI CA-Certificate verify (seguridad) | 1803
solicitar carga de CRL de PKI de seguridad (seguridad) | 1805
solicitar PKI de seguridad generar-Certificate-Request (seguridad) | 1807
solicitar un par de claves (seguridad) de PKI de seguridad | 1810
solicitar una exportación de par de claves de PKI de seguridad | 1813
solicitar seguridad PKI local-certificado inscripción cmpv2 | 1815
solicitar seguridad PKI local: certificado inscripción SCEP | 1818
solicitar PKI de seguridad exportación de certificado local | 1823
solicitar seguridad PKI local: certificado generado-autofirmado (seguridad) | 1825
solicitar seguridad PKI carga de certificado local | 1827
solicitar seguridad PKI local: volver a inscribir certificado cmpv2 | 1830
solicitar PKI de seguridad local: volver a inscribir el certificado SCEP | 1832
solicitar PKI de seguridad comprobación de certificado local (seguridad) | 1834

xxv
solicitar PKI de seguridad Verify-integridad-estado | 1837
solicitar ree distribución de seguridad ipsec-vpn | 1838
Mostrar la dirección de acceso a la red-grupo de asignación (vista) | 1840
Mostrar políticas dinámicas de seguridad | 1843
Mostrar usuarios de VPN dinámicos de seguridad | 1851
Mostrar los usuarios de VPN dinámicos breves | 1854
Mostrar grupo de seguridad-miembro de VPN seguridad IKE-asociaciones | 1857
Mostrar grupo de seguridad-VPN miembro inactivo IPSec-túneles | 1863
Mostrar grupo de seguridad-miembro VPN seguridad IPSec-asociaciones | 1868
Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN | 1874
Mostrar grupo de seguridad-KEK miembro de VPN asociaciones de seguridad de | 1878
Mostrar grupo de seguridad-Directiva de VPN a los miembros | 1885
Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones | 1888
Mostrar grupo de seguridad-servidor VPN seguridad IPSec: asociaciones | 1896
Mostrar grupo de seguridad-servidor VPN KEK seguridad-asociaciones | 1900
Mostrar grupo de seguridad-miembros registrados-servidor VPN | 1906
Mostrar grupo de seguridad-servidor VPN-clúster | 1909
Mostrar las estadísticas del servidor VPN del grupo de seguridad | 1914
Mostrar seguridad IKE activa-igual del mismo nivel | 1916
Mostrar seguridad depuración IKE-estado | 1924
Mostrar la clave previa compartida de seguridad IKE | 1926
Mostrar seguridad IKE seguridad-asociaciones | 1928
Mostrar estadísticas IKE de seguridad | 1947
Mostrar seguridad de mapa de túnel IKE | 1960
Mostrar seguridad IPSec control-plano-seguridad-asociaciones | 1964

xxvi
Mostrar seguridad IPSec inactiva-túneles | 1967
Mostrar seguridad IPSec de próximo salto-túneles | 1973
Mostrar las asociaciones de seguridad IPSec de seguridad | 1976
Mostrar estadísticas de seguridad de IPSec | 2013
Mostrar el selector de tráfico IPSec de seguridad | 2020
Mostrar seguridad IPSec túnel-distribución | 2023
Mostrar seguridad túnel IPSec-eventos-estadísticas | 2029
Mostrar seguridad PKI CA-certificado (vista) | 2031
Mostrar certificado PKI de seguridad-solicitud (vista) | 2037
Mostrar lista de certificados PKI de seguridad (vista) | 2041
Mostrar seguridad PKI local-certificado (vista) | 2045
muestra la ree distribución de seguridad ipsec-vpn | 2056
Show Security TCP-encap conexión | 2058
Mostrar estadísticas TCP-encap de seguridad | 2062

xxvii
Acerca de esta guía
Utilice esta guía para configurar, supervisar y administrar la característica VPN de IPsec en Junos OS en
los dispositivos serie SRX con el fin de permitir comunicaciones seguras en una WAN pública, como
Internet.
VÍNCULOS RELACIONADOS
Obtenga más información sobre VPN seguras

Configuración de una pequeña oficina para videoconferencias de alta definición
Configuración de la serie SRX de sucursal para MPLS mediante GRE con segmentación IPsec
1
CHAPTER LABEL COVER PAGE
Fundamentos de la PKI
Infraestructura de clave pública (PKI) | 2

2
Infraestructura de clave pública (PKI)
in this section
Introducción a la PKI | 2
Certificado digital | 3
Par de claves privadas y públicas | 3
Opciones de inscripción de certificados | 4
Opciones de revocación de certificados | 4
Tipos de solicitud de certificado | 4
Firmas y comprobación de certificados | 5
En este tema se describe la descripción general de la infraestructura de clave pública e incluye las
siguientes secciones:
Introducción a la PKI
La infraestructura de clave pública (PKI) proporciona una forma de comprobar la identidad de un sitio
remoto mediante un certificado digital. La PKI utiliza una autoridad de certificación (AC) para validar su
información y firmarla con una firma digital de manera tal que ni su información ni la firma se puedan
modificar. Una vez firmado, la información se convierte en un certificado digital. Los dispositivos que
reciben un certificado digital pueden comprobar la información del certificado validando la firma
mediante criptografía de clave pública.
La infraestructura de clave pública (PKI) proporciona una infraestructura para la administración de

certificados digitales y consta de:
• Autoridad de registro (AR) que verifica las identidades de las entidades, habilita sus solicitudes de
certificado y genera pares únicos de claves asimétricas (a menos que las solicitudes de certificado de
los usuarios ya contengan claves públicas)
• Autoridad de certificación (AC) que emite los certificados digitales correspondientes para las
entidades solicitantes.
3
• Una lista de revocación de certificados (CRL) que identifica los certificados que ya no son válidos.
Cada entidad que posea la clave pública auténtica de AC puede comprobar los certificados emitidos
por dicha entidad AC.
Certificado digital
Un certificado digital es un archivo electrónico que verifica la identidad del titular del certificado para
proteger los datos intercambiados en línea. Los certificados digitales proporcionan una forma de
autenticar a los usuarios a través de un tercero de confianza llamado autoridad de certificación (AC). El
AC valida la identidad de un titular de certificado y "firma" el certificado para dar fe de que no se ha
forjado ni modificado. De manera alternativa, puede usar un certificado autofirmado para atestiguar su
identidad.
Un par de claves es un elemento crítico de una implementación de certificado digital. La clave pública se
incluye en el certificado digital local y la clave privada se usa para descifrar los datos recibidos de los
pares.
Los certificados tienen una vida útil limitada y se definen por una hora de inicio y una hora de
finalización. El certificado deja de ser válido cuando caduca el tiempo de vida útil. Cuando el certificado
caduca, se requiere una renovación de certificado o una nueva solicitud de certificado.
Autoridad de certificación
Un AC es una organización de terceros de confianza que crea, inscribe, valida y revoca certificados
digitales. El AC garantiza la identidad de un usuario y emite claves públicas y privadas para el cifrado y
descifrado de mensajes (codificación y decodificación). Un AC también genera listas de revocación de
certificados (CRL) que son listas de certificados revocados.
Par de claves privadas y públicas
Cuando se configura una PKI, debe incluir claves públicas y privadas que se generan en pares y se
vinculan de forma matemática.
Cuando se solicita el certificado, debe incluir la clave pública en la solicitud de inscripción del certificado.
La clave pública se incluirá en el certificado concedido y la clave privada se mantendrá en el dispositivo
solicitante. Un mensaje cifrado con la clave pública se puede descifrar mediante la clave privada
correspondiente. El par de claves pública y privada también se utiliza para crear firmas digitales.
4
Opciones de inscripción de certificados
Puede solicitar un certificado AC digital ya sea en línea o manualmente:
• Inscripción manual de certificados: este proceso incluye la generación de una solicitud PKCS10, el
envío a la autoridad de certificación (AC), la extracción del certificado firmado y la carga manual del
certificado en el dispositivo de Junos OS como certificado local.
• Inscripción de certificados en línea: puede usar el Protocolo de administración de certificados versión

2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para la inscripción en línea de
certificados.
Opciones de revocación de certificados
• Lista de revocación de certificados (o CRL): la autoridad de certificación (AC) publica periódicamente

una lista de certificados revocados revocados mediante una lista de revocación de certificados (CRL).
La CRL contiene la lista de certificados digitales con números de serie que se cancelaron antes de su
fecha de vencimiento.
• Protocolo de estado de certificado (OCSP) en línea: OCSP se usa para comprobar el estado de
revocación de certificados X509. El OCSP proporciona estado de revocación en certificados en
tiempo real y es útil en situaciones sensibles al tiempo, como transacciones bancarias y intercambios
de acciones
Tipos de solicitud de certificado
La infraestructura de clave pública (PKI) permite a los usuarios autenticarse entre sí mediante
certificados digitales emitidos por AC. La PKI utiliza X.509, Estándares de criptografía de clave pública
(PKI) para definir los formatos estándar de los certificados y su uso. En la PKI, un solicitante utiliza una
solicitud de firma de certificado (RSES) para solicitar un certificado digital a una autoridad de
certificación (AC). La solicitud puede estar en uno de los estándares:
• Estándar de criptografía de clave pública # (PKCS#) (PKCS7, PKCS10, PKCS11, PKCS12)
• x509-signaturere.
5
Firmas y comprobación de certificados
Un certificado digital es un medio electrónico para comprobar su identidad a través de un tercero de

confianza, conocido como entidad emisora de certificados (CA). De manera alternativa, puede usar un
certificado autofirmado para atestiguar su identidad.
El servidor de entidad emisora de certificados que utilice puede ser propiedad de una entidad emisora
de certificados independiente o de su propia organización, en cuyo caso se convertirá en su propia
entidad emisora de certificados. Si utiliza una entidad emisora de certificados independiente, debe
ponerse en contacto con ellos para obtener las direcciones de los servidores de la entidad emisora y la
lista de revocación del certificado (para obtener certificados y CRL), así como la información que
necesiten cuando envíe solicitudes de certificados personales. Cuando usted sea su propia entidad
emisora de certificados, determine esta información.
El AC que emite un certificado utiliza un algoritmo hash para generar un resumen y, luego, "firma" el
certificado cifrando el resumen con su clave privada. El resultado es una firma digital. A continuación, la
entidad emisora crea el certificado firmado digitalmente para que pueda descargarse a la persona que lo
solicitó. Figura 1 en la página 6 ilustra este proceso.
El destinatario del certificado genera otro compendio aplicando el mismo algoritmo hash al archivo de
certificado y, a continuación, utiliza la clave pública de la entidad emisora para descifrar la firma digital.
Mediante la comparación del compendio descifrado con el resumen que se acaba de generar, el
destinatario puede confirmar la integridad de la firma de la entidad emisora y, por extensión, la
integridad del certificado que lo acompaña. Figura 1 en la página 6 ilustra este proceso.
6
Un certificado se considera válido si se puede comprobar la firma digital y el número de serie del
certificado no aparece en una lista de revocaciones de certificados.
Figura 1: Comprobación de la firma digital
Cuando se utilizan firmas de algoritmo de firma digital (DSA), se utiliza el algoritmo hash SHA-1 para
generar el resumen. Cuando se utilizan firmas de Rivest-Shamir-Adleman (RSA), SHA-1 es el algoritmo
hash predeterminado que se utiliza para generar la síntesis; puede especificar el algoritmo de hash
SHA-256 con la digest opción de los request security pki generate-certificate-request comandos
request security pki local-certificate generate-self-signed o. Cuando se utilizan firmas de algoritmos de
firma digital de curva elíptica (ECDSA), el algoritmo de hash SHA-256 se usa para firmas ECDSA-256 y el
algoritmo de hash SHA-384 se usa para firmas ECDSA-384.
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar
certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de
hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado
de cifrado.
7
Validación de certificados
Para comprobar la confiabilidad de un certificado, debe ser capaz de realizar el seguimiento de una ruta
de acceso de las entidades emisoras de certificados (CA) certificadas desde la que emite el certificado
local a la entidad raíz de un dominio de CA. La infraestructura de claves públicas (PKI) se refiere a la
estructura jerárquica de confianza necesaria para la correcta implementación de la criptografía mediante
claves públicas.
Figura 2 en la página 7muestra la estructura de una entidad emisora de certificados de un único

dominio con varios niveles de jerarquía.
Figura 2: Jerarquía de confianza de PKI: AC dominio
Si los certificados se utilizan únicamente dentro de una organización, dicha organización puede tener su
propio dominio de CA en el que la entidad emisora de certificados de la empresa emita y validen las
certificaciones de sus empleados. Si esa organización desea que sus empleados intercambien sus
certificados con certificados de otro dominio de entidad emisora (por ejemplo, con empleados de otra
organización que tenga su propio dominio de entidad emisora), las dos entidades emisoras de
certificados pueden desarrollar certificaciones cruzadas al aceptar Confíe en la autoridad entre sí. En
8
este caso, la estructura de PKI no se extiende verticalmente pero se extiende horizontalmente. Consulte
Figura 3 en la página 8la.
Figura 3: Certificación cruzada
release-history
release heading desc heading in release-history

in release-history
18.1R3 A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza
para validar certificados de PKI autofirmados automáticamente y generados manualmente es
SHA-256 (algoritmo de hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza
SHA-1 como algoritmo predeterminado de cifrado.
2
Fundamentos de IPsec
Fundamentos de IPsec | 20
10
Intercambio de claves por red
in this section
Introducción a las ICR | 10
ICR versiones anteriores | 11
Interacción entre ICR e IPSec | 11
ID de proxy | 17
ICR de acceso (clave previamente compartida y autenticación basada en certificados) | 18
Traducción de direcciones de red-Traversal (TDR-T) | 19
Conjuntos criptográficos Suite B y PRIME | 19
Introducción a las ICR
Intercambio de claves por red (ICR) es un protocolo de administración de claves seguras que se usa para
configurar un canal de comunicaciones seguro y autenticado entre dos dispositivos.
ICR hace lo siguiente:
• Negocia y administra los parámetros ICR e IPsec
• Autentica el intercambio seguro de claves
• Proporciona autenticación de par mutuo mediante secretos compartidos (no contraseñas) y claves
públicas
• Proporciona protección de identidad (en modo principal)
• Emplea métodos Diffie-Hellman y es opcional en IPsec (las claves compartidas se pueden especificar
manualmente en los puntos de conexión).
11
ICR versiones anteriores
Hay dos versiones de las ICR estándares disponibles:
• ICR versión 1 - ICR definido en rfc 2409.
• ICR versión 2 - ICR versión 2 (IKEv2) es la última versión del protocolo ICR definido en la RFC 7296.
Intercambio de claves por red versión 2 (IKEv2) es la versión más reciente del protocolo Intercambio de
claves por red (ICR) definido en RFC 7296. Intercambio de claves por red versión 2 (IKEv2) es la versión
más reciente del protocolo Intercambio de claves por red (ICR) definido en RFC 7296. Una VPN peer
está configurada como IKEv1 o IKEv2. Cuando un elemento del mismo nivel se configura como IKEv2,
no puede recurrir a IKEv1 si su punto de conexión remoto inicia la negociación de IKEv1.
Las ventajas de usar IKEv2 sobre IKEv1 son las siguientes:
• Sustituye ocho intercambios iniciales por un único intercambio de cuatro mensajes.
• Reduce la latencia de la configuración de SA de IPsec y aumenta la velocidad de establecimiento de la

conexión.
• Aumenta la solidez frente a ataques de denegación de la DOS.
• Mejora la confiabilidad mediante el uso de números de secuencia, confirmaciones y corrección de

errores.
• Mejora la confiabilidad, ya que todos los mensajes son solicitudes o respuestas. El iniciador es
responsable de retransmitir si no recibe ninguna respuesta.
Interacción entre ICR e IPSec
IPsec puede establecer una VPN de la siguiente manera:
• Intercambio de claves por red (ICR): IPsec admite la generación y negociación automatizadas de
claves y asociaciones de seguridad mediante el ICR seguro. El ICR para negociar VPN entre dos
puntos de conexión proporciona más seguridad que el intercambio manual de claves.
• Intercambio manual de claves: IPsec admite el uso e intercambio manual de claves (ejemplo: teléfono
o correo electrónico) en ambos lados para establecer VPN.
12
Intercambio de mensajes IKEv1
ICR negociación incluye dos fases:
• Fase 1: negociación de intercambio de propuestas para autenticar y proteger el canal.
• Fase 2: negociar asociaciones de seguridad (SA) para proteger los datos que atraviesan el túnel IPsec.
Fase 1 de la ICR de túnel
in this section
Modo principal | 13
Modo de borrado intenso | 13
La fase 1 de una negociación de túnel Intercambio de claves por red clave automática (ICR) consiste en
el intercambio de propuestas para autenticar y proteger el canal. Los participantes intercambiarán
propuestas de servicios de seguridad aceptables, tales como:
• Algoritmos de cifrado: estándar de cifrado de datos (DES), triple estándar de cifrado de datos (3DES)
y estándar de cifrado avanzado (AES). (Consulte Introducción a IPSec VPN.)
• Algoritmos de autenticación: síntesis del mensaje 5 (MD5) y algoritmo de hash seguro (SHA).
(Consulte Introducción a IPSec VPN.)
• Grupo Diffie-Hellman (DH). (Consulte Introducción a IPSec VPN.)
• Clave previamente compartida o certificados RSA/DSA. (Consulte Introducción a IPSec VPN.)
Una negociación exitosa de fase 1 concluye cuando ambos extremos del túnel acuerdan aceptar al
menos un conjunto de los parámetros de seguridad de fase 1 propuestos y, luego, procesarlos. Juniper
Networks admiten hasta cuatro propuestas para negociaciones de fase 1, lo que le permite definir cómo
restrictivo va a aceptar un rango de parámetros de seguridad para la negociación de claves. Junos OS
proporciona conjuntos predefinidos de propuestas para la fase 1, compatible y estándar También puede
definir propuestas personalizadas de fase 1.
Los intercambios de fase 1 pueden tener lugar en el modo principal o en el modo agresivo. Puede elegir
el modo durante ICR configuración de políticas.
Este tema incluye las siguientes secciones:

13
Modo principal
En el modo principal, el iniciador y el destinatario envían intercambios de 3 2 (seis mensajes en total)

para cumplir con los siguientes servicios:
• Primer intercambio (mensajes 1 y 2): propone y acepta los algoritmos de cifrado y autenticación.
• Segundo intercambio (mensajes 3 y 4): ejecuta un intercambio DH y el iniciador y el destinatario

proporcionan un número pseudoaleativo.
• Tercer intercambio (mensajes 5 y 6): envía y verifica las identidades del iniciador y el destinatario.
La información transmitida en el tercer intercambio de mensajes está protegida por el algoritmo de

cifrado establecido en los dos primeros intercambios. Por lo tanto, las identidades de los participantes se
cifran y, por lo tanto, no se transmiten "sin cifrar".
Modo de borrado intenso
En el modo intenso, el iniciador y el destinatario logran los mismos objetivos que con el modo principal,
pero solo en dos intercambios, con un total de tres mensajes:
• Primer mensaje: el iniciador propone la asociación de seguridad (SA), inicia un intercambio DH y

envía un número pseudoaleativo y su ICR identidad.
Cuando configure el modo intenso con varias propuestas para las negociaciones de la fase 1, utilice el
mismo grupo DH en todas las propuestas, ya que no se puede negociar el grupo DH. Se pueden
configurar hasta cuatro propuestas.
• Segundo mensaje: el destinatario acepta la SA; autentica al iniciador; y envía un número

pseudoaleativo, su ICR identidad y, si utiliza certificados, el certificado del destinatario.
• Tercer mensaje: el iniciador autentica al destinatario, confirma el intercambio y, si utiliza certificados,

envía el certificado del iniciador.
Dado que las identidades de los participantes se intercambian sin formato (en los dos primeros
mensajes), el modo agresivo no proporciona protección de identidad.
Los modos principal y intenso solo se aplican al protocolo IKEv1. El protocolo IKEv2 no negocia el uso de
los modos principal y agresivo.
SEE ALSO
Descripción ICR configuración de la fase 1 para el grupo VPNv1

propuesta: conjunto (ICR de seguridad)
14
Fase 2 de la ICR de túnel
in this section
IDs de proxy | 14
Confidencialidad directa perfecta | 14
Protección contra reproducción | 15
Después de que los participantes han establecido un canal seguro y autenticado, avanzan en la fase 2,
en la cual negocian asociaciones de seguridad (SA) para proteger los datos que se transmitirán a través
del túnel IPSec.
De manera similar al proceso de la fase 1, los participantes intercambian propuestas para determinar qué
parámetros de seguridad se emplearán en la SA. Una propuesta de fase 2 también incluye un protocolo
de seguridad (carga de seguridad de encapsulación (ESP) o encabezado de autenticación (AH) y
algoritmos de cifrado y autenticación seleccionados. La propuesta también puede especificar un grupo
Diffie-Hellman (DH) si se desea una confidencialidad directa perfecta (PFS).
Independientemente del modo usado en la fase 1, la fase 2 siempre funciona en modo rápido e implica
el intercambio de tres mensajes.
IDs de proxy
En la fase 2, los identificadores de proxy Exchange del mismo nivel. El ID de proxy se compone de un
prefijo de dirección IP local y remota. El ID. de proxy de ambos interlocutores debe coincidir, lo que
significa que la dirección IP local especificada para un interlocutor debe ser la misma que la dirección IP
remota especificada para el otro interlocutor.
Confidencialidad directa perfecta
PFS es un método para derivar claves de fase 2 independientes de las claves anteriores y no
relacionadas con estas. Como alternativa, la propuesta de fase 1 crea la clave (SKEYID_d clave) desde la
cual se derivan todas las claves de fase 2. La SKEYID_d clave puede generar claves de fase 2 con un
mínimo de procesamiento de CPU. Desafortunadamente, si una parte no autorizada obtiene acceso a la
clave SKEYID_d, todas sus claves de cifrado se verán comprometidas.
15
PFS resuelve este riesgo de seguridad forzando un nuevo intercambio de claves DH para que se
produzca en cada túnel de fase 2. Por lo tanto, el uso de PFS es más seguro, aunque el procedimiento de
reclame en la fase 2 podría tardar un poco más con PFS habilitado.
Protección contra reproducción
Un ataque de reproducción se produce cuando una persona no autorizada intercepta una serie de
paquetes y los utiliza más tarde para inundar el sistema, causando un ataque de denegación de servicio
(DoS), o para obtener acceso a la red de confianza. Junos OS proporciona una característica de
protección contra reproducción que permite que los dispositivos comprueben todos los paquetes IPsec
para ver si se han recibido anteriormente. Si los paquetes llegan fuera de un rango de secuencia
especificado, Junos OS los rechazará. El uso de esta característica no requiere negociación, ya que los
paquetes siempre se envían con números de secuencia. Sólo tiene la opción de activar o no la
comprobación de los números de secuencia.
SEE ALSO
Descripción de la configuración de SA de IPsec para el grupo VPNv2

Directiva (seguridad IPsec)
Intercambio de mensajes IKEv2
in this section
Carga de configuración IKEv2 | 16
Reclave y reauteticación IKEv2 | 16
Selectores de tráfico para IKEv2 | 17
ICR versión 2 es el sucesor del método IKEv1. Proporciona un canal de comunicación VPN seguro entre
dispositivos VPN par y define la negociación y autenticación para asociaciones de seguridad IPsec (SA)
de forma protegida.
La IKEv2 no incluye las fases 1 y 2 similares a las de IKEv1, pero se producen cuatro intercambios de
mensajes para negociar un túnel IPsec con IKEv2. El intercambio de mensajes en IKEv2 es:
16
• Negocia los atributos de seguridad para establecer el túnel IPsec. Esto incluye intercambiar los
protocolos o parámetros utilizados, y los grupos Diffie-Hellman.
• Cada par establece o autentica sus identidades mientras se establece el túnel IPsec.
• Pares para crear asociaciones de seguridad adicionales entre sí.
• Los pares realizan la detección de liveliness, eliminación de relaciones de SA y la generación de

mensajes de error.
Carga de configuración IKEv2
La carga de configuración es una opción IKEv2 que se ofrece para propagar la información de
aprovisionamiento de un respondedor a un iniciador. La carga de configuración de IKEv2 solo se admite
con VPN basadas en rutas.
RFC 5996, protocolo Intercambio de claves por red versión 2 (IKEv2), define 15 atributos de
configuración diferentes que el respondedor puede devolver al iniciador.
Reclave y reauteticación IKEv2
Con IKEv2, la regeneración de claves y la nueva autenticación son procesos independientes.
El cambio de claves establece nuevas claves para el SA (ICR Security Association) y restablece los
contadores de ID de mensajes, pero no reautentica los homólogos.
La nueva autenticación comprueba que los homólogos VPN conservan su acceso a las credenciales de
autenticación. La reautenticación establece claves nuevas para el ICR SA y las SA secundarias; ya no son
necesarias las claves de cualquier SA pendiente ICR o SA secundaria. Después de que se crean las
nuevas SA de ICR y secundarias, se eliminan el ICR antiguo y las SA secundarias.
La reautenticación de IKEv2 está deshabilitada de forma predeterminada. La reautenticación se habilita

configurando un valor de frecuencia de reautenticación entre 1 y 100. La frecuencia de reautenticación
es el número de reICR claves que tienen lugar antes de que se produzca una nueva autenticación. Por
ejemplo, si la frecuencia configurada para la reautenticación es 1, la nueva autenticación se realiza cada
vez que se produce un ICR regeneración de claves. Si la frecuencia configurada para la reautenticación
es 2, la reautenticación se produce en todos los demás ICR las claves de regeneración. Si la frecuencia
configurada para la reautenticación es 3, la reautenticación se produce cada tres ICR regeneración de
claves, y así sucesivamente.
Fragmentación ikEv2
Cuando se usa la autenticación basada en certificados, los paquetes IKEv2 pueden superar la MTU de
ruta de acceso si se transmiten varios certificados. Si el tamaño del mensaje ICR supera la unidad MTU
de ruta de acceso, los mensajes se fragmentan en el nivel de IP. Algunos equipos de red, como los
17
dispositivos TDR, no permiten que pasen los fragmentos de IP, lo que impide el establecimiento de
túneles IPsec.
La fragmentación de mensajes IKEv2, tal como se describe en RFC 7383, fragmentación de mensajes del
protocolo Intercambio de claves por red versión 2 (IKEv2), permite que IKEv2 funcione en entornos en
los que es posible que se bloqueen fragmentos de IP y los pares no puedan establecer una asociación de
seguridad IPsec (SA). La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de
otros más pequeños, de modo que no hay fragmentación en el nivel de IP. La fragmentación tiene lugar
antes de que el mensaje original se cifre y se autentique, de forma que cada fragmento se cifre y se
autentique por separado. En el receptor, los fragmentos se recolectan, comprueban, descifran y se
combinan en el mensaje original.
Selectores de tráfico para IKEv2
Puede configurar selectores de tráfico en IKEv2 usados durante ICR negociación. Un selector de tráfico
es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel VPN si el tráfico
coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se
ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada. Durante la creación
de túnel, se utilizan selectores de tráfico para configurar el túnel y determinar qué tráfico se permite a
través del túnel.
ID de proxy
Se utiliza un ID de proxy durante la fase 2 de Intercambio de claves por red (ICR) negociaciones de red
privada virtual (VPN). Ambos extremos de un túnel VPN tienen un ID de proxy configurado
manualmente (VPN basada en rutas) o simplemente utilizan una combinación de IP de origen, IP de
destino y servicio en una política de túnel. Cuando se negocia la fase 2 ICR, cada extremo compara el ID
de proxy local y remoto configurado con lo que realmente se recibe.
Selectores de tráfico
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Sin embargo, el ID. de
varios proxies sólo es compatible con VPN basadas en rutas. El ID. de proxy múltiple también se conoce
como el selector de tráfico. Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el
tráfico a través de un túnel, si el tráfico coincide con un par especificado de direcciones locales y
remotas. Un selector de tráfico se define dentro de una VPN basada en ruta específica, lo que puede dar
como resultado varias SA de IPsec de fase 2. Solo se permite el tráfico que se ajusta a un selector de
tráfico a través de una SA. Normalmente, el selector de tráfico es necesario cuando los dispositivos de
puerta de enlace remota son dispositivos no Juniper Networks.
18
ICR de acceso (clave previamente compartida y autenticación basada en

certificados)
La ICR negociación proporciona la capacidad de establecer un canal seguro mediante el cual dos partes
puedan comunicarse. Puede definir cómo las dos partes se autentican entre sí mediante una
autenticación de clave previamente compartida o una autenticación basada en certificados.
Autenticación de clave previamente compartida Autenticación basada en

certificados
Forma común de establecer una conexión VPN. Una forma segura de establecer
una conexión VPN.
• La clave previamente compartida es una contraseña que es Los certificados se componen de

la misma para ambas partes. Esta contraseña se intercambia una clave pública y privada y
de antemano mediante un teléfono, mediante un pueden firmarse con un certificado
intercambio verbal o mediante mecanismos menos seguros, principal conocido como autoridad
incluso por correo electrónico. de certificación (AC)
• La clave previamente compartida debe estar compuesta por

al menos 8 caracteres (se recomienda usar 12 o más)
mediante una combinación de letras, números y caracteres
nonalfanuméricos, junto con distintos casos para las letras.
• La clave previamente compartida no debe usar una palabra

descarado.
Las partes se autentican entre sí mediante el cifrado de la clave Las partes verifican los certificados
previamente compartida con la clave pública del par, la cual se para confirmar si están firmados
obtiene en el intercambio Diffie-Hellman. por un proveedor de AC.
Las claves previamente compartidas se implementan por lo Los certificados también son
general para VPN IPsec de sitio a sitio, ya sea dentro de una mucho más idóneos en entornos a
sola organización o entre diferentes organizaciones. gran escala con muchos sitios pares
que no todos deberían compartir
una clave previamente compartida.
19
Traducción de direcciones de red-Traversal (TDR-T)
Traducción de direcciones de red-transversal (TDR-T) es un método para evitar problemas de traducción

de direcciones IP cuando los datos protegidos por IPsec pasan por un dispositivo de TDR para la
traducción de direcciones.
Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace que ICR descarte los
paquetes. Después de detectar uno o más dispositivos TDR a lo largo de la ruta de datos durante los
intercambios de fase 1, TDR-T agrega una capa de encapsulación del Protocolo de datagrama de usuario
(UDP) a los paquetes IPSec para que no se descarten después de la traducción de direcciones. TDR-T
encapsula el tráfico ICR y ESP dentro de UDP con el puerto 4500 que se utiliza como puerto de origen y
destino. Dado que TDR dispositivos caducan las traducciones UDP obsoletas, es necesario disponer de
mensajes de KeepAlive entre los interlocutores.
La ubicación de un dispositivo TDR puede ser tal que:
• Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar
detrás de dispositivos de TDR independientes. Los iniciadores también se pueden conectar al
interlocutor que responde a través de varios dispositivos TDR.
• Solo el contestador de IKEv1 o IKEv2 está detrás de un dispositivo TDR.
• El iniciador IKEv1 o IKEv2 y el contestador están detrás de un dispositivo TDR.
Conjuntos criptográficos Suite B y PRIME
Suite B es un conjunto de algoritmos de cifrado designados por la Agencia de seguridad nacional de EE.
UU. para permitir que los productos comerciales protejan el tráfico clasificado en los niveles secreto o
secreto principal. Los protocolos del conjunto B se definen en RFC 6379, Conjuntos criptográficos de
conjunto B para IPsec. Los conjuntos criptográficos Suite B proporcionan integridad y confidencialidad
para encapsular carga de seguridad (ESP) y deben utilizarse cuando se requiere protección de integridad
ESP y cifrado. Requisitos de protocolo para cifrado IP modular (PRIME), un perfil IPsec definido para
redes del sector público en el Reino Unido, se basa en la serie de servicios criptográficos Suite B, pero
utiliza AES-GCM en vez de AES-CBC para las negociaciones de IKEv2.
Se admiten los siguientes conjuntos criptográficos:
• Suite-B-GCM-128
• SENSORIAL El cifrado de la norma de cifrado avanzado (AES) con claves de 128 bits y el valor de
comprobación de la integridad de 16 octetos (ICV) en el modo de contador Galois (GCM).
20
• ICR: Cifrado AES con claves de 128 bits en modo de encadenamiento de bloques de cifrado
(CBC), integridad mediante autenticación SHA-256, establecimiento de claves con grupo Diffie-
Hellman (DH) 19 y autenticación usando el algoritmo de firma digital de curva elíptica (ECDSA)
256 elíptica de bits firmas de curva.
• Suite-B-GCM-256
• SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.
• ICR: Cifrado AES con claves de 256 bits en modo CBC, integridad mediante autenticación
SHA-384, establecimiento de claves con el grupo DH 20 y autenticación con firmas de curvas
elípticas de 384 de bits de ECDSA.
• PRIME-128
• SENSORIAL Cifrado AES con claves de 128 bits y ICV de 16 octetos en GCM.
• ICR: Cifrado AES con claves de 128 bits en GCM, el establecimiento de claves con el grupo DH 19
y la autenticación con firmas de curvas elípticas de 256 bits de ECDSA.
• PRIME-256
• SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.
• ICR: Cifrado AES con claves de 256 bits en GCM, el establecimiento de claves con el grupo DH 20
y la autenticación con firmas de curvas elípticas de 384 bits de ECDSA.
Los conjuntos criptográficos Suite-B son compatibles con IKEv1 e IKEv2. Los conjuntos criptográficos
PRIMOs solo admiten IKEv2.
Fundamentos de IPsec
in this section
Descripción general de IPsec | 21
Estándares compatibles con IPsec y ICR | 27

21
Descripción general de IPsec
in this section
Asociaciones de seguridad | 21
IPsec es un conjunto de protocolos relacionados para proteger las comunicaciones de forma

criptográfica en la capa de paquetes IP. IPsec también proporciona métodos para la negociación manual
y automática de asociaciones de seguridad (SAs) y la distribución de claves, todos los atributos para los
que se recopilan en un dominio de interpretación (DOI). El DOI de IPsec es un documento que contiene
definiciones para todos los parámetros de seguridad necesarios para la negociación correcta de un túnel
VPN: básicamente, todos los atributos necesarios para sa y ICR negociación. Consulte RFC 2407 y RFC
2408 para obtener más información.
Para usar servicios de seguridad IPsec, se crean SA entre hosts. Una SA es una conexión símplex que
permite que dos hosts se comuniquen entre sí de manera segura por medio de IPsec. Hay dos tipos
deAS: manuales y dinámicos.
IPsec admite dos modos de seguridad (modo de transporte y modo de túnel).
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los participantes de la VPN en
relación con los métodos y parámetros que se utilizan para proteger un canal de comunicación. La
comunicación bidireccional completa requiere al menos dos SA, uno para cada dirección. A través de la
SA, un túnel IPsec puede proporcionar las siguientes funciones de seguridad:
• Privacidad (mediante cifrado)
• Integridad del contenido (mediante autenticación de datos)
• Autenticación de remitente y, si utiliza certificados, no repudiación (mediante autenticación de origen

de datos)
Las funciones de seguridad que emplee dependerán de sus necesidades. Si sólo necesita autenticar el
origen del paquete IP y la integridad del contenido, puede autenticar el paquete sin aplicar ningún
cifrado. Por otro lado, si solo le preocupa conservar la privacidad, puede cifrar el paquete sin aplicar
ningún mecanismo de autenticación. Opcionalmente, puede cifrar y autenticar el paquete. La mayoría de
los diseñadores de seguridad de red deciden cifrar, autenticar y reproducir la protección de su tráfico
VPN.
22
Un túnel IPsec se compone de un par de SA unidireccionales (una SA para cada dirección del túnel) que
especifican el índice de parámetros de seguridad (SPI), la dirección IP de destino y el protocolo de
seguridad (encabezado de autenticación [AH] o la carga de seguridad de encapsulación [ESP] empleados.
Un SA agrupa los siguientes componentes para proteger las comunicaciones:
• Algoritmos y claves de seguridad.
• Modo Protocolo, ya sea de transporte o de túnel. Los dispositivos Junos OS siempre utilizan el modo
de túnel. (Consulte "procesamiento de paquetes en modo de túnel" en la página 148.)
• Método de administración de claves, ya sea de clave manual o AutoKey ICR.
• Duración de la Asociación de la SA.
Para el tráfico entrante, Junos OS busca la SA mediante el siguiente triple:
• Dirección IP de destino.
• Protocolo de seguridad, AH o ESP.
• Valor del índice de parámetros de seguridad (SPI).
Para el tráfico de VPN saliente, la Directiva invoca la SA asociada con el túnel VPN.
Administración de claves IPsec
in this section
Tecla manual | 23
AutoKey ICR | 23
Intercambio Diffie-Hellman | 24
La distribución y administración de claves son críticas para el uso correcto de VPN. Junos OS admite la
tecnología IPsec para crear túneles VPN con tres tipos de mecanismos de creación de claves:
• Tecla manual
• AutoKey ICR con una clave previamente compartida o un certificado

23
Puede elegir su mecanismo de creación de claves (también llamado método de autenticación) durante la
configuración de la propuesta de fase 1 y fase 2. Consulte "Intercambio de claves por red" en la página
10.
Tecla manual
Con las claves manuales, los administradores de ambos extremos de un túnel configuran todos los
parámetros de seguridad. Se trata de una técnica viable para redes pequeñas y estáticas en las que la
distribución, el mantenimiento y el seguimiento de claves no son difíciles. Sin embargo, la distribución
segura de configuraciones clave manuales en grandes distancias plantea problemas de seguridad. Aparte
de pasar las teclas frontales, no puede estar completamente seguro de que las claves no se han visto
comprometidas durante la transmisión. Además, siempre que desee cambiar la clave, se le plantearán los
mismos problemas de seguridad que cuando lo distribuyó inicialmente.
AutoKey ICR
Cuando necesite crear y administrar varios túneles, necesitará un método que no requiera que configure
cada elemento manualmente. IPsec admite la generación y negociación automatizadas de claves y
asociaciones de seguridad mediante el protocolo Intercambio de claves por red (ICR). Junos OS se refiere
a esta negociación automatizada de túnel como AutoKey ICR y admite AutoKey ICR con claves
previamente compartidas y AutoKey ICR con certificados.
• Clave automática ICR con claves previamente compartidas: mediante el uso de ICR de clave
automática con claves previamente compartidas para autenticar ICR los participantes en una sesión
de ICR, cada lado debe configurar e intercambiar de antemano la clave previamente compartida. En
este sentido, el problema de la distribución segura de claves es el mismo que con las claves manuales.
Sin embargo, una vez distribuido, una Autokey, a diferencia de la clave manual, puede cambiar
automáticamente sus claves a intervalos predeterminados mediante el protocolo ICR. Las claves que
cambian frecuentemente mejoran en gran medida la seguridad y, de esta manera, lo reducen
considerablemente las responsabilidades de la administración de claves. Sin embargo, el cambio de
claves aumenta la sobrecarga del tráfico; por lo tanto, cambiar las claves con demasiada frecuencia
puede reducir la eficacia de transmisión de datos.
Una clave previamente compartida es una clave para el cifrado y el descifrado, que ambos
participantes deben tener antes de iniciar la comunicación.
• Clave automática ICR con certificados: cuando se utilizan certificados para autenticar a los
participantes durante una negociación de ICR de clave automática, cada lado genera un par de claves
pública y privada y adquiere un certificado. Siempre que la autoridad de certificación emisora (AC)
sea de confianza para ambos lados, los participantes pueden recuperar la clave pública del par y
comprobar la firma del par. No es necesario hacer un seguimiento de las claves y SAs; ICR lo hace
automáticamente.
24
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite que los participantes generen un valor secreto compartido.
La fortaleza de la técnica es que permite a los participantes crear el valor secreto a través de un medio
no seguro sin pasar el valor secreto a través del cable. El tamaño del módulo principal usado en el
cálculo de cada grupo difiere como se muestra en la siguiente tabla. Las operaciones de intercambio
Diffie Hellman (DH) se pueden realizar en software o hardware. Cuando estas operaciones de
intercambio se realizan en hardware, utilizamos la criptografía de tecnología QuickAssist (QAT). A
continuación, se enumeran diferentes grupos Diffie Hellman (DH) y se especifica si la operación
realizada para ese grupo se encuentra en Tabla 1 en la página 24 el hardware o en el software.
Tabla 1: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo
Grupo Diffie-Hellman (DH) Tamaño del módulo principal Operación de intercambio

realizada en
Grupo DH 1 768-bit Ferretería
Grupo DH 15 3072-bit Software
Grupo DH 19 Curva elíptica de 256 bits Software
Grupo DH 24 Subgrupo de orden principal de 2048 bits Software

25
A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos DH 15,
16 y 21.
No recomendamos el uso de los grupos DH 1, 2 y 5.
Dado que el módulo para cada grupo DH tiene un tamaño diferente, los participantes deben aceptar que
se utilice el mismo grupo.
Protocolos de seguridad IPsec
in this section
Algoritmos de autenticación IPsec (protocolo AH) | 26
Algoritmos de cifrado IPsec (protocolo ESP) | 26
IPsec utiliza dos protocolos para proteger las comunicaciones en la capa IP:
• Encabezado de autenticación (AH): un protocolo de seguridad para autenticar el origen de un

paquete IP y comprobar la integridad de su contenido
• Carga de seguridad de encapsulación (ESP): un protocolo de seguridad para cifrar todo el paquete IP
(y autenticar su contenido)
Puede elegir sus protocolos de seguridad (también denominados algoritmos de autenticación y

cifrado)durante la configuración de la propuesta de fase 2. Consulte "Intercambio de claves por red" en
la página 10.
Para cada túnel VPN, se instalan sesiones de túnel AH y ESP en unidades de procesamiento de servicios
(SPUs) y en el plano de control. Las sesiones de túnel se actualizan con el protocolo negociado después
de completarse la negociación. Para SRX5400, SRX5600 y SRX5800, las sesiones de túnel del
delimitador SPUs se actualizan con el protocolo negociado, mientras que los SPUs que no son de
delimitadores conservan las sesiones ESP y AH del túnel. Las sesiones de túnel ESP y AH se muestran en
los resultados show security flow session de show security flow cp-session los comandos del modo de
operación y.

26
Algoritmos de autenticación IPsec (protocolo AH)
El protocolo AH (encabezado de autenticación) proporciona un medio para comprobar la autenticidad e

integridad del contenido y el origen de un paquete. Puede autenticar el paquete mediante la suma de
comprobación calculada a través de un código de autenticación de mensajes hash (HMAC) mediante una
clave secreta y funciones hash MD5 o SHA.
• Síntesis del mensaje 5 (MD5): un algoritmo que produce un hash de 128 bits (también llamado
síntesis de mensajes o firma digital) a partir de un mensaje de longitud arbitraria y una clave de 16
bytes. Se utiliza el hash resultante, como una huella dactilar de la entrada, para comprobar el
contenido y la autenticidad e integridad del origen.
• Algoritmo de hash seguro (SHA): un algoritmo que genera un hash de 160 bits a partir de un mensaje
de longitud arbitraria y una clave de 20 bytes. Generalmente se considera más seguro que con MD5
debido a los hash de mayor tamaño que produce. Dado que el procesamiento computacional se
realiza en los ASIC, el costo de rendimiento es insignificante.
Para obtener más información acerca de los algoritmos hash MD5, consulte RFC 1321 y RFC 2403. Para
obtener más información acerca de los algoritmos de hash SHA, consulte RFC 2404. Para obtener más
información acerca de HMAC, consulte RFC 2104.
Algoritmos de cifrado IPsec (protocolo ESP)
El protocolo carga de seguridad encapsuladora (ESP) proporciona un medio para garantizar la privacidad
(cifrado) y la autenticación de origen e integridad del contenido (autenticación). ESP en modo de túnel
encapsula todo el paquete IP (encabezado y carga) y, a continuación, anexa un nuevo encabezado IP al
paquete que está ahora cifrado. Este nuevo encabezado de IP contiene la dirección de destino necesaria
para enrutar los datos protegidos a través de la red. (Consulte "procesamiento de paquetes en modo de
túnel" en la página 148.)
Con ESP, puede cifrar y autenticar, únicamente cifrar o autenticar. Para el cifrado, puede elegir uno de
los siguientes algoritmos de cifrado:
• Estándar de cifrado de datos (DES): un algoritmo de bloque criptográfico con una clave de 56 bits.
• Triple DES (3DES): una versión más potente de DES en la que se aplica el algoritmo DES original en
tres rondas mediante una clave de 168 bits. DES proporciona ahorros significativos de rendimiento,
pero se considera inaceptable para varias transferencias de material clasificadas o sensibles.
• Estándar de cifrado avanzado (AES): un estándar de cifrado que ofrece una mayor interoperabilidad
con otros dispositivos. Junos OS admite AES con claves de 128 bits, 192 bits y 256 bits.
Para la autenticación, puede utilizar algoritmos MD5 o SHA.

27
Aunque es posible seleccionar NULL para el cifrado, se ha demostrado que IPsec puede ser vulnerable a
ataques en tales circunstancias. Por lo tanto, sugerimos que elija un algoritmo de cifrado para obtener la
máxima seguridad.
Negociación de túnel IPsec
Los siguientes dos modos diferentes que determinan cómo se intercambia el tráfico en la VPN.
• Modo de túnel: proteja el tráfico encapsulando el paquete IP original dentro de otro paquete en el
túnel VPN. Este modo utiliza claves previamente compartidas con ICR para autenticar pares o
certificados digitales con ICR autenticar pares. Esto se usa con mayor frecuencia cuando los hosts
dentro de redes privadas separadas desean comunicarse a través de una red pública. Este modo lo
pueden usar tanto clientes VPN como puertas de enlace VPN, y protege las comunicaciones que
proceden de sistemas no IPsec o que se dirigen a ellos.
• Modo de transporte: proteja el tráfico mediante el envío del paquete directamente entre los dos
hosts que establecieron el túnel IPsec. Es decir, cuando el punto de conexión de comunicación y el
punto de conexión criptográfico son los mismos. La parte de datos del paquete IP está cifrada, pero
el encabezado IP no. Las puertas de enlace VPN que proporcionan servicios de cifrado y descifrado
para los host protegidos no pueden utilizar el modo de transporte para comunicaciones VPN
protegidas. Las direcciones IP del origen o el destino se pueden modificar si se intercepta el paquete.
Debido a su construcción, el modo de transporte solo se puede usar cuando el extremo de
comunicación y el extremo criptográfico son los mismos.
Estándares compatibles con IPsec y ICR
En los enrutadores con una o más MS-MPCS, MS-MICS o DPC, la versión para Canadá y para Estados
Unidos de Junos os admite sustancialmente las siguientes RFC, que definen estándares para la seguridad
IP (IPSec) y el intercambio de claves por red (ICR).
• Autenticación RFC 2085, HMAC-MD5 con prevención de reproducción
• RFC 2401, Arquitectura de seguridad para el protocolo de Internet (obsoleta por RFC 4301)
• RFC 2402, Encabezado de autenticación IP (obsoleto por RFC 4302)
• RFC 2403, El uso de HMAC-MD5-96 dentro de ESP y AH
• RFC 2404, El uso de HMAC-SHA-1-96 dentro de ESP y AH (obsoleto por RFC 4305)
• RFC 2405, El algoritmo de cifrado ESP DES-CBC con IV explícito

28
• RFC 2406, Carga de seguridad de encapsulación (ESP) de IP (obsoleta por RFC 4303 y RFC 4305)
• RFC 2407, El dominio de interpretación de seguridad de IP de Internet para ISAKMP (obsoleto por
RFC 4306)
• RFC 2408, Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP)

(obsoleto por RFC 4306)
• RFC 2409, El Intercambio de claves por red (ICR) (obsoleto por RFC 4306)
• RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec
• RFC 2451, Los algoritmos de cifrado ESP en modo CBC
• RFC 2460, Protocolo de Internet, versión 6 (IPv6)
• RFC 2560, Infraestructura de clave pública de Internet X.509: protocolo de estado de certificado en
línea (OCSP)
• RFC 3193, Proteger L2TP mediante IPsec
• RFC 3280, Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave
pública de Internet X.509
• RFC 3602, El algoritmo de cifrado de AES-CBC y su uso con IPsec
• RFC 3948, Encapsulación UDP de paquetes ESP IPsec
• RFC 4106, El uso del modo Galois/Counter (GCM) en carga de seguridad de encapsulación (ESP) de
IPsec
• RFC 4210, Protocolo de administración de certificados (CMP) en infraestructura de clave pública

X.509 de Internet
• RFC 4211, Formato de mensajes de solicitud de certificados (CRMF) en infraestructura de clave

pública X.509 de Internet
• RFC 4301, Arquitectura de seguridad para el protocolo de Internet
• RFC 4302, Encabezado de autenticación IP
• RFC 4303, Carga de seguridad de encapsulación (ESP) de IP
• RFC 4305, Requisitos de implementación de algoritmo criptográfico para carga de seguridad de

encapsulación (ESP) y encabezado de autenticación (AH)
• RFC 4306, protocolo Intercambio de claves por red (IKEv2)
• RFC 4307, Algoritmos criptográficos para uso en el Intercambio de claves por red versión 2 (IKEv2)
29
• RFC 4308, Conjuntos criptográficos para IPsec
Solo se admite el conjunto VPN-A en Junos OS.
• AUTENTICACIÓN RFC 4754, ICR y IKEv2 mediante el algoritmo de firma digital de curva elíptica
(ECDSA)
• RFC 4835, Requisitos de implementación de algoritmo criptográfico para carga de seguridad de

encapsulación (ESP) y encabezado de autenticación (AH)
• RFC 5996, protocolo Intercambio de claves por red versión 2 (IKEv2)
Junos OS admite parcialmente las siguientes RFC para IPsec y ICR:
• RFC 3526, Grupos Diffie-Hellman con exponencial más modular (MODP) para Intercambio de claves
por red (ICR)
• RFC 5114, Grupos Diffie-Hellman adicionales para su uso con estándares GTI-I estándares
• RFC 5903, Módulos a principales de grupos de curva elíptica (grupos ECP) para ICR y IKEv2
Los siguientes documentos RFC y borrador de Internet no definen los estándares, pero proporcionan
información acerca de IPsec, ICR y otras tecnologías relacionadas. El GTI-I los clasifica como
"información".
• RFC 2104, HMAC: Hash con claves para autenticación de mensajes
• RFC 2412, El protocolo de determinación de claves OAKLEY
• RFC 3706, Un método basado en el tráfico para detectar pares Intercambio de claves por red
muertos (ICR)
• Borrador de Internet draft-eastlake-sha2-02.txt, Algoritmos de hash seguros de EE. UU. (SHA y

HMAC-SHA) (caduca en julio de 2006)
SEE ALSO
Información general sobre interfaces de servicios para dispositivos de enrutamiento

Serie MX 5G referencia del módulo de interfaz de plataforma de enrutamiento universal
Acceso a documentos de estándares en Internet
30
release-history
release heading in desc heading in release-history

release-history
19.1R1 A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con
los grupos DH 15, 16 y 21.
3
PKI en Junos OS
Certificados digitales | 37
Revocación de certificados | 70
32
PKI en Junos OS
summary in this section
En este tema se describen los elementos básicos de Introducción a la PKI en Junos OS | 32

la infraestructura de clave pública (PKI) en Junos OS. Componentes de PKI en Junos OS | 35
Una infraestructura de clave pública (PKI) admite la distribución e identificación de claves de cifrado
públicas, lo que permite a los usuarios intercambiar datos de forma segura a través de redes como
Internet y comprobar la identidad de la otra parte.
Introducción a la PKI en Junos OS
in this section
Descripción general de las aplicaciones de PKI | 32
Componentes para administrar PKI en Junos OS | 33
Elementos básicos de PKI en Junos OS | 33
Descripción general de las aplicaciones de PKI
El Junos OS utiliza claves públicas/privadas en las siguientes áreas:
• SSH/SCP (para una administración interfaz de línea de comandos basada en [CLI])
• Capa de conexión segura (SSL) (para una administración web segura y una autenticación web basada
en https para la autenticación del usuario)
• Intercambio de claves por red (ICR) (para túneles VPN IPsec)
NOTA: Tenga en cuenta los siguientes puntos:

33
• Actualmente Junos OS solo admite ICR (uso de certificados de infraestructura de clave

pública (PKI) para la validación de claves públicas).
• SSH y SCP se utilizan exclusivamente para la administración del sistema y depende del uso de
huellas digitales fuera de banda para el enlace y validación de identidad de clave pública. Los
detalles de SSH no se tratan en este tema.
Componentes para administrar PKI en Junos OS
Se requieren los siguientes componentes para administrar la PKI en Junos OS:
• AC certificados y configuración de autoridad
• Certificados locales, incluida laidentidad del dispositivo s (ejemplo: ICR el tipo y valor de ID.) y claves
privadas y públicas
• Validación de certificados mediante una lista de revocación de certificados (CRL)
Elementos básicos de PKI en Junos OS
Junos OS admite tres tipos específicos de objetos PKI:
• Par de claves privada y pública
• Certificados
• Certificado local: el certificado local contiene la información de identidad y clave pública para el
Juniper Networks dispositivo. El dispositivo Juniper Networks es propietario de la clave privada
asociada. Este certificado se genera a partir de una solicitud de certificado del dispositivo de
Juniper Networks.
• Certificado pendiente: un certificado pendiente contiene un par de claves e información de

identidad que se genera en una solicitud de certificado BPC10 y se envía manualmente a una
autoridad de certificación (AC). Mientras el Juniper Networks dispositivo espera a que el
certificado de la CA, el objeto existente (par de claves y la solicitud de certificado) se etiqueta
como solicitud de certificado o certificado pendiente.
NOTA: Junos OS versión 9.0 y posteriores admiten el envío automático de solicitudes de

certificado a través de SCEP.
34
• AC certificado: cuando el AC emite el certificado y se carga en el dispositivo Junos OS, el

certificado pendiente se sustituye por el certificado local recién generado. El resto de certificados
cargados en el dispositivo se consideran AC certificados.
• Listas de revocación de certificados (CRL)
Tenga en cuenta los siguientes puntos acerca de los certificados:
• Los certificados locales se utilizan generalmente cuando un Junos OS dispositivo tiene VPN en más
de un dominio administrativo.
• Todos los objetos PKI se almacenan en una partición independiente de memoria persistente, aparte
de la Junos OS imagen y la configuración general del sistema.
• Cada objeto PKI tiene un nombre único o ID de certificado que se le da cuando se crea y mantiene
ese ID hasta su eliminación. Puede ver el ID de certificado con el show security pki local-certificate
comando.
• En la mayoría de las circunstancias, no se puede copiar un certificado de un dispositivo. La clave

privada de un dispositivo solo se debe generar en ese dispositivo y nunca se debe ver o guardar
desde ese dispositivo. Por lo tanto, los archivos PKCS12 (que contienen un certificado con la clave
pública y la clave privada asociada) no se admiten en Junos OS dispositivos.
• AC validan los certificados recibidos por el ICR par. Si el certificado es válido, se verifica en la CRL
para ver si se revocó el certificado.
Cada AC certificado incluye una configuración de AC de perfil que almacena la siguiente información:
• AC identidad, que normalmente es el nombre de dominio de la AC
• Dirección de correo electrónico para enviar las solicitudes de certificado directamente al AC
• Configuración de revocación:
• Opción de activación/desactivación de comprobación de revocación
• Deshabilitar la comprobación de revocación en caso de falla en la descarga de CRL.
• Ubicación del punto de distribución CRL (CDP) (para la configuración manual de URL)
• intervalo de actualización de CRL

35
Componentes de PKI en Junos OS
in this section
Administración e implementación de la PKI | 35
Grupo de CA de confianza | 36
Información general sobre el control de claves criptográficas | 36
Administración e implementación de la PKI
Los elementos mínimos de PKI necesarios para la autenticación basada en certificados en Junos OS son:
• Certificados de entidad emisora y configuración de la entidad.
• Certificados locales que incluyen la identidad del dispositivo (ejemplo: ICR el tipo y valor de ID.) y
claves privadas y públicas
• Validación de certificado a través de una CRL.
Junos OS admite tres tipos diferentes de objetos de PKI:
El procedimiento para firmar digitalmente los mensajes enviados entre dos participantes en una sesión
Intercambio de claves por red (ICR) es similar a la comprobación de certificados digitales, con las
siguientes diferencias:
• En lugar de crear un resumen del certificado de CA, el remitente lo convierte a partir de los datos de
la carga del paquete IP.
• En lugar de utilizar el par de claves pública y privada de la entidad emisora de certificados, los
participantes utilizan el par de claves pública y privada del remitente.
36
Grupo de CA de confianza
Una entidad emisora de certificados es una tercera persona a la que se confía para emitir y revocar
certificados. Puede agrupar varias entidades emisoras (perfiles de entidades emisoras) en un grupo de
entidades emisoras de certificados de confianza para una topología determinada. Estos certificados se
utilizan para establecer una conexión entre dos extremos. Para establecer ICR o IPsec, ambos puntos de
conexión deben confiar en la misma entidad emisora de certificados. Si alguno de los extremos no puede
validar el certificado con su CA de confianza (CA-Profile) correspondiente o el grupo de CA de confianza,
la conexión no se establece.
Por ejemplo, hay dos extremos, el extremo a y el extremo B intentan establecer una conexión segura.
Cuando el punto de conexión B presenta su certificado al punto de conexión A, el punto de conexión A
comprobará si el certificado es válido. La entidad emisora del extremo A comprueba el certificado
firmado que el extremo B utiliza para obtener la autorización. Cuando trusted-ca o trusted-ca-group
está configurado, el dispositivo solo usará los perfiles de CA agregados en trusted-ca-group este o el
perfil de CA trusted-ca configurado en para validar el certificado que procede del extremo B. Si el
certificado se comprueba como válido, se permite la conexión, de lo contrario se rechaza la conexión.
Ventajas
• Para cualquier solicitud de conexión entrante, solo se validará el certificado emitido por dicha entidad
de certificación de confianza de ese extremo. Si no lo es, la autorización rechazará el establecimiento
de la conexión.
Información general sobre el control de claves criptográficas
Con el control de claves de cifrado, las claves persistentes se almacenan en la memoria del dispositivo
sin intentar modificarlas. Aunque el dispositivo de memoria interna no es directamente accesible para un
posible adversario, aquellos que requieran una segunda capa de defensa pueden habilitar un tratamiento
especial para las claves criptográficas. Cuando está habilitada, el control de claves de cifrado cifra las
claves cuando no se utiliza inmediatamente, realiza la detección de errores cuando se copia una clave de
una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de
bits aleatorio cuando la clave ya no está en uso . Las claves también se protegen cuando se almacenan
en la memoria flash del dispositivo. La habilitación de la característica de control de claves de cifrado no
provoca ningún cambio de observación externa en el comportamiento del dispositivo, y el dispositivo
sigue interoperando con los demás dispositivos.
Un administrador de cifrado puede habilitar y deshabilitar las funciones de prueba automática

criptográficas; sin embargo, el administrador de seguridad puede modificar el comportamiento de las
funciones de prueba automática criptográficas, tales como configurar pruebas automáticas periódicas o
seleccionar un subconjunto de pruebas automáticas criptográficas.
Actualmente, las siguientes claves persistentes se encuentran bajo la administración de ICR y la PKI:
• ICR claves previamente compartidas (ICR PSKs)

37
• Claves privadas de PKI
• Claves VPN manuales
SEE ALSO
ICR de acceso (autenticación basada en certificados)

Introducción a IPsec VPN
solicitar un par de claves (seguridad) de PKI de seguridad
Certificados digitales
in this section
Generar manualmente certificados digitales: Información general de configuración | 38
Un certificado digital es un medio electrónico para comprobar su identidad a través de un tercero de

confianza, conocido como entidad emisora de certificados (CA). De manera alternativa, puede usar un
certificado autofirmado para atestiguar su identidad.
El procesamiento manual de certificados incluye la generación de una solicitud de PKCS10, su envío a la

entidad de certificación, la recuperación del certificado firmado y la carga manual del certificado en el
dispositivo de Juniper Networks. En función del entorno de implementación, puede usar SCEP o CMPv2
para la inscripción de certificados en línea.
Para utilizar un certificado digital para autenticar su identidad al establecer una conexión VPN segura,
primero debe hacer lo siguiente:
• Obtenga un certificado de entidad emisora a partir del cual pretenda obtener un certificado local y, a
continuación, cargue el certificado de entidad emisora en el dispositivo. El certificado de entidad
emisora puede contener una lista CRL para identificar certificados no válidos.
38
• Obtenga un certificado local de la entidad emisora de certificados cuyo certificado de CA haya

cargado con anterioridad y, a continuación, cargue el certificado local en el dispositivo. El certificado
local establece la identidad del dispositivo Juniper Networks con cada conexión de túnel.
Generar manualmente certificados digitales: Información general de

configuración
Para obtener manualmente certificados digitales:
1. Generar un par de claves en el dispositivo. Consulte Certificados digitales auto firmados.
2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad
emisora. Consulte ejemplo: Configuración de un perfilde CA.
3. Generar el CSR para el certificado local y enviarlo al servidor de la CA. Consulte ejemplo: Generar
manualmente un CSR para el certificado local y enviarlo al servidorde la CA.
4. Cargue el certificado en el dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.
5. Configure la reinscripción automática. Consulte ejemplo: Uso de SCEP para renovar

automáticamente uncertificado local.
6. Si es necesario, cargue la CRL del certificado en el dispositivo. Consulte ejemplo: Cargar

manualmente una CRL en el dispositivo.
7. Si es necesario, configure el perfil de CA con ubicaciones de CRL. Consulte ejemplo: Configuración de

un perfil de autoridad de certificados con ubicaciones de CRL
Certificados digitales auto firmados
in this section
Descripción de los certificados autofirmados | 39
Ejemplo Generar un par de claves pública y privada | 40
Ejemplo Generar manualmente certificados autofirmados | 41
Uso de certificados autofirmados generados automáticamente (procedimiento CLI) | 43

39
Un certificado con firma personal es un certificado firmado por la misma entidad que lo creó en vez de
por una entidad de certificación (CA).Junos OS proporciona dos métodos para generar una generación
automática de certificado autofirmado y una generación manual.
Descripción de los certificados autofirmados
Un certificado con firma personal es un certificado firmado por su creador, en vez de por una autoridad
de certificación (CA).
Los certificados autofirmados permiten el uso de servicios basados en SSL (capa de sockets seguros) sin
que sea necesario que el usuario o administrador lleve a cabo la considerable tarea de obtener un
certificado de identidad firmado por una entidad emisora de certificados.
Los certificados con firma automática no proporcionan seguridad adicional, como son los que los
generan las entidades emisoras. Esto se debe a que un cliente no puede comprobar que el servidor al
que se ha conectado es el que se ha anunciado en el certificado.
Junos OS proporciona dos métodos para generar un certificado autofirmado:
• Generación automática
En este caso, el creador del certificado es el Juniper Networks dispositivo. Un certificado

autofirmado generado automáticamente se configura en el dispositivo de forma predeterminada.
Después de inicializar el dispositivo, éste comprueba la presencia de un certificado autofirmado

generado automáticamente. Si no encuentra ninguno, el dispositivo lo generará y lo guardará en el
sistema de archivos.
• Generación manual
En este caso, debe crear el certificado autofirmado para el dispositivo.
En cualquier momento, puede usar la CLI para generar un certificado con firma personal. Estos
certificados también se utilizan para obtener acceso a los servicios SSL.
Los certificados con firma automática son válidos durante cinco años a partir del momento en que se
generaron.
Un certificado autofirmado generado automáticamente permite el uso de servicios basados en SSL sin
requerir que el administrador obtenga un certificado de identidad firmado por una entidad de
certificación.
Un certificado autofirmado generado automáticamente por el dispositivo es similar a una tecla de host
de Shell segura (SSH). Se almacena en el sistema de archivos, no como parte de la configuración. Se
40
conserva cuando se reinicia el dispositivo y se conserva cuando se emite un request system snapshot
comando.
Un certificado autofirmado generado manualmente permite el uso de servicios basados en SSL sin
requerir que obtenga un certificado de identidad firmado por una CA. Un certificado autofirmado
generado manualmente es un ejemplo de certificado local de infraestructura de clave pública (PKI).
Como ocurre con todos los certificados locales de la PKI, los certificados autofirmados generados
manualmente se almacenan en el sistema de archivos.
SEE ALSO
PKI en Junos OS
Ejemplo Generar un par de claves pública y privada
in this section
Aplicables | 40
Automática | 41
Comproba | 41
En este ejemplo se muestra cómo generar un par de claves pública y privada.
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, se genera un par de claves pública-privada denominados CA-IPSec.
41
Automática
in this section
Modalidades | 41
Modalidades
Procedimiento paso a paso
Para generar un par de claves pública y privada:
• Crear un par de claves de certificado.
user@host> request security pki generate-key-pair certificate-id ca-ipsec
Comproba
Después de generar el par de claves pública y privada, el Juniper Networks dispositivo muestra lo
siguiente:
generated key pair ca-ipsec, key size 1024 bits
SEE ALSO
Ejemplo Comprobar la validez de los certificados
Ejemplo Generar manualmente certificados autofirmados
in this section
Aplicables | 42
42
Automática | 42
Comproba | 43
En este ejemplo se muestra cómo generar certificados autofirmados manualmente.
Aplicables
Antes de comenzar, genere una pareja de claves pública y privada. Consulte Certificados digitales.
En el caso de un certificado autofirmado generado manualmente, al crearlo se especifica el DN. En el
caso de un certificado autofirmado generado automáticamente, el sistema suministra el DN, que se
identificará a sí mismo como creador.
En este ejemplo, se genera un certificado autofirmado con la dirección de correo

mholmes@example.netelectrónico como. La administración web especifica un id de certificado al que se
hace referencia mediante la administración web, lo que self-cert hace referencia a un ejemplo:
Generación de un par de claves pública y privada del mismo id de certificado.
Automática
in this section
Modalidades | 42
Modalidades
Para generar el certificado autofirmado manualmente:

43
1. Cree el certificado autofirmado.
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject

CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
Comproba
Para comprobar que el certificado se ha generado y cargado correctamente, show security pki local-
certificate escriba el comando del modo operativo.
Uso de certificados autofirmados generados automáticamente

(procedimiento CLI)
Después de inicializar el dispositivo, comprueba la presencia de un certificado autofirmado. Si un

certificado con firma personal no está presente, el dispositivo genera uno automáticamente.
Puede Agregar la siguiente instrucción a su configuración si desea usar el certificado autofirmado

generado automáticamente para proporcionar acceso a servicios HTTPS:
system {
services {
web-management {
http {
interface [ ... ];
} https {
system-generated-certificate;
interface [ ... ];
}
}
}
}
El dispositivo utiliza el siguiente nombre distinguido para el certificado generado automáticamente:
“ CN=<device serial number>, CN=system generated, CN=self-signed”

44
Use el siguiente comando para especificar que el certificado autofirmado generado automáticamente se
usará para servicios HTTPS de administración web:
user@host# set system services web-management https system-generated-certificate
Utilice el siguiente comando operativo para eliminar el certificado autofirmado generado

automáticamente:
user@host# clear security pki local-certificate system-generated
Después de eliminar el certificado autofirmado generado por el sistema, el dispositivo genera

automáticamente uno nuevo y lo guarda en el sistema de archivos.
Autoridad de certificación
in this section
Ejemplo Configuración de un perfil de CA | 49
Ejemplo Configuración de una dirección IPv6 como dirección de origen de un perfil de CA | 52
Un perfil de autoridad de certificados (CA) define todos los parámetros asociados con un certificado
específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué
certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe
el acceso.
45
Configuración de un grupo de CA de confianza
in this section
Crear un grupo de CA de confianza para una lista de perfiles de CA | 45
Eliminación de un perfil de CA de un grupo de CA de confianza | 46
Eliminación de un grupo de entidades de certificación de confianza | 47
En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de
perfiles de entidad emisora de certificados y eliminar un grupo de CA de confianza.
Crear un grupo de CA de confianza para una lista de perfiles de CA

Puede configurar y asignar un grupo de CA de confianza para autorizar una entidad. Cuando un
elemento del mismo nivel intenta establecer una conexión con un cliente, solo se valida el certificado
emitido por esa entidad EMISORa de certificados de confianza específica de dicha entidad. El dispositivo
se valida si el emisor del certificado y el que lo presenta pertenecen a la misma red del cliente. Si el
emisor y el moderador pertenecen a la misma red cliente, se establecerá la conexión. De lo contrario, no
se establecerá la conexión.
Antes de comenzar, debe disponer de una lista de todos los perfiles de CA que desea agregar al grupo
de confianza.
En este ejemplo, vamos a crear tres perfiles de CA orgA-ca-profileorgB-ca-profiledenominados, orgC-

ca-profile , y,, y a asociar ca-profile1los ca-profile2siguientes identificadores de CA, y ca-profile3 para
los perfiles respectivos. Puede agrupar todos los tres perfiles de entidad emisora para que pertenezcan
orgABC-trusted-ca-groupa un grupo de CA de confianza.
Puede configurar un máximo de 20 perfiles de CA para un grupo de CA de confianza.
1. Crear perfiles de CA y asociar identificadores de CA al perfil.
[edit]
user@host# set security pki ca-profile orgA-ca-profile ca-identity ca-profile1
user@host# set security pki ca-profile orgB-ca-profile ca-identity ca-profile2
user@host# set security pki ca-profile orgC-ca-profile ca-identity ca-profile3
46
2. Agrupe los perfiles de entidad emisora bajo un grupo de CA de confianza.
[edit]
set security pki trusted-ca-group orgABC-trusted-ca-group ca-profiles [orgA-ca-profile orgB-ca-profile
orgC-ca-profile]]
3. Confirme la configuración cuando haya terminado de configurar los perfiles de CA y los grupos de CA
de confianza.
[edit]
user@host# commit
Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su
dispositivo, ejecute el comando.
user@host# show security pki

ca-profile orgA-ca-profile {
ca-identity ca-profile1;
}
ca-profile orgB-ca-profile {
}
ca-profile orgC-ca-profile {
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile orgC-ca-profile ];
}
El show security pki comando muestra todos los perfiles de entidades emisoras que se agrupan bajo el
orgABC_trusted-ca-group.
Eliminación de un perfil de CA de un grupo de CA de confianza

Puede eliminar un perfil de CA específico en un grupo de CA de confianza o puede eliminar el grupo de
CA de confianza propiamente dicho.
Por ejemplo, si desea eliminar un perfil de CA nombrado orgC-ca-profile de un grupo orgABC-trusted-

ca-groupde CA de confianza, configurado en el dispositivo tal y "Crear un grupo de CA de confianza para
una lista de perfiles de CA" como se muestra en el tema, siga estos pasos:
47
1. Elimine un perfil de CA del grupo de CA de confianza.
[edit]
user@host# delete security pki trusted-ca-group orgABC-trusted-ca-group ca-profiles orgC-ca-profile
2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.
[edit]
user@host# commit
Para ver el orgC-ca-profile que se está eliminando de orgABC-trusted-ca-group , show security pki
ejecute el comando.

}
}
trusted-ca-group orgABC-trusted-ca-group {
ca-profiles [ orgA-ca-profile orgB-ca-profile ];
}
La salida no muestra el orgC-ca-profile perfil tal y como se elimina del grupo de CA de confianza.
Eliminación de un grupo de entidades de certificación de confianza

Una entidad puede admitir varios grupos de entidades de certificación de confianza y puede eliminar
cualquier grupo de CA de confianza para una entidad.
Por ejemplo, si desea eliminar un grupo de CA de confianza llamado orgABC-trusted-ca-group,

configurado en el dispositivo tal y como "Crear un grupo de CA de confianza para una lista de perfiles de
CA" se muestra en el tema, realice los siguientes pasos:
1. Eliminar un grupo de CA de confianza.
[edit]
user@host# delete security pki trusted-ca-group orgABC-trusted-ca-group
48
2. Si ha terminado de eliminar el perfil de CA del grupo de CA de confianza, confirme la configuración.
[edit]
user@host# commit
Para ver el orgABC-trusted-ca-group que se está eliminando de la entidad show security pki , ejecute el
comando.

}
}
El resultado no muestra el orgABC-trusted-ca-group a medida que se elimina de la entidad.
Descripción de los perfiles de autoridad de certificados
La configuración del perfil de una entidad de certificación (CA) contiene información específica de una
entidad emisora de certificados. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por
ejemplo, podría tener un perfil para orgA y otro para orgB. Cada perfil se asocia con un certificado de
entidad emisora. Si desea cargar un nuevo certificado de entidad emisora sin quitar el antiguo, cree un
nuevo perfil de entidad emisora (por ejemplo, Microsoft-2008).
A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede ser un
servidor de CA IPv6.
El módulo PKI admite el formato de dirección IPv6 para permitir el uso de serie SRX dispositivos en
redes en las que IPv6 es el único protocolo utilizado.
Una entidad de certificación emite certificados digitales, lo que ayuda a establecer una conexión segura
entre dos extremos a través de la validación de certificados. Puede agrupar varios perfiles de entidades
emisoras de certificados en un grupo de CA de confianza para una topología determinada. Estos
49
certificados se utilizan para establecer una conexión entre dos puntos finales. Para establecer ICR o
IPsec, ambos puntos de conexión deben confiar en la misma entidad emisora de certificados. Si alguno
de los extremos no puede validar el certificado con su CA de confianza (CA-Profile) correspondiente o el
grupo de CA de confianza, la conexión no se establece. Un mínimo de un perfil de CA es obligatorio para
crear un grupo de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza.
Cualquier entidad de certificación de un grupo determinado puede validar el certificado para ese
extremo concreto.
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel
configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Se
puede crear un grupo de servidores de entidades emisoras trusted-ca-group de certificados de
confianza conedit security pkila instrucción de configuración en el nivel de jerarquía []; se pueden
especificar uno o varios perfiles de CA. El servidor de CA de confianza se enlaza a la configuración de la
Directiva de ICRedit security ike policy policy certificatepara el nivel de jerarquía peer at [].
Si el perfil de proxy se configura en el perfil de CA, el dispositivo se conecta al host proxy en lugar de al
servidor de la CA, durante la inscripción, comprobación o revocación de certificados. El host proxy se
comunica con el servidor de la entidad de certificación con las solicitudes del dispositivo y, a
continuación, retransmite la respuesta al dispositivo.
El perfil de proxy de CA admite los protocolos SCEP, CMPv2 y OCSP.
El perfil de proxy de CA solo se admite en HTTP y no se admite en el protocolo HTTPS.
SEE ALSO
Ejemplo Configuración de un perfil de CA
in this section
Aplicables | 50
Automática | 50
Comproba | 52
50
En este ejemplo se muestra cómo configurar un perfil de CA.
Aplicables
En este ejemplo, creará un perfil de CA ca-profile-ipsec llamado con la identidad de CA microsoft-2008.
A continuación, cree un perfil de proxy para el perfil de CA. La configuración especifica que la CRL se
actualice cada 48 horas y que la ubicación en la que se recuperará la http://www.my-ca.comCRL es. En
el ejemplo, establece el valor del reintento de inscripción en 20. El valor predeterminado de Retry es 10.
El sondeo de certificados automático se establece cada 30 minutos. Si configura Reintentar únicamente

sin configurar un intervalo de reintentos, el intervalo de reintento predeterminado es de 900 segundos
(o 15 minutos). Si no configura un intento o un intervalo de reintentos, no habrá sondeo.
Automática
in this section
Modalidades | 50
Modalidades
Para configurar un perfil de CA:
1. Crear un perfil de CA.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008
user@host#
51
2. Si lo desea, puede configurar el perfil de proxy para el perfil de CA.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
La infraestructura de claves públicas (PKI) utiliza el perfil de proxy configurado en el nivel del sistema.
El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la [edit services proxy]
jerarquía. Puede haber más de un perfil de proxy configurado en [edit services proxy] la jerarquía. A
cada perfil de entidad emisora se le hace referencia el perfil de proxy más uno. Puede configurar el
host y el puerto del perfil proxy en la [edit system services proxy] jerarquía.
3. Cree una comprobación de revocación para especificar un método para comprobar la revocación de
certificados.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
4. Establezca el intervalo de actualización, en horas, para especificar la frecuencia de actualización de la

CRL. Los valores predeterminados son el tiempo de actualización siguiente en la lista CRL, o 1
semana si no se especifica ninguna hora de la siguiente actualización.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
refresh-interval 48 url http://www.my-ca.com/my-crl.crl
5. Especifique el valor de reintento de inscripción.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
6. Especifique el intervalo de tiempo (en segundos) entre los intentos para inscribir automáticamente el
certificado de entidad emisora en línea.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
52
7. Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.
Ejemplo Configuración de una dirección IPv6 como dirección de origen de

un perfil de CA
En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen de un perfil de
CA.
En este ejemplo, cree un perfil de CA orgA-ca-profile llamado con la v6-ca identidad de CA y configure
la dirección de origen del perfil de CA como una dirección 2001:db8:0:f101::1IPv6, como. Puede
configurar la dirección URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../
IPv6.
1. Crear un perfil de CA.
[edit]
user@host# set security pki ca-profile orgA-ca-profile ca-identity v6_ca
2. Configure la dirección de origen del perfil de CA como una dirección IPv6.
[edit]
user@host# set security pki ca-profile v6_ca source-address 2001:db8:0:f101::1
3. Especifique los parámetros de inscripción para la CA.
[edit]
user@host# set security pki ca-profile v6_ca enrollment url http://[2002:db8:0:f101::1]:/.../
53
[edit]
user@host# commit
SEE ALSO
release-history

release-history
18.1R1 A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede
ser un servidor de CA IPv6.
18.1R1 A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del
mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de
entidad emisora.
Inscripción de certificados
in this section
Inscripción en línea de certificados digitales: Información general de configuración | 54
Descripción de la inscripción de certificados de CA en línea | 55
Descripción de las solicitudes de certificados locales | 55
Inscripción en línea de un certificado de CA con SCEP | 55
Ejemplo Inscripción en línea de un certificado local con SCEP | 56

54
Ejemplo Uso de SCEP para renovar automáticamente un certificado local | 59
Descripción de la inscripción de certificados CMPv2 y SCEP | 61
Descripción de la inscripción de certificados con CMPv2 | 62
Ejemplo Generar manualmente un CSR para el certificado local y enviarlo al servidor de la CA | 65
Ejemplo Cargar manualmente certificados de CA y locales | 67
Una entidad emisora de certificados emite certificados digitales que ayudan a establecer una conexión
segura entre dos extremos a través de la validación de certificados. En los siguientes temas se describe
cómo configurar certificados de CA en línea o locales mediante el protocolo de inscripción de
certificados simple (SCEP):
Inscripción en línea de certificados digitales: Información general de

configuración
Puede usar el protocolo de administración de certificados versión 2 (CMPv2) o el protocolo de

inscripción de certificados simple (SCEP) para inscribir certificados digitales. Para inscribir un certificado
en línea:
1. Generar un par de claves en el dispositivo. Consulte Certificados digitales auto firmados.
3. Solo para SCEP, inscriba el certificado de CA. Consulte inscripción en línea de un certificado de CA
con SCEP.
4. Inscriba el certificado local de la entidad emisora de certificados cuyo certificado de entidad emisora
haya cargado previamente. Consulte ejemplo: Inscripción en línea de un certificado local con SCEP.
5. Configure la reinscripción automática. Consulte ejemplo: Uso de SCEP para renovar

automáticamente uncertificado local.
55
Descripción de la inscripción de certificados de CA en línea
Con el protocolo de inscripción de certificados simple (SCEP), puede configurar el dispositivo Juniper
Networks para obtener un certificado de entidad de certificación (CA) en línea e iniciar la inscripción en
línea para el ID. de certificado especificado. La clave pública de entidad emisora comprueba certificados
de los interlocutores remotos.
Descripción de las solicitudes de certificados locales
Cuando crea una solicitud de certificado local, el dispositivo genera un certificado de CA en formato
PKCS #10 desde un par de claves generado anteriormente con el mismo ID. de certificado.
Un nombre de sujeto se asocia con la solicitud de certificado local en forma de nombre común (CN),
unidad organizativa (OU), organización (O), localidad (L), estado (ST), país (C) y componente de dominio
(DC). Además, un nombre alternativo de firmante está asociado con el siguiente formato:
• Dirección IP
• Dirección de correo electrónico
• Nombre de dominio completo (FQDN)
Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el
componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la
unidad organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).
Algunas entidades de certificación no admiten una dirección de correo electrónico como nombre de
dominio en un certificado. Si no incluye una dirección de correo electrónico en la solicitud de
certificado local, no puede usar una dirección de correo electrónico como identificador de ICR local al
configurar el dispositivo como un sistema de mismo nivel dinámico. En su lugar, puede usar un
nombre de dominio completo (si se encuentra en el certificado local) o puede dejar el campo
identificador local en blanco. Si no especifica un ID local para un par dinámico, escriba el nombre de
host.domain de ese par en el dispositivo al otro extremo del túnel IPsec en el campo ID par.
Inscripción en línea de un certificado de CA con SCEP
Antes de empezar:
1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
2. Crear un perfil de CA. Consulte ejemplo: Configuración de un perfilde CA.

56
Para inscribir un certificado de entidad emisora en línea:
1. Recupere el certificado de CA en línea con SCEP. (Los atributos necesarios para llegar al servidor de la
entidad emisora de certificados se obtienen del perfil de entidad emisora definido.)
user@host> request security pki ca-certificate enroll ca-profile ca-profile-ipsec
El comando se procesa de forma sincrónica para proporcionar la huella digital del certificado de la
entidad emisora recibido.
Fingerprint:
e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1)
82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5)
Do you want to load the above CA certificate ? [yes,no]
2. Confirme que se ha cargado el certificado correcto. El AC certificado solo se carga cuando se escribe
yes en el CLI único.
Para obtener más información sobre el certificado, como la longitud de bits del par de claves, utilice
el show security pki ca-certificatecomando.
Ejemplo Inscripción en línea de un certificado local con SCEP
in this section
Aplicables | 56
Automática | 58
Comproba | 59
En este ejemplo, se muestra cómo inscribir un certificado local en línea usando el protocolo de
inscripción de certificados simple (SCEP).
Aplicables
Antes de empezar:
57
• Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
• Configure un perfil de entidad emisora de certificados. Consulte ejemplo: Configuración de un

perfilde CA.
• En el caso de SCEP, inscriba el certificado de CA. Consulte inscripción en línea de un certificado de

CA con SCEP.
En este ejemplo, puede configurar su dispositivo Juniper Networks para obtener un certificado local en
línea e iniciar la inscripción en línea para el identificador de certificado especificado con SCEP. Debe
especificar la ruta de dirección URL del servidor de entidad emisora en ca-profile-ipsecel nombre del
perfil de la entidad emisora.
Utilice el comando request security pki local-certificate enroll scep para iniciar la inscripción en línea
para el ID de certificado especificado. (A partir de Junos OS versión 15.1X49-D40 y Junos OS versión
17.3R1, se admite scep y se requiere la palabra clave.) Debe especificar el nombre AC de perfil (por
ejemplo), el ID de certificado correspondiente a un par de claves generado anteriormente (por ejemplo, )
y la ca-profile-ipsecqqq siguiente información:
• Contraseña de desafío proporcionada por el administrador de CA para la inscripción de certificados y

la reinscripción.
• Al menos uno de los siguientes valores:
• El nombre de dominio para identificar al propietario del certificado en ICR negociaciones, por
ejemplo, qqq.example.net .
• La identidad del propietario del certificado para ICR negociación con la instrucción de correo
electrónico, por ejemplo, qqq@example.net .
• La dirección IP si el dispositivo está configurado para una dirección IP estática, por ejemplo,
10.10.10.10 .
Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el
componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad
organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).
Una vez que se obtenga el certificado de dispositivo y se inicie la inscripción en línea para el
identificador de certificado. El comando se procesa de forma asincrónica.
58
Automática
in this section
Modalidades | 58
Modalidades
Para inscribir un certificado local en línea:
1. Especifique el perfil de CA.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
[edit]
user@host# commit
3. Ejecute el comando modo de operación para iniciar el proceso de inscripción.
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id
qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net
ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale,
ST=california, C=us
Si define SN en el campo Subject (asunto) sin el número de serie, el número de serie se leerá
directamente del dispositivo y se agregará a la solicitud de firma de certificado (CSR).
A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for cert_id
<certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local mediante una
clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo de inscripción de
certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.
59
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.
Ejemplo Uso de SCEP para renovar automáticamente un certificado local
in this section
Aplicables | 59
Automática | 60
Comproba | 61
Puede usar el protocolo de administración de certificados versión 2 (CMPv2) o el protocolo de

inscripción de certificados simple (SCEP) para inscribir certificados digitales. En este ejemplo se muestra
cómo renovar automáticamente los certificados locales usando SCEP.
Aplicables
Antes de empezar:
• Obtenga un certificado, ya sea en línea o manualmente. Consulte Certificados digitales.
• Obtener un certificado local. Consulte ejemplo: Inscripción en línea de un certificado local con SCEP.
Puede habilitar el dispositivo para que renueve automáticamente los certificados adquiridos por la
inscripción en línea o que se carguen manualmente. La renovación automática de certificados evita tener
que recordar la renovación de certificados en el dispositivo antes de que caduquen, lo que ayuda a
mantener certificados válidos en todo momento.
La renovación automática de certificados está deshabilitada de forma predeterminada. Puede habilitar la

renovación automática de certificados y configurar el dispositivo para que envíe automáticamente una
solicitud para reinscribir un certificado antes de que caduque. Puede especificar cuándo se va a enviar la
solicitud de inscripción de certificado; el desencadenante de la inscripción es el porcentaje de vida útil
del certificado que permanece antes de la expiración. Por ejemplo, si la solicitud de renovación se va a
enviar cuando el período de duración restante del certificado es del 10 por ciento, configure 10 para el
desencadenador de reinscripción.
60
Para que esta característica funcione, el dispositivo debe ser capaz de alcanzar el servidor de la entidad
emisora y el certificado debe estar presente en el dispositivo durante el proceso de renovación. Además,
también debe asegurarse de que la entidad emisora de certificados que emite el certificado puede
devolver el mismo DN. La CA no debe modificar el nombre de asunto o la extensión de nombre de
sujeto alternativo en el nuevo certificado.
Puede habilitar y deshabilitar la renovación automática de certificados SCEP para todos los certificados
SCEP o para cada certificado. Utilice el comando set security pki auto-re-enrollment scep para activar y
configurar la reinscripción de certificados. En este ejemplo, se especifica el ID de certificado del
certificado de AC como y se establece el nombre de perfil AC asociado con ca-ipsec el certificado en ca-
profile-ipsec . Puede establecer la contraseña de desafío para el certificado de la entidad emisora en la
contraseña de desafío proporcionada por el administrador de la entidad emisora; Esta contraseña debe
ser la misma configurada anteriormente para la entidad emisora de certificados. También debe
establecer el porcentaje para el desencadenador de reinscripción 10en. Durante la reinscripción
automática, el Juniper Networks dispositivo utiliza de forma predeterminada el par de claves existente.
Una buena práctica de seguridad consiste en volver a generar un nuevo par de claves para la
reinscripción. Para generar un nuevo par de claves, utilice re-generate-keypair el comando.
Automática
in this section
Modalidades | 60
Modalidades
Para habilitar y configurar la reinscripción de certificados local:
1. Para habilitar y configurar la reinscripción de certificados.
[edit]
user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-
ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-
keypair
A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1, la
palabra clave es compatible y es obligatoria.
61
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki local-
certificate detail comando modo de funcionamiento.
Descripción de la inscripción de certificados CMPv2 y SCEP
En función del entorno de implementación, puede usar la versión 2 del Protocolo de administración de
certificados (CMPv2) o el protocolo de inscripción de certificados simple (SCEP) para la inscripción de
certificados en línea. En este tema se describen algunas de las diferencias básicas entre los dos
protocolos.
Tabla 2 en la página 61describe las diferencias entre los protocolos de inscripción de certificados
CMPv2 y SCEP.
Tabla 2: Comparación de la inscripción de un CMPv2 y de un certificado de SCEP
Atribui CMPv2 SCEP
Tipos de certificado compatibles: DSA, ECDSA y RSA Solo RSA
Estándares compatibles RFC 4210 y 4211 Grupo de trabajo de ingeniería de Internet

borrador
Las solicitudes y respuestas de inscripción de certificado y reinscripción se diferencian entre CMPv2 y

SCEP. Con CMPv2, no hay un comando independiente para inscribir certificados de CA. Con SCEP, los
certificados de CA se inscriben con el request security pki ca-certificate enroll comando y se especifica
el perfil de CA. Un perfil de CA debe configurarse con CMPv2 o SCEP.
62
Descripción de la inscripción de certificados con CMPv2
in this section
Mensajes de inscripción y reinscripción de certificados | 62
Certificado de entidad final con certificado de CA emisora | 63
Certificado de entidad final con cadena de certificado de CA | 63
El request security pki local-certificate enroll cmpv2 comando usa CMPv2 para inscribir un certificado
digital local en línea. Este comando carga los certificados de la entidad final y la entidad de certificación
según la configuración del servidor de la entidad emisora. El perfil de CA debe crearse antes de la
inscripción de certificados de CA porque la dirección URL de inscripción se extrae del perfil de CA.
En este tema se describe la inscripción de certificados con el protocolo CMPv2.
Mensajes de inscripción y reinscripción de certificados
El protocolo CMPv2 incluye principalmente operaciones de inscripción de certificados y de

reinscripción. El proceso de inscripción de certificados incluye mensajes de inicialización y de respuesta
de inicialización, mientras que la reinscripción de certificados incluye mensajes de solicitud de
actualización de claves y de respuesta de actualización de claves.
Si es necesario autenticar el mensaje de respuesta de inicialización mediante un certificado de CA, se

debe inscribir el certificado de CA antes que cualquier inscripción de certificado de entidad final.
El mensaje de respuesta de inicialización o de actualización de clave puede contener un certificado de

CA emisora o una cadena de certificados de CA. Los certificados de CA recibidos en las respuestas se
tratan como certificados de CA de confianza y se almacenan en el dispositivo receptor si aún no están
presentes en el almacén de CA de confianza. Estos certificados de CA se utilizan posteriormente para la
validación de certificados de entidad final.
No se admite la reinscripción de certificados de CA.
Una CA puede emitir un nuevo certificado de CA antes de que expire el certificado de CA actual. Si se
recibe un nuevo certificado de CA durante la reinscripción de certificados con una nueva clave pública,
el nuevo certificado de CA no se guarda en el dispositivo.
63
Certificado de entidad final con certificado de CA emisora
En un escenario sencillo, el mensaje de respuesta de inicialización podría contener solo un certificado de

entidad final, en cuyo caso la información de la entidad emisora se proporciona de forma independiente.
El certificado se almacena en el almacén de certificados de entidad final.
El mensaje de respuesta de inicialización puede contener un certificado de entidad final, así como un
certificado de CA emisora autofirmado. El certificado de la entidad final se almacena en primer lugar en
el almacén de certificados y, a continuación, se comprueba el certificado de la entidad emisora. Si se
encuentra el certificado de CA y el nombre distintivo del firmante (DN) del certificado de CA en el
mensaje de respuesta de inicialización coincide con el DN de emisor del certificado de entidad final, el
certificado de CA se almacena en el almacén de certificados de entidad emisora para el nombre del perfil
de CA especificado en el comando de inscripción de certificados CMPv2 Si el certificado de CA ya existe
en el almacén de certificados de la entidad emisora, no se llevará a cabo ninguna acción.
Certificado de entidad final con cadena de certificado de CA
En muchas implementaciones, un certificado de entidad final lo emite una entidad de certificación

intermedia en una cadena de certificados. En este caso, el mensaje de respuesta de inicialización puede
contener el certificado de la entidad final junto con una lista de certificados de entidad emisora en la
cadena. Los certificados de entidad EMISORa intermedias y los certificados de entidad emisora raíz
autofirmados son todos necesarios para validar el certificado de la entidad final. También podría ser
necesaria la cadena de CA para validar certificados recibidos desde dispositivos del mismo nivel con
jerarquías similares. En la siguiente sección se describe cómo se almacenan los certificados de la cadena
de CA.
64
En Figura 4 en la página 64, el mensaje de respuesta de inicialización incluye el certificado de entidad

final y tres certificados de CA en una cadena de certificados.
Figura 4: Certificado de entidad final con cadena de certificado de CA
El certificado de la entidad final se almacena en el almacén de certificados de la entidad final. Cada

certificado de CA necesita un perfil de CA. El certificado de CA con el asunto DN Sub11-CA es la
primera entidad de certificación de la cadena y es el emisor del certificado de entidad final. Se almacena
en el perfil de CA que se especifica con el comando de inscripción de certificado CMPv2.
Se comprueba su presencia en el almacén de CA de cada uno de los restantes certificados de la entidad

emisora de la cadena. Si no hay un certificado de CA en el almacén de CA, se guardará y se creará un
perfil de CA para él. El nuevo nombre del perfil de CA se crea con los 16 dígitos menos significativos del
número de serie de certificado de la entidad emisora. Si el número de serie tiene más de 16 dígitos, se
truncarán los dígitos más significativos más allá de 16 dígitos. Si el número de serie es inferior a 16
dígitos, los dígitos más significativos se rellenarán 0con s. Por ejemplo, si el número de serie es
11111000100010001000, entonces el nombre del perfil 1000100010001000de la entidad emisora de
certificados es. Si el número de serie es 10001000, entonces el nombre del perfil
0000000010001000de la CA es.
Es posible que varios números de serie de certificados tengan los mismos 16 dígitos menos
significativos. En ese caso, -00 se anexa al nombre del perfil para crear un nombre de Perfil de entidad
emisora de certificados único; los nombres adicionales del perfil de entidad emisora se crean
incrementando el número -01 anexado -99, de hasta. Por ejemplo, los nombres de los perfiles
1000100010001000de 1000100010001000-00entidades emisoras pueden ser,, y
1000100010001000-01.
65
SEE ALSO

Ejemplo Generar manualmente un CSR para el certificado local y enviarlo

al servidor de la CA
in this section
Aplicables | 65
Automática | 66
Comproba | 66
En este ejemplo se muestra cómo generar manualmente una solicitud de firma de certificado.
Aplicables
Generar una clave pública y privada. Consulte Certificados digitales auto firmados.
En este ejemplo, se genera una solicitud de certificado mediante el identificador de certificado de un par
de claves privada y pública generado anteriormente (CA-IPSec). A continuación, especifique el nombre
del dominio (example.net) y el nombre común asociado (ABC). La solicitud de certificado se muestra en
formato PEM.
Copiará la solicitud de certificado generada y la pegará en el campo apropiado del sitio web de la
entidad emisora para obtener un certificado local. (Consulte la documentación del servidor de entidad
emisora para determinar dónde se debe pegar la solicitud de certificado.) Cuando se muestra el
contenido de PKCS #10, también se muestra el hash MD5 y el hash SHA-1 del archivo de #10 PKCS.
66
Automática
in this section
Modalidades | 66
Modalidades
Para generar manualmente un certificado local:
• Especifique el ID de certificado, nombre de dominio y nombre común.
user@host> request security pki generate-certificate-request certificate-id ca-ipsec domain-name

example.net subject CN=abc
Comproba
Para ver la solicitud de firma de certificado, show security pki certificate-request detail escriba el
comando.
Certificate identifier: ca-ipsec

Certificate version: 1
Issued to: CN = abc
Public key algorithm: rsaEncryption(1024 bits)
30:81:89:02:81:81:00:da:ea:cd:3a:49:1f:b7:33:3c:c5:50:fb:57
de:17:34:1c:51:9b:7b:1c:e9:1c:74:86:69:a4:36:77:13:a7:10:0e
52:f4:2b:52:39:07:15:3f:39:f5:49:d6:86:70:4b:a6:2d:73:b6:68
39:d3:6b:f3:11:67:ee:b4:40:5b:f4:de:a9:a4:0e:11:14:3f:96:84
03:3c:73:c7:75:f5:c4:c2:3f:5b:94:e6:24:aa:e8:2c:54:e6:b5:42
c7:72:1b:25:ca:f3:b9:fa:7f:41:82:6e:76:8b:e6:d7:d2:93:9b:38
fe:fd:71:01:2c:9b:5e:98:3f:0c:ed:a9:2b:a7:fb:02:03:01:00:01
Fingerprint:
0f:e6:2e:fc:6d:52:5d:47:6e:10:1c:ad:a0:8a:4c:b7:cc:97:c6:01 (sha1)
f8:e6:88:53:52:c2:09:43:b7:43:9c:7a:a2:70:98:56 (md5)
67
Ejemplo Cargar manualmente certificados de CA y locales
in this section
Aplicables | 67
Automática | 68
Comproba | 68
En este ejemplo se muestra cómo cargar manualmente la entidad emisora y los certificados locales.
Aplicables
Antes de empezar:
• Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
• Crear un perfil de CA. Consulte Descripciónde los perfiles de la entidad de certificación.
El perfil de CA solo es necesario para el certificado de CA y no para el certificado local
• Generar una solicitud de certificado. Consulte ejemplo: Generar manualmente un CSR para el
certificado local y enviarlo al servidorde la CA.
En este ejemplo, descargará los certificados locales. cert y CA. cert y los guardará en el
directorio/var/tmp/del dispositivo.
Después de descargar certificados de una entidad de certificación, debe transferirlos al dispositivo (por
ejemplo, mediante FTP) y, a continuación, cargarlos.
Puede cargar los siguientes archivos de certificado en un dispositivo que ejecute Junos OS:
• Certificado local o de entidad final (EE) que identifica el dispositivo local. Este certificado es su clave
pública.
• Certificado de la entidad emisora que contiene la clave pública de la entidad emisora.
• Lista CRL que enumera todos los certificados revocados por la entidad emisora.
Puede cargar varios certificados EE en el dispositivo.

68
Automática
in this section
Modalidades | 68
Modalidades
Para cargar los archivos de certificado en un dispositivo:
1. Cargue el certificado local.
[edit]
user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/
local.cert
2. Cargue el certificado de la entidad emisora.
[edit]
user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
3. Examine la huella digital del certificado de la entidad emisora, si es correcta para este certificado de
entidad emisora Seleccione Sí para aceptar.
Comproba
Para comprobar que los certificados se han cargado correctamente show security pki local-certificate ,
show security pki ca-certificate escriba los comandos y en modo operativo.
Fingerprint:
e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1)
19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5)
Do you want to load this CA certificate ? [yes,no] (no) yes
69
SEE ALSO
Ejemplo Uso de SCEP para renovar automáticamente un certificado local

Ejemplo Configuración de un perfil de autoridad de certificados con ubicaciones de CRL
Eliminar certificados (procedimiento de la CLI)
Puede eliminar un certificado de CA local o de confianza que se genere automática o manualmente.
Utilice el siguiente comando para eliminar un certificado local:
user@host> clear security pki local certificate certificate-id (certificate-id| all | system-generated )
Especifique un identificador de certificado para eliminar un certificado local con un identificador

específico, all use para eliminar todos los certificados locales o system-generated especifique si desea
eliminar el certificado autofirmado generado automáticamente.
Cuando elimina un certificado autofirmado generado automáticamente, el dispositivo genera uno nuevo.
Para eliminar un certificado de entidad emisora:
user@host> clear security pki ca-certificate ca-profile (ca-profile-name | all)
Especificar un perfil de CA para eliminar un certificado de CA específico o all utilizar para eliminar todos
los certificados de CA presentes en el almacén persistente.
Se le pedirá confirmación antes de poder eliminar un certificado de entidad emisora.
release-history

in release-
history
19.4R2 A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for
cert_id <certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local
mediante una clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo
de inscripción de certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.
70
15.1X49-D40 A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1,
la palabra clave es compatible y es obligatoria.
15.1X49-D40 A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1,
la palabra clave es compatible y es obligatoria.
Revocación de certificados
in this section
Descripción del Protocolo de estado de certificados en línea y listas de revocación de certificados | 70
Ejemplo Carga manual de una CRL en el dispositivo | 73
Descripción de la descarga y comprobación de CRL dinámicas | 75
Ejemplo Comprobar la validez de los certificados | 80
Eliminación de una CRL cargada (procedimiento de CLI) | 81
Sin embargo, los certificados digitales no tienen fecha de caducidad anterior, por lo que es posible que
un certificado ya no sea válido por varias razones. Puede administrar las revocacións de certificados y
validaciones localmente y haciendo referencia a la lista de revocación de certificados (CRL) de una
entidad de certificación (CA).
Descripción del Protocolo de estado de certificados en línea y listas de

revocación de certificados
in this section
Comparación del Protocolo de estado de certificados en línea y la lista de revocación de

certificados | 73
71
OCSP se utiliza para comprobar el estado de revocación de los certificados X509. OCSP proporciona un
estado de revocación en los certificados en tiempo real y es útil para situaciones en las que el tiempo es
muy importante, como las transacciones bancarias y los intercambios de existencias.
El estado de revocación de un certificado se comprueba mediante el envío de una solicitud a un servidor

OCSP que reside fuera de un dispositivo serie SRX. En función de la respuesta del servidor, la conexión
VPN está permitida o denegada. Las respuestas de OCSP no se almacenan en memoria caché en
dispositivos serie SRX.
El servidor OCSP puede ser la entidad emisora de certificados (CA) que emite un certificado o un
respondedor autorizado designado. La ubicación del servidor OCSP puede configurarse manualmente o
extraerse del certificado que se está comprobando. Las solicitudes se envían primero a las ubicaciones
del servidor OCSP que se configuran manualmente ocsp url en perfiles de CAedit security pki ca-profile
profile-name revocation-checkcon la instrucción en el nivel de jerarquía []; se pueden configurar hasta
dos ubicaciones para cada perfil de entidad emisora. Si no se puede obtener acceso al primer servidor de
OCSP configurado, la solicitud se envía al segundo servidor OCSP. Si no se puede tener acceso al
segundo servidor de OCSP, la solicitud se envía entonces a la ubicación en el campo de extensión
AuthorityInfoAccess del certificado. También use-ocsp debe configurarse la opción, ya que la lista de
revocación de certificados (CRL) es el método de comprobación predeterminado.
Los dispositivos serie SRX aceptan únicamente respuestas OCSP firmadas de la entidad emisora o el
respondedor autorizado. La respuesta recibida se valida mediante certificados de confianza. La respuesta
se valida de la siguiente manera:
1. Para validar la respuesta, se utiliza el certificado de CA inscrito en el perfil de CA configurado.
2. La respuesta de OCSP podría contener un certificado para validar la respuesta de OCSP. El

certificado recibido debe estar firmado por un certificado de CA inscrito en el dispositivo serie SRX.
Una vez que el certificado de la CA valida el certificado recibido, se utiliza para validar la respuesta de
OCSP.
La respuesta del servidor OCSP puede ser firmada por entidades emisoras de certificación diferentes. Se
admiten los siguientes escenarios:
• El servidor de CA que emite el certificado de entidad final de un dispositivo también firma la

respuesta de estado de revocación de OCSP. El dispositivo serie SRX comprueba la firma de la
respuesta de OCSP mediante el certificado de CA inscrito en el dispositivo serie SRX. Después de
validar la respuesta de OCSP, se comprueba el estado de revocación del certificado.
• Un respondedor autorizado firma la respuesta del estado de revocación de OCSP. El certificado del
respondedor autorizado y el certificado de entidad final que se está verificando deben ser emitidos
por la misma CA. El respondedor autorizado se verifica primero con el certificado de CA inscrito en el
dispositivo serie SRX. La respuesta OCSP se valida mediante el certificado de AC respondedor. A
continuación, el dispositivo serie SRX usa la respuesta de OCSP para comprobar el estado de
revocación del certificado de entidad final.
72
• Hay distintos firmantes de CA para el certificado de entidad final que se están comprobando y la
respuesta de OCSP. La respuesta de OCSP está firmada por una CA en la cadena de certificados para
el certificado de entidad final que se está comprobando. (Todos los pares que participen en una
negociación de ICR deben tener al menos AC confianza comunes en sus respectivas cadenas de
certificados).) El informe del respondedor OCSP AC verifica mediante una AC en la cadena de
certificados. Después de validar el respondedor AC certificado, la respuesta OCSP se valida mediante
el certificado de AC respondedor.
Para evitar ataques de reproducción, se puede enviar una carga nonce en una solicitud de OCSP. Las
cargas nonce se envían de forma predeterminada a menos que esté deshabilitada de forma explícita. Si
se habilita, el dispositivo de serie SRX espera que la respuesta de OCSP contenga una carga de nonce,
de lo contrario no se podrá comprobar la revocación. Si los contestadores de OCSP no pueden
responder con una carga Nonce, la carga de nonce debe estar deshabilitada en el dispositivo de serie
SRX.
En el curso normal del negocio, los certificados se revocan por varias razones. Es posible que desee
revocar un certificado si sospecha que se ha puesto en peligro, por ejemplo, o cuando un titular de un
certificado sale de la compañía.
Puede administrar las revocación y validaciones de certificados de dos maneras:
• Localmente: esta es una solución limitada.
• Si hace referencia a una lista de revocación de certificados (CRL) de la autoridad de certificación (AC):
puede acceder automáticamente a la CRL en línea en los intervalos que especifique o en el intervalo
predeterminado establecido por el AC.
En las negociaciones de fase 1, los participantes comprueban la lista de CRL para ver si los certificados
recibidos durante un ICR de intercambio siguen siendo válidos. Si una CRL no acompaña a un certificado
de CA y no se carga en el dispositivo, el dispositivo intenta descargarlo automáticamente desde el punto
de distribución CRL del certificado local. Si el dispositivo no puede conectarse a la dirección URL del
punto de distribución de certificados (CDP), intentará recuperar la CRL de la dirección URL configurada
en el perfil de la entidad de certificación.
Si el certificado no contiene una extensión de punto de distribución de certificados y no puede

recuperar automáticamente la CRL a través del Protocolo ligero de acceso a directorios (LDAP) o el
protocolo de transferencia de hipertexto (HTTP), puede recuperar manualmente una lista CRL y cargar
que en el dispositivo.
Los certificados locales se están validando con la lista de revocación de certificados (CRL) incluso aunque
la comprobación de CRL esté deshabilitada. Esto puede detenerse deshabilitando la comprobación de
CRL mediante la configuración de la infraestructura de clave pública (PKI). Cuando la comprobación de
CRL está deshabilitada, la PKI no validará el certificado local contra la CRL.
73
Comparación del Protocolo de estado de certificados en línea y la lista de revocación

de certificados
El protocolo de estado de certificados en línea (OCSP) y la lista de revocación de certificados (CRL) se

pueden usar para comprobar el estado de revocación de un certificado. Cada método tiene ventajas e
inconvenientes.
• OCSP proporciona el estado de certificado en tiempo real, mientras que la CRL usa los datos
almacenados en caché. En el caso de aplicaciones sensibles al tiempo, OCSP es el enfoque preferido.
• La comprobación de CRL es más rápida porque se realiza una búsqueda del estado de los certificados
sobre la información almacenada en la caché del dispositivo VPN. OCSP requiere tiempo para
obtener el estado de revocación de un servidor externo.
• CRL requiere memoria adicional para almacenar la lista de revocaciones recibida de un servidor de
CRL. OCSP no requiere memoria adicional para guardar el estado de revocación de los certificados.
• OCSP requiere que el servidor OCSP esté disponible en todo momento. CRL puede usar los datos
almacenados en caché para comprobar el estado de revocación de certificados cuando no se puede
tener acceso al servidor.
En la serie MX y los dispositivos serie SRX, CRL es el método predeterminado que se utiliza para
comprobar el estado de revocación de un certificado.
SEE ALSO
Ejemplo Carga manual de una CRL en el dispositivo
in this section
Aplicables | 74
Automática | 74
Comproba | 75
74
En este ejemplo, se muestra cómo cargar una lista CRL manualmente en el dispositivo.
Aplicables
Antes de empezar:
1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
2. Generar una solicitud de certificado. Consulte ejemplo: Generar manualmente un CSR para el
certificado local y enviarlo al servidorde la CA.
3. Configure un perfil de autoridad de certificados (CA). Consulte ejemplo: Configuración de un perfilde

CA.
4. Cargue su certificado en el dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.
Puede cargar una lista CRL manualmente o puede hacer que el dispositivo la cargue automáticamente
cuando Compruebe la validez de los certificados. Para cargar una lista CRL manualmente, puede
obtenerla de una entidad emisora de certificados y transferirla al dispositivo (por ejemplo, mediante
FTP).
En este ejemplo, carga un certificado de CRL llamado revoke.crl desde el directorio/var/tmp del
dispositivo. Se llama ca-profile-ipsecal perfil de la entidad de certificación. (El tamaño máximo de archivo
es de 5 MB.)
Si ya se ha cargado una CRL en el perfil de la entidad clear security pki crl ca-profile ca-profile-ipsec
emisora de certificados, debe ejecutar primero el comando para borrar la antigua lista de revocaciones
de certificados.
Automática
in this section
Modalidades | 74
Modalidades
Para cargar un certificado de CRL manualmente:

75
1. Cargue un certificado de CRL.
[edit]
user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OS admite la carga de certificados de entidades emisoras en los formatos X509, PKCS #7, DER
o PEM.
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki crl
comando modo de funcionamiento.
Descripción de la descarga y comprobación de CRL dinámicas
Los certificados digitales se emiten durante un período de tiempo definido y no son válidos después de
la fecha de caducidad especificada. Una entidad emisora de certificados puede revocar un certificado
emitido incluyéndolo en una lista de revocación de certificados (CRL). Durante la validación del
certificado del mismo nivel, el estado de revocación de un certificado del mismo nivel se comprueba
mediante la descarga de la CRL de un servidor de CA al dispositivo local.
Un dispositivo VPN debe poder comprobar el estado de revocación de un certificado de un par. Un

dispositivo puede usar el AC certificado
recibida de su par para extraer la URL para descargar dinámicamente la CRL de AC y comprobar el
estado de revocación del certificado del par. Un perfil de entidad emisora de certificados dinámico se
crea automáticamente en el dynamic-nnndispositivo local con el formato. Un perfil AC dinámico permite
que el dispositivo local descargue la CRL del AC par y compruebe el estado de revocación del certificado
del par. En , host-A puede usar los certificados Sales-AC y EE recibidos del host B para descargar
76
dinámicamente la CRL para Sales-AC y comprobar el estado de revocación del certificado de Figura 5 en
la página 76 Host-B.
Figura 5: Jerarquía multinivel para la autenticación basada en certificados
Para habilitar perfiles de CA dinámicos revocation-check crl , la opción debe estar configurada en un
perfil deedit security pki ca-profile profile-nameCA principal en el nivel de jerarquía [].
Las propiedades de comprobación de revocación de un perfil de CA principal se heredan para perfiles de

CA dinámicas. En Figura 5 en la página 76, la configuración del perfil de la entidad emisora de
certificados en host-a para CA raíz habilita perfiles de CA dinámicas, como se muestra en el siguiente
resultado:
admin@host-A# show security

pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
revocation-check {
crl;
77
}
}
}
Un perfil de entidad emisora dinámica se crea en host-A para sales-CA. La comprobación de revocación
se hereda para el perfil de CA dinámica ventas-CA de raíz-CA.
Si la revocation-check disable instrucción se configura en un perfil de CA principal, no se crearán

perfiles de CA dinámicas y no se realizará la descarga ni la comprobación de CRL dinámicas.
Los datos de las listas CRL descargadas de perfiles de entidades show security pki crl emisoras
dinámicas se muestran con el comando del mismo modo que las CRL descargadas por los perfiles de CA
configurados. La lista CRL de un perfil de entidad emisora dinámica se actualiza periódicamente, al igual
que las de los perfiles de CA que se configuran en el dispositivo.
El certificado de la entidad emisora es necesario para validar la lista CRL recibida de un servidor de
entidad emisora; por lo tanto, el certificado de la entidad emisora recibido de un interlocutor se
almacena en el dispositivo local. Dado que el certificado de CA no lo inscribe un administrador, solo se
utiliza para validar la CRL recibida desde el servidor de CA y no para validar el certificado del mismo
nivel.
SEE ALSO

Ejemplo Configuración de un perfil de autoridad de certificados con

ubicaciones de CRL
in this section
Aplicables | 78
Automática | 79
78
Comproba | 79
En este ejemplo se muestra cómo configurar un perfil de autoridad de certificados con ubicaciones de
CRL.
Aplicables
Antes de empezar:
1. Generar un par de claves en el dispositivo. Consulte Certificados digitales.
3. Obtenga un certificado personal de la entidad emisora de certificados. Consulte ejemplo: Generar

manualmente un CSR para el certificado local y enviarlo al servidorde la CA.
4. Cargue el certificado en el dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.
5. Configure la reinscripción automática. Consulte ejemplo: Configuración de la autenticaciónde usuario

de SecurID.
6. Si es necesario, cargue la CRL del certificado en el dispositivo. Consulte ejemplo: Cargar

manualmente una CRL en el dispositivo.
En las negociaciones de la fase 1, comprueba la lista CRL para ver si el certificado que ha recibido
durante el intercambio de ICR sigue siendo válido. Si una lista CRL no acompaña a un certificado de
entidad emisora y no está cargada en el dispositivo, Junos OS intenta recuperar la CRL a través de la
ubicación de CRL LDAP o HTTP definida en el propio certificado de entidad emisora. Si no se define
ninguna dirección URL en el certificado de la entidad emisora, el dispositivo utilizará la dirección URL del
servidor definido para dicho certificado de entidad emisora. Si no define una dirección URL de CRL para
un certificado de CA determinado, el dispositivo obtiene la CRL de la dirección URL en la configuración
del perfil de la CA.
La extensión de punto de distribución CRL (. CDP) de un certificado X509 puede agregarse tanto a una
dirección URL HTTP como a una dirección URL LDAP.
En este ejemplo, se dirige el dispositivo para comprobar la validez del perfil de CA llamado my_profile y,
si una CRL no acompaña a un certificado de CA y no se carga en el dispositivo, para recuperar la CRL de
la http://abc/abc-crl.crldirección URL.
79
Automática
in this section
Modalidades | 79
Modalidades
Para configurar el certificado mediante CRL:
1. Especifique el perfil y dirección URL de la entidad emisora.
[edit]
user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki comando
modo de funcionamiento.
SEE ALSO

80
in this section
Aplicables | 80
Automática | 80
Comproba | 81
En este ejemplo se muestra cómo comprobar la validez de un certificado.
Aplicables
En este ejemplo, los certificados se comprueban manualmente para averiguar si se ha revocado un
certificado o si el certificado de la CA utilizado para crear un certificado local ya no está presente en el
dispositivo.
Cuando comprueba certificados manualmente, el dispositivo utiliza el certificado de entidad emisora (ca-
cert) para comprobar el certificado local.certlocal (). Si el certificado local es válido, y si revocation-check
está habilitado en el perfil de CA, el dispositivo comprueba que la CRL está cargada y es válida. Si la CRL
no está cargada ni es válida, el dispositivo descarga la nueva CRL.
Para AC emitidos por AC certificado, se debe configurar un DNS en la configuración del dispositivo. El
DNS debe ser capaz de resolver el host en la CRL de distribución y en la dirección URL de la lista de
certificados/revocación de CA en la configuración del perfil de la entidad emisora de certificados.
Además, debe tener acceso a la red al mismo host para que se reciban los cheques.
Automática
in this section
Modalidades | 81
81
Modalidades
Para comprobar manualmente la validez de un certificado:
1. Comprobar la validez de un certificado local.
[edit]
user@host> request security pki local-certificate verify certificate-id local.cert
2. Comprobar la validez de un certificado de entidad emisora.
[edit]
user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
La clave privada asociada y la firma también se comprueban.
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki ca-profile
comando.
Si se devuelve un error en lugar de una comprobación positiva, el fallo se registra en pkid.
SEE ALSO
Eliminación de una CRL cargada (procedimiento de CLI)
Puede optar por eliminar una CRL cargada si ya no necesita utilizarla para administrar las revocacións de
certificados y la validación.
Utilice el siguiente comando para eliminar una lista de revocación de certificados cargada:
user@host> clear security pki crl ca-profile (ca-profile all)

82
Especifique un perfil de CA para eliminar una CRL asociada con la entidad emisora de certificados
identificada all por el perfil o para eliminar todas las CRL.
SEE ALSO
in this section
Descripción de la validación de certificados digitales | 82
Ejemplo Validación de un certificado digital mediante la configuración de OID de directiva en un dispositivo

serie SRX | 89
Descripción de la validación de certificados digitales
in this section
Validación de políticas | 83
Validación de longitud de ruta | 85
Uso de la clave | 86
Validación de emisor y nombre distintivo de asunto | 87

83
Durante la negociación ICR, el demonio de PKI de un dispositivo serie SRX valida los certificados X509
recibidos de los interlocutores VPN. La validación de certificado realizada se especifica en RFC 5280,
certificado de infraestructura de clave pública X.509de Internet y perfil de lista de revocación de
certificados (CRL). Las validaciones de certificados básicos y de cadenas de certificados son la validación
de la firma y la fecha, así como las comprobaciones de revocación. Este tema describe las validaciones
adicionales de certificados digitales realizadas por el demonio de PKI.
Validación de políticas
Los certificados X509 pueden incluir campos opcionales de validación de políticas. Si existe un campo de
validación de Directiva, la validación de la Directiva se realiza para toda la cadena de certificados,
incluidos los certificados de la entidad final (EE) y los de la entidad de certificación intermedia (CA). La
validación de políticas no es aplicable al certificado raíz. La validación de políticas garantiza que los
certificados de la CA de EE e intermedias tengan una directiva común. Si no existe ninguna directiva
común para la cadena de certificados que se valida, se produce un error en la validación de certificados.
Antes de validar la Directiva, debe generarse una cadena de certificados que contenga el certificado raíz
autofirmado, los certificados de entidad emisora intermedia y el certificado EE. La validación de políticas
se inicia con el certificado de la entidad emisora intermedia emitido por el certificado raíz firmado
automáticamente y continúa a través del certificado EE.
Para la validación de directivas se utilizan los siguientes campos opcionales de certificado:
• policy-oids
• requireExplicitPolicy
• skipCerts
Estos campos se describen en las secciones siguientes.
OID de directiva configurados en dispositivos serie SRX
En algunas situaciones, puede ser conveniente aceptar únicamente los certificados con identificadores
de objetos de directiva conocidos (OID) de los elementos del mismo nivel. Esta configuración opcional
solo permite que la validación de certificados se realice correctamente si la cadena de certificados
recibida del interlocutor contiene al menos un OID de la Directiva que está configurado en el dispositivo
de serie SRX.
En el dispositivo de serie SRX, los OID de Directiva se configuran en policy-oids una directiva ICR con
laedit security ike policy policy-name certificateinstrucción de configuración en el nivel de jerarquía [].
Puede configurar hasta cinco OID de directiva. Para que el certificado de un par se valide correctamente,
la cadena de certificados del par debe contener al menos una de las ID de política configuradas en el
dispositivo de la serie SRX. Tenga en cuenta policy-oids que el campo de un certificado es opcional. Si
84
configura las ID de políticas en el dispositivo de la serie SRX, pero la cadena de certificados del par no
contiene ninguna IA de política, se produce un error en la validación del certificado.
OID de Directiva no configurado en dispositivos serie SRX
Si no se configura ningún OID de directiva en el dispositivo serie SRX, la validación de

requireExplicitPolicy la Directiva se iniciará siempre que el campo se encuentre en la cadena de
certificados. Un certificado puede contener uno o varios OID de directiva de certificados. Para que se
realice correctamente la validación de directivas, debe haber un OID de la Directiva común en la cadena
de certificados.
Figura 6 en la página 84muestra una cadena de certificados formada por certificados para una entidad
emisora raíz, tres CA intermedias y EE. El certificado de la entidad emisora de int-CA
requireExplicitPolicy -2 contiene el campo; por lo tanto, la validación de políticas comienza con int-CA-2
y se realiza a través de EE-1. El certificado para int-CA-2 contiene los OID de directiva P1, P2 y P3. El
certificado para int-CA-3 contiene los OID de directiva P2, P3 y P4. El certificado para EE-1 contiene el
OID de directiva P2 y P5. Dado que el OID de la Directiva P2 es común a los certificados que se validan,
la validación de la Directiva se realiza correctamente.
Figura 6: Validación de políticas con el campo requireExplicitPolicy
El campo skipCerts opcional de un certificado de entidad emisora intermedia indica el número de

certificados, incluido el certificado de entidad emisora actual, que se van a excluir de la validación de
directivas. Si skipCerts es 0, la validación de la Directiva comienza a partir del certificado actual. Si
skipCerts es 1, el certificado actual se excluye de la validación de directivas. El valor del skipCerts campo
se comprueba en todos los certificados de entidades emisoras intermedias. Si se skipCerts encuentra un
valor menor que el número actual de certificados que se excluyen, se utiliza skipCerts el valor menor.
85
Figura 7 en la página 85muestra una cadena de certificados formada por una entidad emisora raíz,
cuatro entidades emisoras intermedias y EE. El skipCerts valor de int-CA-1 es 12, lo que omite 12
certificados, incluido el certificado de int-CA-1. Sin embargo, skipCerts el valor se comprueba en todos
los certificados de entidades emisoras intermedias de la cadena. El skipCerts valor de int-CA-2 es 2, que
es inferior a 12, por lo que ahora se omiten 2 certificados. El skipCerts valor de int-CA-4 es 5, que es
mayor que 2, por lo que se omite el valor skipCerts int-CA-4.
Figura 7: Validación de políticas con el campo skipCerts
Cuando se configuran los OID de directiva en el dispositivo de requireExplicitPolicy serie SRX

skipCerts , los campos del certificado se pasan por alto.
Validación de longitud de ruta
La validación de certificados puede implicar una cadena de certificados que incluye una entidad de
certificación raíz, una o varias CA intermedias opcionales y un certificado EE. El número de entidades
emisoras de certificación intermedias puede aumentar según el escenario de implementación. La
validación de longitud de ruta proporciona un mecanismo para limitar el número de certificados
intermedios implicados en la validación de certificados. path-length es un campo opcional en un
certificado X509. El valor de path-length indica el número de certificados de CA intermedios no
autofirmados permitidos para la validación de certificados. El último certificado, que generalmente es el
certificado EE, no se incluye en el límite de la ruta de acceso. Si el certificado raíz contiene el path-
length valor 0, no se permiten certificados de entidades emisoras intermedias. Si el path-length valor es
1, puede haber 0 ó 1 certificados de CA intermedios.
86
path-lengthpuede estar presente en varios certificados de CA de la cadena de certificados. La validación

de longitud de ruta de acceso siempre comienza con el certificado raíz autofirmado. El límite de ruta de
acceso se reduce en 1 en cada certificado intermedio de la cadena. Si un certificado intermedio contiene
un path-length valor menor que el límite de ruta actual, se aplicará el nuevo límite. Por otro lado, si el
path-length valor es mayor que el límite de ruta actual, se omite.
Figura 8 en la página 86muestra una cadena de certificados compuesta por una entidad emisora raíz,
cuatro entidades emisoras intermedias y EE. El path-length valor en root-CA es 10, por lo que el límite
de ruta de acceso inicial de los certificados de CA intermedios no firmados automáticamente para la
validación de certificados es 10. En int-CA-1, el límite de ruta es 10-1 o 9. El path-length valor de int-
CA-1 es 4, que es menor que el límite de ruta de 9, por lo que el nuevo límite de ruta se convierte en 4.
En int-CA-2, el límite de ruta es 4-1 o 3. El path-length valor de int-CA-2 es 5, que es mayor que el
límite de ruta de acceso de 3, por lo que se omite. En int-CA-3, el límite de ruta es 3-1 o 2. El path-
length valor de int-CA-3 es 20, que es mayor que el límite de ruta de acceso de 2, por lo que también se
omite.
Figura 8: Validación de longitud de ruta
Uso de la clave
El campo uso de la clave de un certificado EE o CA define el propósito de la clave contenida en el

certificado.
• En el caso de los certificados EE, si está presente el campo de uso de la digitalSignature clave
nonrepudiation pero el certificado no contiene ni indicadores, el certificado se rechazará. Si el campo
uso de la clave no está presente, no se comprueba el uso de la clave.
87
• Para AC certificados, la clave se puede usar para la validación de certificados o firmas CRL. Dado que
el demonio de PKI es responsable tanto de las descargas de validación de certificados X509 como de
las listas CRL, debe comprobarse el uso de claves antes de validar el certificado o la CRL.
En la validación de firmas de certificado, el indicador indica que se puede usar AC certificado de

certificación keyCertSign para la validación de firma de certificado. Si esta marca no se establece, se
anula la validación del certificado.
En las negociaciones de fase 1 de validación de firmas de CRL, los participantes comprueban la lista
de revocación de certificados (CRL) para ver si los certificados recibidos durante un intercambio de
ICR siguen siendo válidos. La CRL se descarga periódicamente para los perfiles de CA configurados
con CRL como la comprobación de revocación de certificados. Los archivos de CRL descargados
deben comprobarse antes de descargarlos en el dispositivo. Uno de los pasos de comprobación
consiste en validar la firma de la CRL con un certificado de CA. La CRL descargada está firmado con
la clave privada del certificado de AC y debe comprobarse con la clave pública del certificado de AC
almacenada en el dispositivo. El campo uso de claves del certificado de la entidad emisora debe
contener el CRLSign indicador para comprobar la CRL descargada. Si este indicador no está presente,
la CRL se descarta.
Validación de emisor y nombre distintivo de asunto
La validación de firmas se realiza para los certificados recibidos de un interlocutor, así como para el
archivo CRL descargado de un servidor de CA. La validación de firmas implica buscar el certificado de
AC en una base de datos de AC basada en el nombre distinguido (DN) del emitidor en el certificado o en
la CRL verificada.
Figura 9 en la página 88muestra la búsqueda de certificados de entidad emisora basada en el DN del

emisor. En el certificado EE, el nombre completo del emisor es CA-1, que es el DN del firmante del
certificado de la CA intermedia en la cadena. En el certificado de entidad emisora intermedia, el DN de
emisor es CA-root, que es el DN del firmante del certificado de entidad emisora raíz de firma automática
88
en la cadena. En la CRL, el DN de emisor es CA-root, que es el DN del firmante del certificado de

entidad emisora raíz de firma automática.
Figura 9: Validación de DN de asunto y emisor
La búsqueda de los DN de emisor o de sujeto debe seguir estas reglas para los valores de atributo:
• Se supone que los valores de atributo codificados en diferentes tipos ASN. 1 (por ejemplo,
PrintableString y BMPString) representan cadenas diferentes.
• Los valores de atributo codificados en tipos PrintableString no distinguen mayúsculas de minúsculas.

Estos valores de atributo se comparan después de quitar los espacios en blanco iniciales y finales y
convertir las subcadenas internas de uno o varios espacios en blanco consecutivos en un único
espacio.
• Los valores de atributo codificados en tipos distintos de PrintableString distinguen entre mayúsculas
y minúsculas.
SEE ALSO

89
Ejemplo Validación de un certificado digital mediante la configuración de

OID de directiva en un dispositivo serie SRX
in this section
Aplicables | 89
Automática | 90
Comproba | 91
En algunas situaciones, puede ser conveniente aceptar únicamente los certificados con identificadores
de objetos de directiva conocidos (OID) de los elementos del mismo nivel. Esta configuración opcional
solo permite que la validación de certificados se realice correctamente si la cadena de certificados
recibida del interlocutor contiene al menos un OID de la Directiva que está configurado en el dispositivo
de serie SRX. En este ejemplo se muestra cómo configurar OID de directiva en la Directiva de ICR en un
dispositivo serie SRX.
Debe asegurarse de que al menos una de las ID de política configuradas en el dispositivo de la serie SRX
se incluya en un certificado o cadena de certificado de un par. Tenga en cuenta policy-oids que el campo
del certificado de un par es opcional. Si configura los CADE de políticas en una política de ICR y la
cadena de certificados del par no contiene ninguna IA de política, se produce un error en la validación
del certificado para el par.
Aplicables
Antes de empezar:
• Asegúrese de que está utilizando Junos OS versión 12.3 X48-D10 o posterior para serie SRX
dispositivos.
• Configure un túnel VPN de IPsec. Consulte información general sobre la configuración de IPSec VPN
con Autokey ICR. En este ejemplo no se muestra la configuración de túnel VPN completa de ICR
Phase 1 y Phase 2.
90
Este ejemplo muestra una configuración de directiva ICR en la que se especifican los OID
2.16.840.1.101.3.1.48.2 y 5.16.40.1.101.3.1.55.2 de la Directiva. La Directiva de ICR ike_cert_pol hace
referencia a la ike_cert_prop propuesta de ICR, que no se muestra. El certificado local en el serie SRX
dispositivo es LC-Igloo-root.
Automática
in this section
Modalidades | 90
Modalidades
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security ike policy ike_cert_pol mode main

set security ike policy ike_cert_pol proposals ike_cert_prop
set security ike policy ike_cert_pol certificate local-certificate lc-igloo-root
set security ike policy ike_cert_pol certificate policy-oids 2.16.840.1.101.3.1.48.2
set security ike policy ike_cert_pol certificate policy-oids 5.16.40.1.101.3.1.55.2
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar OID de directiva para la validación de certificados:

91
1. Configure la Directiva de ICR:
[edit security ike policy ike_cert_pol]

user@host# set mode main
user@host# set proposals ike_cert_prop
user@host# set certificate local-certificate lc-igloo-root
user@host# set certificate policy-oids 2.16.840.1.101.3.1.48.2
user@host# set certificate policy-oids 5.16.40.1.101.3.1.55.2
Resultados
Desde el modo de configuración, escriba el show security ike policy ike_cert_pol comando para
confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones
de este ejemplo para corregir la configuración.
user@host# show security ike policy ike_cert_pol

mode main;
proposals ike_cert_prop;
certificate {
local-certificate lc-igloo-root;
policy-oids [ 2.16.840.1.101.3.1.48.2 5.16.40.1.101.3.1.55.2 ];
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Comproba
in this section
Comprobar el certificado de la entidad emisora | 92
Comprobación de validación de OID de Directiva | 93
Confirme que la configuración funciona correctamente.

92
Comprobar el certificado de la entidad emisora
Purpose
Muestra el certificado de CA configurado en el dispositivo.
Intervención
En modo operativo, escriba el show security pki ca-certificate ca-profile ca-tmp comando.
user@host> show security pki ca-certificate ca-profile ca-tmp detail

Certificate identifier: ca-tmp
Serial number: 00000047
Issuer:
Organization: U.S. Government,
Organizational unit: DoD, Organizational unit:
Testing, Country: US,
Common name: Trust Anchor
Subject:
Organization: U.S. Government,
Organizational unit: Dod, Organizational unit:
Testing, Country: US,
Common name: CA1-PP.01.03
Subject string:
C=US, O=U.S. Government, OU=Dod, OU=Testing, CN=CA1-
PP.01.03
Validity:
Not before: 01- 1-1998 12:01 UTC
Not after: 01- 1-2048 12:01 UTC
?Public key algorithm: rsaEncryption(1024 bits)

30:81:89:02:81:81:00:cb:fd:78:0c:be:87:ac:cd:c0:33:66:a3:18
9e:fd:40:b7:9b:bc:dc:66:ff:08:45:f7:7e:fe:8e:d6:32:f8:5b:75
db:76:f0:4d:21:9a:6e:4f:04:21:4c:7e:08:a1:f9:3d:ac:8b:90:76
44:7b:c4:e9:9b:93:80:2a:64:83:6e:6a:cd:d8:d4:23:dd:ce:cb:3b
b5:ea:da:2b:40:8d:ad:a9:4d:97:58:cf:60:af:82:94:30:47:b7:7d
88:c3:76:c0:97:b4:6a:59:7e:f7:86:5d:d8:1f:af:fb:72:f1:b8:5c
2a:35:1e:a7:9e:14:51:d4:19:ae:c7:5c:65:ea:f5:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Certificate Policy:
Policy Identifier = 2.16.840.1.101.3.1.48.2
93
Use for key: CRL signing, Certificate signing

Fingerprint:
e0:b3:2f:2e:a1:c5:ee:ad:af:dd:96:85:f6:78:24:c5:89:ed:39:40 (sha1)
f3:47:6e:55:bc:9d:80:39:5a:40:70:8b:10:0e:93:c5 (md5)
Comprobación de validación de OID de Directiva
Purpose
Si el certificado del par se valida correctamente, ICR y asociaciones de seguridad IPsec se establecen. Si
se produce un error en la validación del certificado del par, no ICR asociación de seguridad.
Intervención
En modo operativo, escriba los show security ike security-associations comandos show security ipsec
security-associations y.
user@host> show security ike security-associations

node0:
--------------------------------------------------------------------------
Index State Initiator cookie Responder cookie Mode Remote
Address
821765168 UP 88875c981252c1d8 b744ac9c21bde57e IKEv2
192.0.2.2
1106977837 UP 1a09e32d1e6f20f1 e008278091060acb IKEv2 198.51.100.202
user@host> show security ipsec security-associations

node0:
--------------------------------------------------------------------------
Total active tunnels: 2
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<213909506 ESP:aes-cbc-192/sha256 8cb9e40a 1295/ unlim - root 500
192.0.2.2
>213909506 ESP:aes-cbc-192/sha256 8271d2b2 1295/ unlim - root 500
192.0.2.2
<218365954 ESP:aes-cbc-192/sha256 d0153bc0 1726/ unlim - root 1495
198.51.100.202
>218365954 ESP:aes-cbc-192/sha256 97611813 1726/ unlim - root 1495
198.51.100.202
94
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. En este caso, compruebe
el mensaje de PKID_CERT_POLICY_CHECK_FAIL en los registros del sistema. Este mensaje indica que la
cadena de certificados del par no contiene una OID de política configurada en el dispositivo de la serie
SRX. Compruebe los valores de la cadena de certificados del par policy-oids con los valores configurados
en el dispositivo de la serie SRX.
También podría ser que la cadena de certificados del par no contiene ningún policy-oids campo, que son
campos opcionales. Si éste es el caso, se produce un error en la validación de certificados si se han
configurado OID de directiva en el dispositivo serie SRX.
SEE ALSO

4
VPN IPsec en Junos OS
Intercambio de claves por red (ICR) para VPN IPsec | 96

96
Intercambio de claves por red (ICR) para VPN IPsec
in this section
ICR y procesamiento de paquetes IPsec | 96
ICR propuesta | 111
ICR de desarrollo | 111
Reesclave y reauteticación | 111
Configurar-túnel de establecimiento de sólo respuesta en ICR | 133
Intercambio de claves por red versión 2 (IKEv2) es un protocolo de túnel basado en IPsec que
proporciona un canal de comunicación VPN seguro entre dispositivos VPN del mismo nivel y define la
negociación y autenticación para las asociaciones de seguridad IPsec (SA) de manera protegida.
ICR y procesamiento de paquetes IPsec
in this section
Procesamiento de paquetes de ICR | 97
Procesamiento de paquetes IPsec | 102
ICR proporciona administración de túnel para IPsec y autentica a las entidades finales. ICR realiza un
intercambio de claves Diffie-Hellman (DH) para generar un túnel IPsec entre los dispositivos de red. Los
túneles IPsec generados por ICR se utilizan para cifrar, descifrar y autenticar el tráfico de usuario entre
los dispositivos de red en la capa IP.
97
Procesamiento de paquetes de ICR
Cuando un paquete de texto sin formato llega Juniper Networks un dispositivo de Juniper Networks que
requiere tunelización y no existe ninguna SA de fase 2 activa para ese túnel, Junos OS comienza ICR
negociaciones y descarta el paquete. Las direcciones de origen y de destino del encabezado del paquete
IP son las de las puertas de enlace ICR local y remota, respectivamente. En la carga del paquete IP, hay
un segmento UDP encapsulando un paquete ISAKMP (ICR). El formato para ICR paquetes es el mismo
para la fase 1 y la fase 2. Consulte Figura 10 en la página 99 .
98
Mientras tanto, el host de origen ha enviado de nuevo el paquete interrumpido. Normalmente, cuando
llega el segundo paquete, se completan las negociaciones de ICR y Junos OS protege el paquete y todos
los paquetes subsiguientes en la sesión, con IPSec antes de reenviarlo.
99
Figura 10: Paquete ICR para las fases 1 y 2

100
El campo siguiente carga contiene un número que indica uno de los siguientes tipos de carga:
• 0002: La carga de negociación de SA contiene una definición para una SA de fase 1 o fase 2.
• 0004: La carga de propuesta puede ser una propuesta de fase 1 o fase 2.
• 0008: la carga de transformación se encapsula en una carga de propuesta que se encapsula en una
carga de SA.
• 0010: la carga de intercambio de claves (KE) contiene información necesaria para llevar a cabo un
intercambio de claves, como un valor DH público.
• 0020: Carga de identificación (IDx).
• En la fase 1, IDii indica el ID del iniciador e IDir indica el ID de la respondedor.
• En la fase 2, IDui indica el iniciador de usuario e IDur indica el respondedor de usuario.
Los identificadores son ICR tipos de ID, como FQDN, U-FQDN, dirección IP y ASN. 1_DN.
• 0040: carga de certificado (CERT).
• 0080: Carga de solicitud de certificado (CERT_REQ).
• 0100: la carga hash (HASH) contiene el resultado de síntesis de una función hash determinada.
• 0200: la carga de firma (SIG) contiene una firma digital.
• 0400: La carga Nonce (Nx) contiene información pseudoalearia necesaria para el intercambio.
• 0800: notificar carga.
• 1000: Carga de eliminación ISAKMP.
• 2000: La carga de ID de proveedor (VID) se puede incluir en cualquier lugar en las negociaciones de
fase 1. Junos OS lo utiliza para marcar la compatibilidad con TDR-T.
101
Cada carga ISAKMP comienza con el mismo encabezado genérico, tal y como Figura 11 en la página
101se muestra en la.
Figura 11: Encabezado de carga ISAKMP genérico
Puede haber varias cargas ISAKMP encadenadas, con cada tipo de carga subsiguiente indicado por el
valor en el campo Next header (encabezado siguiente). Un valor de 0000 indica la última carga ISAKMP.
Consulte Figura 12 en la página 101 , para obtener un ejemplo.
Figura 12: Encabezado ISAKMP con cargas ISAKMP genéricas

102
Procesamiento de paquetes IPsec
Una vez ICR se completan las negociaciones y las dos puertas de enlace de ICR establecen asociaciones
de seguridad (AS) de fase 1 y fase 2, todos los paquetes subsiguientes se reenvía mediante el túnel. Si la
SA de fase 2 especifica el protocolo de seguridad de encapsulación (ESP) en modo de túnel, el paquete
se parece al que se muestra en Figura 13 en la página 102 . El dispositivo agrega dos encabezados
adicionales al paquete original que envía el host que inicia el inicio.
Tal y como Figura 13 en la página 102se muestra en, el paquete que crea el host de inicio incluye la
carga, el encabezado TCP y el encabezado de IP interior (IP1).
Figura 13: Paquete IPsec: ESP en modo de túnel
El encabezado IP del enrutador (IP2), que Junos OS agrega, contiene la dirección IP de la puerta de
enlace remota como dirección IP de destino y la dirección IP del enrutador local como dirección IP de
origen. En Junos OS también se agrega un encabezado ESP entre los encabezados IP externos e
103
internos. El encabezado ESP contiene información que permite al elemento remoto del mismo nivel
procesar correctamente el paquete cuando lo recibe. Esto se muestra en Figura 14 en la página 103.
Figura 14: Encabezado de IP exterior (IP2) y encabezado ESP

104
El campo siguiente encabezado indica el tipo de datos del campo carga. En el modo de túnel, este valor
es 4, lo que indica que un paquete IP está contenido dentro de la carga. Consulte Figura 15 en la página
104la.
Figura 15: Encabezado de dirección IP interior (IP1) y encabezado de TCP

105
Introducción a ICR en Junos OS
in this section
Configuración de IKEv2 en Junos OS | 106
Descripción de la carga de configuración IKEv2 | 106
Descripción de aprovisionamiento de celda pico | 110
ICR maneras de intercambiar claves para el cifrado y la autenticación de forma segura a través de un
medio no seguro, como Internet. ICR habilita un par de puertas de enlace de seguridad para: Establezca
dinámicamente un túnel seguro en el que las puertas de enlace de seguridad puedan intercambiar
información de túnel y clave. Configure túneles o SA de nivel de usuario, incluidas las negociaciones de
atributos de túnel y la administración de claves. Estos túneles también pueden actualizarse y terminarse
encima del mismo canal seguro. ICR emplea métodos Diffie-Hellman y es opcional en IPsec (las claves
compartidas se pueden escribir manualmente en los puntos de conexión).
IKEv2 incluye soporte para:
• VPN basadas en la ruta.
• VPN de sitio a sitio.
• Detección de pares de tráfico muerto.
• Clúster de chasis.
• Autenticación de clave previamente compartida.
• Autenticación basada en certificados.
• SA secundarias. Una SA secundaria de IKEv2 se conoce como SA de fase 2 en IKEv1. En IKEv2, no

puede existir una SA secundaria sin el ICR SA subyacente.
• AutoVPN.
• VPN de extremo dinámico.
• EAP se admite para el acceso remoto mediante IKEv2.
• Selectores de tráfico.
IKEv2 no admite las características siguientes:

106
• VPN basado en políticas.
• Supervisión de VPN.
• Protocolo de compresión de carga IP (IPComp).
Configuración de IKEv2 en Junos OS
Una VPN peer está configurada como IKEv1 o IKEv2. Cuando un elemento del mismo nivel se configura
como IKEv2, no puede recurrir a IKEv1 si su punto de conexión remoto inicia la negociación de IKEv1.
De forma predeterminada, los dispositivos de seguridad Juniper Networks son los homólogos de IKEv1.
Utilice la version v2-only instrucción de configuración en eledit security ike gateway gw-namenivel de
jerarquía [] para configurar IKEv2.
La versión ICR se muestra en el resultado de los show security ike security-associations comandos
show security ipsec security-associations de funcionamiento de la CLI y.
Juniper Networks admiten hasta cuatro propuestas para negociaciones de fase 2, lo que le permite
definir cómo restrictivo es un rango de parámetros de túnel que va a aceptar. Junos OS proporciona
conjuntos predefinidos de propuestas de la fase 2 estándar, compatibles y básicos. También puede
definir propuestas personalizadas de fase 2.
Descripción de la carga de configuración IKEv2
La carga de configuración es Intercambio de claves por red opción versión 2 (IKEv2) que se ofrece para
propagar la información de aprovisionamiento de un respondedor a un iniciador. La carga de
configuración de IKEv2 solo se admite con VPN basadas en rutas.
RFC 5996, protocolo Intercambio de claves por red versión 2 (IKEv2), define 15 atributos de
configuración diferentes que el respondedor puede devolver al iniciador. Tabla 3 en la página 106
describe los atributos de configuración IKEv2 compatibles con dispositivos de la serie SRX.
Tabla 3: Atributos de configuración de IKEv2
Tipo de atributo Valor Descriptiva Alarga
INTERNAL_IP4_ADDRESS 1 Especifica una dirección en la red interna. Se 0ó4

pueden solicitar varias direcciones internas. El octetos
contestador puede enviar hasta el número de
direcciones solicitado.
107
Tabla 3: Atributos de configuración de IKEv2 (Continued)
Tipo de atributo Valor Descriptiva Alarga
INTERNAL_IP4_NETMASK 2 Especifica el valor de la máscara de red interna. 0ó4

Solo se permite un valor de máscara de la sesión octetos
en los mensajes de solicitud y respuesta (por
ejemplo, 255.255.255.0), y solo se debe usar con
un atributo INTERNAL_IP4_ADDRESS.
INTERNAL_IP4_DNS 3 Especifica la dirección de un servidor DNS en la 0ó4

red. Se pueden solicitar varios servidores DNS. El octetos
contestador puede responder con cero o más
atributos del servidor DNS.
INTERNAL_IP4_NBNS 4 Especifica la dirección de un servidor de nombres 0ó4

NetBIOS (NBNS), por ejemplo, un servidor WINS, octetos
dentro de la red. Se pueden solicitar varios
servidores NBNS. El interlocutor que responde
puede responder con cero o más atributos de
servidor NBNS.
INTERNAL_IP6_ADDRESS 8 Especifica una dirección en la red interna. Se 0 o 17

pueden solicitar varias direcciones internas. El octetos
contestador puede enviar hasta el número de
direcciones solicitado.
INTERNAL_IP6_DNS 10 Especifica la dirección de un servidor DNS en la 0 o 16

red. Se pueden solicitar varios servidores DNS. El octetos
contestador puede responder con cero o más
atributos del servidor DNS.
Para que el ICR contestadora proporcione al iniciador la información de aprovisionamiento, debe adquirir
la información de un origen especificado, como un servidor RADIUS. La información de
aprovisionamiento también puede devolverse desde un servidor DHCP a través de un servidor RADIUS.
En el servidor RADIUS, la información del usuario no debe incluir una contraseña de autenticación. El
perfil del servidor RADIUS está enlazado a la puerta de aaa access-profile profile-name enlace de ICR
utilizandoedit security ike gateway gateway-namela configuración en el nivel de jerarquía [].
108
A partir de Junos OS versión 20.3R1 versión en la línea de dispositivos SRX5000, hemos mejorado la
carga de configuración de IKEv2 para:
• Compatibilidad con grupos de direcciones locales IPv4 e IPv6. También puede asignar una dirección
IP fija a un par.
Durante ICR establecimiento, el iniciador solicita una dirección IPv4, una dirección IPv6, una
dirección DNS o una dirección WINS del respondedor. Después de que el respondedor haya
autenticado al iniciador de forma correcta, asigna una dirección IP desde un grupo de direcciones
local o mediante RADIUS servidor. Según la configuración, esta dirección IP se asigna dinámicamente
cada vez que un par se conecta o se asigna como una dirección IP fija. Si el RADIUS responde con un
grupo enmarcado, Junos OS asigna una dirección IP o información basada en la configuración del
grupo local correspondiente. Si configura tanto el grupo de direcciones local como RADIUS servidor,
la dirección IP asignada desde un servidor RADIUS tiene prioridad sobre el grupo local. Si configura el
grupo de direcciones IP locales y el servidor RADIUS no devuelve ninguna dirección IP, el grupo local
asigna la dirección IP a la solicitud.
• Opción adicional, none presentada para authentication-order . Consulte orden de autenticación

(perfil de acceso).
• RADIUS los mensajes de inicio y de detenerse de la cuenta informan del estado del túnel o del par
del RADIUS servidor. Estos mensajes se pueden utilizar con fines de seguimiento o notificaciones a
subsistemas, como un servidor DHCP.
Asegúrese de que el RADIUS servidor admite los mensajes de inicio o detención de la cuenta.
También asegúrese de que tanto los dispositivos de la serie SRX como el RADIUS servidor tengan la
configuración adecuada para rastrear estos mensajes.
• La introducción de la compatibilidad con IPv6 permite túneles de pila dual mediante carga de
configuración. Durante el proceso de inicio de sesión, ICR solicitudes para direcciones IPv4 e IPv6.
AAA permitir el inicio de sesión solo si todas las direcciones solicitadas se asignaron correctamente.
ICR termina la negociación si no se asigna la IP solicitada.
En una VPN basada en la ruta, las interfaces de túnel seguro (st0) funcionan en el modo punto a
multipunto o punto a punto. Ahora se admite la asignación de direcciones mediante la carga de
configuración IKEv2 para el modo punto a multipunto o punto a punto. Para interfaces de punto a
multipunto, las interfaces deben estar numeradas y las direcciones de la carga de configuración
INTERNAL_IP4_ADDRESS tipo de atributo deben estar dentro del rango de subred de la interfaz de
punto a multipunto asociada.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de
carga de configuración IKEv2 para una configuración ICR puerta de enlace. La contraseña común en un
intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña
se usa entre el dispositivo serie SRX y el servidor RADIUS cuando el dispositivo serie SRX solicita una
dirección IP en nombre de un par IPsec remoto mediante carga de configuración IKEv2. RADIUS
servidor coincide con los credenciales antes de que proporciona cualquier información IP al dispositivo
109
de la serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común
mediante una instrucción config-payload-password configured-password de configuración en el nivel de
jerarquía [ edit security ike gateway gateway-name aaa access-profile access-profile-name ].
Tanto el dispositivo de la serie SRX como el servidor de RADIUS deben tener la misma contraseña
configurada y el servidor radius debe estar configurado para usar el protocolo de autenticación de
contraseña (PAP) como protocolo de autenticación. Sin esto, el establecimiento de túneles no tendrá
éxito.
Figura 16 en la página 109 muestra un flujo de trabajo típico para una carga de configuración IKEv2.
Figura 16: Flujo de trabajo típico de carga de configuración IKEv2
La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro
punto a multipunto (st0). Las interfaces punto a multipunto deben estar numeradas y las direcciones que
se proporcionan en la carga de configuración deben estar dentro del rango de subred de la interfaz de
punto a multipunto asociada.
110
Descripción de aprovisionamiento de celda pico
La carga de configuración de IKEv2 se puede usar para propagar la información de aprovisionamiento de

un ICR respondedor, como un dispositivo serie SRX, a varios iniciadores, como las estaciones de la celda
de la celular de LTE pico en una red móvil. Las celdas de pico de envío de la fábrica tienen una
configuración estándar que les permite conectarse al dispositivo de serie SRX, pero la información de
aprovisionamiento de celdas de pico se almacena en uno o más servidores de aprovisionamiento en una
red protegida. Las celdas pico reciben información de aprovisionamiento completa después de
establecer conexiones seguras con los servidores de aprovisionamiento.
Se requiere que el flujo de trabajo arranque y aprovisione una celda pico y se introduce en el servicio
incluye cuatro fases distintas:
1. Adquisición de direcciones iniciales: la célula pico se envía desde la fábrica con la siguiente
información:
• Configuración del túnel de puerta de enlace segura hacia el dispositivo serie SRX
• Certificado digital expedido por el fabricante
• El nombre de dominio completo (FQDN) de los servidores de aprovisionamiento que se

encuentran en la red protegida
La celda pico inicia y adquiere la dirección que se utilizará para ICR negociación desde un servidor
DHCP. A continuación, se crea un túnel para la puerta de enlace segura en el dispositivo de serie SRX
que utiliza esta dirección. El servidor DHCP asigna también al tráfico de funcionamiento,
administración y administración (mantenimiento seguros) un uso en la red protegida.
2. Aprovisionamiento de celda Pico: mediante su dirección de tráfico OAM asignada, la celda pico
solicita su información de aprovisionamiento (normalmente certificado de operador, licencia, software
e información de configuración) de los servidores dentro de la red protegida.
3. Reinicio: la pico cell se reinicia y utiliza la información de aprovisionamiento adquirida para hacerla
específica del modelo de red y operación del proveedor de servicios.
4. Provisión de servicio: cuando la celda pico entra en servicio, utiliza un único certificado que contiene
nombre distinguido (DN) y valores de nombre alternativo de sujeto con un FQDN para crear dos
túneles a la puerta de enlace segura en el dispositivo de la serie SRX: uno para el tráfico
mantenimiento seguros y otro para el tráfico de datos de un proyecto de colaboración de tercera
generación (3GPP).
SEE ALSO
Ejemplo Configurando TDR-T con VPN de extremo dinámico

111
ICR propuesta
La ICR define los algoritmos y claves que se utilizan para establecer la conexión ICR segura con la puerta
de enlace de seguridad par. Puede configurar una o más ICR propuestas. Cada propuesta es una lista de
atributos ICR para proteger la ICR conexión entre el host ICR y su par.
Para configurar una ICR propuesta, incluya la instrucción y proposal especifique un nombre en el nivel
de jerarquía [ edit security ike ]:
ICR de desarrollo
Una política ICR define una combinación de parámetros de seguridad (ICR propuestas) que se usarán
durante ICR negociación. Define una dirección par y las propuestas necesarias para esa conexión. Según
el método de autenticación que se utilice, define la clave previamente compartida para el par
determinado o el certificado local. Durante la ICR, ICR busca una política de ICR que sea la misma en
ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto
intenta encontrar una coincidencia. Se hace una coincidencia cuando ambas políticas de los dos pares
tienen una propuesta que contiene los mismos atributos configurados. Si las duraciones no son
idénticas, se utilizará la duración más corta entre las dos políticas (del host y el par). La clave configurada
previamente compartida también debe coincidir con su par.
En primer lugar, puede configurar una o más ICR propuestas; a continuación, asocie estas propuestas
con ICR política.
Para configurar una política ICR, incluya la instrucción y especifique un nombre de política policy en el
nivel de jerarquía [ edit security ike ]:
Reesclave y reauteticación
in this section
Características compatibles | 112
Límites | 113
112
Con IKEv2, la regeneración de claves y la nueva autenticación son procesos independientes. El cambio
de claves establece nuevas claves para el SA (ICR Security Association) y restablece los contadores de ID
de mensajes, pero no reautentica los homólogos. La nueva autenticación comprueba que los homólogos
VPN conservan su acceso a las credenciales de autenticación. La reautenticación establece claves
nuevas para el ICR SA y las SA secundarias; ya no son necesarias las claves de cualquier SA pendiente
ICR o SA secundaria. Después de que se crean las nuevas SA de ICR y secundarias, se eliminan el ICR
antiguo y las SA secundarias.
La reautenticación de IKEv2 está deshabilitada de forma predeterminada. La reautenticación se habilita

configurando un valor de frecuencia de reautenticación entre 1 y 100. La frecuencia de reautenticación
es el número de reICR claves que tienen lugar antes de que se produzca una nueva autenticación. Por
ejemplo, si la frecuencia configurada para la reautenticación es 1, la nueva autenticación se realiza cada
vez que se produce un ICR regeneración de claves. Si la frecuencia configurada para la reautenticación
es 2, la reautenticación se produce en todos los demás ICR las claves de regeneración. Si la frecuencia
configurada para la reautenticación es 3, la reautenticación se produce cada tres ICR regeneración de
claves, y así sucesivamente.
La frecuencia de reautenticación se configura con la reauth-frequency instrucción en el niveledit

security ike policy policy-namede jerarquía []. La reautenticación se deshabilita estableciendo la
frecuencia de reautenticación en 0 (valor predeterminado). Los interlocutores no negocian la frecuencia
de reautenticación, y cada interlocutor puede tener su propio valor de frecuencia de reautenticación.
Características compatibles
La reautenticación de IKEv2 se admite con las siguientes características:
• Iniciadores o respondedores IKEv2
• Detección de punto muerto (DPD)
• Enrutadores virtuales y interfaces de túnel seguro (st0) en enrutadores virtuales
• Traducción de direcciones de red transversal (TDR-T)
• Clústeres de chasis en modo activo-activo y activo-pasivo para SRX5400, SRX5600 y dispositivos de

SRX5800
• Actualización del software en servicio (emisión) en dispositivos SRX5400, SRX5600 y SRX5800
• Actualización o inserción de una nueva unidad de procesamiento de servicios (SPU) con el

procedimiento de actualización de hardware en servicio (ISHU)
113
Límites
Tenga en cuenta las siguientes consideraciones cuando utilice la reautenticación de IKEv2:
• Con TDR-T, puede crearse una nueva SA de ICR con puertos diferentes de la ICR SA anterior. En esta
situación, es posible que no se elimine el SA ICR antiguo.
• En un escenario TDR-T, el iniciador detrás del dispositivo TDR puede convertirse en el contestador
después de una nueva autenticación. Si la sesión de TDR expira, el dispositivo TDR podría descartar
los nuevos ICR paquetes que puedan llegar a un puerto diferente. TDR-T keepalive o DPD deben
estar habilitadas para mantener activas las TDR sesión. Para AutoVPN, recomendamos que la
frecuencia de reautenticación configurada en los radios sea más pequeña que la frecuencia de
reautenticación configurada en el concentrador.
• En función de la frecuencia de reautenticación, el iniciador o el contestador de la SA de ICR original

puede iniciar una nueva ICR SA. Debido a que la carga de la configuración y la autenticación del
Protocolo de autenticación extensible (EAP) requieren que la misma entidad inicie la SA de ICR, ésta
no es compatible con la autenticación EAP ni con ICR la carga de configuración.
ICR de acceso (autenticación basada en certificados)
in this section
Jerarquía multinivel para autenticación de certificados | 113
Jerarquía multinivel para autenticación de certificados
La autenticación basada en certificados es un método de autenticación compatible con serie SRX

dispositivos durante la negociación de ICR. En redes de gran tamaño, varias entidades emisoras de
certificados (CA) pueden emitir certificados end Entity (EE) para sus dispositivos finales respectivos. Es
habitual disponer de entidades emisoras independientes para ubicaciones, departamentos u
organizaciones individuales.
Cuando se emplea una jerarquía de un solo nivel para la autenticación basada en certificados, todos los
certificados EE en la red deben estar firmados por la misma CA. Todos los dispositivos Firewall deben
tener el mismo certificado de CA inscrito para validar el certificado del mismo nivel. La carga de
certificado enviada durante el ICR negociación solo contiene certificados EE.
114
De manera alternativa, la carga de certificado enviada durante la negociación de ICR puede contener
una cadena de EE y certificados de CA. Una cadena de certificados es la lista de certificados necesarios
para validar el certificado EE de un par. La cadena de certificados incluye el certificado EE y cualquier
certificado de CA que no esté presente en el elemento del mismo nivel local.
El administrador de red debe asegurarse de que todos los interlocutores que participan en una
negociación de ICR tengan al menos una entidad emisora de certificados de confianza común en sus
respectivas cadenas de certificado. La entidad emisora de certificados de confianza común no tiene que
ser necesariamente la entidad emisora raíz. El número de certificados de la cadena, incluidos los
certificados de EEs y la de la mayor parte de la entidad emisora en la cadena, no puede ser superior a 10.
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel
configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Con
las cadenas de certificados, la entidad emisora raíz debe coincidir con el grupo de CA de confianza o el
servidor de CA configurado en la Directiva de ICR
En el ejemplo de jerarquía de CA Figura 17 en la página 115que se muestra en la, CA raíz es la entidad

emisora de certificados de confianza común para todos los dispositivos de la red. Raíz-CA emite
certificados de CA para las CA de ingeniería y ventas, que se identifican como ENG-California y sales-
CA, respectivamente. La CA ENG emite certificados de entidad emisora para las CA de desarrollo y
115
garantía de calidad, que se identifican como dev-CA y QA-CA respectivamente. Host-A recibe su
certificado EE de dev-CA, mientras que host-B recibe su certificado EE de sales-CA.
Figura 17: Jerarquía multinivel para la autenticación basada en certificados
Cada dispositivo final debe estar cargado con los certificados de la entidad emisora en su jerarquía. Los
hosts a deben tener certificados raíz-CA, ENG-CA y dev-CA; Los certificados de CA y AC-CA no son
necesarios. Host-B debe tener certificados raíz de CA y de ventas-CA. Los certificados se pueden cargar
manualmente en un dispositivo o inscribirse con el proceso de inscripción de certificados simple (SCEP).
Cada dispositivo de extremo debe estar configurado con un perfil de CA para cada CA de la cadena de
certificados. El resultado siguiente muestra los perfiles de CA configurados en host-A:
admin@host-A# show security

pki {
enrollment {
}
}
ca-profile Eng-CA {
116
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
El resultado siguiente muestra los perfiles de CA configurados en host-B:
admin@host-B# show security

pki {
enrollment {
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
SEE ALSO

117
Ejemplo Configurando un dispositivo para validación de cadena de

certificado de mismo nivel
in this section
Aplicables | 117
Automática | 118
Comproba | 127
Error de SA de ICR e IPsec para un certificado revocado | 128
Este ejemplo muestra cómo configurar un dispositivo para las cadenas de certificados que se utilizan
para validar los dispositivos del mismo nivel durante ICR negociación.
Aplicables
Antes de comenzar, obtenga la dirección de la entidad EMISORa de certificados y la información que
requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.
in this section
Topología | 117
Este ejemplo muestra cómo configurar un dispositivo local para las cadenas de certificados, inscribir CA
y certificados locales, comprobar la validez de los certificados inscritos y comprobar el estado de
revocación del dispositivo del mismo nivel.
Topología
En este ejemplo, se muestran los comandos de configuración y operativos del host-A Figura 18 en la
página 118, como se muestra en la. Un perfil de AC dinámico se crea automáticamente en host-A para
118
permitir que host-A descargue la CRL de Sales-AC y compruebe el estado de revocación del certificado
de Host-B.
Figura 18: Ejemplo de cadena de certificados
En este ejemplo, se muestra la configuración VPN de IPsec para la negociación de la fase 1 y la fase 2
para el host-A. El dispositivo del mismo nivel (host-B) debe configurarse correctamente para que las
opciones Phase 1 y Phase 2 se negocien satisfactoriamente y se establezcan asociaciones de seguridad
(SA). Consulte configuración de identificadores de ICR remotos para VPN de sitio a sitio para obtener
ejemplos acerca de la configuración de dispositivos del mismo nivel para VPN.
Automática
in this section
Configurar perfiles de CA | 119
Inscribir certificados | 121
Configurar las opciones de IPsec VPN | 124

119
Para configurar un dispositivo para cadenas de certificados:
Configurar perfiles de CA
set security pki ca-profile Root-CA ca-identity CA-Root

set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/
set security pki ca-profile Root-CA revocation-check crl
set security pki ca-profile Eng-CA ca-identity Eng-CA
set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/
set security pki ca-profile Eng-CA revocation-check crl
set security pki ca-profile Dev-CA ca-identity Dev-CA
set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/
set security pki ca-profile Dev-CA revocation-check crl
Para configurar perfiles de CA:
1. Cree el perfil de CA para root-CA.
[edit security pki]

user@host# set ca-profile Root-CA ca-identity CA-Root
user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/
user@host# set ca-profile Root-CA revocation-check crl
120
2. Cree el perfil de CA para ENG-CA.
[edit security pki]

user@host# set ca-profile Eng-CA ca-identity Eng-CA
user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/
user@host# set ca-profile Eng-CA revocation-check crl
3. Cree el perfil de CA para dev-CA.
[edit security pki]

user@host# set ca-profile Dev-CA ca-identity Dev-CA
user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/
user@host# set ca-profile Dev-CA revocation-check crl
Resultados
Desde el modo de configuración, escriba el show security pki comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
121
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
Inscribir certificados
Para inscribir certificados:
1. Inscriba los certificados de la entidad emisora.
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
Escriba yes en los indicadores para cargar el AC certificado.
2. Compruebe que los certificados de la CA están inscritos en el dispositivo.
user@host> show security pki ca-certificate ca-profile Root-CA

Certificate identifier: Root-CA
Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA
Validity:
Not before: 08-14-2012 22:19
122
Not after: 08-13-2017 22:19

user@host> show security pki ca-certificate ca-profile Eng-CA

Certificate identifier: Eng-CA
Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA
Validity:
Not before: 08-15-2012 01:02
Not after: 08-13-2017 22:19
user@host> show security pki ca-certificate ca-profile Dev-CA

Certificate identifier: Dev-CA
Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA
Validity:
Not before: 08-15-2012 17:41
Not after: 08-13-2017 22:19
3. Compruebe la validez de los certificados de CA inscritos.
user@host> request security pki ca-certificate verify ca-profile Root-CA

CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA

CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA

CA certificate Dev-CA verified successfully
4. Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
123
5. Inscriba el certificado local.
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA
challenge-password example domain-name host-a.example.net email host-a@example.net subject
DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
6. Compruebe que el certificado local está inscrito en el dispositivo.
user@host> show security pki local-certificate

Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA
Validity:
Not before: 09-17-2012 22:22
Not after: 08-13-2017 22:19
7. Compruebe la validez del certificado local inscrito.
user@host> request security pki local-certificate verify certificate-id Host-A

Local certificate Host-A verification success
8. Compruebe la descarga de CRL para los perfiles de CA configurados.
user@host> show security pki crl

CA profile: Root-CA
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Root-CA
Effective date: 09- 9-2012 13:08
Next update: 09-21-2012 02:55
CA profile: Eng-CA
CRL issuer: C = us, O = example, CN = Eng-CA
Effective date: 08-22-2012 17:46
Next update: 10-24-2015 03:33
CA profile: Dev-CA
CRL issuer: C = us, O = example, CN = Dev-CA
124

Next update: 09-26-2012 11:02
Configurar las opciones de IPsec VPN
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures

set security ike proposal ike_cert_prop_01 dh-group group5
set security ike proposal ike_cert_prop_01 authentication-algorithm sha1
set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc
set security ike policy ike_cert_pol_01 mode main
set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01
set security ike policy ike_cert_pol_01 certificate local-certificate Host-A
set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01
set security ike gateway ike_cert_gw_01 address 192.0.2.51
set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0
set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31
set security ipsec proposal ipsec_prop_01 protocol esp
set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc
set security ipsec proposal ipsec_prop_01 lifetime-seconds 300
set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01
set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1
set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01
set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Para configurar las opciones de IPsec VPN:

125
1. Configure las opciones de fase 1.
[edit security ike proposal ike_cert_prop_01]

user@host# set authentication-method rsa-signatures
user@host# set dh-group group5
user@host# set authentication-algorithm sha1
user@host# set encryption-algorithm aes-256-cbc
[edit security ike policy ike_cert_pol_01]
user@host# set proposals ike_cert_prop_01
user@host# set certificate local-certificate Host-A
[edit security ike gateway ike_cert_gw_01]
user@host# set ike-policy ike_cert_pol_01
user@host# set address 192.0.2.51
user@host# set external-interface ge-0/0/1.0
user@host# set local-identity 192.0.2.31
[edit security ipsec proposal ipsec_prop_01]

user@host# set protocol esp
user@host# set authentication-algorithm hmac-sha1-96
user@host# set encryption-algorithm 3des-cbc
user@host# set lifetime-seconds 300
[edit security ipsec policy ipsec_pol_01]
user@host# set proposals ipsec_prop_01
[edit security ipsec vpn ipsec_cert_vpn_01]
user@host# set bind-interface st0.1
user@host# set ike gateway ike_cert_gw_01
user@host# set ike ipsec-policy ipsec_pol_01
126
Resultados
Desde el modo de configuración, escriba los show security ike comandos y show security ipsec para
de configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
127
}
}
Comproba
in this section
Comprobación del estado de la fase 1 ICR | 127
Comprobando el estado de la fase 2 de IPsec | 128
Si la validación de certificados es correcta durante la negociación de ICR entre dispositivos del mismo
nivel, se establecen tanto asociaciones de seguridad (SA) ICR como IPsec.
Si el certificado es válido, el ICR SA estará activo. La SA de ICR está inactiva y se forma una asociación
de IPSEC si el certificado se revoca, solo si la comprobación de revocación se configuró en el dispositivo
del mismo nivel
Comprobación del estado de la fase 1 ICR
Purpose
Compruebe el estado de la fase 1 ICR.
Intervención
Ingrese el show security ike security-associations comando desde el modo operativo.

Address
2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main
192.0.2.51
128
Comprobando el estado de la fase 2 de IPsec
Purpose
Compruebe el estado de la fase 2 de IPsec.
Intervención
Ingrese el show security ipsec security-associations comando desde el modo operativo.

ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway
<131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500
192.0.2.51
>131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500
192.0.2.51
Error de SA de ICR e IPsec para un certificado revocado
in this section
Buscando certificados revocados | 128
Buscando certificados revocados
Relacionado
Si se produce un error en la validación del certificado ICR durante la negociación entre dispositivos par,
compruebe que no se revocó el certificado del par. Un perfil AC dinámico permite que el dispositivo
local descargue la CRL del AC par y compruebe el estado de revocación del certificado del par. Para
habilitar perfiles de CA dinámicos revocation-check crl , la opción debe estar configurada en un perfil de
CA principal.
Solución
Para comprobar el estado de revocación del certificado de un par:

129
1. Identifique el perfil AC dinámico que mostrará la CRL para el dispositivo par ingresando el show
security pki crl comando desde el modo operativo.
user@host> show security pki crl

CA profile: Root-CA
CRL issuer: C = us, O = example, CN = Root-CA
Effective date: 09- 9-2012 13:08
Next update: 09-21-2012 02:55
CA profile: Eng-CA
CRL issuer: C = us, O = example, CN = Eng-CA
Next update: 10-24-2015 03:33
CA profile: Dev-CA
CRL issuer: C = us, O = example, CN = Dev-CA
Next update: 09-26-2012 11:02
CA profile: dynamic-001
CRL issuer: C = us, O = example, CN = Sales-CA
Next update: 09-26-2012 11:02
El perfil de AC se crea automáticamente en host-A para que host-A pueda descargar la CRL del AC
(ventas AC) del host-B y comprobar el estado de revocación del certificado del dynamic-001 par.
2. Mostrar información de CRL para el perfil AC dinámico ingresando el show security pki crl ca-profile
dynamic-001 detail comando desde el modo operativo.
Escríba
user@host> show security pki crl ca-profile dynamic-001 detail

CA profile: dynamic-001
CRL issuer: C = us, O = example, CN = Sub11
Next update: 09-20-2012 01:49
130
Revocation List:
Serial number Revocation date
10647C84 09-19-2012 17:29 UTC
Se revocó el certificado de host B (número de serie 10647084).
SEE ALSO

Fragmentación ikEv2
in this section
Fragmentación de mensajes | 130
Automática | 131
ADVERTENCIAS | 131
Fragmentación de mensajes
La fragmentación de mensajes IKEv2, tal como se describe en RFC 7383, fragmentación de mensajes del
protocolo Intercambio de claves por red versión 2 (IKEv2),permite que IKEv2 funcione en entornos en
los que es posible que se bloqueen fragmentos de IP y los pares no puedan establecer una asociación de
seguridad IPsec (SA). La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de
otros más pequeños, de modo que no hay fragmentación en el nivel de IP. La fragmentación tiene lugar
antes de que el mensaje original se cifre y se autentique, de forma que cada fragmento se cifre y se
autentique por separado. En el receptor, los fragmentos se recolectan, comprueban, descifran y se
combinan en el mensaje original.
Para que se produzca la fragmentación de IKEv2, ambos interlocutores VPN deben indicar la
compatibilidad con la fragmentación mediante la inclusión de la carga de notificación
IKEV2_FRAGMENTATION_SUPPORTED en IKE_SA_INIT Exchange. Si ambos interlocutores indican
compatibilidad de fragmentación, depende del iniciador del intercambio de mensajes determinar si se
utiliza la fragmentación IKEv2 o no.
131
En serie SRX dispositivos, se permite un máximo de 32 fragmentos por mensaje IKEv2. Si el número de
fragmentos del mensaje IKEv2 que se va a enviar o recibir es superior a 32, los fragmentos se eliminarán
y no se establecerá el túnel. No se admite la retransmisión de fragmentos de mensajes individuales
Automática
En los dispositivos serie SRX, la fragmentación de IKEv2 está habilitada de forma predeterminada para
los mensajes IPv4 e IPv6. Para deshabilitar la fragmentación de IKEv2 disable , use la instrucciónedit
security ike gateway gateway-name fragmentationen el nivel de jerarquía []. También puede utilizar la
size instrucción para configurar el tamaño del paquete en el que se fragmentan los mensajes; el tamaño
del paquete oscila entre el 500 y el 1300 bytes. Si size no está configurado, el tamaño predeterminado
del paquete es 576 bytes para el tráfico IPv4 y 1280 bytes para el tráfico IPv6. Un paquete IKEv2 mayor
que el tamaño del paquete configurado está fragmentado.
Una vez habilitada o habilitada la fragmentación de IKEv2 o se cambie el tamaño del fragmento de
paquete, se desconectarán los túneles VPN alojados en la puerta de enlace de ICR e ICR, y se
renegociarán las SA IPsec.
ADVERTENCIAS
Las siguientes características no se admiten con la fragmentación IKEv2:
• Detección de MTU de ruta de acceso.
• SNMP.
SEE ALSO
ICR política de desarrollo con un sistema de AC
En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una directiva de ICR del
elemento del mismo nivel.
Antes de comenzar, debe disponer de una lista de todas las entidades de certificación de confianza que
desea asociar con la Directiva de ICR del interlocutor.
Puede asociar una directiva de ICR a un perfil único de CA de confianza o a un grupo de CA de

confianza. Para establecer una conexión segura, la puerta de enlace de ICR usa la Directiva de ICR para
limitarse al grupo configurado de entidades emisoras (perfiles de CA) mientras se valida el certificado.
132
No se valida un certificado emitido por cualquier fuente distinta de la CA de confianza o el grupo de CA

de confianza. Si hay una solicitud de validación de certificado procedente de una directiva de ICR, el
perfil de CA asociado de la Directiva de ICR validará el certificado. Si una directiva de ICR no está
asociada con ninguna entidad emisora de certificados, entonces, de forma predeterminada, el certificado
será validado por cualquiera de los perfiles de CA configurados.
En este ejemplo, se crea un perfil root-ca de CA con el root-ca-identity nombre y se asocia a al perfil.
Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No

puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.
1. Crear un perfil de CA y asociar un identificador de CA al perfil.
[edit]
user@host# set security pki ca-profile root-ca ca-identity root-ca
2. Definir una propuesta de ICR y el método de autenticación de propuesta de ICR.
[edit]
user@host# set security ike proposal ike_prop authentication-method rsa-signatures
3. Definir el grupo Diffie-Hellman, el algoritmo de autenticación, un algoritmo de cifrado para la

propuesta de ICR.
[edit]
user@host# set security ike proposal ike_prop dh-group group2
user@host# set security ike proposal ike_prop authentication-algorithm sha-256
user@host# set security ike proposal ike_prop encryption-algorithm aes-256-cbc
4. Configure una directiva de ICR y asocie la Directiva con la propuesta de ICR.
[edit]
user@host# set security ike policy ike_policy proposals ike_prop
5. Configure un identificador de certificado local para la Directiva ICR.
[edit]
user@host# set security ike policy ike_policy certificate local-certificate SPOKE
133
6. Defina la entidad emisora de certificados que se utilizará para la Directiva de ICR.
[edit]
user@host# set security ike policy ike_policy certificate trusted-ca ca-profile root-ca

proposal ike_prop {
dh-group group2;
authentication-algorithm sha-256;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
El show security ike comando muestra el grupo de perfiles de CA bajo la directiva ike_policy ICR
denominada y el certificado asociado a la Directiva de ICR.
SEE ALSO
Configurar-túnel de establecimiento de sólo respuesta en ICR
Este tema muestra cómo configurar los túneles: solo responden en Intercambio de claves por red (ICR).
Iniciar los túneles desde el interlocutor remoto y enviar el tráfico a través de todos los túneles.
Especifica cuándo se activa ICR.
134
A partir de Junos OS versión 19.1R1, en la línea de dispositivos SRX5000, la opción establecer túneles
admite los valores y en el nivel responder-onlyresponder-only-no-rekey de [edit security ipsec vpn vpn-
name] jerarquía.
Las opciones y se admiten en la línea de dispositivos responder-only SRX5000 con una tarjeta
responder-only-no-rekey SPC3 solo si la está junos-ike-package instalada. Estas opciones solo se
admiten en una VPN de sitio a sitio. Estas opciones no se admiten en vpn automática.
Las opciones y no establecen ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se
responder-only inicia desde el par responder-only-no-rekey remoto. Cuando configure, un túnel
establecido vuelve a clave ICR y IPsec según los valores de vida responder-only ICR e IPsec
configurados. Cuando configure, un túnel establecido no reclame desde el dispositivo y depende del par
remoto responder-only-no-rekey para iniciar la reclame. Si el interlocutor remoto no inicia la
regeneración de claves, la destrucción del túnel se produce cuando caduca la duración dura.
Antes de empezar:
• Comprender cómo establecer un túnel AutoKey ICR IPsec. Lea Introducción a IPSec VPN.
Para configurar el aprobador por el túnel en ICR:
1. Configurar-solo respondedor de túnel
user@host# set security ipsec vpn S2S_VPN establish-tunnel responder-only
2. Confirme su configuración introduciendo el show security ipsec vpn IPSEC_VPN comando.
user@host# show security ipsec vpn IPSEC_VPN

ike {
gateway IKE_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels responder-only;
3. Configurar-túnel solo respondedor-sin regeneración de claves
user@host# set security ipsec vpn S2S_VPN establish-tunnel responder-only-no-rekey
4. Confirme su configuración introduciendo el show security ipsec vpn IPSEC_VPN comando.
user@host# show security ipsec vpn IPSEC_VPN

135
ike {
gateway IKE_GW;
}
establish-tunnels responder-only-no-rekey;
En el caso de varios objetos de VPN, tendrá prioridad el modo de solo respondedor. Si alguna de las
VPN de una puerta de enlace está configurada con el modo de solo respondedor, todas las VPN de la
puerta de enlace deben configurarse con el modo de solo respondedor.
release-history

release-history
18.1R1 A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del
mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores
de entidad emisora.
in this section
Topologías VPN de IPsec en dispositivos serie SRX | 143
Comparación de VPN basadas en políticas y VPN basadas en la ruta | 147
Distribución de sesiones de ICR e IPsec en SPUs | 151

136
Habilitando conjunto de características de IPsec VPN en la tarjeta de procesamiento de servicios SRX5K

SPC3 | 155
Compatibilidad de características VPN IPsec en la línea de dispositivos SRX5000 con SRX5K-SPC3 y vSRX
instancias con un paquete nuevo | 156
Una VPN es una red privada que utiliza una red pública para conectar dos o más sitios remotos. En lugar
de utilizar conexiones dedicadas entre redes, las VPN utilizan conexiones virtuales enrutadas (de túnel) a
través de redes públicas. IPsec VPN es un protocolo que consta de un conjunto de estándares que se
utiliza para establecer una conexión VPN.
in this section
Asociaciones de seguridad | 137
Una VPN proporciona un medio por el que los equipos remotos se comunican de forma segura a través
de una WAN pública, como Internet.
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico
remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos
tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para
proteger la comunicación VPN mientras se pasa a través de la WAN, los dos participantes crean un túnel
de seguridad IP (IPsec).
El término túnel no denota modo de túnel (consulte Procesamiento de paquetes en modo de túnel). En
su lugar, hace referencia a la conexión IPsec.
IPsec es un conjunto de protocolos relacionados para proteger las comunicaciones de forma

criptográfica en la capa de paquetes IP. IPsec también proporciona métodos para la negociación manual
137
y automática de asociaciones de seguridad (SAs) y la distribución de claves, todos los atributos para los
que se recopilan en un dominio de interpretación (DOI). El DOI de IPsec es un documento que contiene
definiciones para todos los parámetros de seguridad necesarios para la negociación correcta de un túnel
VPN: básicamente, todos los atributos necesarios para sa y ICR negociación. Consulte RFC 2407 y RFC
2408 para obtener más información.
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los participantes de la VPN en
relación con los métodos y parámetros que se utilizan para proteger un canal de comunicación. La
comunicación bidireccional completa requiere al menos dos SA, uno para cada dirección. A través de la
SA, un túnel IPsec puede proporcionar las siguientes funciones de seguridad:
• Privacidad (mediante cifrado)
• Integridad del contenido (mediante autenticación de datos)
• Autenticación de remitente y, si utiliza certificados, no repudiación (mediante autenticación de origen

de datos)
Las funciones de seguridad que emplee dependerán de sus necesidades. Si sólo necesita autenticar el
origen del paquete IP y la integridad del contenido, puede autenticar el paquete sin aplicar ningún
cifrado. Por otro lado, si solo le preocupa conservar la privacidad, puede cifrar el paquete sin aplicar
ningún mecanismo de autenticación. Opcionalmente, puede cifrar y autenticar el paquete. La mayoría de
los diseñadores de seguridad de red deciden cifrar, autenticar y reproducir la protección de su tráfico
VPN.
Un túnel IPsec se compone de un par de SA unidireccionales (una SA para cada dirección del túnel) que
especifican el índice de parámetros de seguridad (SPI), la dirección IP de destino y el protocolo de
seguridad (encabezado de autenticación [AH] o la carga de seguridad de encapsulación [ESP] empleados.
Un SA agrupa los siguientes componentes para proteger las comunicaciones:
• Algoritmos y claves de seguridad.
• Modo Protocolo, ya sea de transporte o de túnel. Los dispositivos Junos OS siempre utilizan el modo
de túnel. (Consulte procesamiento de paquetes en modo de túnel.)
• Método de administración de claves, ya sea de clave manual o AutoKey ICR. (Consulte

"Administración de claves IPsec" en la página 138.)
• Duración de la Asociación de la SA.
Para el tráfico entrante, Junos OS busca la SA mediante el siguiente triple:
• Dirección IP de destino.
138
• Protocolo de seguridad, AH o ESP. (Consulte "Protocolos de seguridad IPsec" en la página 140.)
• Valor del índice de parámetros de seguridad (SPI).
Para el tráfico de VPN saliente, la Directiva invoca la SA asociada con el túnel VPN.
Administración de claves IPsec
La distribución y administración de claves son críticas para el uso correcto de VPN. Junos OS admite la
tecnología IPsec para crear túneles VPN con tres tipos de mecanismos de creación de claves:
• Tecla manual
• AutoKey ICR con una clave previamente compartida o un certificado
Puede elegir su mecanismo de creación de claves (también llamado método de autenticación) durante la
configuración de la propuesta de fase 1 y fase 2. Consulte "Negociación de túnel IPsec" en la página
142la.
Tecla manual
Con las claves manuales, los administradores de ambos extremos de un túnel configuran todos los
parámetros de seguridad. Se trata de una técnica viable para redes pequeñas y estáticas en las que la
distribución, el mantenimiento y el seguimiento de claves no son difíciles. Sin embargo, la distribución
segura de configuraciones clave manuales en grandes distancias plantea problemas de seguridad. Aparte
de pasar las teclas frontales, no puede estar completamente seguro de que las claves no se han visto
comprometidas durante la transmisión. Además, siempre que desee cambiar la clave, se le plantearán los
mismos problemas de seguridad que cuando lo distribuyó inicialmente.
AutoKey ICR
Cuando necesite crear y administrar varios túneles, necesitará un método que no requiera que configure
cada elemento manualmente. IPsec admite la generación y negociación automatizadas de claves y
asociaciones de seguridad mediante el protocolo Intercambio de claves por red (ICR). Junos OS se refiere
a esta negociación automatizada de túnel como AutoKey ICR y admite AutoKey ICR con claves
previamente compartidas y AutoKey ICR con certificados.
• Clave automática ICR con claves previamente compartidas: mediante el uso de ICR de clave
automática con claves previamente compartidas para autenticar ICR los participantes en una sesión
de ICR, cada lado debe configurar e intercambiar de antemano la clave previamente compartida. En
este sentido, el problema de la distribución segura de claves es el mismo que con las claves manuales.
Sin embargo, una vez distribuido, una Autokey, a diferencia de la clave manual, puede cambiar
automáticamente sus claves a intervalos predeterminados mediante el protocolo ICR. Las claves que
139
cambian frecuentemente mejoran en gran medida la seguridad y, de esta manera, lo reducen

considerablemente las responsabilidades de la administración de claves. Sin embargo, el cambio de
claves aumenta la sobrecarga del tráfico; por lo tanto, cambiar las claves con demasiada frecuencia
puede reducir la eficacia de transmisión de datos.
Una clave previamente compartida es una clave para el cifrado y el descifrado, que ambos
participantes deben tener antes de iniciar la comunicación.
• Clave automática ICR con certificados: cuando se utilizan certificados para autenticar a los
participantes durante una negociación de ICR de clave automática, cada lado genera un par de claves
pública y privada y adquiere un certificado. Siempre que la autoridad de certificación emisora (AC)
sea de confianza para ambos lados, los participantes pueden recuperar la clave pública del par y
comprobar la firma del par. No es necesario hacer un seguimiento de las claves y SAs; ICR lo hace
automáticamente.
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite que los participantes generen un valor secreto compartido.
La fortaleza de la técnica es que permite a los participantes crear el valor secreto a través de un medio
no seguro sin pasar el valor secreto a través del cable. El tamaño del módulo principal usado en el
cálculo de cada grupo difiere como se muestra en la siguiente tabla. Las operaciones de intercambio
Diffie Hellman (DH) se pueden realizar en software o hardware. Cuando estas operaciones de
intercambio se realizan en hardware, utilizamos la criptografía de tecnología QuickAssist (QAT). A
continuación, se enumeran diferentes grupos Diffie Hellman (DH) y se especifica si la operación
realizada para ese grupo se encuentra en Tabla 4 en la página 139 el hardware o en el software.
Tabla 4: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo

realizada en

140
Tabla 4: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo (Continued)

realizada en
Grupo DH 24 Subgrupo de orden principal de 2048 bits Software
A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos DH 15,
16 y 21.
No recomendamos el uso de los grupos DH 1, 2 y 5.
Dado que el módulo para cada grupo DH tiene un tamaño diferente, los participantes deben aceptar que
se utilice el mismo grupo.
Protocolos de seguridad IPsec
IPsec utiliza dos protocolos para proteger las comunicaciones en la capa IP:
• Encabezado de autenticación (AH): un protocolo de seguridad para autenticar el origen de un

paquete IP y comprobar la integridad de su contenido
• Carga de seguridad de encapsulación (ESP): un protocolo de seguridad para cifrar todo el paquete IP
(y autenticar su contenido)
Puede elegir sus protocolos de seguridad (también denominados algoritmos de autenticación y

cifrado)durante la configuración de la propuesta de fase 2. Consulte "Negociación de túnel IPsec" en la
página 142la.
141
Para cada túnel VPN, se instalan sesiones de túnel AH y ESP en unidades de procesamiento de servicios
(SPUs) y en el plano de control. Las sesiones de túnel se actualizan con el protocolo negociado después
de completarse la negociación. Para SRX5400, SRX5600 y SRX5800, las sesiones de túnel del
delimitador SPUs se actualizan con el protocolo negociado, mientras que los SPUs que no son de
delimitadores conservan las sesiones ESP y AH del túnel. Las sesiones de túnel ESP y AH se muestran en
los resultados show security flow session de show security flow cp-session los comandos del modo de
operación y.
Protocolo AH
El protocolo AH (encabezado de autenticación) proporciona un medio para comprobar la autenticidad e

integridad del contenido y el origen de un paquete. Puede autenticar el paquete mediante la suma de
comprobación calculada a través de un código de autenticación de mensajes hash (HMAC) mediante una
clave secreta y funciones hash MD5 o SHA.
• Síntesis del mensaje 5 (MD5): un algoritmo que produce un hash de 128 bits (también llamado
síntesis de mensajes o firma digital) a partir de un mensaje de longitud arbitraria y una clave de 16
bytes. Se utiliza el hash resultante, como una huella dactilar de la entrada, para comprobar el
contenido y la autenticidad e integridad del origen.
• Algoritmo de hash seguro (SHA): un algoritmo que genera un hash de 160 bits a partir de un mensaje
de longitud arbitraria y una clave de 20 bytes. Generalmente se considera más seguro que con MD5
debido a los hash de mayor tamaño que produce. Dado que el procesamiento computacional se
realiza en los ASIC, el costo de rendimiento es insignificante.
Para obtener más información acerca de los algoritmos hash MD5, consulte RFC 1321 y RFC 2403. Para
obtener más información acerca de los algoritmos de hash SHA, consulte RFC 2404. Para obtener más
información acerca de HMAC, consulte RFC 2104.
Protocolo ESP
El protocolo carga de seguridad encapsuladora (ESP) proporciona un medio para garantizar la privacidad
(cifrado) y la autenticación de origen e integridad del contenido (autenticación). ESP en modo de túnel
encapsula todo el paquete IP (encabezado y carga) y, a continuación, anexa un nuevo encabezado IP al
paquete que está ahora cifrado. Este nuevo encabezado de IP contiene la dirección de destino necesaria
para enrutar los datos protegidos a través de la red. (Consulte procesamiento de paquetes en modo de
túnel.)
Con ESP, puede cifrar y autenticar, únicamente cifrar o autenticar. Para el cifrado, puede elegir uno de
los siguientes algoritmos de cifrado:
• Estándar de cifrado de datos (DES): un algoritmo de bloque criptográfico con una clave de 56 bits.
142
• Triple DES (3DES): una versión más potente de DES en la que se aplica el algoritmo DES original en
tres rondas mediante una clave de 168 bits. DES proporciona ahorros significativos de rendimiento,
pero se considera inaceptable para varias transferencias de material clasificadas o sensibles.
• Estándar de cifrado avanzado (AES): un estándar de cifrado que ofrece una mayor interoperabilidad
con otros dispositivos. Junos OS admite AES con claves de 128 bits, 192 bits y 256 bits.
Para la autenticación, puede utilizar algoritmos MD5 o SHA.
Aunque es posible seleccionar NULL para el cifrado, se ha demostrado que IPsec puede ser vulnerable a
ataques en tales circunstancias. Por lo tanto, sugerimos que elija un algoritmo de cifrado para obtener la
máxima seguridad.
Negociación de túnel IPsec
Para establecer un AutoKey ICR túnel IPsec, son necesarias dos fases de negociación:
• En la fase 1, los participantes establecen un canal seguro en el que negociar las asociaciones de
seguridad IPSec (SA).
• En la fase 2, los participantes negocian las SA de IPSec para cifrar y autenticar los siguientes
intercambios de datos de usuario.
Para un túnel IPsec de clave manual, dado que todos los parámetros de SA se han definido
anteriormente, no es necesario negociar qué SA se deben usar. Básicamente, el túnel ya se ha
establecido. Cuando el tráfico coincide con una directiva que utiliza ese túnel de clave manual o cuando
una ruta implica el túnel, el dispositivo de Juniper Networks simplemente cifra y autentica los datos,
según su determinación, y los reenvía a la puerta de enlace de destino.
La dirección de puerta de enlace de ICR remoto puede estar en cualquier instancia de enrutamiento
virtual (VR). El VR se determina durante ICR negociación de fase 1 y fase 2. No es necesario configurar
VR en las propuestas de ICR. Si la interfaz de puerta de enlace de ICR se mueve de un VR a otro, las
negociaciones ICR existentes de las fases 1 y 2 de la puerta de enlace de ICR se borrarán, y se llevarán a
cabo nuevas negociaciones de fase 1 y fase 2.
• En los dispositivos serie SRX, cuando se habilita VPN, se admite la superposición de direcciones IP
entre enrutadores virtuales con las siguientes limitaciones:
• Una dirección de interfaz externa ICR no puede superponerse con ningún otro enrutador virtual.
• Una dirección interna o de interfaz de confianza puede superponerse a través de enrutadores

virtuales.
• Una dirección de interfaz st0 no puede superponerse en una VPN basada en ruta en túnel de
punto a multipunto, como NHTB.
143
• Una dirección de interfaz st0 puede superponerse en una VPN basada en rutas en el túnel punto
a punto.
• Las combinaciones de direcciones IP locales y direcciones IP de puerta de enlace remota de los

túneles VPN de IPsec configurados en VRs tienen que ser únicas.
• Cuando la interfaz de bucle invertido se utiliza como interfaz externa de ICR puerta de enlace, la
interfaz física de la negociación de ICR debe encontrarse en el mismo VR.
SEE ALSO
IPSec (seguridad)
Grupo DH (ICR de seguridad)
Ejemplo Configuración de una VPN basada en políticas
Ejemplo Configuración de una VPN basada en rutas
Propuesta
Topologías VPN de IPsec en dispositivos serie SRX
A continuación, se muestran algunas de las topologías VPN de IPsec compatibles con Junos sistema
operativo:
• VPN de sitio a sitio: conecta dos sitios en una organización juntos y permite comunicaciones seguras
entre los sitios.
• VPN hub-and-spoke: conecta las sucursales a la oficina corporativa en una red empresarial. También
puede utilizar esta topología para conectar los radios de forma conjunta mediante el envío de tráfico
a través del concentrador.
• VPN de acceso remoto: permite que los usuarios que trabajan en casa o que viajan se conecten a la
oficina corporativa y sus recursos. A veces, esta topología se conoce como un túnel de extremo a
sitio.
SEE ALSO
Ejemplo Configuración de una VPN de concentrador y periferia

144
Comparación de VPN basadas en la Directiva y las basadas en la ruta
Es importante comprender las diferencias existentes entre las VPN basadas en la Directiva y las rutas, y
la razón por la que una puede ser preferible a la otra.
Tabla 5 en la página 144enumera las diferencias existentes entre las VPN basadas en rutas y las VPN
basadas en directivas.
Tabla 5: Diferencias entre VPN basadas en rutas y VPN basadas en políticas
VPN basadas en la ruta VPN basadas en políticas
Con las VPN basadas en la ruta, una Con túneles VPN basados en políticas, un túnel se
directiva no hace referencia específicamente trata como un objeto que, junto con el origen, destino,
a un túnel VPN. aplicación y acción, constituye una directiva de túnel
que permite el tráfico VPN.
La Directiva hace referencia a una dirección En una configuración VPN basada en directivas, una
de destino. directiva de túnel hace referencia específicamente a un
túnel VPN por nombre.
El número de túneles de VPN basados en El número de túneles VPN basados en la Directiva que
rutas que crea está limitado por el número puede crear está limitado por el número de directivas
de entradas de ruta o el número de que admite el dispositivo.
interfaces st0 compatibles con el
dispositivo, el número menor.
La configuración del túnel VPN basado en la Con una VPN basada en directivas, aunque puede
ruta es una buena elección cuando se desea crear numerosas directivas de túnel que hagan
conservar los recursos de túnel mientras se referencia al mismo túnel de VPN, cada par de
establecen restricciones granulares en el directivas de túnel crea una asociación de seguridad
tráfico VPN. IPsec (SA) individual con el interlocutor remoto. Cada
SA cuenta como un túnel VPN individual.
145
Tabla 5: Diferencias entre VPN basadas en rutas y VPN basadas en políticas (Continued)
Con un enfoque de VPN basado en la ruta, En una configuración VPN basada en políticas, la
el Reglamento de tráfico no se asocia con acción debe ser permitir y debe incluir un túnel.
los medios de su entrega. Puede configurar
docenas de directivas para regular el tráfico
que fluye a través de un túnel único de VPN
entre dos sitios y que sólo hay una
asociación de IPsec en el trabajo. Además,
una configuración VPN basada en rutas le
permite crear políticas que hacen referencia
a un destino alcanzado a través de un túnel
VPN en el que la acción es deny (denegar).
Las VPN basadas en la ruta admiten el El intercambio de información de enrutamiento

intercambio de información de dinámico no se admite en las VPN basadas en políticas.
enrutamiento dinámico a través de túneles
VPN. Puede habilitar una instancia de un
protocolo de enrutamiento dinámico, como
OSPF, en una interfaz st0 que esté enlazada
a un túnel VPN.
Las configuraciones basadas en la ruta se Las VPN basadas en políticas no se pueden utilizar
utilizan para topologías de concentrador y para topologías de concentrador y periferia.
periferia.
Con las VPN basadas en la ruta, una Cuando un túnel no conecta redes de gran tamaño que
directiva no hace referencia específicamente ejecutan protocolos de enrutamiento dinámico y no
a un túnel VPN. necesita conservar túneles ni definir varias políticas
para filtrar el tráfico a través del túnel, la mejor opción
es un túnel basado en la Directiva.
Las VPN basadas en la ruta no son Los túneles VPN basados en políticas son necesarios
compatibles con las configuraciones VPN de para las configuraciones VPN de acceso remoto (dial-
acceso remoto (acceso telefónico). up).
146
Es posible que las redes VPN basadas en la Es posible que se necesiten VPN basadas en políticas
ruta no funcionen correctamente con otros si el tercero requiere una SAs independiente para cada
proveedores. subred remota.
Cuando el dispositivo de seguridad realiza Con un túnel VPN basado en directivas, puede
una búsqueda de ruta para encontrar la considerar un túnel como un elemento en la
interfaz a través de la cual debe enviar construcción de una política.
tráfico para llegar a una dirección, encuentra
una ruta a travésst0de una interfaz de túnel
seguro (), que está enlazada a un túnel VPN
específico.
Con un túnel de VPN basado en rutas,

puede considerar un túnel como un medio
para entregar el tráfico, y puede considerar
la Directiva como un método para permitir o
denegar la entrega de ese tráfico.
Las VPN basadas en la ruta TDR son Las VPN basadas en políticas no se pueden utilizar si
compatibles con las interfaces st0. se requiere TDR para el tráfico de túnel.
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Los túneles basados en ruta
también ofrecen el uso de varios selectores de tráfico también conocidos como ID de multi proxy. Un
selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si el
tráfico coincide con un par especificado de prefijo de dirección IP local y remota, rango de puerto de
origen, intervalo de puerto de destino y protocolo. Un selector de tráfico se define dentro de una VPN
basada en ruta específica, lo que puede dar como resultado varias SA de IPsec de fase 2. Solo se permite
el tráfico que se ajusta a un selector de tráfico a través de una SA. Normalmente, el selector de tráfico es
necesario cuando los dispositivos de puerta de enlace remota son dispositivos no Juniper Networks.
Las VPN basadas en políticas solo se admiten en dispositivos SRX5400, SRX5600 y SRX5800. La
compatibilidad de la plataforma depende de la versión Junos OS de la instalación.
SEE ALSO

147
Comparación de VPN basadas en políticas y VPN basadas en la ruta
Tabla 6 en la página 147resume las diferencias entre las VPN basadas en Directiva y las VPN basadas en
la ruta.
Tabla 6: Comparación entre VPN basadas en políticas y VPN basadas en la ruta
VPN basadas en políticas VPN basadas en la ruta
En las VPN basadas en políticas, un túnel se En las VPN basadas en la ruta, una directiva no hace
trata como un objeto que, junto con el referencia específicamente a un túnel VPN.
origen, el destino, la aplicación y la acción,
constituye una directiva de túnel que
permite el tráfico VPN.
Una directiva de túnel hace referencia Una ruta determina qué tráfico se envía a través del
específicamente a un túnel VPN por nombre. túnel basándose en una dirección IP de destino.
El número de túneles VPN basados en El número de túneles VPN basados en rutas que crea
políticas está limitado por el número de está limitado por el número de interfaces st0 (para
túneles admitidos por el dispositivo. VPN de punto a punto) o el número de túneles
admitidos por el dispositivo, el que sea menor.
Con una VPN basada en directivas, aunque Dado que la ruta, no la Directiva, determina qué
puede crear numerosas directivas de túnel tráfico pasa por el túnel, es posible que se admitan
que hagan referencia al mismo túnel de VPN, varias directivas con una sola SA o VPN.
cada par de directivas de túnel creará una
asociación de IPsec individual con el
interlocutor remoto. Cada SA cuenta como
un túnel VPN individual.
En una VPN basada en políticas, la acción En una red privada virtual (VPN) basada en rutas, la
debe ser permitir y debe incluir un túnel. regulación del tráfico no se asocia con los medios de
su entrega.
148
Tabla 6: Comparación entre VPN basadas en políticas y VPN basadas en la ruta (Continued)
VPN basadas en políticas VPN basadas en la ruta
El intercambio de información de Las VPN basadas en la ruta admiten el intercambio de

enrutamiento dinámico no se admite en las información de enrutamiento dinámico a través de
VPN basadas en políticas. túneles VPN. Puede habilitar una instancia de un
protocolo de enrutamiento dinámico, como OSPF, en
una interfaz st0 que esté enlazada a un túnel VPN.
Si necesita más granularidad de la que puede Las redes VPN basadas en la ruta utilizan rutas para
proporcionar una ruta para especificar el especificar el tráfico que se envía a un túnel; una
tráfico que se envía a un túnel, la mejor directiva no hace referencia específicamente a un
opción es usar una VPN basada en Directiva túnel VPN.
con políticas de seguridad.
Con un túnel VPN basado en directivas, Cuando el dispositivo de seguridad realiza una
puede considerar un túnel como un búsqueda de ruta para encontrar la interfaz a través
elemento en la construcción de una política. de la cual debe enviar tráfico para llegar a una
dirección, encuentra una ruta a través de una interfaz
de túnel seguro (st0).
Con un túnel de VPN basado en rutas, puede

considerar un túnel como un medio para entregar el
tráfico, y puede considerar la Directiva como un
método para permitir o denegar la entrega de ese
tráfico.
Descripción del procesamiento de paquetes de ICR y IPsec
in this section
Procesamiento de paquetes en modo de túnel | 149

149
Un túnel VPN de IPsec se compone de la configuración de túneles y la seguridad aplicada. Durante la

instalación de túneles, los interlocutores establecen asociaciones de seguridad (SA), que definen los
parámetros para proteger el tráfico entre ellos. (Consulte Introducción a IPSec VPN.) Después de
establecer el túnel, IPsec protege el tráfico que se envía entre los dos extremos del túnel mediante la
aplicación de los parámetros de seguridad definidos por la SA durante la instalación del túnel. Dentro de
la implementación Junos OS, IPsec se aplica en modo de túnel, que admite los protocolos carga de
seguridad de encapsulación (ESP) y encabezado de autenticación (AH).
Procesamiento de paquetes en modo de túnel
IPsec funciona en uno de dos modos: transporte o túnel. Cuando ambos extremos del túnel son hosts,
puede utilizar cualquiera de los modos. Cuando al menos uno de los puntos de conexión de un túnel es
una puerta de enlace de seguridad, como una Junos OS enrutador o firewall, debe utilizar el modo de
túnel. Los dispositivos Juniper Networks funcionan siempre en modo de túnel para túneles IPsec.
En el modo de túnel, todo el paquete IP original (carga y encabezado) se encapsula dentro de otra carga
IP y se le anexa un nuevo encabezado, como se muestra Figura 19 en la página 149 en. El paquete
original completo puede cifrarse, autenticarse o ambas cosas. Con el protocolo AH (Authentication
header), también se autentican los encabezados AH y los nuevos. Con el protocolo carga de seguridad
de encapsulación (ESP), también se puede autenticar el encabezado ESP.
Figura 19: Modo de túnel

150
En una VPN de sitio a sitio, las direcciones de origen y destino utilizadas en el nuevo encabezado son las
direcciones IP de la interfaz de salida. Consulte Figura 20 en la página 150la.
Figura 20: VPN de sitio a sitio en modo de túnel
En una VPN de acceso telefónico, no hay puerta de enlace de túnel en el cliente de acceso telefónico a
redes VPN extremo del túnel; el túnel se extiende directamente al propio cliente (consulte Figura 21 en
la página 151). En este caso, en los paquetes enviados desde el cliente de acceso telefónico a redes,
tanto el encabezado nuevo como el original encapsulado tienen la misma dirección IP: la de la
computadora del cliente.
Algunos clientes VPN, como el cliente VPN dinámico y NetScreen-Remote, utilizan una dirección IP
interna virtual (también llamada "dirección adhesiva"). NetScreen-Remote le permite definir la dirección
IP virtual. El cliente VPN dinámico utiliza la dirección IP virtual asignada durante el intercambio de
configuración XAuth. En estos casos, la dirección IP interna virtual es la dirección IP de origen en el
151
encabezado del paquete original del tráfico que se origina en el cliente, y la dirección IP que el ISP asigna
dinámicamente es la dirección IP de origen del encabezado exterior.
Figura 21: VPN de acceso telefónico en modo de túnel
SEE ALSO

Distribución de sesiones de ICR e IPsec en SPUs
En los dispositivos SRX5400, SRX5600 y SRX5800, ICR proporciona administración de túnel para IPsec
y autentica a las entidades finales. ICR realiza un intercambio de claves Diffie-Hellman (DH) para generar
152
un túnel IPsec entre los dispositivos de red. Los túneles IPsec generados por ICR se utilizan para cifrar,
descifrar y autenticar el tráfico de usuario entre los dispositivos de red en la capa IP.
La VPN se crea mediante la distribución de la ICR y de la carga de trabajo de IPsec entre las distintas
unidades de procesamiento de servicios (SPUs) de la plataforma. En el caso de los túneles de localización
a localización, la SPU de carga mínima se elige como la SPU de delimitación. Si varios SPUs tienen la
misma carga mínima, cualquiera de ellos puede elegirse como un anclaje de la SPU. En este caso, la carga
corresponde al número de puertas de enlace de sitio a sitio o de túneles VPN manuales anclados en una
SPU. En el caso de túneles dinámicos, los túneles dinámicos recién establecidos emplean un algoritmo
de operación por rondas para seleccionar la SPU.
En IPsec, la carga de trabajo se distribuye con el mismo algoritmo que distribuye el ICR. La SA de Phase
2 para un par de puntos de terminación de túnel de VPN determinado es propiedad exclusiva de una
SPU concreta, y todos los paquetes IPsec que pertenecen a esta SA de fase 2 se reenvían a la SPU de
delimitación de esa SA para el procesamiento de IPsec.
Varias sesiones IPsec (SA de fase 2) pueden funcionar a través de una o más sesiones ICR. La SPU que se
selecciona para delimitar la sesión IPsec se basa en la SPU que delimita la sesión de ICR subyacente. Por
lo tanto, todas las sesiones IPsec que se ejecutan en una sola puerta de enlace de ICR son prestadas por
el mismo SPU, y no tienen un equilibrio de carga en varios SPUs.
Tabla 7 en la página 152 muestra un ejemplo de un dispositivo de línea SRX5000 con tres Spus que
ejecutan siete túneles IPSEC a través de tres puertas de enlace ICR.
Tabla 7: Distribución de sesiones de ICR e IPsec en SPUs
SPU Puerta de enlace ICR Túnel IPsec
SPU0 IKE-1 IPsec-1
IPsec-2
IPsec-3
SPU1 IKE-2 IPsec-4
IPsec-5
IPsec-6
153
Tabla 7: Distribución de sesiones de ICR e IPsec en SPUs (Continued)
SPU Puerta de enlace ICR Túnel IPsec
SPU2 IKE-3 IPsec-7
Las tres SPUs tienen una carga igual de una puerta de enlace ICR cada uno. Si se crea una nueva puerta
de enlace de ICR, puede seleccionar SPU0, SPU1 o SPU2 para delimitar la puerta de enlace de ICR y sus
sesiones IPsec.
La configuración y el desactivamiento de túneles IPsec no afectan a la sesión de ICR subyacente ni a los

túneles IPsec existentes.
Utilice el siguiente show comando para ver el recuento de túneles actual por la SPU: show security ike
tunnel-map.
Utilice la summary opción del comando para ver los puntos de anclaje de cada puerta de enlace: show
security ike tunnel-map summary.
Compatibilidad de VPN para insertar tarjetas de procesamiento de

servicios
Los dispositivos SRX5400, SRX5600 y SRX5800 tienen una arquitectura de procesador distribuido
basada en chasis. La potencia de procesamiento de flujo se comparte y se basa en el número de tarjetas
de procesamiento de servicios (SPCs). Puede escalar la potencia de procesamiento del dispositivo
instalando nuevas SPCs.
En un clúster de SRX5400, SRX5600 o SRX5800 chasis, puede insertar nuevos SPCs en los dispositivos
sin afectar ni interrumpir el tráfico en los ICR existentes o túneles VPN de IPsec. Cuando se inserta un
nuevo SPC en cada chasis del cluster, los túneles existentes no se ven afectados y el tráfico sigue
fluyendo sin interrupciones.
A partir de Junos OS versión 19.4 R1, en todos los dispositivos de la serie SRX5000 clúster de chasis,
puede insertar una nueva tarjeta SRX5K-SPC3 (SPC3) o SRX5K-SPC-4-15-320 (SPC2) en un chasis
existente que contenga una tarjeta SPC3. Sólo puede insertar las tarjetas en un área superior a la de la
tarjeta de SPC3 existente en el chasis. Debe reiniciar el nodo después de la inserción de SPC3 para
activar la tarjeta. Una vez completado el reinicio del nodo, se distribuyen los túneles IPsec a las tarjetas.
Sin embargo, los túneles existentes no pueden usar la potencia de procesamiento de las unidades de
procesamiento del servicio (SPUs) en el nuevo SPCs. Una nueva SPU puede delimitar los túneles
154
dinámicos y de sitio a sitio recién establecidos. Sin embargo, no se garantiza que los túneles recién
configurados se delimiten en una nueva SPU.
Los túneles de sitio a sitio se delimitan en diferentes SPUs según un algoritmo de equilibrio de carga. El
algoritmo de equilibrio de carga depende de los subprocesos de flujo de número que utiliza la SPU. Los
túneles que pertenecen a las mismas direcciones IP de puerta de enlace local y remota se fijan en la
misma SPU con diferentes subprocesos de flujo RT utilizados por la SPU. La SPU con la carga más
pequeña se elige como la SPU de delimitación. Cada SPU mantiene una cantidad de subprocesos de
flujo RT que se alojan en esa particular SPU. El número de roscas de caudal RT alojados en cada la SPU
varía según el tipo de SPU.
Factor de carga de túnel = número de túneles fijados en la SPU/cantidad total de subprocesos de flujo
RT utilizados por la SPU.
Los túneles dinámicos se delimitan en diferentes SPUs basándose en un algoritmo de operación por
turnos. No se garantiza que los túneles dinámicos recién configurados se delimiten en el nuevo SPC.
A partir de Junos OS versión 18.2 R2 y 18.4 R1, sólo se admitirán todas las funciones existentes de
IPsec VPN que actualmente se admiten en SRX5K-SPC3 (SPC3) en dispositivos SRX5400, SRX5600 y
SRX5800 cuando SRX5K-SPC-4-15-320 (SPC2) y tarjetas SPC3 estén instaladas y funcionan en el
dispositivo en modo de clúster de chasis o en modo independiente.
Cuando se instalan las tarjetas SPC2 y SPC3, puede comprobar la asignación de túnel en diferentes
SPUs mediante show security ipsec tunnel-distribution el comando.
Use el comando show security ike tunnel-map para ver la asignación de túnel en diferentes Spus de
sesión con solo spc2 tarjeta insertada. El comando show security ike tunnel-map no es válido en un
entorno en el que las tarjetas spc2 y SPC3 están instaladas.
Insertando la tarjeta SPC3: Directrices y limitaciones:
• En un clúster de chasis, si uno de los nodos tiene una tarjeta SPC3 y el otro nodo tiene 2 tarjetas
SPC3, no se admite la conmutación por error al nodo que tiene 1 tarjeta SPC3.
• Debe insertar el SPC3 o el SPC2 en un chasis existente en una ranura más alta que en la actual SPC3
presente en una ranura inferior.
• Para que SPC3 ISHU funcione, debe insertar la nueva tarjeta de SPC3 en el número de la ranura
superior.
• En SRX5800 clúster de chasis, no debe insertar la tarjeta de SPC3 en la ranura más alta (Nº de ranura
11) debido al límite de alimentación y distribución de calor.
• No se admite la eliminación de SPC3 Hot.

155
SEE ALSO
Mostrar seguridad de mapa de túnel IKE
Habilitando conjunto de características de IPsec VPN en la tarjeta de

procesamiento de servicios SRX5K SPC3
La línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 requiere el paquete para instalar y habilitar
cualquiera de las características de junos-ike VPN IPsec. De forma predeterminada, el paquete se instala
en las versiones junos-ike de Junos OS 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores para la línea de
dispositivos SRX5000 con RE3. Como resultado, el proceso se ejecuta en el motor de enrutamiento de
forma predeterminada en lugar de un demonio de administración de claves ikedikemd IPsec (kmd).
Si desea usar el proceso KMD para habilitar la función VPN IPsec en lugar de la configuración
predeterminada ICR, ejecute request system software delete junos-ike el comando.
Para comprobar el paquete junos-ike instalado, utilice el siguiente comando:
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]

JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
SEE ALSO
Mostrar las asociaciones de seguridad IPSec de seguridad

Mostrar seguridad IPSec túnel-distribución
156
Compatibilidad de características VPN IPsec en la línea de dispositivos

SRX5000 con SRX5K-SPC3 y vSRX instancias con un paquete nuevo
in this section
No se admiten características VPN IPsec | 156
En este tema, se proporciona un resumen de las características y configuraciones de VPN IPsec que no
son compatibles con la línea de dispositivos SRX5000 con SPC3 y en vSRX instancia.
La característica VPN IPsec es compatible con dos procesos y en ikedikemd SRX5K-SPC3 y vSRX
instancia. Una sola instancia iked de y se ejecutará en el motor de enrutamiento a la ikemd vez.
De forma predeterminada, el paquete se instala en las versiones Junos-ike de Junos OS 20.1R2, 20.2R2,
20.3R2, 20.4R1 y posteriores para la línea de dispositivos SRX5000 con RE3, y tanto el proceso como el
se ejecuta en el motor de ikedikemd enrutamiento.
Para reiniciar ikemd el proceso en el motor de rutina, utilice el restart ike-config-management comando.
Para reiniciar iked el proceso en motor de enrutamiento use el restart ike-key-management comando.
Si desea usar el proceso KMD para habilitar la función VPN IPsec en lugar de la configuración
predeterminada ICR, ejecute request system software delete junos-ike el comando.
No se admiten características VPN IPsec
Para determinar si una característica es compatible con una plataforma específica o Junos OS versión,
consulte el Explorador de características.
Tabla 8: Compatibilidad de características VPN IPsec en dispositivos serie SRX y vSRX activas
Características Compatibilidad con la línea de

dispositivos SRX 5000 con SRX5K-
SPC3 y vSRX instancia
VPN de detección automática (ADVPN). No

157
(Continued)

Modo punto a multipunto de multidifusión de protocolo No

AutoVPN independiente (PIM).
AutoVPN RIP compatible con el tráfico de unidifusión. No
La detección de reenvío bidireccional (BFD) sobre OSPFv3 rutas No se admite en vSRX

en st0 interfaz.
Configurar la clase de reenvío en VPN de IPsec. No
Modo de configuración (Draft-Dukes-con-MODE-cfg-03). No
Detección de pares inactivos (DPD) y failover de puerta de La conmutación por error de puerta
enlace DPD. de enlace DPD no se admite en
vSRX.
Modos de transporte AH. No
VPN de grupo. No
Temporizadores inactivos para ICR. No
Temporizadores inactivos para IPsec SA. No
Respuesta SPI no válida. No
Duración de ICR SA, en kilobytes. No

158
(Continued)

Sistema lógico. No
VPN manual. No
Tráfico de multidifusión. No
Neighbor Discovery Protocol (NDP) a través de st0 interfaces. No
Configuración del tamaño del paquete para la comprobación de No

la ruta de acceso de IPsec.
Reordenación de paquetes para fragmentos IPv6 a través del No

túnel.
Interfaces de túnel punto a multipunto. No
VPN basada en directivas de IPsec. No
Acceso remoto. No
RIP a través de IPsec. No
Admitir identificadores de ICR de grupo para la configuración Compatible con SRX

de VPN dinámica.
TOS/DSCP respetar IPsec (exterior/interior). Compatible con SRX

159
(Continued)

Enrutamiento estático y dinámico de unidifusión (RIP, OSPF, Compatible con SRX

BGP).
Supervisión de VPN. No
XAuth No
Descripción de VPN de concentrador y periferia
Si crea dos túneles VPN que terminan en un dispositivo, puede configurar un par de rutas para que el
dispositivo dirija el tráfico que sale de un túnel al otro túnel. También debe crear una directiva para
permitir que el tráfico pase de un túnel al otro. Dicha disposición se conoce como VPN radial. (Consulte
Figura 22 en la página 160.)
También puede configurar varias VPN y enrutar el tráfico entre dos túneles cualesquiera.
160
Los dispositivos serie SRX solo admiten la característica radial basada en rutas.
Figura 22: Varios túneles en una configuración VPN de concentrador y periferia
SEE ALSO
release-history

in release-
history
20.1R2 De forma predeterminada, el paquete se instala en las versiones junos-ike de Junos OS 20.1R2,
20.2R2, 20.3R2, 20.4R1 y posteriores para la línea de dispositivos SRX5000 con RE3. Como
resultado, el proceso se ejecuta en el motor de enrutamiento de forma predeterminada en lugar
de un demonio de administración de claves ikedikemd IPsec (kmd).
19.1R1 A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos
DH 15, 16 y 21.

161

5
Descripción general de la
configuración de VPN

163
Introducción a la configuración de IPsec VPN
in this section
Introducción a la configuración de IPsec VPN con Autokey ICR | 163
Introducción a la configuración de claves manuales de IPsec VPN | 165
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas | 166
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP
dinámicas | 167
Descripción de VPN de IPsec con extremos dinámicos | 169
Descripción de ICR configuración de identidad | 171
Configuración de identificadores de ICR remotos para VPN de sitio a sitio | 174
Ejemplo Configuración de la autenticación IPsec para una interfaz de OSPF en un dispositivo serie
SRX | 177
Configuración de IPsec VPN mediante el Asistente para VPN | 184
Ejemplo Configuración de una VPN de concentrador y periferia | 184
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico
remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos
tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para
proteger la comunicación VPN se crea un túnel IPsec entre dos dispositivos participantes.
Introducción a la configuración de IPsec VPN con Autokey ICR
La negociación VPN de IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal
seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian
la SA IPsec para autenticar el tráfico que fluirá a través del túnel.
En esta introducción se describen los pasos básicos para configurar una VPN basada en rutas o IPsec
que utilice Autokey ICR (claves previamente compartidas o certificados).
Para configurar una VPN basada en rutas o IPsec con Autokey ICR:
164
1. Configurar interfaces, zonas de seguridad e información de la libreta de direcciones.

(Para VPN basadas en la ruta) Configurar una interfaz st0. x de túnel seguro. Configure el
enrutamiento en el dispositivo.
2. Configure la fase 1 del túnel VPN de IPsec.
a) Adicional Configure una propuesta de ICR de la fase 1 personalizada. Este paso es opcional, ya
que puede usar un conjunto de propuestas ICR fase 1 predefinida (estándar, compatible o básico).
b) Configure una directiva de ICR que haga referencia a la propuesta de propuesta de fase 1
personalizada de ICR o a un conjunto predefinido de propuestas de fase 1 de ICR. Especifique
Autokey ICR clave previamente compartida o información de certificado. Especifique el modo
(principal o agresivo) para los intercambios de la fase 1.
c) Configure una puerta de enlace de ICR que haga referencia a la Directiva ICR. Especifique los ID
ICR para los dispositivos locales y remotos. Si no se conoce la dirección IP de la puerta de enlace
remota, especifique cómo se va a identificar la puerta de enlace remota.
3. Configure la fase 2 del túnel VPN de IPsec.
a) Adicional Configure una propuesta de la fase 2 de IPsec personalizada. Este paso es opcional, ya
que puede usar un conjunto predefinido de propuesta de fase 2 de IPsec (estándar, compatible o
básico).
b) Configure una directiva IPsec que haga referencia a la propuesta de IPsec Phase 2 personalizada o
a un conjunto predefinido de propuestas de fase 2 de IPsec. Especificar las claves de
confidencialidad directa perfecta (PFS).
c) Configure un túnel VPN de IPsec que haga referencia tanto a la puerta de enlace de ICR como a la
directiva IPsec. Especifique los identificadores de proxy que se usarán en las negociaciones de
fase 2.
(Para VPN basadas en la ruta) Enlace la interfaz de túnel seguro st0. x al túnel VPN de IPsec.
4. Configure una directiva de seguridad para permitir el tráfico desde la zona de origen a la zona de
destino.
(Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de la Directiva de seguridad
con el nombre del túnel VPN de IPsec que configuró.
5. Actualice su configuración de VPN global.
SEE ALSO
Descripción de VPN de IPsec basadas en rutas

Descripción de VPN de IPsec basadas en directivas
165
Introducción a la configuración de claves manuales de IPsec VPN
En esta introducción se describen los pasos básicos para configurar una VPN de IPsec basada en rutas o
de Directiva mediante claves manuales.
Para configurar una VPN de IPsec basada en rutas o en la Directiva mediante claves manuales:
1. Configurar interfaces, zonas de seguridad e información de la libreta de direcciones.

(Para VPN basadas en la ruta) Configurar el enrutamiento. Configurar una interfaz st0. x de túnel
seguro.
2. Configure un túnel VPN de IPsec especificando los siguientes parámetros:
• Algoritmo y clave de autenticación
• Algoritmo y clave de cifrado
• Interfaz de salida
• Dirección IP del interlocutor
• Protocolo IPsec para la Asociación de seguridad
• Índice de parámetros de seguridad
(Para VPN basadas en la ruta) Enlace la interfaz de túnel seguro st0. x al túnel VPN de IPsec.
3. Configure la Directiva de seguridad para permitir el tráfico desde la zona de origen a la zona de
destino.
(Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de la Directiva de seguridad
con el nombre del túnel VPN de IPsec que configuró.
SEE ALSO

Ejemplo Configuración de una VPN manual de IPsec para IPv6
166
Opciones de configuración recomendadas para VPN de sitio a sitio con

direcciones IP estáticas
Tabla 9 en la página 166enumera las opciones de configuración de una VPN de sitio a sitio genérica
entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o
en una directiva.
Tabla 9: Configuración recomendada para VPN de sitio a sitio con direcciones IP estáticas
Opción de configuración Coment
ICR opciones de configuración:
Autokey ICR con certificados No se recomienda usar la tecla manual.
Modo principal Se utiliza cuando los interlocutores tienen direcciones IP estáticas.
Certificados RSA o DSA Los certificados RSA o DSA se pueden usar en el dispositivo local.
Especifique el tipo de certificado (PKCS7 o X. 509) en el
interlocutor.
Grupo Diffie-Hellman (DH) 14 El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2
o 5.
Cifrado de estándar de cifrado AES es criptográficamente más seguro que el estándar de cifrado
avanzado (AES) de datos (DES) y triple DES (3DES) cuando las longitudes de clave
son iguales. Algoritmo de cifrado aprobado para estándares de
estándares federales de procesamiento de la información (FIPS) y
Common Criteria EAL4.
Autenticación de algoritmo de SHA-256 proporciona mayor seguridad de cifrado que SHA-1 o

hash seguro 256 (SHA-256) Message Digest 5 (MD5).
Opciones de configuración de IPsec:

167
Tabla 9: Configuración recomendada para VPN de sitio a sitio con direcciones IP estáticas (Continued)
Confidencialidad directa PFS DH grupo 14 proporciona mayor seguridad porque los

perfecta (PFS) grupo DH 14 interlocutores realizan un segundo intercambio DH para generar la
clave utilizada para el cifrado y descifrado de IPsec.
Protocolo ESP (carga de ESP proporciona la confidencialidad a través del cifrado y

seguridad de encapsulación) encapsulación del paquete IP original y de su integridad mediante la
autenticación.
Encriptación AES AES es criptográficamente más seguro que DES y 3DES cuando las
longitudes de clave son iguales. Algoritmo de cifrado aprobado para
los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256 SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5.
Protección contra la Habilitada de forma predeterminada. Si deshabilita esta

reproducción característica, puede que se resuelvan los problemas de
compatibilidad con los interlocutores de terceros.
SEE ALSO
Opciones de configuración recomendadas para VPN de sitio a sitio o de

acceso telefónico con direcciones IP dinámicas
Tabla 10 en la página 168enumera las opciones de configuración de una VPN de sitio a sitio genérica o
de acceso telefónico, donde los dispositivos del mismo nivel tienen direcciones IP dinámicas.
168
Tabla 10: Configuración recomendada para VPN de sitio a sitio o de acceso telefónico con direcciones
IP dinámicas
ICR opciones de configuración:
Autokey ICR con certificados No se recomienda usar la tecla manual.
Modo principal Se utiliza con certificados.
certificados de 2048 bits Se pueden usar certificados RSA o DSA. Especifique el certificado
que se utilizará en el dispositivo local. Especifique el tipo de
certificado (PKCS7 o X. 509) en el interlocutor.
Grupo Diffie-Hellman (DH) 14 El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2
o 5.
Cifrado de estándar de cifrado AES es criptográficamente más seguro que el estándar de cifrado
avanzado (AES) de datos (DES) y triple DES (3DES) cuando las longitudes de clave
son iguales. Algoritmo de cifrado aprobado para estándares de
estándares federales de procesamiento de la información (FIPS) y
Common Criteria EAL4.
Autenticación de algoritmo de SHA-256 proporciona mayor seguridad de cifrado que SHA-1 o

hash seguro 256 (SHA-256) Message Digest 5 (MD5).
Opciones de configuración de IPsec:
Confidencialidad directa PFS DH grupo 14 proporciona mayor seguridad porque los

perfecta (PFS) grupo DH 14 interlocutores realizan un segundo intercambio DH para generar la
clave utilizada para el cifrado y descifrado de IPsec.
Protocolo ESP (carga de ESP proporciona la confidencialidad a través del cifrado y

seguridad de encapsulación) encapsulación del paquete IP original y de su integridad mediante
la autenticación.
169
Tabla 10: Configuración recomendada para VPN de sitio a sitio o de acceso telefónico con direcciones
IP dinámicas (Continued)
Encriptación AES AES es criptográficamente más seguro que DES y 3DES cuando las
longitudes de clave son iguales. Algoritmo de cifrado aprobado para
los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256 SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5.
Protección contra la Habilitada de forma predeterminada. Si lo deshabilita, puede que se

reproducción resuelvan los problemas de compatibilidad con los interlocutores de
terceros.
SEE ALSO
Descripción de VPN de IPsec con extremos dinámicos
in this section
ICR identidad | 170
Modo de borrado absoluto para la Directiva IKEv1 | 170
Políticas de ICR e interfaces externas | 171
TDR | 171
Identificadores de ICR agrupados y compartidos | 171

170
Un IPsec del mismo nivel de VPN puede tener una dirección IP que el interlocutor con el que está
estableciendo la conexión VPN no conoce. Por ejemplo, un interlocutor puede tener una dirección IP
asignada dinámicamente mediante el protocolo de configuración dinámica de host (DHCP). Éste podría
ser el caso con un cliente de acceso remoto en una sucursal o una oficina de casa o un dispositivo móvil
que se mueve entre ubicaciones físicas diferentes. O bien, el par se puede encontrar detrás de un
dispositivo TDR que traduce la dirección IP de origen original del par a una dirección diferente. Una VPN
peer con una dirección IP desconocida se conoce como extremo dinámico y una VPN establecida con un
extremo dinámico se conoce como una VPN de extremo dinámico.
En serie SRX dispositivos, IKEv1 o IKEv2 se admite con VPN de extremo dinámico. Las VPN de extremo
dinámico en serie SRX dispositivos admiten el tráfico IPv4 en túneles seguros. A partir de Junos OS
Release 15.1-D80, las VPN de extremo dinámico en los dispositivos serie SRX admiten tráfico IPv6 en
túneles seguros.
El tráfico IPv6 no es compatible con las redes AutoVPN.
En las siguientes secciones se describen los elementos que se deben tener en cuenta al configurar una
VPN con un extremo dinámico.
ICR identidad
En el extremo dinámico, debe configurarse una ICR identidad para que el dispositivo se identifique a sí
mismo en el mismo nivel. Se verifica la identidad local del extremo dinámico en el interlocutor. De forma
predeterminada, serie SRX dispositivo espera que la identidad del ICR sea una de las siguientes:
• Cuando se utilizan certificados, se puede usar un nombre completo (DN) para identificar a los
usuarios o a una organización.
• Un nombre de host o FQDN (Fully Qualified Domain Name) que identifica el extremo.
• Un nombre de dominio completo del usuario (UFQDN), también conocido como usuario en host. Se
trata de una cadena que sigue el formato de dirección de correo electrónico.
Modo de borrado absoluto para la Directiva IKEv1
Cuando IKEv1 se utiliza con VPN de extremo dinámico, la Directiva de ICR debe configurarse para el
modo intenso. IKEv2 no usa el modo agresivo, por lo que puede configurar el modo principal o agresivo
al usar IKEv2 con VPN de extremo dinámico.
171
Políticas de ICR e interfaces externas
A partir de Junos OS versión 12.3 X48-D40, Junos OS Release 15.1 X49-D70 y Junos OS Release R1,
todas las puertas de enlace dinámicas configuradas en serie SRX los dispositivos que utilizan la misma
interfaz externa pueden utilizar distintas directivas ICR, pero las políticas ICR deben usar la misma
propuesta de ICR. Esto se aplica a IKEv1 e IKEv2.
TDR
Si el extremo dinámico está detrás de un dispositivo TDR, TDR-T debe configurarse en el dispositivo
serie SRX. TDR Keepalives podrían ser necesarias para mantener el TDR la traducción durante la
conexión entre los interlocutores VPN. De forma predeterminada, TDR-T está habilitado en los
dispositivos serie SRX y TDR keepalive se envían a intervalos de 20 segundos.
Identificadores de ICR agrupados y compartidos
Puede configurar un túnel VPN individual para cada extremo dinámico. Para VPN de extremo dinámico
de IPv4, puede usar las características de ID ICR de grupo o de ID. compartidos de ICR para permitir que
una serie de extremos dinámicos compartan una configuración ICR puerta de enlace.
El ID ICR grupo le permite definir una parte común de un ID de ICR completo para todos los puntos de
conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario
"Bob", concatenada con la parte común, forma un ID de ICR completo (Bob.example.net) que identifica
de forma exclusiva a cada conexión de usuario.
El identificador de ICR compartidos permite a los extremos dinámicos compartir un único ID ICR y una
clave previamente compartida.
SEE ALSO
Descripción de ICR configuración de identidad
in this section
ICR tipos de ID | 172

172
Identificadores de ICR remoto y VPN de sitio a sitio | 173
Identificadores de ICR remoto y VPN de extremo dinámico | 173
ID. de ICR local del dispositivo serie SRX | 173
La identificación de ICR (ID ICR) se utiliza para la validación de dispositivos VPN del mismo nivel durante
la negociación ICR. El ICR ID recibido por el dispositivo serie SRX desde un elemento del mismo nivel
remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un FQDN, un FQDN de usuario
(UFQDN) o un nombre completo (DN). El identificador de ICR enviado por el interlocutor remoto debe
coincidir con lo que espera el dispositivo serie SRX. De lo contrario, se produce un error en la validación
del identificador ICR y no se establece la VPN.
ICR tipos de ID
Los dispositivos serie SRX admiten los siguientes tipos de identidades de ICR para los interlocutores
remotos:
• Una dirección IPv4 o IPv6 se utiliza comúnmente con VPN de sitio a sitio, donde el interlocutor
remoto tiene una dirección IP estática.
• Un nombre de host es una cadena que identifica el sistema del mismo nivel remoto. Puede ser un
FQDN que se resuelva en una dirección IP. También puede ser un FQDN parcial que se utiliza junto
con un tipo de usuario ICR para identificar a un usuario remoto específico.
Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el
siguiente establecimiento del túnel se basan en la dirección IP resuelta actualmente. Si cambia la
dirección IP del par remoto, la configuración ya no es válida.
• Una UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico,
user@example.comcomo.
• Un DN es un nombre que se utiliza con certificados digitales para identificar de forma exclusiva a un
usuario. Por ejemplo, una DN puede ser "CN=user, DC=example, DC=com." Opcionalmente, puede
usar la palabra clave para especificar que el orden de los campos de una DN y sus valores coincidan
exactamente con la DN configurada, o usar la palabra clave para especificar que los valores de los
campos de una DN deben coincidir, pero el orden de los campos containerwildcard no importa.
A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo DN dinámico
entre container-string y wildcard-string en [edit security ike gateway gateway_name dynamic
distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de configurar el
primer atributo, el primero se sustituye por el segundo atributo. Antes de actualizar el dispositivo,
debe eliminar uno de los atributos si ha configurado ambos atributos.
173
• Se puede usar un ICR tipo de usuario con AutoVPN y VPN de acceso remoto cuando hay varios
interlocutores remotos que se conectan a la misma puerta de enlace VPN en el dispositivo serie SRX.
Configure ike-user-type group-ike-id para especificar un id de ICR ike-user-type shared-ike-id de
grupo o para especificar un ID de ICR compartido.
Identificadores de ICR remoto y VPN de sitio a sitio
Para VPN de sitio a sitio, el ID de ICR del par remoto puede ser la dirección IP de la tarjeta de interfaz de
red de salida, una dirección de circuito cerrado, un nombre de host o un ID de ICR configurado
manualmente, dependiendo de la configuración del dispositivo par.
De forma predeterminada, los dispositivos serie SRX esperan que el ID de ICR remoto sea la dirección IP
configurada con la set security ike gateway gateway-name address configuración. Si el ID de ICR
remoto es un valor diferente, debe configurar la instrucción remote-identity en el nivel de jerarquía
[ edit security ike gateway gateway-name ].
Por ejemplo, una puerta de enlace de ICR en los dispositivos serie SRX se set security ike gateway
remote-gateway address 203.0.113.1 configura con el comando. Sin embargo, el identificador de ICR
enviado por el interlocutor host.example.netremoto es. Hay una discordancia entre lo que espera el
dispositivo de la serie SRX para el ID de ICR del par remoto (203.0.113.1) y el ID de ICR real ( ) enviado
por el host.example.net par. En este caso, se produce un error en la validación del identificador ICR. Use
el set security ike gateway remote-gateway remote-identity hostname host.example.net para hacer
coincidir el identificador de ICR recibido del interlocutor remoto.
Identificadores de ICR remoto y VPN de extremo dinámico
Para VPN de punto de conexión dinámico, el ID de ICR de conexión esperado del par remoto se
configura con las opciones en el edit security ike gateway gateway-name dynamic nivel jerárquico [ ].
Para AutoVPN, hostname se combina ike-user-type group-ike-id con puede usarse donde hay varios
elementos del mismo nivel que tienen un nombre de dominio común. Si se utilizan certificados para
comprobar el elemento del mismo nivel, puede configurarse un DN.
ID. de ICR local del dispositivo serie SRX
De forma predeterminada, el dispositivo serie SRX utiliza la dirección IP de su interfaz externa con el
interlocutor remoto como su ID ICR. Este identificador de ICR puede reemplazarse configurando local-
identity la instrucción en eledit security ike gateway gateway-namenivel de jerarquía []. Si necesita
configurar la local-identity instrucción en un dispositivo serie SRX, asegúrese de que el identificador ICR
configurado coincide con el ID ICR que espera el interlocutor remoto.
174
SEE ALSO
Configuración de identificadores de ICR remotos para VPN de sitio a sitio
De forma predeterminada, los dispositivos serie SRX validan el identificador de ICR recibido del
interlocutor con la dirección IP configurada para la puerta de enlace de ICR. En algunas configuraciones
de red, el ICR identificador recibido del sistema del mismo nivel (que puede ser una dirección IPv4 o
IPv6, un nombre de dominio completo [FQDN], un nombre completo o una dirección de correo
electrónico) no coincide con la puerta de enlace de ICR configurada en el dispositivo serie SRX. Esto
puede conducir a un fallo en la validación de la fase 1.
Para modificar la configuración del dispositivo de serie SRX o del dispositivo del mismo nivel para el ID.
de ICR que se usa:
• En el dispositivo de serie SRX, configure la remote-identity instrucción enedit security ike gateway
gateway-nameel nivel de jerarquía [] para que coincida con el ID ICR que se recibe del elemento del
mismo nivel. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o
direcciones de correo electrónico.
Si no lo configura remote-identity, el dispositivo usa la dirección IPv4 o IPv6 que corresponde al

interlocutor remoto de forma predeterminada.
• En el dispositivo del mismo nivel, asegúrese de que el ID ICR sea igual remote-identity que el que se
configuró en el dispositivo serie SRX. Si el dispositivo del mismo nivel es un dispositivo serie SRX,
local-identity configure la instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía
[]. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o direcciones de
correo electrónico.
SEE ALSO
Descripción TDR-T
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un dispositivo
TDR
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de
un dispositivo TDR
175
Descripción de la autenticación OSPF y OSPFv3 en dispositivos serie

SRX
OSPFv3 no cuenta con un método de autenticación integrado y se basa en el conjunto de seguridad IP

(IPsec) para proporcionar esta funcionalidad. IPsec proporciona autenticación de origen, integridad de
datos, confidencialidad, protección de reproducción y no rechazo del código fuente. Puede utilizar IPsec
para proteger interfaces OSPFv3 específicas y vínculos virtuales, así como para proporcionar cifrado
para paquetes OSPF.
OSPFv3 utiliza el encabezado de autenticación IP (AH) y las partes de carga de seguridad de

encapsulación (ESP) del protocolo IPsec para autenticar la información de enrutamiento entre iguales del
mismo nivel. AH puede proporcionar integridad sin conexión y autenticación del origen de los datos.
También proporciona protección contra las reproducciones. AH autentica tantos encabezados IP como
sea posible, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de
encabezado IP pueden cambiar durante el tránsito. Dado que es posible que el remitente no pueda
predecir el valor de estos campos, no pueden protegerse por AH. ESP puede proporcionar cifrado y
confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y
un servicio anti-reproducción.
IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se
negocian entre los dispositivos que establecen una relación IPsec. Esta conexión símplex proporciona
servicios de seguridad a los paquetes que transporta la SA. Estas especificaciones incluyen preferencias
para el tipo de autenticación, cifrado e protocolo IPsec que se utilizará al establecer la conexión IPsec.
Una SA se utiliza para cifrar y autenticar un flujo determinado en una sola dirección. Por lo tanto, en el
tráfico bidireccional normal, los flujos se protegen mediante un par de SA. Una SA que se va a usar con
OSPFv3 debe configurarse manualmente y usar el modo de transporte. Los valores estáticos deben estar
configurados en ambos extremos de la SA.
Para configurar IPsec para el OSPF o OSPFv3, defina primero una SA manual con security-association
sa-name la opción en eledit security ipsecnivel jerarquía []. Esta característica solo admite SAs de clave
manual bidireccional en el modo de transporte. Las SA manuales no requieren ninguna negociación entre
los interlocutores. Todos los valores, incluidas las claves, son estáticos y se especifican en la
configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves de índice de
parámetros de seguridad (SPI) que se deben utilizar y requieren configuraciones coincidentes en ambos
puntos de conexión (OSPF o OSPFv3 del mismo nivel). Como resultado, cada interlocutor debe tener las
mismas opciones configuradas para que la comunicación tenga lugar.
La elección real del cifrado y los algoritmos de autenticación quedará a su administrador de IPsec; sin
embargo, tenemos las siguientes recomendaciones:
• Utilice ESP con cifrado nulo para proporcionar autenticación a encabezados de protocolo, pero no al
encabezado de IPv6, a los encabezados de extensión y a las opciones. Con el cifrado nulo, se elige no
proporcionar cifrado en los encabezados de protocolo. Esto puede ser útil para la solución de
176
problemas y la depuración. Para obtener más información acerca del cifrado null, consulte RFC 2410,
El algoritmo de cifrado NULL y su uso con IPsec.
• Utilice ESP con DES o 3DES para obtener la máxima confidencialidad.
• Utilice AH para proporcionar autenticación a encabezados de protocolo, campos inmutables en

encabezados de IPv6, y encabezados y opciones de extensión.
La SA configurada se aplica a las configuraciones OSPF o OSPFv3 de la manera siguiente:
• Para una interfaz OSPF o OSPFv3, incluya la ipsec-sa name instrucción en el niveledit protocols ospf
area area-id interface interface-namede jerarquía [edit protocols ospf3 area area-id interface
interface-name] o []. Solo se puede especificar un nombre de Asociación de IPsec para una interfaz
OSPF o OSPFv3; sin embargo, distintas interfaces OSPF/OSPFv3 pueden especificar la misma SA de
IPsec.
• Para un vínculo virtual OSPF o OSPFv3, incluya la ipsec-sa name instrucción en el niveledit protocols
ospf area area-id virtual-link neighbor-id router-id transit-area area-idde jerarquía [edit protocols
ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] o []. Debe configurar la
misma asociación de IPsec para todos los vínculos virtuales con la misma dirección de extremo
remoto.
Las siguientes restricciones se aplican a la autenticación IPsec para el OSPF o OSPFv3 en los
dispositivos serie SRX:
• Las configuraciones de VPN manuales configuradas enedit security ipsec vpn vpn-name manualel
nivel [] no pueden aplicarse a OSPF o a interfaces ospfv3 o vínculos virtuales para proporcionar
confidencialidad y autenticación IPSec.
• No puede configurar IPsec para la autenticación OSPF o OSPFv3 si hay una VPN IPsec configurada
en el dispositivo con las mismas direcciones local y remota.
• No se admite IPsec para la autenticación OSPF o OSPFv3 a través de interfaces de st0 de túnel
seguras.
• No se admite la regeneración de claves manuales.
• No se admiten las SA de Intercambio de claves por red dinámicas (ICR).
• Solo se admite el modo de transporte IPsec. En el modo de transporte, solo se cifra, autentica o se
realiza una de ambas cargas (los datos que transfiere) del paquete IP. No se admite el modo de túnel.
• Dado que solo se admiten las SA manuales bidireccionales, todos los OSPFv3 del mismo nivel deben
estar configurados con la misma SA de IPsec. Configure una SA bidireccional manual en el niveledit
security ipsec[] de la jerarquía.
• Debe configurar la misma asociación de IPsec para todos los vínculos virtuales con la misma dirección
de extremo remoto.
177
SEE ALSO
Ejemplo Configuración de la autenticación IPsec para una interfaz de

OSPF en un dispositivo serie SRX
in this section
Aplicables | 177
Automática | 178
Comproba | 183
En este ejemplo, se muestra cómo configurar y aplicar una asociación de seguridad manual (SA) a una
interfaz de OSPF.
Aplicables
Antes de empezar:
• Configure las interfaces del dispositivo.
• Configure los identificadores de enrutadores para los dispositivos de su OSPF red.
• Controle OSPF las elecciones del enrutador designadas.
• Configurar una red de OSPF de una sola área.
• Configurar una red OSPF multiárea.
Puede utilizar la autenticación IPsec para OSPF y OSPFv3. Configure el SA manual por separado y
aplíquelo a la configuración de OSPF correspondiente. Tabla 11 en la página 178 enumera en este
ejemplo los parámetros y valores configurados para el SA manual.
178
Tabla 11: SA manual para IPsec OSPF la autenticación de interfaz
Parámetro Valor
Nombre de SA sa1
Medio transmisión
Dirección bidireccional
Protocolo ENCABEZADO
SPI 256
Algoritmo de autenticación hmac-md5-96
Fundamentales (ASCII) 123456789012abc
Algoritmo de cifrado peste
Fundamentales (ASCII) cba210987654321
Automática
in this section
Configuración de un manual SA | 178
Habilitar la autenticación IPsec para una interfaz OSPF | 181
Configuración de un manual SA
Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz
OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea,
179
cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los
comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit
configuración.
[edit]
set security ipsec security-association sa1
set security ipsec security-association sa1 mode transport
set security ipsec security-association sa1 manual direction bidirectional
protocol ah
set security ipsec security-association sa1 manual direction bidirectional spi
256
authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
encryption algorithm des key ascii-text cba210987654321
Para configurar una SA manual:
1. Especifique un nombre para la SA.
[edit]
user@host# edit security ipsec security-association sa1
2. Especifique el modo de la SA manual.
[edit security ipsec security-association sa1]

user@host# set mode transport
180
3. Configure la dirección del manual de SA.

user@host# set manual direction bidirectional
4. Configure el protocolo IPsec que se va a utilizar.

user@host# set manual direction bidirectional protocol ah
5. Configure el valor del IRP.

user@host# set manual direction bidirectional spi 256
6. Configure el algoritmo y la clave de autenticación.

user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text
123456789012abc
7. Configure el algoritmo y la clave de cifrado.

user@host# set manual direction bidirectional encryption algorithm des key ascii-text
cba210987654321
Resultados
Confirme su configuración introduciendo el show security ipsec comando. Si el resultado no muestra la

configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
181
Después de configurar la contraseña, no verá la propia contraseña. El resultado muestra la forma

codificada de la contraseña configurada.
[edit]
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text
"$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text
"$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Habilitar la autenticación IPsec para una interfaz OSPF
Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie
el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan
con su configuración de red, copie y pegue el comando en el CLI en el nivel de jerarquía [ ] y, luego,
ingrese desde el modo de editcommit configuración.
[edit]
set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
182
Para habilitar la autenticación IPsec para una interfaz de OSPF:
1. Cree un área OSPF.
Para especificar OSPFv3, incluya la ospf3 instrucción en el [edit protocols] nivel de jerarquía.
[edit]
user@host# edit protocols ospf area 0.0.0.0
2. Especifique la interfaz.
[edit protocols ospf area 0.0.0.0]

user@host# edit interface so-0/2/0
3. Aplique la Asociación manual de IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0]

user@host# set ipsec-sa sa1
Resultados
Confirme su configuración introduciendo el show ospf interface detail comando. Si el resultado no

muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Para confirmar la configuración de OSPFv3, escriba el show protocols ospf3 comando.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}

183
Comproba
in this section
Comprobación de la configuración de la Asociación de seguridad IPsec | 183
Comprobación de la Asociación de seguridad IPsec en la interfaz de OSPF | 183
Comprobación de la configuración de la Asociación de seguridad IPsec
Purpose
Compruebe la configuración de la Asociación de seguridad IPsec configurada. Compruebe la siguiente

información:
• El campo Asociación de seguridad muestra el nombre de la Asociación de seguridad configurada.
• El campo IRP muestra el valor que ha configurado.
• El campo modo muestra el modo de transporte.
• El campo tipo muestra manual como el tipo de Asociación de seguridad.
Intervención
En modo operativo, escriba el show ospf interface detail comando.
Comprobación de la Asociación de seguridad IPsec en la interfaz de OSPF
Purpose
Compruebe que la Asociación de seguridad IPsec configurada se ha aplicado a la interfaz de OSPF.

Confirme que el campo Nombre SA de IPsec muestra el nombre de la Asociación de seguridad IPsec
configurada.
Intervención
Desde el modo operativo, escriba el show ospf interface detail comando para OSPF y escriba el
comando para show ospf3 interface detail OSPFv3.
184
SEE ALSO
Configuración de IPsec VPN mediante el Asistente para VPN
El asistente VPN le permite ejecutar la configuración básica de VPN IPsec, incluidas la fase 1 y la fase 2.
Para obtener una configuración más avanzada, utilice la interfaz J-web o la CLI. Esta característica es
compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Para configurar IPsec VPN mediante el Asistente para VPN:
1. Seleccione Configure>Device Setup>VPN en la interfaz J-Web.

2. Haga clic en el botón Asistente para iniciar VPN.
3. Siga las indicaciones del asistente.
El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de
configuración. El área izquierda inferior de la página muestra ayuda sensible al campo. Al hacer clic en un
vínculo en el encabezado recursos, el documento se abre en el explorador. Si el documento se abre en
una nueva ficha, asegúrese de cerrar únicamente la ficha (no la ventana del explorador) cuando cierre el
documento.
SEE ALSO

in this section
Aplicables | 185
Automática | 199
Comproba | 231
185
En este ejemplo se muestra cómo configurar una VPN de IPsec radial para una implementación de clase
empresarial.
Aplicables
Este ejemplo utiliza el siguiente hardware:
• Dispositivo SRX240
• Dispositivo SSG140
Antes de comenzar, lea Introducción a VPN de IPSec.
En este ejemplo se describe cómo configurar una VPN de concentrador y periferia que normalmente se
encuentra en las implementaciones de sucursales. El centro es la oficina corporativa y hay dos radios:
una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachussets. Los usuarios de las
sucursales utilizarán la VPN para transferir datos de forma segura con la oficina corporativa.
186
Figura 23 en la página 187muestra un ejemplo de una topología VPN radial. En esta topología, un
dispositivo SRX5800 se encuentra en la oficina corporativa. Un dispositivo serie SRX se encuentra en la
sucursal Westford, y un dispositivo SSG140 se encuentra en la rama Sunnyvale.
187
Figura 23: Topología VPN de concentrador y periferia

188
En este ejemplo, puede configurar el concentrador de la oficina corporativa, los radios Westford y los
radios de la Sunnyvale. En primer lugar, configure las interfaces, las rutas estáticas y predeterminadas de
IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR parámetros
Phase 1 e IPsec Phase 2, y enlace la interfaz St 0.0 al VPN de IPsec. En el concentrador, configure St 0.0
para multipoint y agregue una entrada de la tabla NHTB estática para The Sunnyvale Spokes. Por último,
configure la Directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 12 en la página 188 a
Tabla 16 en la página 199 través de los parámetros de configuración específicos que se utilizan en este
ejemplo.
Tabla 12: Información de interfaz, zona de seguridad y libreta de direcciones
Concentrador o Función Nombre Parámetros de

periferia configuración
Navegación Interfaces ge-0/0/0.0 192.168.10.1/24
ge-0/0/3.0 10.1.1.2/30
st0 10.11.11.10/24
Feria Interfaces ge-0/0/0.0 10.3.3.2/30
ge-0/0/3.0 192.168.178.1/24
st0 10.11.11.12/24
Navegación Zonas de seguridad confia • Se permiten todos

los servicios del
sistema.
• La interfaz
GE-0/0/0.0 está
enlazada a esta zona.
189
Tabla 12: Información de interfaz, zona de seguridad y libreta de direcciones (Continued)

no fiable • ICR es el único

servicio de sistema
permitido.
• La interfaz
GE-0/0/3.0 está
virtuales La interfaz St 0.0 está

Feria Zonas de seguridad confia • Se permiten todos

los servicios del
sistema.
• La interfaz
GE-0/0/3.0 está
no fiable • ICR es el único

servicio de sistema
permitido.
• La interfaz
GE-0/0/0.0 está
virtuales La interfaz St 0.0 está

190

Navegación Entradas de la libreta local-net • Esta dirección es

de direcciones para la libreta de
direcciones de la
zona de confianza.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.10.0/24.
Sunnyvale-net • Esta libreta de

direcciones está para
la libreta de
direcciones de la
zona VPN.
de direcciones es
192.168.168.0/24.
Westford-net • Esta dirección es

para la libreta de
direcciones de la
zona VPN.
de direcciones es
192.168.178.0/24.
191

Feria Entradas de la libreta local-net • Esta dirección es

de direcciones para la libreta de
direcciones de la
zona de confianza.
de direcciones es
192.168.168.178.0/
24.
Corp net • Esta dirección es

para la libreta de
direcciones de la
zona VPN.
de direcciones es
192.168.10.0/24.
Sunnyvale-net • Esta dirección es

para la libreta de
direcciones de la
zona VPN.
de direcciones es
192.168.168.0/24.
192
Tabla 13: Parámetros de configuración de ICR fase 1

Navegación Clasificado ike-phase1-proposal • Método de

autenticación: claves
previamente
compartidas
• Grupo Diffie-
Hellman: group2
• Algoritmo de
autenticación: sha1
• Algoritmo de cifrado:
aes-128-cbc
Políticas ike-phase1-policy • Medio

principalmente
• Referencia de la
propuesta: ike-
phase1-proposal
• Método de
autenticación de
directiva de fase 1
ICR: texto ASCII con
clave compartida
previa
193
Tabla 13: Parámetros de configuración de ICR fase 1 (Continued)

Gateway GW-Westford • Referencia de

políticas ICR: ike-
phase1-policy
• Interfaz externa:
ge-0/0/3.0
• Dirección de puerta
de enlace: 10.3.3.2
GW-Sunnyvale • Referencia de
phase1-policy
ge-0/0/3.0
de enlace: 10.2.2.2
Feria Clasificado ike-phase1-proposal • Método de

autenticación: claves
previamente
compartidas
• Grupo Diffie-
Hellman: group2
• Algoritmo de
autenticación: sha1
• Algoritmo de cifrado:
aes-128-cbc
194
Tabla 13: Parámetros de configuración de ICR fase 1 (Continued)

Políticas ike-phase1-policy • Medio

principalmente
• Referencia de la
propuesta: ike-
phase1-proposal
• Método de
autenticación de
directiva de fase 1
ICR: texto ASCII con
clave compartida
previa
Gateway GW-corporativo • Referencia de

phase1-policy
ge-0/0/0.0
de enlace: 10.1.1.2
Tabla 14: Parámetros de configuración de la fase 2 de IPsec
Concentrador o Función Nombre Parámetros de configuración

periferia
Navegación Clasificado ipsec-phase2- • Protocolo sensorial

proposal
• Algoritmo de autenticación: hmac-sha1-96
• Algoritmo de cifrado: aes-128-cbc

195
Tabla 14: Parámetros de configuración de la fase 2 de IPsec (Continued)

periferia
Políticas ipsec-phase2- • Referencia de la propuesta: ipsec-phase2-

policy proposal
• PF Diffie-Hellman grupo2
VIRTUALES VPN-Sunnyvale • Referencia de puerta de enlace ICR: GW-

Sunnyvale
• Referencia de directiva IPsec: ipsec-phase2-

policy
• Enlazar con interfaz: st0.0
VPN-Westford • Referencia de puerta de enlace ICR: GW-

Westford

policy
Feria Clasificado ipsec-phase2- • Protocolo sensorial

proposal
Políticas ipsec-phase2- • Referencia de la propuesta: ipsec-phase2-

policy proposal
196
Tabla 14: Parámetros de configuración de la fase 2 de IPsec (Continued)

periferia
VIRTUALES VPN-Corporate • Referencia de puerta de enlace ICR: GW-

corporativo

policy
Tabla 15: Parámetros de configuración de la Directiva de seguridad
Concentrador Purpose Nombre Parámetros de configuración

o periferia
Navegación La Directiva de locales a los • Criterios de coincidencia:

seguridad permite el radios
tráfico desde la zona de • Dirección de origen-red local
confianza a la zona
• destino-dirección Sunnyvale-net
VPN.
• destino-dirección Westford-net
• aplicación cualquier
La Directiva de radios en el Criterios de coincidencia:

seguridad permite el local
• Source-Address Sunnyvale-net
tráfico desde la zona
VPN hasta la zona de • Source-Address Westford-net
confianza.
• Dirección de destino de la red local
197
Tabla 15: Parámetros de configuración de la Directiva de seguridad (Continued)

o periferia
La Directiva de radio a Criterios de coincidencia:

seguridad permite el periferia
• Source-Address any
tráfico en la zona.
• destino cualquiera
Feria La Directiva de to-Corp • Criterios de coincidencia:

seguridad permite el
tráfico desde la zona de • Dirección de origen-red local
confianza a la zona
• destino-dirección Corp net
VPN.
• destino-dirección Sunnyvale-net
La Directiva de from-Corp Criterios de coincidencia:

seguridad permite el
• Source-Address Corp-net
tráfico desde la zona
VPN hasta la zona de • Source-Address Sunnyvale-net
confianza.
• Dirección de destino de la red local
198

o periferia
La Directiva de permiso- Criterios de coincidencia:

seguridad permite el any
• Source-Address any
tráfico desde la zona de
no confianza hasta la • origen-destino cualquiera
zona de confianza.
• Acción de permiso: interfaz NAT de

origen
Al especificar source-nat interface, el

dispositivo serie SRX traduce la
dirección IP de origen y el puerto para
el tráfico saliente, utilizando la
dirección IP de la interfaz de salida
como dirección IP de origen y un
puerto aleatorio de alto número para el
puerto de origen.
199
Tabla 16: Parámetros de configuración de TCP-MSS
Purpose Parámetros de
configuración
TCC: MSS se negocia como parte del Protocolo de enlace de TCP por tres vías y Valor MSS: 1350
limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites
de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de
IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP
resultante supere la MTU de la interfaz física, lo que produce una fragmentación.
La fragmentación da como resultado un uso más elevado de los recursos de
dispositivos y ancho de banda.
El valor 1350 es un punto de partida recomendado para la mayoría de las redes

basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite
experimentar con distintos valores de TCP-MSS para obtener un rendimiento
óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo
de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional,
como PPP o Frame Relay.
Automática
in this section
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el

concentrador | 200
Configurando ICR para el concentrador | 205
Configuración de IPsec para el concentrador | 208
Configuración de políticas de seguridad para el concentrador | 212
Configurar TCP-MSS para el concentrador | 215
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el Westford de

radios de la periferia | 216
Configuración de ICR para Westford radios | 221
Configuración de IPsec para Westford radios | 224
Configuración de políticas de seguridad para las radios Westford | 227
Configurar TCP-MSS para Westford radios | 229
Configuración del radio de Sunnyvale | 230

200
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el concentrador
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24

set interfaces st0 unit 0 family inet address 10.11.11.10/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
set security zones security-zone untrust interfaces ge-0/0/3.0
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone vpn interfaces st0.0
set security address-book book1 address local-net 192.168.10.0/24
set security address-book book1 attach zone trust
set security address-book book2 address sunnyvale-net 192.168.168.0/24
set security address-book book2 address westford-net 192.168.178.0/24
set security address-book book2 attach zone vpn
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para el
concentrador:
1. Configurar la información de interfaz Ethernet.
[edit]
user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
201
user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30

user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
2. Configurar la información de rutas estáticas.
[edit]
user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
3. Configure la zona de seguridad que no es de confianza.
[edit ]
user@hub# set security zones security-zone untrust
4. Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust]

user@hub# set interfaces ge-0/0/3.0
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

user@hub# set host-inbound-traffic system-services ike
6. Configure la zona de seguridad de confianza.
[edit]
user@hub# edit security zones security-zone trust
7. Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust]

user@hub# set interfaces ge-0/0/0.0
202
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

user@hub# set host-inbound-traffic system-services all
9. Cree una libreta de direcciones y adjúntela a ella una zona.
[edit security address-book book1]

user@hub# set address local-net 10.10.10.0/24
user@hub# set attach zone trust
10. Configure la zona de seguridad VPN.
[edit]
user@hub# edit security zones security-zone vpn
11. Asigne una interfaz a la zona de seguridad VPN.
[edit security zones security-zone vpn]

user@hub# set interfaces st0.0
12. Crear otra libreta de direcciones y conectarle una zona.

user@hub# set address sunnyvale-net 192.168.168.0/24
user@hub# set address westford-net 192.168.178.0/24
user@hub# set attach zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
203
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
204
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}

205
Configurando ICR para el concentrador
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys

set security ike proposal ike-phase1-proposal dh-group group2
set security ike proposal ike-phase1-proposal authentication-algorithm sha1
set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc
set security ike policy ike-phase1-policy mode main
set security ike policy ike-phase1-policy proposals ike-phase1-proposal
set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123”
set security ike gateway gw-westford external-interface ge-0/0/3.0
set security ike gateway gw-westford ike-policy ike-phase1-policy
set security ike gateway gw-westford address 10.3.3.2
set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0
set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy
set security ike gateway gw-sunnyvale address 10.2.2.2
Para configurar ICR para el concentrador:
1. Cree la propuesta ICR fase 1.
[edit security ike]

user@hub# set proposal ike-phase1-proposal
206
2. Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal]

user@hub# set authentication-method pre-shared-keys
3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

user@hub# set dh-group group2
4. Defina el algoritmo de autenticación de propuesta de ICR.

user@hub# set authentication-algorithm sha1
5. Defina el algoritmo de cifrado de la propuesta de ICR.

user@hub# set encryption-algorithm aes-128-cbc
6. Crear una directiva ICR la fase 1.
[edit security ike]

user@hub# set policy ike-phase1-policy
7. Establecer el modo de directiva ICR fase 1.
[edit security ike policy ike-phase1-policy]

user@hub# set mode main
8. Especifique una referencia a la propuesta de ICR.

user@hub# set proposals ike-phase1-proposal
207
9. Defina el método de autenticación de directivas ICR fase 1.

user@hub# set pre-shared-key ascii-text “$ABC123”
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
[edit security ike]

user@hub# set gateway gw-westford external-interface ge-0/0/3.0
11. Defina la referencia de directiva ICR fase 1.
[edit security ike]

user@hub# set gateway gw-westford ike-policy ike-phase1-policy
12. Defina la dirección de puerta de enlace ICR Phase 1.
[edit security ike]

user@hub# set gateway gw-westford address 10.3.3.2
[edit security ike]

user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
[edit security ike gateway]

user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
[edit security ike gateway]

user@hub# set gateway gw-sunnyvale address 10.2.2.2
208
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
}
gateway gw-westford {
address 10.3.3.2;
}
Configuración de IPsec para el concentrador
209
set security ipsec proposal ipsec-phase2-proposal protocol esp

set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc
set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal
set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2
set security ipsec vpn vpn-westford ike gateway gw-westford
set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-westford bind-interface st0.0
set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale
set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-sunnyvale bind-interface st0.0
set interfaces st0 unit 0 multipoint
set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale
set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Para configurar IPsec para el concentrador:
1. Cree una propuesta relativa a la fase 2 de IPsec.
[edit]
user@hub# set security ipsec proposal ipsec-phase2-proposal
2. Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal]

user@hub# set protocol esp
210
3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

user@hub# set authentication-algorithm hmac-sha1-96
4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

user@hub# set encryption-algorithm aes-128-cbc
5. Crear la Directiva de fase 2 de IPsec.
[edit security ipsec]

user@hub# set policy ipsec-phase2-policy
6. Especifique la referencia a la propuesta de la fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy]

user@hub# set proposals ipsec-phase2-proposal
7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.

user@host# set perfect-forward-secrecy keys group2
8. Especifique las puertas de enlace ICR.

user@hub# set vpn vpn-westford ike gateway gw-westford
user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
211
9. Especifique las directivas de la fase 2 de IPsec.

user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy
user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
10. Especifique la interfaz que se va a enlazar.

user@hub# set vpn vpn-westford bind-interface st0.0
user@hub# set vpn vpn-sunnyvale bind-interface st0.0
11. Configure la interfaz st0 como multipunto.
[edit]
user@hub# set interfaces st0 unit 0 multipoint
12. Agregue entradas de la tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.
[edit]
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
}
policy ipsec-phase2-policy {
212
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
ike {
gateway gw-westford;
}
}
Configuración de políticas de seguridad para el concentrador
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-
net
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-
net
set security policies from-zone trust to-zone vpn policy local-to-spokes match application any
set security policies from-zone trust to-zone vpn policy local-to-spokes then permit
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net
set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net
213
set security policies from-zone vpn to-zone trust policy spokes-to-local match application any
set security policies from-zone vpn to-zone trust policy spokes-to-local then permit
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Para configurar las políticas de seguridad del concentrador:
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
[edit security policies from-zone trust to-zone vpn]

user@hub# set policy local-to-spokes match source-address local-net
user@hub# set policy local-to-spokes match destination-address sunnyvale-net
user@hub# set policy local-to-spokes match destination-address westford-net
user@hub# set policy local-to-spokes match application any
user@hub# set policy local-to-spokes then permit
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
[edit security policies from-zone vpn to-zone trust]

user@hub# set policy spokes-to-local match source-address sunnyvale-net
user@hub# set policy spokes-to-local match source-address westford-net
user@hub# set policy spokes-to-local match destination-address local-net
user@hub# set policy spokes-to-local match application any
user@hub# set policy spokes-to-local then permit
3. Crear la Directiva de seguridad para permitir el tráfico en la zona.
[edit security policies from-zone vpn to-zone vpn]

user@hub# set policy spoke-to-spoke match source-address any
user@hub# set policy spoke-to-spoke match destination-address any
214
user@hub# set policy spoke-to-spoke match application any

user@hub# set policy spoke-to-spoke then permit
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
215
}
then {
permit;
}
}
}
Configurar TCP-MSS para el concentrador
set security flow tcp-mss ipsec-vpn mss 1350
Para configurar la información de MSS de TCP para el concentrador:
1. Configure TCP-MSS Information.
[edit]
user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
216
mss 1350;
}
}
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el Westford de

radios de la periferia

set security zones security-zone vpn interfaces st0.0
set security address-book book1 address local-net 192.168.178.0/24
set security address-book book2 address corp-net 10.10.10.0/24
set security address-book book2 address sunnyvale-net 192.168.168.0/24
set security address-book book2 attach zone vpn
217
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para la
Westford radios:
[edit]
user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30
user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24
user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
[edit]
user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1
[edit]
user@spoke# set security zones security-zone untrust
4. Asigne una interfaz a la zona de seguridad.

user@spoke# set interfaces ge-0/0/0.0

user@spoke# set host-inbound-traffic system-services ike
[edit]
user@spoke# edit security zones security-zone trust
218

user@spoke# set interfaces ge-0/0/3.0

user@spoke# set host-inbound-traffic system-services all
[edit]
user@spoke# edit security zones security-zone vpn
10. Asigne una interfaz a la zona de seguridad VPN.
[edit security zones security-zone vpn]

user@spoke# set interfaces st0.0

user@spoke# set address local-net 192.168.178.0/24
user@spoke# set attach zone trust

user@spoke# set address corp-net 10.10.10.0/24
user@spoke# set address sunnyvale-net 192.168.168.0/24
user@spoke# set attach zone vpn
219
Resultados
corregirlo.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
220
route 10.10.10.0/24 next-hop 10.11.11.10;

}
[edit]
user@spoke# show security zones
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
221
attach {
zone vpn;
}
}
Configuración de ICR para Westford radios

set security ike gateway gw-corporate external-interface ge-0/0/0.0
set security ike gateway gw-corporate ike-policy ike-phase1-policy
set security ike gateway gw-corporate address 10.1.1.2
Para configurar ICR para los radios Westford:
[edit security ike]

user@spoke# set proposal ike-phase1-proposal
222

user@spoke# set authentication-method pre-shared-keys

user@spoke# set dh-group group2

user@spoke# set authentication-algorithm sha1

user@spoke# set encryption-algorithm aes-128-cbc
[edit security ike]

user@spoke# set policy ike-phase1-policy

user@spoke# set mode main

user@spoke# set proposals ike-phase1-proposal
223

user@spoke# set pre-shared-key ascii-text “$ABC123”
[edit security ike]

user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
[edit security ike]

user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
[edit security ike]

user@spoke# set gateway gw-corporate address 10.1.1.2
Resultados
[edit]
user@spoke# show security ike
dh-group group2;
}
mode main;
224

}
gateway gw-corporate {
address 10.1.1.2;
}
Configuración de IPsec para Westford radios

set security ipsec vpn vpn-corporate ike gateway gw-corporate
set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-corporate bind-interface st0.0
Para configurar IPsec para las radios Westford:
[edit]
user@spoke# set security ipsec proposal ipsec-phase2-proposal
225

user@spoke# set protocol esp

user@spoke# set authentication-algorithm hmac-sha1-96

user@spoke# set encryption-algorithm aes-128-cbc

user@spoke# set policy ipsec-phase2-policy

user@spoke# set proposals ipsec-phase2-proposal

8. Especifique el ICR puerta de enlace.

user@spoke# set vpn vpn-corporate ike gateway gw-corporate
226
9. Especifique la directiva IPsec de fase 2.

user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy

user@spoke# set vpn vpn-corporate bind-interface st0.0
Resultados
[edit]
user@spoke# show security ipsec
protocol esp;
}
keys group2;
}
}
vpn vpn-corporate {
ike {
gateway gw-corporate;
}
}

227
Configuración de políticas de seguridad para las radios Westford
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-
net
set security policies from-zone trust to-zone vpn policy to-corporate application any
set security policies from-zone trust to-zone vpn policy to-corporate then permit
set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net
set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net
set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net
set security policies from-zone vpn to-zone trust policy from-corporate application any
set security policies from-zone vpn to-zone trust policy from-corporate then permit
Para configurar las políticas de seguridad para el Westford radios:

user@spoke# set policy to-corp match source-address local-net
user@spoke# set policy to-corp match destination-address corp-net
user@spoke# set policy to-corp match destination-address sunnyvale-net
user@spoke# set policy to-corp match application any
user@spoke# set policy to-corp then permit
228

user@spoke# set policy spokes-to-local match source-address corp-net
user@spoke# set policy spokes-to-local match source-address sunnyvale-net
user@spoke# set policy spokes-to-local match destination-address local-net
user@spoke# set policy spokes-to-local match application any
user@spoke# set policy spokes-to-local then permit
Resultados
[edit]
user@spoke# show security policies
policy to-corp {
match {
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
229
}
}
Configurar TCP-MSS para Westford radios
Para configurar TCP-MSS para el Westford radios:
[edit]
user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
230
Configuración del radio de Sunnyvale
En este ejemplo se utiliza un dispositivo serie SSG para los radios Sunnyvale. Como referencia, se
proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo
configurar dispositivos serie SSG, consulte la Guía de referencia de Conceptos y ejemplos de
ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
set zone name "VPN"

set interface ethernet0/6 zone "Trust"
set interface "tunnel.1" zone "VPN"
set interface ethernet0/6 ip 192.168.168.1/24
set interface ethernet0/6 route
set interface tunnel.1 ip 10.11.11.11/24
set flow tcp-mss 1350
set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0
set address "VPN" "corp-net" 10.10.10.0 255.255.255.0
set address "VPN" "westford-net" 192.168.178.0 255.255.255.0
set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t"
sec-level standard
set vpn corp-vpn monitor optimized rekey
set vpn "corp-vpn" bind interface tunnel.1
set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard
set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit
set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit
set policy id 2
exit
set dst-address "westford-net"
exit
set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit
set policy id 3
231
set src-address "westford-net"

exit
set route 10.10.10.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Comproba
in this section
Verificación del estado de la fase 1 ICR | 231
Comprobación del estado de la fase 2 de IPsec | 233
Comprobación de los enlaces de túnel del próximo salto | 235
Comprobar rutas estáticas para LAN locales del mismo nivel | 236
Revisar las estadísticas y los errores de una asociación de seguridad IPsec | 237
Probar el flujo de tráfico a través de la VPN | 238
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación del estado de la fase 1 ICR
Purpose
Intervención
Antes de iniciar el proceso de verificación, es necesario enviar tráfico desde un host en la red
192.168.10/24 a un host de las redes 192.168.168/24 y 192.168.178/24 para que los túneles estén en
funcionamiento. En el caso de VPN basadas en rutas, puede enviar tráfico iniciado desde el dispositivo
serie SRX a través del túnel. A la hora de probar túneles IPsec, se recomienda enviar tráfico de prueba
desde un dispositivo independiente en un extremo de la VPN a un segundo dispositivo del otro extremo
de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.
232
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
user@hub> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode
6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main
7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail

IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done
Efectos
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
233
Si las SA aparecen en la lista, revise la siguiente información:
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP remota es correcta.
• Estado
• UP: se estableció la SA de fase 1.
• ABAJO: se hubo un problema al establecer la SA de fase 1.
• Modo: compruebe que se está utilizando el modo correcto.
Compruebe que la siguiente información de la configuración es correcta:
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
• ICR parámetros de políticas
• Información de claves previamente compartidas
• Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)
El show security ike security-associations index 1 detail comando enumera la información adicional
acerca de la Asociación de seguridad con el número de índice 1:
• Algoritmos de autenticación y de cifrado utilizados
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de rol de iniciador y de contestador
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
• Número de SA de IPsec creadas
• Número de negociaciones de fase 2 en curso
Comprobación del estado de la fase 2 de IPsec
Purpose

234
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
user@hub> show security ipsec security-associations

total configured sa: 4
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0
>16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0
<16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0
>16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail

Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128
bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0

bits)
235
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 16385. Utilice este valor con el show security ipsec security-
associations index comando para obtener más información acerca de esta SA en particular.
• Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido
TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 28756/unlim indica que la duración de la fase 2 caduca en 28756 segundos y
que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2
puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está
activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
• El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
La salida del show security ipsec security-associations index 16385 detail comando muestra la siguiente
información:
• La identidad local y la identidad remota constituyen el ID. de proxy de la SA.
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
Comprobación de los enlaces de túnel del próximo salto
Purpose
Después de completar la fase 2 para todos los interlocutores, compruebe los enlaces de túnel del
próximo salto.
236
Intervención
En modo operativo, escriba el show security ipsec next-hop-tunnels comando.
user@hub> show security ipsec next-hop-tunnels

Next-hop gateway interface IPSec VPN name Flag
10.11.11.11 st0.0 sunnyvale-vpn Static
10.11.11.12 st0.0 westford-vpn Auto
Efectos
Las puertas de enlace de próximo salto son las direcciones IP de las interfaces st0 de todos los
interlocutores de radio remotos. El siguiente salto debe asociarse con el nombre correcto de VPN de
IPsec. Si no existe ninguna entrada NHTB, es posible que el dispositivo concentrador distinga qué VPN
de IPsec está asociada con el siguiente salto.
El campo indicador tiene uno de los siguientes valores:
• Estática: NHTB se configuró manualmente en las configuraciones de la interfaz st0.0, lo cual es

necesario si el par no es un dispositivo de la serie SRX.
• Automático: NHTB no se configuró, pero la entrada se completa de forma automática en la tabla

NHTB durante las negociaciones de fase 2 entre dos dispositivos de la serie SRX
No hay ninguna tabla NHTB para ninguno de los sitios radiales de este ejemplo. Desde la perspectiva de
los radios, la interfaz st0 sigue siendo un vínculo punto a punto con un único enlace VPN de IPsec.
Comprobar rutas estáticas para LAN locales del mismo nivel
Purpose
Compruebe que la ruta estática hace referencia a la dirección IP st0 del par spoke.
Intervención
En modo operativo, escriba el show route comando.
user@hub> show route 192.168.168.10

inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
237
192.168.168.0/24 *[Static/5] 00:08:33

> to 10.11.11.11 via st0.0
user@hub> show route 192.168.178.10

192.168.178.0/24 *[Static/5] 00:04:04

> to 10.11.11.12 via st0.0
El próximo salto es la dirección IP st0 del par remoto y ambas rutas apuntan a st0.0 como interfaz de
salida.
Revisar las estadísticas y los errores de una asociación de seguridad IPsec
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación
de seguridad IPsec.
Intervención
En modo operativo, escriba el show security ipsec statistics index comando.
user@hub> show security ipsec statistics index 16385

ESP Statistics:
Encrypted bytes: 920
Decrypted bytes: 6208
Encrypted packets: 5
Decrypted packets: 87
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
AH authentication failures: 0, Replay errors: 0
ESP authentication failures: 0, ESP decryption failures: 0
Bad headers: 0, Bad trailers: 0
238
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los
errores de todas las SA.
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics
comando show security ipsec statistics detail o varias veces para confirmar que los contadores de
paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores
de errores se están incrementando.
Probar el flujo de tráfico a través de la VPN
Purpose
Compruebe el flujo de tráfico a través de la VPN.
Intervención
Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un
host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y
se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.
En modo operativo, escriba el ping comando.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5

PING 192.168.168.10 (192.168.168.10): 56 data bytes
64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms
--- 192.168.168.10 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
239
También puede usar el ping comando del dispositivo serie SSG.
user@hub> ping 192.168.10.10 from ethernet0/6

Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from
ethernet0/6
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6

ethernet0/6
!!!!!
Efectos
Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un
problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los
paquetes ESP.
SEE ALSO
Descripción de VPN de concentrador y periferia

240
release-history
release desc heading in release-history

heading in
release-
history
19.4R1 A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo DN
dinámico entre container-string y wildcard-string en [edit security ike gateway gateway_name
dynamic distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de
configurar el primer atributo, el primero se sustituye por el segundo atributo. Antes de actualizar
el dispositivo, debe eliminar uno de los atributos si ha configurado ambos atributos.
15.1X49-D80 A partir de Junos OS Release 15.1-D80, las VPN de extremo dinámico en los dispositivos serie
SRX admiten tráfico IPv6 en túneles seguros.
12.3X48-D40 A partir de Junos OS versión 12.3 X48-D40, Junos OS Release 15.1 X49-D70 y Junos OS
Release R1, todas las puertas de enlace dinámicas configuradas en serie SRX los dispositivos que
utilizan la misma interfaz externa pueden utilizar distintas directivas ICR, pero las políticas ICR
deben usar la misma propuesta de ICR.
Comparación de VPN basadas en la Directiva y las

basadas en la ruta
Es importante comprender las diferencias existentes entre las VPN basadas en la Directiva y las rutas, y
la razón por la que una puede ser preferible a la otra.
Tabla 17 en la página 241enumera las diferencias existentes entre las VPN basadas en rutas y las VPN
basadas en directivas.
241
Tabla 17: Diferencias entre VPN basadas en rutas y VPN basadas en políticas
Con las VPN basadas en la ruta, una Con túneles VPN basados en políticas, un túnel se
directiva no hace referencia específicamente trata como un objeto que, junto con el origen, destino,
a un túnel VPN. aplicación y acción, constituye una directiva de túnel
que permite el tráfico VPN.
La Directiva hace referencia a una dirección En una configuración VPN basada en directivas, una
de destino. directiva de túnel hace referencia específicamente a un
túnel VPN por nombre.
El número de túneles de VPN basados en El número de túneles VPN basados en la Directiva que
rutas que crea está limitado por el número puede crear está limitado por el número de directivas
de entradas de ruta o el número de que admite el dispositivo.
interfaces st0 compatibles con el
dispositivo, el número menor.
La configuración del túnel VPN basado en la Con una VPN basada en directivas, aunque puede
ruta es una buena elección cuando se desea crear numerosas directivas de túnel que hagan
conservar los recursos de túnel mientras se referencia al mismo túnel de VPN, cada par de
establecen restricciones granulares en el directivas de túnel crea una asociación de seguridad
tráfico VPN. IPsec (SA) individual con el interlocutor remoto. Cada
SA cuenta como un túnel VPN individual.
Con un enfoque de VPN basado en la ruta, En una configuración VPN basada en políticas, la
el Reglamento de tráfico no se asocia con acción debe ser permitir y debe incluir un túnel.
los medios de su entrega. Puede configurar
docenas de directivas para regular el tráfico
que fluye a través de un túnel único de VPN
entre dos sitios y que sólo hay una
asociación de IPsec en el trabajo. Además,
una configuración VPN basada en rutas le
permite crear políticas que hacen referencia
a un destino alcanzado a través de un túnel
VPN en el que la acción es deny (denegar).
242
Las VPN basadas en la ruta admiten el El intercambio de información de enrutamiento

intercambio de información de dinámico no se admite en las VPN basadas en políticas.
enrutamiento dinámico a través de túneles
VPN. Puede habilitar una instancia de un
protocolo de enrutamiento dinámico, como
OSPF, en una interfaz st0 que esté enlazada
a un túnel VPN.
Las configuraciones basadas en la ruta se Las VPN basadas en políticas no se pueden utilizar
utilizan para topologías de concentrador y para topologías de concentrador y periferia.
periferia.
Con las VPN basadas en la ruta, una Cuando un túnel no conecta redes de gran tamaño que
directiva no hace referencia específicamente ejecutan protocolos de enrutamiento dinámico y no
a un túnel VPN. necesita conservar túneles ni definir varias políticas
para filtrar el tráfico a través del túnel, la mejor opción
es un túnel basado en la Directiva.
Las VPN basadas en la ruta no son Los túneles VPN basados en políticas son necesarios
compatibles con las configuraciones VPN de para las configuraciones VPN de acceso remoto (dial-
acceso remoto (acceso telefónico). up).
Es posible que las redes VPN basadas en la Es posible que se necesiten VPN basadas en políticas
ruta no funcionen correctamente con otros si el tercero requiere una SAs independiente para cada
proveedores. subred remota.
243
Cuando el dispositivo de seguridad realiza Con un túnel VPN basado en directivas, puede
una búsqueda de ruta para encontrar la considerar un túnel como un elemento en la
interfaz a través de la cual debe enviar construcción de una política.
tráfico para llegar a una dirección, encuentra
una ruta a travésst0de una interfaz de túnel
seguro (), que está enlazada a un túnel VPN
específico.
Con un túnel de VPN basado en rutas,

puede considerar un túnel como un medio
para entregar el tráfico, y puede considerar
la Directiva como un método para permitir o
denegar la entrega de ese tráfico.
Las VPN basadas en la ruta TDR son Las VPN basadas en políticas no se pueden utilizar si
compatibles con las interfaces st0. se requiere TDR para el tráfico de túnel.
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Los túneles basados en ruta
también ofrecen el uso de varios selectores de tráfico también conocidos como ID de multi proxy. Un
selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si el
tráfico coincide con un par especificado de prefijo de dirección IP local y remota, rango de puerto de
origen, intervalo de puerto de destino y protocolo. Un selector de tráfico se define dentro de una VPN
basada en ruta específica, lo que puede dar como resultado varias SA de IPsec de fase 2. Solo se permite
el tráfico que se ajusta a un selector de tráfico a través de una SA. Normalmente, el selector de tráfico es
necesario cuando los dispositivos de puerta de enlace remota son dispositivos no Juniper Networks.
Las VPN basadas en políticas solo se admiten en dispositivos SRX5400, SRX5600 y SRX5800. La
compatibilidad de la plataforma depende de la versión Junos OS de la instalación.

6
VPN basada en políticas
Configurar VPN IPsec basada en políticas con certificados | 273
Configure VPN IPsec con OCSP para el estado de revocación de certificados |

309

245
VPN basadas en políticas
in this section
Descripción de VPN de IPsec basadas en directivas | 245
Una VPN basada en políticas es una configuración en la cual se especifica un túnel VPN IPsec creado
entre dos puntos de conexión dentro de la propia política con una acción de política para el tráfico de
tránsito que cumple con los criterios de coincidencia de la política.
Para VPN IPsec basada en políticas, una política de seguridad especifica como su acción el túnel VPN
que se utilizará para el tráfico de tránsito que cumple con los criterios de coincidencia de la política. Una
VPN está configurada independientemente de una declaración de directiva. La instrucción de directiva
hace referencia a la VPN por su nombre para especificar el tráfico que tiene permiso de acceso al túnel.
Para VPN basadas en directivas, cada directiva crea una asociación de seguridad IPsec (SA) individual
con el interlocutor remoto, cada uno de los cuales cuenta como un túnel VPN individual. Por ejemplo, si
una Directiva contiene una dirección de origen del grupo y una dirección de destino del grupo, siempre
que uno de los usuarios que pertenecen a la dirección intente comunicarse con cualquiera de los hosts
especificados como dirección de destino, se negociará un nuevo túnel y establece. Dado que cada túnel
requiere su propio proceso de negociación y un par independiente de SA, el uso de VPN de IPsec
basadas en políticas puede consumir más recursos que las VPN basadas en la ruta.
Ejemplos de dónde se pueden utilizar las VPN basadas en políticas:
• Está implementando una red privada virtual (VPN) de acceso telefónico.
• Las VPN basadas en políticas le permiten dirigir el tráfico en función de las políticas del cortafuegos.
Recomendamos que utilice VPN basado en la ruta cuando desee configurar una VPN entre varios sitios
remotos. Las VPN basadas en la ruta pueden proporcionar las mismas capacidades que las VPN basadas
en políticas.
246
SEE ALSO

in this section
Aplicables | 246
Automática | 252
Comproba | 267
En este ejemplo se muestra cómo configurar una VPN basada en Directiva para permitir que los datos se
transfieran de manera segura entre una sucursal y la oficina corporativa.
Aplicables
En este ejemplo, se configura una VPN basada en políticas para una sucursal de Chicago, Illinois, ya que
no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para filtrar el
tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para
conectarse con sus sedes empresariales en Sunnyvale, California.
247
Figura 24 en la página 247muestra un ejemplo de una topología VPN basada en políticas. En esta
topología, el dispositivo serie SRX se encuentra en Sunnyvale, mientras que un dispositivo de la serie
SSG (o puede ser otro dispositivo de otro fabricante) se encuentra en Chicago.
Figura 24: Topología VPN basada en políticas
ICR la negociación de túnel IPsec se produce en dos fases. En la fase 1, los participantes establecen un
canal seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes
negocian la SA IPsec para autenticar el tráfico que fluirá a través del túnel. Al igual que existen dos fases
para la negociación del túnel, existen dos fases para la configuración del túnel.
En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y
las libretas de direcciones. A continuación, configure ICR fase 1, la fase 2 de IPsec, la Directiva de
248
seguridad y los parámetros TCP-MSS. Consulte Tabla 18 en la página 248 a Tabla 22 en la página
252través de.
Función Nombre Parámetros de configuración
Interfaces ge-0/0/0.0 192.168.10.1/24
ge-0/0/3.0 10.1.1.2/30
Zonas de seguridad confia • Se permiten todos los

servicios del sistema.
• La interfaz GE-0/0/0.0 está

no fiable • ICR es el único servicio de

sistema permitido.

Entradas de la libreta de Sunnyvale • Esta dirección es una entrada

direcciones de la libreta book1de
direcciones, que se adjunta a
una zona trusta la que se
llama.
• La dirección de esta entrada

de la libreta de direcciones es
192.168.10.0/24.
249
Oficina • Esta dirección es una entrada

de la libreta book2de
direcciones, que se adjunta a
una zona untrusta la que se
llama.

192.168.168.0/24.
Clasificado ike-phase1- • Método de autenticación: claves previamente compartidas

proposal
• Grupo Diffie-Hellman: group2
• Algoritmo de autenticación: sha1
Políticas ike-phase1- • Medio principalmente

policy
• Referencia de la propuesta: ike-phase1-proposal
• Método de autenticación de directiva de fase 1 ICR: texto ASCII

con clave compartida previa
Gateway GW-Chicago • Referencia de políticas ICR: ike-phase1-policy
• Interfaz externa: ge-0/0/3.0
• Dirección de puerta de enlace: 10.1.1.1

250
Clasificado ipsec-phase2-proposal • Protocolo sensorial
Políticas ipsec-phase2-policy • Referencia de la propuesta: ipsec-phase2-proposal
VIRTUALES IKE-VPN-Chicago • Referencia de puerta de enlace ICR: GW-Chicago
• Referencia de directiva IPsec: ipsec-phase2-policy
Purpose Nombre Parámetros de configuración
Esta directiva de seguridad permite el tráfico VPN-TR- • Criterios de coincidencia:

desde la zona de confianza a la zona de no untr
confianza. • Sunnyvale de dirección de origen
• destino de la dirección de
Chicago
• Acción de permiso: túnel IPSec-VPN

IKE-VPN-Chicago
• Acción de permiso: par de túnel-

directiva VPN-untr-TR
251
Esta directiva de seguridad permite el tráfico VPN-untr- • Criterios de coincidencia:

desde la zona de no confianza hasta la zona TR
de confianza. • Dirección de origen Chicago
• Sunnyvale de dirección de
destino
• Acción de permiso: túnel IPSec-VPN

IKE-VPN-Chicago

directiva VPN-TR-untr
Esta directiva de seguridad permite todo el permiso- • Criterios de coincidencia:

tráfico desde la zona de confianza hasta la any
zona de no confianza. • Source-Address any
Debe colocar la directiva VPN-TR-untr antes • origen-destino cualquiera

que la Directiva permit-any Security. Junos
OS realiza una búsqueda de políticas de
seguridad a partir de la parte superior de la • Intervención estancia
lista. Si el permiso-cualquier política se
encuentra antes que la directiva VPN-TR-
untr, todo el tráfico procedente de la zona de
confianza coincidirá con la Directiva de
permiso (cualquier política) y estará
permitida. Por lo tanto, no habrá tráfico que
coincida con la directiva VPN-TR-untr.
252
configuración
TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y Valor MSS: 1350
de unidad máxima de transmisión (MTU) en una red. Esto es especialmente
importante para el tráfico VPN, ya que la sobrecarga de encapsulación IPsec,
junto con la sobrecarga de IP y Frame, puede hacer que el paquete de carga de
seguridad encapsuladora (ESP) resultante supere la MTU de la interfaz física,
causando así la fragmentación. La fragmentación da como resultado un uso más
elevado de los recursos de dispositivos y ancho de banda.
Se recomienda el valor 1350 como punto de partida para la mayoría de las redes
Automática
in this section
Configuración de la información básica de red, zona de seguridad y libreta de direcciones | 253
Configurar ICR | 257
Configuración de IPsec | 260
Configuración de políticas de seguridad | 262
Configurar TCP-MSS | 265
Configuración del dispositivo serie SSG | 266

253
Configuración de la información básica de red, zona de seguridad y libreta de direcciones

set security address-book book1 address sunnyvale 192.168.10.0/24
set security address-book book2 address chicago 192.168.168.0/24
set security address-book book2 attach zone untrust
Para configurar la red básica, la zona de seguridad y la libreta de direcciones:
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
254
[edit ]
user@host# edit security zones security-zone untrust

user@host# set interfaces ge-0/0/3.0
5. Especifique los servicios del sistema permitidos para la zona de seguridad.

user@host# set host-inbound-traffic system-services ike
[edit]
user@host# edit security zones security-zone trust


user@host# set host-inbound-traffic system-services all
9. Crear una libreta de direcciones y adjuntarla a una zona.

user@host# set address sunnyvale 192.168.10.0/24
user@host# set attach zone trust
255
10. Crear otra libreta de direcciones y asociarla a una zona.

user@host# set address chicago 192.168.168.0/24
user@host# set attach zone untrust
Resultados
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
}
[edit]
user@host# show security zones
256
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security address-book
book1 {
address sunnyvale 192.168.10.0/24;
attach {
zone trust;
}
}
book2 {
address chicago 192.168.168.0/24;
attach {
zone untrust;
}
}

257
Configurar ICR

set security ike gateway gw-chicago external-interface ge-0/0/3.0
set security ike gateway gw-chicago ike-policy ike-phase1-policy
set security ike gateway gw-chicago address 10.1.1.1
Para configurar ICR:
[edit security ike]

user@host# set proposal ike-phase1-proposal

user@host# set authentication-method pre-shared-keys
258



[edit security ike]

user@host# set policy ike-phase1-policy


user@host# set proposals ike-phase1-proposal

user@host# set pre-shared-key ascii-text “$ABC123”
259
[edit security ike gateway gw-chicago]


user@host# set ike-policy ike-phase1-policy
Resultados
[edit]
dh-group group2;
}
mode main;
}
gateway gw-chicago {
address 10.1.1.1;
}

260
Configuración de IPsec

set security ipsec vpn ike-vpn-chicago ike gateway gw-chicago
set security ipsec vpn ike-vpn-chicago ike ipsec-policy ipsec-phase2-policy
Para configurar IPsec:
[edit]
user@host# set security ipsec proposal ipsec-phase2-proposal

261



user@host# set policy ipsec-phase2-policy

user@host# set proposals ipsec-phase2-proposal


user@host# set vpn ike-vpn-chicago ike gateway gw-chicago

user@host# set vpn ike-vpn-chicago ike ipsec-policy ipsec-phase2-policy
262
Resultados
[edit]
protocol esp;
}
keys group2;
}
}
vpn ike-vpn-chicago {
ike {
gateway gw-chicago;
}
}
Configuración de políticas de seguridad
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match source-address sunnyvale
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match destination-address chicago
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match application any
set security policies from-zone trust to-zone untrust policy vpn-tr-untr then permit tunnel ipsec-vpn ike-vpn-
263
chicago
set security policies from-zone trust to-zone untrust policy vpn-tr-untr then permit tunnel pair-policy vpn-
untr-tr
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match source-address chicago
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match destination-address sunnyvale
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match application any
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then permit tunnel ipsec-vpn ike-vpn-
chicago
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then permit tunnel pair-policy vpn-tr-
untr
set security policies from-zone trust to-zone untrust policy permit-any match source-address any
set security policies from-zone trust to-zone untrust policy permit-any match destination-address any
set security policies from-zone trust to-zone untrust policy permit-any match application any
set security policies from-zone trust to-zone untrust policy permit-any then permit
insert security policies from-zone trust to-zone untrust policy vpn-tr-untr before policy permit-any
Para configurar las políticas de seguridad:
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
[edit security policies from-zone trust to-zone untrust]

user@host# set policy vpn-tr-untr match source-address sunnyvale
user@host# set policy vpn-tr-untr match destination-address chicago
user@host# set policy vpn-tr-untr match application any
user@host# set policy vpn-tr-untr then permit tunnel ipsec-vpn ike-vpn-chicago
user@host# set policy vpn-tr-untr then permit tunnel pair-policy vpn-untr-tr
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de
confianza.
[edit security policies from-zone untrust to-zone trust]

user@host# set policy vpn-untr-tr match source-address chicago
user@host# set policy vpn-untr-tr match destination-address sunnyvale
264
user@host# set policy vpn-untr-tr match application any

user@host# set policy vpn-untr-tr then permit tunnel ipsec-vpn ike-vpn-chicago
user@host# set policy vpn-untr-tr then permit tunnel pair-policy vpn-tr-untr
confianza.

user@host# set policy permit-any match source-address any
user@host# set policy permit-any match destination-address any
user@host# set policy permit-any match application any
user@host# set policy permit-any then permit
4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada
por encima de la Directiva permit-any Security.

user@host# insert policy vpn-tr-untr before policy permit-any
Resultados
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy vpn-tr-untr {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ike-vpn-chicago;
pair-policy vpn-untr-tr;
265
}
}
}
}
policy permit-any {
match {
source-address any;
application any;
}
then {
permit
}
}
}
from-zone untrust to-zone trust {
policy vpn-untr-tr {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ike-vpn-chicago;
pair-policy vpn-tr-untr;
}
}
}
}
}
Configurar TCP-MSS
266
Para configurar la información de MSS de TCP:
[edit]
user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Configuración del dispositivo serie SSG
Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más
información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de
Conceptos y ejemplos de ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
267
set interface ethernet0/6 zone Trust

set interface ethernet0/0 zone Untrust
set address Trust “local-net” 192.168.168.0 255.255.255.0
set address Untrust "corp-net" 192.168.10.0 255.255.255.0
set ike gateway corp-ike address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare 395psksecr3t sec-
level standard
set vpn corp-vpn gateway corp-ike replay tunnel idletime 0 sec-level standard
set policy id 11 from Trust to Untrust “local-net” “corp-net” “ANY” tunnel vpn “corp-vpn” pair-policy 10
set policy id 10 from Untrust to Trust “corp-net” “local-net” “ANY” tunnel vpn “corp-vpn” pair-policy 11
set policy id 1 from Trust to Untrust “ANY” “ANY” “ANY” nat src permit
Comproba
in this section
Purpose

268
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a
un host en la red 192.168.168/24. En el caso de las VPN basadas en políticas, un host independiente
debe generar el tráfico; el tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva
VPN. Recomendamos que el tráfico de prueba sea de un dispositivo independiente en un extremo de la
VPN a otro dispositivo del otro extremo de la VPN. Por ejemplo, inicie ping desde 192.168.10.10 a
192.168.168.10.
detail el comando.

4 10.1.1.1 UP 5e1db3f9d50b0de6 e50865d9ebf134f8 Main
user@host> show security ike security-associations index 4 detail

Initiator cookie: 5e1db3f9d50b0de6, Responder cookie: e50865d9ebf134f8
Local: 192.168.168:500, Remote: 10.1.1.1:500
Algorithms:
Encryption : aes-128-cbc
Traffic statistics:
Input bytes : 852
Output bytes : 856
Input packets : 5
Output packets : 4
269
Efectos
El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA)
activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración.
• Estado
Compruebe que los siguientes elementos son correctos en su configuración:
direcciones)

270
Purpose
Intervención

<2 10.1.1.1 500 ESP:aes-128/sha1 a63eb26f 3565/ unlim - 0
>2 10.1.1.1 500 ESP:aes-128/sha1 a1024ed9 3565/ unlim - 0
user@host> show security ipsec security-associations index 2 detail

DF-bit: clear
Policy-name: vpnpolicy-unt-tr

bits)
Direction: outbound, SPI: 2701283033,, AUX-SPI: 0

271
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc

Efectos
• El número de identificación es 2. Utilice este valor con el show security ipsec security-associations
index comando para obtener más información acerca de esta SA en particular.
direcciones. El valor 3565/unlim indica que la duración de la fase 2 caduca en 3565 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).
información:
Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres
de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. La
dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el
servicio se deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de
proxy, puede utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están
configuradas. Compruebe que las direcciones coinciden con la información enviada. Compruebe el
servicio para asegurarse de que los puertos coinciden con la información enviada.
Purpose
de seguridad IPsec.
272
Intervención
Desde el modo operativo, escriba show security ipsec statistics index index_number el comando
utilizando el número de índice de la VPN cuyas estadísticas desea ver.
user@host> show security ipsec statistics index 2

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el comando varias veces para
confirmar que los contadores de show security ipsec statistics paquetes cifrados y descifrados se
incrementan. También debe comprobar si el resto de los contadores de errores se están incrementando.
SEE ALSO

273
Configurar VPN IPsec basada en políticas con

certificados
in this section
Aplicables | 273
Automática | 277
Comproba | 290
Solución de problemas de ICR, PKI e IPsec | 298
En este ejemplo se muestra cómo configurar, comprobar y solucionar problemas de PKI. Este tema
incluye las siguientes secciones:
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Junos OS versión 9,4 o posterior
• Juniper Networks dispositivos de seguridad
Antes de empezar:
• Asegúrese de que la interfaz LAN interna del dispositivo de serie SRX sea GE-0/0/0 en la confianza
de zona y de que tenga una subred IP privada.
• Asegúrese de que la interfaz de Internet del dispositivo es GE-0/0/3 en zona de no confianza y que
tiene una dirección IP pública.
274
• Asegúrese de que se permite todo el tráfico entre las LAN local y remota, y que el tráfico puede
iniciarse desde ambos lados.
• Asegúrese de que el SSG5 se haya preconfigurado correctamente y cargado con un certificado local
listo para usar, certificado de CA y CRL.
• Asegúrese de que el dispositivo SSG5 está configurado para usar el FQDN de ssg5.example.net (ICR
ID).
• Asegúrese de que los certificados de PKI con claves de 1024 bits se utilizan para las negociaciones
de ICR en ambos lados.
• Asegúrese de que la entidad de certificación es una entidad de certificación independiente en el

dominio example.com para ambos interlocutores VPN.
Figura 25 en la página 274muestra la topología de red utilizada para este ejemplo para configurar una
VPN basada en directivas para permitir que los datos se transfieran de manera segura entre una oficina
corporativa y una oficina remota.
Figura 25: Diagrama de topología de red
La administración de la PKI es la misma para las VPN basadas en directivas y las VPN basadas en rutas.
En este ejemplo, el tráfico VPN se entra en la interfaz GE-0/0/0.0 con el próximo salto de 10.1.1.1. Por
lo tanto, el tráfico se saliente en la interfaz GE-0/0/3.0. Cualquier directiva de túnel debe tener en
cuenta las interfaces entrantes y salientes.
Opcionalmente, puede utilizar un protocolo de enrutamiento dinámico, como OSPF (no descrito en este
documento). Cuando se procesa el primer paquete de una nueva sesión, el dispositivo que ejecuta Junos
275
OS realiza primero una búsqueda de ruta. La ruta estática, que también es la ruta predeterminada, dicta
la zona del tráfico VPN saliente.
Muchas entidades emisoras de nombres de host de uso (por ejemplo, FQDN) para especificar varios
elementos de la PKI. Dado que el CDP suele especificarse mediante una dirección URL que contiene un
FQDN, debe configurar un solucionador de DNS en el dispositivo que ejecuta Junos OS.
La solicitud de certificado puede generarse mediante los métodos siguientes:
• Creación de un perfil de CA para especificar la configuración de CA
• Generando la solicitud de certificado PKCS10
El proceso de solicitud de certificados PKCS10 implica generar un par de claves pública o privada y, a
continuación, generar la propia solicitud de certificado, mediante el par de claves.
Tome nota de la siguiente información acerca del perfil de CA:
• El perfil de entidad emisora define los atributos de una entidad emisora de certificados.
• Cada perfil de CA se asocia con un certificado de CA. Si es necesario cargar un certificado de CA

nuevo o renovado sin quitar el certificado de CA antiguo, debe crearse un nuevo perfil. Este perfil
también se puede usar para la obtención en línea de la CRL.
• Puede haber varios perfiles de este tipo presentes en el sistema creado para distintos usuarios.
Si especifica una dirección de correo electrónico de administrador de CA a la que enviar la solicitud de

certificado, entonces el sistema redacta un correo electrónico a partir del archivo de solicitud de
certificado y lo envía a la dirección de correo electrónico especificada. La notificación del estado del
correo electrónico se envía al administrador.
La solicitud de certificado puede enviarse a la entidad de certificación a través de un método fuera de

banda.
Las siguientes opciones están disponibles para generar la solicitud de certificado PKCS10:
• certificate-id : nombre del certificado digital local y el par de claves pública y privada. Esto garantiza
que se utilizará el par de claves adecuado para la solicitud de certificado y, en última instancia, el
certificado local.
A partir de Junos os versión de 19.1 R1, se agrega una comprobación de confirmación para
evitar .que /el %usuario agregue,, y espacio en un identificador de certificado mientras se genera un
certificado local o remoto o un par de claves.
• subject : formato de nombre distinguido que contiene el nombre común, departamento, nombre de
la empresa, estado y país:
• CN: nombre común

276
• UNIDAD: Departamento
• O: Nombre de la empresa
• L: localidad
• ST: estado
• C: país
• CN: teléfono
• CC: componente de dominio
No es necesario insertar todos los componentes de nombre de asunto. Tenga en cuenta también
que puede introducir varios valores de cada tipo.
• domain-name : FQDN. El FQDN proporciona la identidad del propietario del certificado para las
negociaciones de ICR y proporciona una alternativa al nombre del sujeto.
• filename (path | terminal) — (Opcional) Ubicación en la que se debe colocar la solicitud de certificado
o el terminal de inicio de sesión.
• ip-address — (Opcional) dirección IP del dispositivo.
• email — (Opcional) Dirección de correo electrónico del AC administrador.
Debe usar un nombre de dominio, una dirección IP o una dirección de correo electrónico.
La solicitud de certificado generada se almacena en una ubicación de archivo especificada. Se guarda

una copia local de la solicitud de certificado en el almacenamiento de certificados local. Si el
administrador vuelve a emitir este comando, se volverá a generar la solicitud de certificado.
La solicitud de certificado PKCS10 se almacena en un archivo y en una ubicación especificados, desde

donde puede descargarla y enviarla a la CA para su inscripción. Si no ha especificado el nombre de
archivo o la ubicación, puede obtener PKCS10 los detalles de solicitud de show security pki certificate-
request certificate-id <id-name> certificado mediante el comando en la CLI. Puede copiar el resultado
del comando y pegarlo en un front-end web para el servidor de entidad emisora o en un mensaje de
correo electrónico.
La solicitud de certificado PKCS10 se genera y almacena en el sistema como certificado o solicitud de

certificado pendiente. Se envía una notificación por correo electrónico al administrador de la entidad
emisora (en este ejemplo, certadmin@example.com).
Para asignar un nombre al par de claves generado, se utiliza una identidad única llamada Certificate-ID.
Este identificador también se utiliza en los comandos de inscripción y solicitud de certificados para
obtener el par de claves correcto. El par de claves generado se guarda en el almacén de certificados en
277
un archivo con el mismo nombre que el identificador del certificado. El tamaño del archivo puede ser
1024 o 2048 bits.
Se puede crear un perfil predeterminado (de reserva) si las CA intermedias no se preinstalan en el

dispositivo. Los valores de perfil predeterminados se utilizan en ausencia de un perfil de CA configurado
específicamente.
En el caso de un CDP, se sigue el orden siguiente:
• Por Perfil de CA
• CDP incorporada en certificado de entidad emisora
• Perfil de CA predeterminado
Recomendamos que utilice un perfil de CA específico en lugar de un perfil predeterminado.
El administrador envía la solicitud de certificado a la entidad emisora. El administrador de la entidad

emisora comprueba la solicitud de certificado y genera un nuevo certificado para el dispositivo. El
administrador del dispositivo de Juniper Networks lo recupera, junto con el certificado y la lista CRL de
la entidad emisora.
El proceso de recuperar el certificado de AC, el nuevo certificado local del dispositivo y la CRL del AC
depende de la configuración de AC y el proveedor de software en uso.
Junos OS admite los proveedores de entidades emisoras siguientes:
• Confiar
• VeriSign
• Microsoft
Aunque otros servicios de software de CA, como OpenSSL se pueden utilizar para generar certificados,
Junos OS no comprueban estos certificados.
Automática
in this section
Configuración básica de PKI | 278
Configuración de un perfil de CA | 279
Generar un par de claves pública y privada | 280

278
Inscripción de un certificado local | 281
Cargando entidad emisora y certificados locales | 282
Configuración de IPsec VPN con los certificados | 285
Configuración básica de PKI
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
Para configurar la PKI:
1. Configure una dirección IP y una familia de protocolos en las interfaces Gigabit Ethernet.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24
2. Configure una ruta predeterminada para el próximo salto de Internet.
[edit]
3. Establecer la hora y la fecha del sistema.
[edit]
user@host# set system time-zone PST8PDT
Una vez confirmada la configuración, Compruebe la configuración del show system uptime reloj con
el comando.
user@host> show system uptime

Current time: 2007-11-01 17:57:09 PDT
System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago)
279
Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago)

Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root
5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
4. Establezca la dirección del servidor NTP.
user@host> set date ntp 130.126.24.24

1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645
sec
5. Establecer la configuración de DNS.
[edit]
user@host# set system name-server 172.31.2.1
user@host# set system name-server 172.31.2.2
Configuración de un perfil de CA
1. Cree un perfil de CA de confianza.
[edit]
user@host# set security pki ca-profile ms-ca ca-identity example.com
2. Cree una comprobación de revocación para especificar un método para comprobar la revocación de
certificados.
Establezca el intervalo de actualización, en horas, para especificar la frecuencia de actualización de la

CRL. Los valores predeterminados son el tiempo de actualización siguiente en la lista CRL, o 1
semana si no se especifica ninguna hora de la siguiente actualización.
[edit]
user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
En la instrucción de configuración, puede usar la opción para deshabilitar la comprobación de

revocación o seleccione la opción revocation-check para configurar los atributos de disable crl
CRL. Puede seleccionar la disable on-download-failure opción de permitir las sesiones que coinciden
280
con el perfil de CA, cuando la descarga de CRL ha fallado para un perfil de CA. Las sesiones solo se
permitirán si no hay ninguna CRL antigua presente en el mismo perfil de CA.
3. Especifique la ubicación (dirección URL) para recuperar la CRL (HTTP o LDAP). De forma
predeterminada, la dirección URL está vacía y utiliza la información de CDP incrustada en el
certificado de entidad emisora.
[edit]
user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/
CertEnroll/EXAMPLE.crl
Actualmente solo puede configurar una dirección URL. La compatibilidad con la configuración de URL
de copia de seguridad no está disponible.
4. Especifique una dirección de correo electrónico para enviar la solicitud de certificado directamente a
un administrador de CA.
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
5. Confirme la configuración:
user@host# commit and-quit

commit complete
Exiting configuration mode
Generar un par de claves pública y privada
Cuando se configura el perfil de la entidad de certificación, el siguiente paso consiste en generar un par
de claves en el dispositivo de Juniper Networks. Para generar el par de claves privada y pública:
1. Crear un par de claves de certificado.
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024

281
Resultados
Después de generar el par de claves pública y privada, el Juniper Networks dispositivo muestra lo
siguiente:
Generated key pair ms-cert, key size 1024 bits
Inscripción de un certificado local
1. Generar una solicitud de certificado local en el formato PKCS-10. Consulte "solicitar pki de seguridad
generate-certificate-request" en la página 1807.
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john

doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-
cert-req
Generated certificate request
-----BEGIN CERTIFICATE REQUEST-----
MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz
MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx
CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r
OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU
u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G
CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G
CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV
djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr
4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws
-----END CERTIFICATE REQUEST-----
Fingerprint:
47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1)
a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
En el ejemplo del certificado PKCS10, la solicitud comienza con e incluye la línea de solicitud de
certificado BEGIN y termina con e incluye la línea de solicitud de certificado final. Esta parte se
puede copiar y pegar en su entidad emisora de certificados para su inscripción. Opcionalmente,
también puede descargar el archivo MS-CERT-req y enviarlo a su CA.
2. Envíe la solicitud de certificado a la entidad emisora y recupere el certificado.

282
Cargando entidad emisora y certificados locales
1. Cargue el certificado local, el certificado de CA y la CRL.
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/

tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps
user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/
tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps
user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/
tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
Puede comprobar que todos los archivos se han cargado con el comando file list.
2. Cargue el certificado en el almacenamiento local desde el archivo externo especificado.
También debe especificar el identificador de certificado para mantener la vinculación correcta con el
par de claves pública o privada. En este paso, se carga el certificado en el almacenamiento de caché
de RAM del módulo PKI, se comprueba la clave privada asociada y se comprueba la operación de
firma.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer
Local certificate loaded successfully
3. Cargue el certificado de la entidad emisora desde el archivo externo especificado.
Debe especificar el perfil de CA para asociar el certificado de CA al perfil configurado.
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer
Fingerprint:
1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1)
90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
CA certificate for profile ms-ca loaded successfully
4. Cargue la CRL en el almacenamiento local.

283
El tamaño máximo de la CRL es de 5 MB. Debe especificar el perfil de entidad emisora asociado en el
comando.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl
CRL for CA profile ms-ca loaded successfully
Resultados
Compruebe que se han cargado todos los certificados locales.
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate

identifier: ms-cert
Serial number: 3a01c5a0000000000011
Issuer:
Organization: Example, Organizational unit: example, Country: US, State:
CA, Locality: Sunnyvale,
Common name: LAB
Subject:
Organization: Example, Organizational unit: example, Country: US,
State: CA, Locality: Sunnyvale,
Common name: john doe
Alternate subject: "user@example.net", fqdn empty, ip empty
Validity:
Not before: 11- 2-2007 22:54
Not after: 11- 2-2008 23:04
30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe
1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85
15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca
1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31
31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94
8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd
69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01
Distribution CRL:
ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services,
CN=Configuration,DC=domain,DC=com?certificateRevocationList?base?
objectclass=cRLDistributionPoint
http://labsrv1.domain.com/CertEnroll/LAB.crl
284
Fingerprint:
c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1)
50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Puede mostrar los detalles de cada certificado si especifica Certificate-ID en la línea de comandos.
Comprobar todos los certificados de CA o los certificados de CA de un perfil de CA individual

(especificado).
user@host> show security pki ca-certificate ca-profile ms-ca detail

Certificate identifier: ms-ca
Serial number: 44b033d1e5e158b44597d143bbfa8a13
Issuer:
Common name: example
Subject:
Common name: example
Validity:
Not before: 09-25-2007 20:32
Not after: 09-25-2012 20:41
30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56
11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0
8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e
7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72
27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e
30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03
ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01
Distribution CRL:
ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services,
CN=Configuration,DC=domain,DC=com?certificateRevocationList?base?
objectclass=cRLDistributionPoint
http://srv1.domain.com/CertEnroll/LAB.crl
Use for key: CRL signing, Certificate signing, Non repudiation
Fingerprint:
1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1)
90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
285
Compruebe todas las listas CRL cargadas o las listas CRL del perfil de entidad emisora de certificados
individual especificada.
user@host> show security pki crl ca-profile ms-ca detail

CA profile: ms-ca
CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA,
L = Sunnyvale, O = Example, OU = example, CN = example
Next update: 11- 7-2007 08:52
Compruebe la ruta de certificado para el certificado local y el certificado de CA.
user@host> request security pki local-certificate verify certificate-id ms-cert

Local certificate ms-cert verification success
user@host> request security pki ca-certificate verify ca-profile ms-ca
CA certificate ms-ca verified successfully
Configuración de IPsec VPN con los certificados
Para configurar IPsec VPN con el certificado, consulte el diagrama de red que se muestra enFigura 25 en
la página 274
1. Configure zonas de seguridad y asigne interfaces a las zonas.
En este ejemplo, los paquetes entran ge-0/0/0en el, y la zona de entrada es la zona de confianza.
[edit security zones security-zone]

user@host# set trust interfaces ge-0/0/0.0
user@host# set untrust interfaces ge-0/0/3.0
2. Configure los servicios de entrada de host para cada zona.

286
Los servicios de entrada de host son para el tráfico destinado al dispositivo Juniper Networks. Estas
opciones incluyen, aunque no se limitan, el protocolo FTP, HTTP, HTTPS, ICR, ping, rlogin, RSH,
SNMP, SSH, Telnet, TFTP y traceroute.

user@host# set trust host-inbound-traffic system-services all
user@host# set untrust host-inbound-traffic system-services ike
3. Configure las entradas de la libreta de direcciones para cada zona.

user@host# set trust address-book address local-net 192.168.10.0/24
user@host# set untrust address-book address remote-net 192.168.168.0/24
4. Configure la propuesta de ICR (fase 1) para utilizar el cifrado RSA.
[edit security ike proposal rsa-prop1]

5. Configure una directiva de ICR.
El intercambio de fase 1 puede tener lugar tanto en el modo principal como en el dinámico.
[edit security ike policy ike-policy1]

user@host# set proposals rsa-prop1
user@host# set certificate local-certificate ms-cert
user@host# set certificate peer-certificate-type x509- signature
user@host# set certificate trusted-ca use-all
6. Configure una puerta de enlace de ICR.
En este ejemplo, el interlocutor se identifica con un nombre de host (hostname). Por lo tanto, el
identificador de ICR de puerta de enlace debe ser el nombre de dominio remoto del mismo nivel.
287
Debe especificar la interfaz externa o el ID de punto de conexión correctos para identificar

correctamente el ICR puerta de enlace durante la instalación de la fase 1.
[edit security ike gateway ike-gate]

user@host# set ike-policy ike-policy1
user@host# set dynamic hostname ssg5.example.net
7. Configure la directiva IPsec.
En este ejemplo se usa el conjunto de propuestas estándar esp-group2-3des-sha1 , esp-group2-

aes128-sha1 que incluye y propuestas. Sin embargo, puede crearse una propuesta única y, a
continuación, especificarse en la directiva IPsec si es necesario.
[edit security ipsec policy vpn-policy1]

user@host# set proposal-set standard
8. Configure la VPN de IPsec con una puerta de enlace ICR y una directiva IPsec.
En este ejemplo, se debe hacer referencia al nombre VPN IKE-VPN en la Directiva de túnel para
crear una asociación de seguridad. Además, si es necesario, puede especificarse un tiempo de
inactividad y un ID de proxy si son diferentes de las direcciones de directiva de túnel.
[edit security ipsec vpn ike-vpn ike]

user@host# set gateway ike-gate
user@host# set ipsec-policy vpn-policy1
9. Configure directivas de túnel bidireccional para el tráfico VPN.
En este ejemplo, el tráfico de la LAN de host a la red de área local de la oficina remota requiere una
directiva de túnel de inconfianza de zona de confianza de una zona. Sin embargo, si una sesión debe
proceder de la LAN remota a la LAN del host, también será necesario disponer de una directiva de
túnel en la dirección opuesta a la de la confianza de no confiar en zonas de la zona. Cuando se
especifica la Directiva en la dirección opuesta a la Directiva de pares, la VPN se convierte en
bidireccional. Tenga en cuenta que, además de la acción permitir, también debe especificar el perfil
IPsec que se va a utilizar. Tenga en cuenta que para las directivas de túnel, la acción siempre es
288
permitir. De hecho, si está configurando una directiva con la acción de denegar, no verá una opción
para especificar el túnel.

user@host# set policy tunnel-policy-out match source-address local-net
user@host# set policy tunnel-policy-out match destination-address remote-net
user@host# set policy tunnel-policy-out match application any
user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-
policy-in
user@host# top edit security policies from-zone untrust to-zone trust
user@host# set policy tunnel-policy-in match source-address remote-net
user@host# set policy tunnel-policy-in match destination-address local-net
user@host# set policy tunnel-policy-in match application any
user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-
out
10. Configure una regla de TDR de origen y una política de seguridad para el tráfico de Internet.
El dispositivo usa la interfaz NAT de origen especificada, y traduce la dirección IP de origen y el

puerto para el tráfico saliente, utilizando la dirección IP de la interfaz de salida como dirección IP de
origen y el puerto aleatorio superior para el puerto de origen. Si es necesario, se pueden crear
políticas más granulares para permitir o denegar cierto tráfico.
[edit security nat source rule-set nat-out]

user@host#set from zone trust
user@host#set to zone untrust
user@host#set rule interface-nat match source-address 192.168.10.0/24
user@host#set rule interface-nat match destination-address 0.0.0.0/0
user@host#set rule interface-nat then source-nat interface

user@host# set policy any-permit match source-address any
user@host# set policy any-permit match destination-address any
user@host# set policy any-permit match application any
user@host# set policy any-permit then permit
289
11. Mueva la Directiva de túnel sobre la Directiva any-permit.

user@host# insert policy tunnel-policy-out before policy any-permit
La Directiva de seguridad debe estar situada debajo de la Directiva de túnel en la jerarquía, ya que
la lista de directivas se lee de arriba a abajo. Si esta directiva estuviera por encima de la Directiva de
túnel, el tráfico siempre coincidiría con esta directiva y no continuaría con la siguiente directiva. Por
lo tanto, no se cifrará el tráfico de los usuarios.
12. Configure la configuración de TCP-MSS para el tráfico TCP a través del túnel.
TCP: MSS se negocia como parte del Protocolo de enlace TCP de 3 vías. Limita el tamaño máximo
de un segmento TCP para acomodar los límites de MTU en una red. Esto es muy importante para el
tráfico VPN, ya que la sobrecarga de encapsulación IPsec junto con la sobrecarga de IP y frame
puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, causando la
fragmentación. Debido a que la fragmentación aumenta el uso de los recursos de dispositivos y el
ancho de banda, y en general, debe evitarse.
El valor recomendado para TCP-MSS es el 1350 para la mayoría de las redes basadas en Ethernet
con una MTU de 1500 o superior. Es posible que sea necesario modificar este valor si algún
dispositivo de la ruta de acceso tiene un valor menor de MTU o si hay una sobrecarga añadida,
como PPP, Frame Relay, etc. Como regla general, es posible que necesite experimentar con distintos
valores de TCP-MSS para obtener un rendimiento óptimo.
user@host# set security flow tcp-mss ipsec-vpn mss mss-value

Example:
[edit]
commit complete
290
Comproba
in this section
Confirmación de ICR estado de la fase 1 | 290
Obtener detalles de asociaciones de seguridad individuales | 291
Confirmar el estado de la fase 2 de IPsec | 292
Mostrar detalles de la Asociación de seguridad IPsec | 293
Comprobando estadísticas de SA de IPsec | 295
Confirmación de la conectividad | 297
Confirmación de ICR estado de la fase 1
Purpose
Confirme el estado de VPN mediante la comprobación del estado de las asociaciones de seguridad de
ICR fase 1.
La PKI relacionada con los túneles IPsec se compone durante la instalación de la fase 1. La finalización
de la fase 1 indica que la infraestructura de claves públicas se ha realizado correctamente.
Intervención
En modo operativo, escriba el show security ike security-associations comando.

2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
291
Efectos
El resultado indica que:
• El interlocutor remoto es 10.2.2.2 y el estado es UP, es decir, la Asociación exitosa del

establecimiento de la fase 1.
• El ID de ICR del mismo nivel remoto, la Directiva ICR y las interfaces externas son correctos.
• El índice 20 es un valor único para cada ICR Asociación de seguridad. Puede utilizar estos detalles de
salida para obtener más detalles acerca de cada Asociación de seguridad. Consulte "Obtener detalles
de asociaciones de seguridad individuales" en la página 291la.
Una salida incorrecta indicaría que:
• El estado del punto de conexión remoto es inactivo.
• No hay ninguna asociación de seguridad de ICR.
• Hay ICR parámetros de la Directiva, como el tipo de modo equivocado (aggr o Main), problemas de
PKI o propuestas de la fase 1 (todas deben coincidir en ambos interlocutores). Para obtener más
información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
• La interfaz externa no es válida para recibir los paquetes de ICR. Compruebe las configuraciones de
problemas relacionados con la PKI, compruebe si hay errores en el registro del daemon de
administración de claves (KMD) o ejecute opciones de seguimiento para encontrar las diferencias.
Para obtener más información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
Obtener detalles de asociaciones de seguridad individuales
Purpose
Obtener detalles sobre ICR individuales.
Intervención
En modo operativo, escriba el show security ike security-associations index 20 detail comando.

Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21
Exchange type: Main, Authentication method: RSA-signatures
Local: 10.1.1.2:500, Remote: 10.2.2.2:500
292

Algorithms:
Encryption : 3des-cbc
Traffic statistics:
Input bytes : 10249
Output bytes : 4249
Input packets: 10
Output packets: 9
IPsec security associations: 2 created, 1 deleted
Efectos
El resultado muestra los detalles de cada ICR SAs, como el rol (iniciador o contestador), el estado, el tipo
de intercambio, el método de autenticación, los algoritmos de cifrado, las estadísticas de tráfico, el
estado de negociación de la fase 2, etc.
Puede utilizar los datos de salida para:
• Conocer la función del ICR SA. La solución de problemas es más sencilla cuando el interlocutor tiene
la función de contestador.
• Obtenga las estadísticas de tráfico para comprobar el flujo de tráfico en ambas direcciones.
• Obtenga el número de asociaciones de seguridad IPsec creadas o en curso.
• Obtenga el estado de cualquier negociación de fase 2 completada.
Confirmar el estado de la fase 2 de IPsec
Purpose
Ver las asociaciones de seguridad de IPsec (fase 2).
Cuando se confirme ICR fase 1, verá las asociaciones de seguridad de IPsec (fase 2).
293
Intervención
En modo operativo, escriba el show security ipsec security-associations comando.

<2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0
>2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
Efectos
El resultado indica que:
• Existe un par de SA IPsec configurado. El número de Puerto 500 indica que se utiliza un puerto de
ICR estándar. De lo contrario, es de Traducción de direcciones de red de desplazamiento (TDR-T),
4500 o puerto alto aleatorio.
• El índice de parámetros de seguridad (SPI) se utiliza en ambas direcciones. La duración o los límites
de uso de la SA se expresan en segundos o en kilobytes. En el resultado, 1676/unlim indica que la
vida de la fase 2 está establecida para que expire en 1676 segundos y no se ha especificado ningún
tamaño de vigencia.
• El número de identificación muestra el valor de índice único de cada SA de IPsec.
• Un guión (-) en la columna LUN indica que la supervisión VPN no está habilitada para esta SA.
• El sistema virtual (vsys) es cero, que es el valor predeterminado.
La duración de la fase 2 puede ser diferente del tiempo de vida de la fase 1, ya que la fase 2 no depende
de la fase 1 después de que la VPN está activa.
Mostrar detalles de la Asociación de seguridad IPsec
Purpose
Mostrar los detalles de Asociación de IPsec individuales identificados por el número de índice.
294
Intervención
En modo operativo, escriba el show security ipsec security-associations index 2 detail comando.

DF-bit: clear
Policy-name: tunnel-policy-out
Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0
Efectos
El resultado muestra la identidad local y la identidad remota.
Tenga en cuenta que un error de ID de proxy puede hacer que no se complete la fase 2. El ID de proxy
se deriva de la Directiva de túnel (para VPN basadas en Directiva). La dirección local y la dirección
remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación
configurada para la Directiva.
Si la fase 2 falla debido a un identificador de proxy que no coincide, compruebe qué entradas de la
libreta de direcciones están configuradas en la Directiva y asegúrese de que se han enviado las
direcciones correctas. Asegúrese también de que los puertos coincidan. Compruebe el servicio para
asegurarse de que los puertos coinciden con los servidores remoto y local.
Si se configuran varios objetos en una directiva de túnel para la dirección de origen, la dirección de
destino o la aplicación, el ID de proxy resultante de ese parámetro cambia a ceros.
295
Por ejemplo, supongamos el siguiente escenario para una directiva de túnel:
• Direcciones locales de 192.168.10.0/24 y 10.10.20.0/24
• Dirección remota de 192.168.168.0/24
• Aplicación como Junos-http
El ID del proxy resultante es local 0.0.0.0/0, Remote 192.168.168.0/24, Service 80.
Los identificadores proxy resultantes pueden afectar a la interoperabilidad si el interlocutor remoto no

está configurado para la segunda subred. Además, si está empleando la aplicación de un proveedor de
terceros, es posible que tenga que ingresar manualmente el ID de proxy para que coincida.
Si IPsec no puede completarse, compruebe el registro KMD o utilice el set traceoptions comando. Para
obtener más información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
Comprobando estadísticas de SA de IPsec
Purpose
Compruebe las estadísticas y los errores de una asociación de IPsec.
Para propósitos de solución de problemas, compruebe los contadores de carga de seguridad de

encapsulación/encabezado de autenticación (ESP/AH) por si hubiera errores con una SA específica de
IPsec.
Intervención
En modo operativo, escriba el show security ipsec statistics index 2 comando.

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
296

Efectos
Un valor de error cero en la salida indica una condición normal.
Es recomendable ejecutar este comando varias veces para observar cualquier problema de pérdida de
paquetes en una VPN. La salida de este comando también muestra las estadísticas de los contadores de
paquetes cifrados y descifrados, los contadores de errores, etc.
Debe habilitar las opciones de seguimiento de flujo de seguridad para investigar qué paquetes ESP
tienen errores y por qué. Para obtener más información, "Solución de problemas de ICR, PKI e IPsec" en
la página 298consulte.
Purpose
El flujo de tráfico de prueba a través de la VPN después de la fase 1 y la fase 2 se han completado
correctamente. Puede probar el flujo del tráfico utilizando el ping comando. Puede hacer ping desde el
host local al host remoto. También puede iniciar pings desde el propio dispositivo Juniper Networks.
En este ejemplo se muestra cómo iniciar una solicitud ping desde el dispositivo de Juniper Networks al
host remoto. Tenga en cuenta que cuando se inician pings desde el dispositivo Juniper Networks, debe
especificarse la interfaz de origen para garantizar que tenga lugar la búsqueda de ruta correcta y que se
haga referencia a las zonas correspondientes en la búsqueda de la Directiva.
En este ejemplo, la interfaz GE-0/0/0,0 reside en la misma zona de seguridad que el host local y se debe
especificar en la solicitud ping para que la búsqueda de la directiva pueda ser de la confianza de zona a la
zona en la que no se confía.
Intervención
En modo operativo, escriba el ping 192.168.168.10 interface ge-0/0/0 count 5 comando.
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5

PING 192.168.168.10 (192.168.168.10): 56 data bytes
297

--- 192.168.168.10 ping statistics ---
Confirmación de la conectividad
Purpose
Confirme la conectividad entre un host remoto y un host local.
Intervención
En modo operativo, escriba el ping 192.168.10.10 from ethernet0/6 comando.
ssg5-> ping 192.168.10.10 from ethernet0/6

ethernet0/6
!!!!!
Efectos
Puede confirmar la conectividad de extremo a extremo utilizando el ping comando del host remoto al
host local. En este ejemplo, el comando se inicia desde el dispositivo SSG5.
Una conectividad de extremo a extremo con errores puede indicar un problema con el enrutamiento, la
Directiva, el host final o el cifrado/descifrado de los paquetes ESP. Para comprobar las causas exactas
del fallo:
• Compruebe las estadísticas de IPsec para obtener más detalles sobre "Comprobando estadísticas de
SA de IPsec" en la página 295errores, tal y como se describe en.
• Confirme la Conectividad del host final con ping el comando de un host en la misma subred que el
host final. Si otros hosts tienen acceso al host final, puede suponer que el problema no está
relacionado con el host final.
• Habilite las opciones de seguimiento de flujo de seguridad para solucionar problemas relacionados
con el enrutamiento y las directivas.
298
Solución de problemas de ICR, PKI e IPsec
in this section
Pasos básicos de solución de problemas | 298
Comprobando el espacio libre en disco del dispositivo | 299
Comprobar los archivos de registro para comprobar distintos escenarios y cargar los archivos de registro
en un FTP | 300
Habilitar ICR opciones de seguimiento para ver mensajes en ICR | 301
Habilitar las opciones de seguimiento de PKI para ver mensajes en IPsec | 302
Configuración de las opciones de seguimiento de ICR y PKI para solucionar problemas ICR la instalación
con certificados | 303
Análisis del mensaje de operación correcta de la fase 1 | 304
Análisis del mensaje de error de fase 1 (no coincide la propuesta) | 304
Análisis del mensaje de error de la fase 1 (fallo de autenticación) | 305
Análisis del mensaje de fallo de la fase 1 (error de tiempo de espera) | 306
Análisis del mensaje de error de la fase 2 | 307
Análisis del mensaje de error de la fase 2 | 308
Solución de problemas comunes relacionados con el ICR y la PKI | 308
Solucionar problemas de ICR, PKI e IPsec.
Pasos básicos de solución de problemas
Relacionado
Los pasos básicos de solución de problemas son los siguientes:
1. Identificar y aislar el problema.
2. Depurando el problema.
El enfoque común para iniciar la solución de problemas es la capa más baja de las capas OSI, así como el
modo de trabajo de la pila OSI para confirmar la capa en la que se produce el fallo.
299
Solución
Los pasos básicos para solucionar ICR, PKI e IPsec son los siguientes:
• Confirme la conectividad física del vínculo de Internet en los niveles de vínculo físico y de datos.
• Confirme que el dispositivo de Juniper Networks tiene conectividad con el próximo salto de Internet
y conectividad con el interlocutor de ICR remoto.
• Confirme ICR finalización de la fase 1.
• Confirmar ICR finalización de la fase 2 si ICR finalización de la fase 1 se realiza correctamente.
• Confirme que el flujo de tráfico se encuentra en la VPN (si la VPN está activa).
Junos OS incluye la característica opciones de seguimiento. Con esta característica, puede activar una
marca de opción de traza para escribir los datos desde la opción Trace en un archivo de registro, que
puede predeterminarse o configurarse manualmente y almacenarse en memoria Flash. Estos registros de
seguimiento se pueden conservar incluso después del reinicio del sistema. Compruebe el
almacenamiento de memoria flash disponible antes de implementar las opciones de seguimiento.
Puede activar la característica opciones de traza en el modo de configuración y confirmar la

configuración para que utilice la función opciones de traza. De manera similar para deshabilitar las
opciones de seguimiento, debe desactivar las opciones de seguimiento en el modo de configuración y
confirmar la configuración.
Comprobando el espacio libre en disco del dispositivo
Relacionado
Compruebe las estadísticas del espacio libre en disco en los sistemas de archivos del dispositivo.
Solución
En modo operativo, escriba el show system storage comando.
user@host> show system storage

Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 213M 74M 137M 35% /
devfs 1.0K 1.0K 0B 100% /dev
devfs 1.0K 1.0K 0B 100% /dev/
/dev/md0 180M 180M 0B 100% /junos
/cf 213M 74M 137M 35% /junos/cf
devfs 1.0K 1.0K 0B 100% /junos/dev/
300
procfs 4.0K 4.0K 0B 100% /proc

/dev/bo0s1e 24M 13K 24M 0% /config
/dev/md1 168M 7.6M 147M 5% /mfs
/cf/var/jail 213M 74M 137M 35% /jail/var
El /dev/ad0s1a representa la memoria Flash incorporada y se encuentra en el 35 por ciento de la

capacidad.
Comprobar los archivos de registro para comprobar distintos escenarios y cargar los
archivos de registro en un FTP
Relacionado
Vea los archivos de registro para comprobar la seguridad ICR mensajes de depuración, de flujo de
seguridad y el estado del registro al syslog.
Solución
Desde el modo operativo, escriba show log kmdshow log pkid los comandos , show log security-
traceshow log messages y.
user@host> show log kmd

user@host> show log pkid
user@host> show log security-trace
user@host> show log messages
Puede ver una lista de todos los registros del directorio/var/log mediante el show log comando.
Los archivos de registro también se pueden cargar en un servidor FTP utilizando el file copy comando.
(operational mode):
user@host> file copy path/filename dest-path/filename
Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps

301
Habilitar ICR opciones de seguimiento para ver mensajes en ICR
Relacionado
Para ver los mensajes de error o éxito para ICR o IPsec, puede ver el registro de KMD con show log kmd
el comando. Dado que el registro KMD muestra algunos mensajes generales, puede ser útil obtener
detalles adicionales habilitando las opciones de seguimiento de ICR y PKI.
Generalmente, se trata de una práctica recomendada para solucionar problemas del mismo nivel que
tiene la función de contestador. Debe obtener los resultados de la traza del iniciador y del respondedor
para comprender la causa de un error.
Configure ICR opciones de traza.
Solución
user@host> configure
Entering configuration mode
[edit]
user@host# edit security ike traceoptions
[edit security ike traceoptions]
user@host# set file ?

Possible completions:
<filename> Name of file in which to write trace information
files Maximum number of trace files (2..1000)
match Regular expression for lines to be logged
no-world-readable Don't allow any user to read the log file
size Maximum trace file size (10240..1073741824)
world-readable Allow any user to read the log file
user@host# set flag ?

all Trace everything
certificates Trace certificate events
302
database Trace security associations database events

general Trace general events
ike Trace IKE module processing
parse Trace configuration processing
policy-manager Trace policy manager processing
routing-socket Trace routing socket messages
timer Trace internal timer events
Si no especifica nombres de archivo para el < campo nombrearchivo >, todas las opciones de traza ICR
se escribirán en el registro KMD.
Debe especificar al menos una opción de indicador para escribir los datos de seguimiento en el registro.
Por ejemplo:
• file size : tamaño máximo de cada archivo de seguimiento, en bytes. Por ejemplo, 1 millón (1 millón)
puede generar un tamaño máximo de archivo de 1 MB.
• files : número máximo de archivos de seguimiento que se generarán y almacenarán en un dispositivo

de memoria flash.
Debe confirmar la configuración para iniciar la traza.
Habilitar las opciones de seguimiento de PKI para ver mensajes en IPsec
Relacionado
Habilite las opciones de seguimiento de PKI para identificar si un fallo de ICR está relacionado con el
certificado o con un problema que no sea de la PKI.
Solución
[edit security pki traceoptions]
user@host# set file ?

<filename> Name of file in which to write trace information
files Maximum number of trace files (2..1000)
match Regular expression for lines to be logged
no-world-readable Don't allow any user to read the log file
303
size Maximum trace file size (10240..1073741824)

world-readable Allow any user to read the log file
user@host# set flag ?

all Trace with all flags enabled
certificate-verification PKI certificate verification tracing
online-crl-check PKI online crl tracing
Configuración de las opciones de seguimiento de ICR y PKI para solucionar problemas

ICR la instalación con certificados
Relacionado
Establezca la configuración recomendada para las opciones de seguimiento de ICR y PKI.
Las opciones de seguimiento del ICR y la PKI utilizan los mismos parámetros, pero el nombre de archivo
predeterminado de todas las trazas relacionadas con la PKI se encuentra en el registro pkid.
Solución
user@host> configure
Entering configuration mode

user@host# set file size 1m
user@host# set flag ike
user@host# set flag policy-manager
user@host# set flag routing-socket
user@host# set flag certificates

user@host# set file size 1m
user@host# set flag all
304
commit complete
Análisis del mensaje de operación correcta de la fase 1
Relacionado
Comprenda el resultado del show log kmd comando cuando las condiciones ICR Phase 1 y Phase 2
tengan éxito.
Solución
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=

10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Phase-2 [responder] done for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,
[0..15]=ssg5.example.net)
p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
El resultado de la muestra indica:
• 10.1.1.2— Dirección local.
• ssg5.example.net : par remoto (nombre de host con FQDN).
• udp: 500— TDR negociamos el T-T.
• Phase 1 [responder] done— Estado de fase 1, junto con la función (iniciador o respondedor).
• Phase 2 [responder] done— Estado de fase 1, junto con la información del ID de proxy.
También puede confirmar el estado de SA de IPsec mediante los comandos de comprobación que
"Confirmación de ICR estado de la fase 1" en la página 290se mencionan en la.
Análisis del mensaje de error de fase 1 (no coincide la propuesta)
Relacionado
Al comprender el resultado del show log kmd comando, donde la condición ICR fase 1 es un fallo, ayuda
a determinar la razón de la VPN que no establece la fase 1.
305
Solución
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d -
2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)
• ssg5.example.net : par remoto (nombre de host con FQDN).
• udp: 500— TDR negociamos el T-T.
• Phase-1 [responder] failed with error (No proposal chosen)— Error de fase 1 debido a la discordancia
de la propuesta.
Para resolver este problema, asegúrese de que los parámetros para la puerta de enlace de ICR las
propuestas del contestador y del iniciador coincidan. Confirme también que existe una directiva de túnel
para la VPN.
Análisis del mensaje de error de la fase 1 (fallo de autenticación)
Relacionado
Comprender el resultado del show log kmd comando cuando la condición de la fase 1 ICR es un fallo.
Esto ayuda a determinar la razón de la VPN que no establece la fase 1.
Solución
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not

recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 -
dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)

306
• 10.2.2.2: par remoto
• Phase 1 [responder] failed with error (Authentication failed)— Error de fase 1 debido a que el
respondedor no reconoce la solicitud entrante que se origina en un par de puerta de enlace válido. En
el caso de ICR con certificados de PKI, este error suele indicar que se especificó o se especificó un
tipo de ID ICR incorrecto.
Para resolver este problema, confirme que se especifica el tipo de ICR del mismo nivel correcto en el
elemento del mismo nivel local de acuerdo con lo siguiente:
• Cómo se generó el certificado de mismo nivel remoto
• Nombre de firmante alternativo o información de DN en el certificado de interlocutor remoto

recibido
Análisis del mensaje de fallo de la fase 1 (error de tiempo de espera)
Relacionado
Comprender el resultado del show log kmd comando cuando la condición de la fase 1 ICR es un fallo.
Solución
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for

local=unknown(any:0,[0..0]=)
remote=ipv4(any:0,[0..3]=10.2.2.2)
• 10.1.1.2— dirección Llocal.
• 10.2.2.2: par remoto.
• Phase 1 [responder] failed with error(Timeout)— Error de fase 1.
Este error indica que se perdió el paquete ICR enrutar hacia el elemento del mismo nivel remoto o
que hay un retraso o que no hay respuesta del interlocutor remoto.
Dado que este error de tiempo de espera es el resultado de esperar una respuesta del demonio de PKI,
debe revisar la salida de las opciones de seguimiento de PKI para ver si existe un problema con la PKI.
307
Análisis del mensaje de error de la fase 2
Relacionado
Comprenda el resultado del show log kmd comando cuando la condición ICR fase 2 sea un fallo.
Solución

Nov 7 11:52:14 Failed to match the peer proxy ids
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote
peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2
[responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe -
43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
• ssg5.example.net : par remoto (ICR tipo de host de ID con FQDN).
• Phase 1 [responder] done— Éxito de la fase 1.
• Failed to match the peer proxy ids: se reciben los ID de proxy incorrectos. En el ejemplo anterior, los
dos ID. de proxy recibidos son 192.168.168.0/24 (remoto) y 10.10.20.0/24 (local) (para servicio =
cualquiera). En función de la configuración dada en este ejemplo, la dirección local esperada es
192.168.10.0/24. Esto demuestra que las configuraciones no coinciden en el elemento del mismo
nivel local, lo que produce un error en la coincidencia del identificador de proxy.
Para resolver este problema, corrija la entrada de la libreta de direcciones o configure el ID de proxy
en cualquiera de los interlocutores para que coincida con el otro interlocutor.
La salida también indica que la razón del error No proposal chosenes. Sin embargo, en este caso
también verá el Failed to match the peer proxy idsmensaje.
308
Análisis del mensaje de error de la fase 2
Relacionado
Comprenda el resultado del show log kmd comando cuando la condición ICR fase 2 sea un fallo.
Solución

Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 -
6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
• 10.1.1.2 — Dirección local.
• fqdn(udp:500,[0..15]=ssg5.example.net: par remoto.
• Phase 1 [responder] done— Éxito de la fase 1.
• Error = No proposal chosen: no se eligió ninguna propuesta durante la fase 2. Este problema se debe
a una discordancia de propuestas entre los dos pares.
Para resolver este problema, confirme que las propuestas de la fase 2 coinciden en ambos
interlocutores.
Solución de problemas comunes relacionados con el ICR y la PKI
Relacionado
Solucionar problemas comunes relacionados con el ICR y la PKI.
La habilitación de la característica de opciones de seguimiento le ayuda a recopilar más información

sobre los problemas de depuración de las entradas de registro normales. Puede utilizar el registro de
opciones de seguimiento para comprender los motivos de los errores de ICR o PKI.
Solución
Los métodos de solución de problemas relacionados con ICR y PKI son los siguientes:
309
• Asegúrese de que el reloj, la fecha, la zona horaria y la configuración del horario de verano son
correctas. Utilice NTP para mantener la precisión del reloj.
• Asegúrese de usar un código de país de dos letras en el campo "C =" (país) del DN.
Por ejemplo: usar "US" y no "EE. UU." o "Estados Unidos". Algunas CA requieren que el campo país de
la DN se rellene, lo que le permite ingresar el valor de código de país solo con un valor de dos letras.
• Asegúrese de que si un certificado del mismo nivel está utilizando varios campos OU = o CN =, está
utilizando el nombre completo con el método de contenedor (debe mantenerse la secuencia y
distingue entre mayúsculas y minúsculas).
• Si el certificado aún no es válido, compruebe el reloj del sistema y, si es necesario, ajuste la zona
horaria del sistema o simplemente agregue un día del reloj para realizar una prueba rápida.
• Asegúrese de que se configura un tipo de identificador ICR y un valor coincidente.
• La PKI puede fallar debido a un error de comprobación de revocación. Para confirmar esto,
deshabilite temporalmente la comprobación de revocación y compruebe si ICR fase 1 puede
completarse.
Para deshabilitar la comprobación de revocación, utilice el siguiente comando en el modo de

configuración:
set security pki ca-profile <ca-profile> revocation-check disable

Configure VPN IPsec con OCSP para el estado de

revocación de certificados
in this section
Aplicables | 310

310
Automática | 314
Comproba | 325
En este ejemplo se muestra cómo mejorar la seguridad si se configuran dos elementos del mismo nivel
mediante el protocolo de estado de certificados en línea (OCSP) para comprobar el estado de revocación
de los certificados usados en las negociaciones de la fase 1 para el túnel VPN de IPsec.
Aplicables
En cada dispositivo:
• Obtenga e inscriba un certificado local. Esto se puede hacer manualmente o mediante el protocolo de
• Opcionalmente, habilite la renovación automática del certificado local.
• Configure políticas de seguridad que permitan el tráfico hacia y desde el dispositivo del mismo nivel.
in this section
Topología | 314
En ambos equipos del mismo nivel, una raíz de OCSP del perfil de una entidad de certificación (CA) se
configura con las siguientes opciones:
• El nombre de CA es raíz de OCSP.
• Dirección URL de inscripción es http://10.1.1.1:8080/scep/OCSP-ROOT/. Esta es la dirección URL en

la que se envían solicitudes de SCEP a la CA.
• La dirección URL del servidor OCSP es http://10.157.88.56:8210/OCSP-ROOT/.

311
• Primero se utiliza OCSP para comprobar el estado de revocación de certificados. Si no hay respuesta
del servidor OCSP, la lista de revocación de certificados (CRL) se usa para comprobar el estado. La
dirección URL de la CRL es http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.
• No se comprueba si el certificado de CA recibido en una respuesta OCSP se revocó el certificado.

Generalmente, los certificados recibidos en una respuesta OCSP tienen una duración más corta y no
es necesaria una comprobación de revocación.
Tabla 23 en la página 311muestra las opciones de la fase 1 utilizadas en este ejemplo.
Tabla 23: Opciones de la fase 1 del ejemplo de configuración de OCSP
, Peer A Peer B
ICR propuesta ike_prop ike_prop
Método de autenticación Firmas RSA Firmas RSA
Grupo DH group2 group2
Algoritmo de autenticación SHA 1 SHA 1
Algoritmo de cifrado 3DES CBC 3DES CBC
ICR Directiva ike_policy ike_policy
Medio ambiciosa ambiciosa
Clasificado ike_prop ike_prop
Certificado localcert1 de certificado localcert1 de certificado local

local
Puerta de enlace ICR jsr_gateway jsr_gateway
Políticas ike_policy ike_policy

312
Tabla 23: Opciones de la fase 1 del ejemplo de configuración de OCSP (Continued)
, Peer A Peer B
Dirección de puerta de 198.51.100.50 192.0.2.50

enlace
Identidad remota localcert11.example.net -
Identidad local - localcert11.example.net
Interfaz externa reth1 ge-0/0/2.0
Versi v2 v2
Tabla 24 en la página 312muestra las opciones de la fase 2 utilizadas en este ejemplo.
Tabla 24: Ejemplo de opciones de fase 2 para la configuración de OCSP
, Peer A Peer B
Propuesta de IPsec ipsec_prop ipsec_prop
Protocolo SENSORIAL SENSORIAL
Algoritmo de autenticación HMAC SHA1-96 HMAC SHA1-96
Algoritmo de cifrado 3DES CBC 3DES CBC
Segundos de duración 1200 1200
La duración de los kilobytes 150,000 150,000
Directiva IPsec ipsec_policy ipsec_policy

313
Tabla 24: Ejemplo de opciones de fase 2 para la configuración de OCSP (Continued)
, Peer A Peer B
Claves de PFC group2 group2
Clasificado ipsec_prop ipsec_prop
VIRTUALES test_vpn test_vpn
Enlazar interfaz st0.1 st0.1
Puerta de enlace ICR jsr_gateway jsr_gateway
Políticas ipsec_policy ipsec_policy
Establecer túneles - justo

314
Topología
Figura 26 en la página 314muestra los dispositivos del mismo nivel que están configurados en este
ejemplo.
Figura 26: Ejemplo de configuración de OCSP
Automática
in this section
Configuración del interlocutor A | 314
Configuración del interlocutor B | 320
Configuración del interlocutor A
Para configurar rápidamente el par A de VPN para usar OCSP, copie los siguientes comandos, péguelos
en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con
315
su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese
desde el modo de editcommit configuración.
set interfaces ge-0/0/3 gigether-options redundant-parent reth1

set interfaces lo0 unit 0 family inet address 172.16.1.100/24
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1
set interfaces reth1 redundant-ether-options redundancy-group 1
set interfaces reth1 unit 0 family inet address 192.0.2.50/24
set security pki ca-profile OCSP-ROOT ca-identity OCSP-ROOT
set security pki ca-profile OCSP-ROOT enrollment url http://10.1.1.1:8080/scep/OCSP-ROOT/
set security pki ca-profile OCSP-ROOT revocation-check ocsp url http://10.157.88.56:8210/OCSP-ROOT/
set security pki ca-profile OCSP-ROOT revocation-check use-ocsp
set security pki ca-profile OCSP-ROOT revocation-check ocsp disable-responder-revocation-check
set security pki ca-profile OCSP-ROOT revocation-check ocsp connection-failure fallback-crl
set security pki ca-profile OCSP-ROOT revocation-check crl url http://10.1.1.1:8080/crl-as-der/
currentcrl-45.crlid=45
set security ike proposal ike_prop authentication-method rsa-signatures
set security ike proposal ike_prop dh-group group2
set security ike proposal ike_prop authentication-algorithm sha1
set security ike proposal ike_prop encryption-algorithm 3des-cbc
set security ike policy ike_policy mode aggressive
set security ike policy ike_policy proposals ike_prop
set security ike policy ike_policy certificate local-certificate localcert1
set security ike gateway jsr_gateway ike-policy ike_policy
set security ike gateway jsr_gateway address 198.51.100.50
set security ike gateway jsr_gateway remote-identity hostname localcert11.example.net
set security ike gateway jsr_gateway external-interface reth1
set security ike gateway jsr_gateway version v2-only
set security ipsec proposal ipsec_prop protocol esp
set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
set security ipsec proposal ipsec_prop lifetime-seconds 1200
set security ipsec proposal ipsec_prop lifetime-kilobytes 150000
set security ipsec policy ipsec_policy perfect-forward-secrecy keys group2
set security ipsec policy ipsec_policy proposals ipsec_prop
set security ipsec vpn test_vpn bind-interface st0.1
316
set security ipsec vpn test_vpn ike gateway jsr_gateway

set security ipsec vpn test_vpn ike ipsec-policy ipsec_policy
Para configurar el interlocutor a de VPN a para usar OCSP:
1. Configurar interfaces.
[edit interfaces]
set ge-0/0/3 gigether-options redundant-parent reth1
set ge-9/0/3 gigether-options redundant-parent reth1
set lo0 unit 0 family inet address 172.16.1.100/24
set lo0 redundant-pseudo-interface-options redundancy-group 1
set reth1 redundant-ether-options redundancy-group 1
set reth1 unit 0 family inet address 192.0.2.0/24
set st0 unit 1 family inet address 172.18.1.100/24
2. Configure el perfil de CA.
[edit security pki ca-profile OCSP-ROOT]

set ca-identity OCSP-ROOT
set enrollment url http://10.1.1.1:8080/scep/OCSP-ROOT/
set revocation-check ocsp url http://10.157.88.56:8210/OCSP-ROOT/
set revocation-check use-ocsp
set revocation-check ocsp disable-responder-revocation-check
set revocation-check ocsp connection-failure fallback-crl
set revocation-check crl url http://10.1.1.1:8080/crl-as-der/
[edit security ike proposal ike_prop]

set authentication-method rsa-signatures
set dh-group group2
set authentication-algorithm sha1
317
set encryption-algorithm 3des-cbc
[edit security ike policy ike_policy]

set mode aggressive
set proposals ike_prop
set certificate local-certificate localcert1
[edit security ike gateway jsr_gateway]

set ike-policy ike_policy
set address 198.51.100.50
set remote-identity hostname localcert11.example.net
set external-interface reth1
set version v2-only
[edit security ipsec proposal ipsec_prop]

set protocol esp
set authentication-algorithm hmac-sha1-96
set lifetime-seconds 1200
set lifetime-kilobytes 150000
[edit security ipsec policy ipsec_policy]

set perfect-forward-secrecy keys group2
set proposals ipsec_prop
[edit security ipsec vpn test_vpn]

set bind-interface st0.1
set ike gateway jsr_gateway
set ike ipsec-policy ipsec_policy
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-
profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no
318
corregirlo.
[edit]
ge-0/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-9/0/3 {
gigether-options {
}
}
lo0 {
unit 0 {
family inet {
address 172.16.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.0/24;
}
}
}
st0 {
unit 1 {
family inet {
address 172.18.1.100/24;
}
}
}
319
[edit]
user@host# show security pki ca-profile OCSP-ROOT
ca-identity OCSP-ROOT;
enrollment {
url http://10.1.1.1:8080/scep/OCSP-ROOT/;
}
revocation-check {
crl {
url http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45;
}
ocsp {
disable-responder-revocation-check;
url http://10.157.88.56:8210/OCSP-ROOT/;
}
use-ocsp;
}
[edit]
proposal ike_prop {
dh-group group2;
}
policy ike_policy {
mode aggressive;
proposals ike_prop;
certificate {
local-certificate localcert1;
}
}
gateway jsr_gateway {
ike-policy ike_policy;
address 10.10.2.50;
remote-identity hostname localcert11.example.net;
external-interface reth1;
version v2-only;
}
[edit]
proposal ipsec_prop {
protocol esp;
320
lifetime-kilobytes 150000;
}
policy ipsec_policy {
keys group2;
}
proposals ipsec_prop;
}
vpn test_vpn {
ike {
gateway jsr_gateway;
ipsec-policy ipsec_policy;
}
}
Configuración del interlocutor B
Para configurar rápidamente el par B de VPN para usar OCSP, copie los siguientes comandos, péguelos
en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con
su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese
desde el modo de editcommit configuración.

set security pki ca-profile OCSP-ROOT ca-identity OCSP-ROOT
set security pki ca-profile OCSP-ROOT enrollment url http://10.1.1.1:8080/scep/OCSP-ROOT/
set security pki ca-profile OCSP-ROOT revocation-check ocsp url http://10.157.88.56:8210/OCSP-ROOT/
set security pki ca-profile OCSP-ROOT revocation-check use-ocsp
set security pki ca-profile OCSP-ROOT revocation-check ocsp disable-responder-revocation-check
set security pki ca-profile OCSP-ROOT revocation-check ocsp connection-failure fallback-crl
set security pki ca-profile OCSP-ROOT revocation-check crl url http://10.1.1.1:8080/crl-as-der/
set security ike proposal ike_prop authentication-method rsa-signatures
321

set security ike policy ike_policy proposals ike_prop
set security ike policy ike_policy certificate local-certificate localcert11
set security ike gateway jsr_gateway ike-policy ike_policy
set security ike gateway jsr_gateway address 192.0.2.50
set security ike gateway jsr_gateway local-identity hostname localcert11.example.net
set security ike gateway jsr_gateway external-interface ge-0/0/2.0
set security ike gateway jsr_gateway version v2-only
set security ipsec proposal ipsec_prop lifetime-kilobytes 150000
set security ipsec policy ipsec_policy perfect-forward-secrecy keys group2
set security ipsec policy ipsec_policy proposals ipsec_prop
set security ipsec vpn test_vpn bind-interface st0.1
set security ipsec vpn test_vpn ike gateway jsr_gateway
set security ipsec vpn test_vpn ike ipsec-policy ipsec_policy
set security ipsec vpn test_vpn establish-tunnels immediately
Para configurar VPN peer B para usar OCSP:
[edit interfaces]
set ge-0/0/2 unit 0 family inet address 198.51.100.0/24
set lo0 unit 0 family inet address 172.17.1.100/24
set st0 unit 1 family inet address 172.18.1.1/24
322
[edit security pki ca-profile OCSP-ROOT]

set ca-identity OCSP-ROOT
set enrollment url http://10.1.1.1:8080/scep/OCSP-ROOT/
set revocation-check ocsp url http://10.157.88.56:8210/OCSP-ROOT/
set revocation-check use-ocsp
set revocation-check ocsp disable-responder-revocation-check
set revocation-check ocsp connection-failure fallback-crl
set revocation-check crl url http://10.1.1.1:8080/crl-as-der/

set authentication-method rsa-signatures
set dh-group group2
set authentication-algorithm sha1

set mode aggressive
set proposals ike_prop
set certificate local-certificate localcert1
[edit security ike gateway jsr_gateway]

set ike-policy ike_policy
set local-identity hostname localcert11.example.net
set external-interface ge-0/0/2.0
set version v2-only

set protocol esp
set authentication-algorithm hmac-sha1-96
set lifetime-seconds 1200
set lifetime-kilobytes 150000
323

set perfect-forward-secrecy keys group2
set proposals ipsec_prop
[edit security ipsec vpn test_vpn]

set bind-interface st0.1
set ike gateway jsr_gateway
set ike ipsec-policy ipsec_policy
set establish-tunnels immediately
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-
profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no
corregirlo.
[edit]
ge-0/0/2 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.17.1.100/24;
}
}
}
st0 {
unit 1 {
family inet {
address 172.18.1.1/24;
}
}
}
324
[edit]
user@host# show security pki ca-profile OCSP-ROOT
ca-identity OCSP-ROOT;
enrollment {
url http://10.1.1.1:8080/scep/OCSP-ROOT/;
}
revocation-check {
crl {
url http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45;
}
ocsp {
url http://10.157.88.56:8210/OCSP-ROOT/;
}
use-ocsp;
}
[edit]
proposal ike_prop {
dh-group group2;
}
policy ike_policy {
mode aggressive;
proposals ike_prop;
certificate {
local-certificate localcert11;
}
}
gateway jsr_gateway {
address 192.0.2.50;
local-identity hostname localcert11.example.net;
version v2-only;
}
[edit]
protocol esp;
325
}
keys group2;
}
}
vpn test_vpn {
ike {
gateway jsr_gateway;
}
establish-tunnels immediately;
}
Comproba
in this section
Comprobar certificados de CA | 326
Comprobación de certificados locales | 327

326
Comprobar certificados de CA
Purpose
Comprobar la validez de un certificado de entidad emisora en cada dispositivo del mismo nivel.
Intervención
Desde el modo funcional, escriba show security pki ca-certificate ca-profile OCSP-ROOT el show
security pki ca-certificate ca-profile OCSP-ROOT detail comando o.
user@host> show security pki ca-certificate ca-profile OCSP-ROOT

Certificate identifier: OCSP-ROOT
Issued to: OCSP-ROOT, Issued by: C = US, O = example, CN = OCSP-ROOT
Validity:
Not before: 11-15-2013 22:26 UTC
Not after: 11-14-2016 22:26 UTC
user@host> show security pki ca-certificate ca-profile OCSP-ROOT detail

Certificate identifier: OCSP-ROOT
Serial number: 0000a17f
Issuer:
Organization: example, Country: US, Common name: OCSP-ROOT
Subject:
Subject string:
C=US, O=example, CN=OCSP-ROOT
Validity:
Not before: 11-15-2013 22:26 UTC
Not after: 11-14-2016 22:26 UTC
30:82:01:0a:02:82:01:01:00:c6:38:e9:03:69:5e:45:d8:a3:ea:3d
2e:e3:b8:3f:f0:5b:39:f0:b7:35:64:ed:60:a0:ba:89:28:63:29:e7
27:82:47:c4:f6:41:53:c8:97:d7:1e:3c:ca:f0:a0:b9:09:0e:3d:f8
76:5b:10:6f:b5:f8:ef:c5:e8:48:b9:fe:46:a3:c6:ba:b5:05:de:2d
91:ce:20:12:8f:55:3c:a6:a4:99:bb:91:cf:05:5c:89:d3:a7:dc:a4
d1:46:f2:dc:36:f3:f0:b5:fd:1d:18:f2:e6:33:d3:38:bb:44:8a:19
ad:e0:b1:1a:15:c3:56:07:f9:2d:f6:19:f7:cd:80:cf:61:de:58:b8
a3:f5:e0:d1:a3:3a:19:99:80:b0:63:03:1f:25:05:cc:b2:0c:cd:18
327
ef:37:37:46:91:20:04:bc:a3:4a:44:a9:85:3b:50:33:76:45:d9:ba
26:3a:3b:0d:ff:82:40:36:64:4e:ea:6a:d8:9b:06:ff:3f:e2:c4:a6
76:ee:8b:58:56:a6:09:d3:4e:08:b0:64:60:75:f3:e2:06:91:64:73
d2:78:e9:7a:cb:8c:57:0e:d1:9a:6d:3a:4a:9e:5b:d9:e4:a2:ef:31
5d:2b:2b:53:ab:a1:ad:45:49:fd:a5:e0:8b:4e:0b:71:52:ca:6b:fa
8b:0e:2c:7c:7b:02:03:01:00:01
Distribution CRL:
http://10.1.1.1:8080/crl-as-der/currentcrl-45.crl?id=45
Authority Information Access OCSP:
http://10.1.1.1:8090/OCSP-ROOT/
Use for key: CRL signing, Certificate signing, Key encipherment, Digital
signature
Fingerprint:
ed:ce:ec:13:1a:d2:ab:0a:76:e5:26:6d:2c:29:5d:49:90:57:f9:41 (sha1)
af:87:07:69:f0:3e:f7:c6:b8:2c:f8:df:0b:ae:b0:28 (md5)
En este ejemplo, las direcciones IP se utilizan en las direcciones URL de la configuración del perfil de la
entidad emisora. Si las direcciones IP no se utilizan AC certificados emitidos por AC certificados, el DNS
se debe configurar en la configuración del dispositivo. DNS debe poder resolver el host en las listas CRL
de distribución y en la dirección URL de la entidad emisora de certificados en la configuración del perfil
de entidad emisora. Además, debe contar con la posibilidad de acceder a la red al mismo host para
recibir comprobaciones de revocación.
Efectos
El resultado muestra los detalles y la validez del certificado de entidad emisora en cada interlocutor de la
siguiente manera:
• C— País.
• O—Organización.
• CN: nombre común.
• Not before: fecha de inicio de la válida.
• Not after: fecha de finalización de la validación.
Comprobación de certificados locales
Purpose
Comprobar la validez de un certificado local en cada dispositivo del mismo nivel.

328
Intervención
En modo operativo, escriba el show security pki local-certificate certificate-id localcert1 detail
comando.
user@host> show security pki local-certificate certificate-id localcert1 detail

Certificate identifier: localcert1
Serial number: 013e3f1d
Issuer:
Subject:
Organization: example, Organizational unit: example, State: california1,
Locality: sunnyvale1, Common name: localcert1, Domain component:
domain_component1
Subject string:
DC=domain_component1, CN=localcert1, OU=example, O=example, L=sunnyvale1,
ST=california1, C=us1
Alternate subject: "localcert1@example.net", localcert1.example.net, 10.10.1.50
Validity:
Not before: 01-28-2014 22:23 UTC
Not after: 03-29-2014 22:53 UTC
30:81:89:02:81:81:00:a6:df:c1:57:59:f8:4d:0f:c4:a8:96:25:97
03:c4:a0:fb:df:d5:f3:d5:56:b6:5a:26:65:b8:1a:ec:be:f6:c6:5f
b3:d7:d3:59:39:48:52:4a:e3:1b:e4:e0:6d:24:c3:c1:50:8c:55:3b
c0:c1:29:a0:45:29:8e:ec:3e:52:2f:84:b3:e8:89:9a:0f:8b:7d:e8
90:4b:c1:28:48:95:b3:aa:11:ab:b4:8c:a8:80:ce:90:07:2a:13:a2
2f:84:44:92:3b:be:7d:39:5b:2f:9a:4c:7a:2f:2d:31:8b:12:6d:52
34:7d:6b:e4:69:7e:f3:86:55:e2:89:31:98:c9:15:02:03:01:00:01
Distribution CRL:
http://10.1.1.1:8080/crl-as-der/currentcrl-45.crl?id=45
Authority Information Access OCSP:
http://10.1.1.1/:8090/OCSP-ROOT/
Fingerprint:
00:c6:56:64:ad:e3:ce:8e:26:6b:df:17:1e:de:fc:14:a4:bb:8c:e4 (sha1)
7f:43:c6:ed:e4:b3:7a:4f:9a:8c:0b:61:95:01:c9:52 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
329
Efectos
El resultado muestra los detalles y la validez de un certificado local en cada interlocutor de la manera
siguiente:
• DC: componente de dominio.
• CN: nombre común.
• OU— Unidad organizacional.
• O—Organización.
• L— Localidad
• ST— Estado.
• C— País.
• Not before: fecha de inicio de la válida.
• Not after: fecha de finalización de la validación.
Purpose
Compruebe el estado ICR fase 1 de cada dispositivo del mismo nivel.
Intervención

Address
6534660 UP 3e62e05abd6a703f c552b238e8a26668 IKEv2
198.51.100.50
En modo operativo, escriba el show security ike security-associations detail comando.
user@host> show security ike security-associations detail

IKE peer 198.51.100.50, Index 6534660, Gateway Name: jsr_gateway
330
Initiator cookie: 3e62e05abd6a703f, Responder cookie: c552b238e8a26668

Exchange type: IKEv2, Authentication method: RSA-signatures
Local: 192.0.2.50:500, Remote: 198.51.100.50:500
Peer ike-id: localcert11.example.net
Xauth assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 2152
Output bytes : 2097
Input packets: 4
Output packets: 4
Flags: IKE SA is created

Local: 192.0.2.50:500, Remote: 198.51.100.50:500
Local identity: 192.0.2.50
Remote identity: localcert11.example.net
Efectos
El flags campo en el resultado muestra que se crea ICR Asociación de seguridad.
Purpose
Compruebe el estado de IPsec Phase 2 en cada dispositivo del mismo nivel.

331
Intervención

<131073 ESP:3des/sha1 9d1066e2 252/ 150000 - root 500 198.51.100.50
>131073 ESP:3des/sha1 82079c2c 252/ 150000 - root 500 198.51.100.50
En modo operativo, escriba el show security ipsec security-associations detail comando.
user@host> show security ipsec security-associations detail

ID: 131073 Virtual-system: root, VPN Name: test_vpn
Version: IKEv2
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x600a29

Last Tunnel Down Reason: Delete payload received
Direction: inbound, SPI: 9d1066e2, AUX-SPI: 0
, VPN Monitoring: -
Lifesize Remaining: 150000 kilobytes
Mode: Tunnel(0 0), Type: dynamic, State: installed
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 82079c2c, AUX-SPI: 0

, VPN Monitoring: -
332
Efectos
El resultado muestra los detalles de las asociaciones de seguridad IPSec.
VPN de IPsec para IPv6
in this section
Compatibilidad con características de VPN para direcciones IPv6 | 332
Descripción del procesamiento de paquetes IPsec e ICR de IPv6 | 339
Introducción a la configuración IPsec de IPv6 | 347
Ejemplo Configuración de una VPN manual de IPsec para IPv6 | 348
Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en políticas | 352
Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas
para IPv6 IPsec VPN.
Compatibilidad con características de VPN para direcciones IPv6
Un túnel VPN de sitio a sitio basado en la ruta con una interfaz de túnel segura punto a punto puede
funcionar en los modos de túnel IPv4-in-IPv4, IPv6-in-IPv6, IPv6-in-IPv4 o IPv4-in-IPv6. Las direcciones
IPv6 pueden encontrarse en el encabezado IP externo, que representa el extremo del túnel, o en el
encabezado IP interior, que representa las direcciones finales de origen y destino de un paquete.
Tabla 25 en la página 333define la compatibilidad con direcciones IPv6 en características VPN.

333
Tabla 25: Compatibilidad con direcciones IPv6 en características VPN
Función Posible Excepción
Compatibilidad con ICR e IPsec:
IKEv1 e IKEv2 Sí A menos que se especifique lo especificado, todas

las características compatibles son aplicables a
IKEv1 e IKEv2.
VPN basado en la ruta Sí –
VPN basada en políticas Sí Las VPN basadas en Directiva de IPv6 no se

admiten en los dispositivos serie SRX en las
configuraciones de clústeres del chasis. Las VPN
basadas en Directiva de IPv6 solo se admiten con
túneles IPv6 en IPv6 en SRX300 independientes,
SRX320, SRX340, SRX345 y dispositivos
SRX550HM.
VPN de sitio a sitio Sí Solo se admite VPN de sitio a sitio, que es uno a
uno. No se admite la VPN de sitio a sitio de varios
a uno (NHTB). La configuración NHTB no se
puede confirmar para los modos de túnel que no
sean IPv4 en IPv4.
VPN de extremo dinámico Sí –
VPN de acceso telefónico Sí –
AutoVPN Sí Las redes AutoVPN que utilizan interfaces de

túnel seguro en el modo punto a punto admiten
direcciones IPv6 para los selectores de tráfico y
para los ICR homólogos. AutoVPN en el modo
punto a multipunto no admite el tráfico IPv6.
334
Tabla 25: Compatibilidad con direcciones IPv6 en características VPN (Continued)
VPN de grupo No –
Interfaces de túnel punto a punto Sí –
Interfaces de túnel punto a multipunto No –
Escenario radial para VPN de sitio a Sí –

sitio
Interfaces de túnel numeradas y no Sí –

numeradas
Enrutamiento estático y dinámico de Sí –

unidifusión (RIP, OSPF, BGP)
Enrutamiento dinámico de No –
multidifusión (PIM)
Enrutador virtual Sí –
Sistema lógico No –
Administración automática y manual de Sí –

SA y de claves
Varias SPUs Sí –
335
Clúster de chasis Sí IPsec VPN con el modo activo-activo solo se

admite en dispositivos de SRX300, SRX320,
SRX340, SRX345 y SRX550HM para túneles IPv6
basados en rutas. IPsec VPN con el modo activo-
activo no se admite en dispositivos SRX5400,
SRX5600 y SRX5800.
Estadísticas, registros, depuración por Sí –

túnel
BIA SNMP Sí –
Selección de dirección local Sí Si se configuran varias direcciones de la misma

familia de direcciones en una interfaz externa
física para una VPN Peer, recomendamos que
local-address configure tambiénedit security ike
gateway gateway-nameen el nivel de jerarquía [].
Terminación de dirección de bucle Sí –

invertido
Xauth o modecfg a través de IPv6 No –
Inserción de SPC Sí –
PIDIÓ Sí –
Nombre DNS como ICR dirección de Sí Al igual que con los túneles de IPv4, las
puerta de enlace direcciones de puerta de enlace del mismo nivel
en el nombre DNS no se admiten con túneles de
IPv6.
336
Autenticación de certificado o clave Sí –

previamente compartida
TDR-transversal (TDR-T) para los Sí TDR-T solo es compatible con los modos de túnel
interlocutores ICR de IPv4 IPv6-en-IPv4 e IPv4-en-IPv4 con IKEv1. No se
admiten los modos de túnel IPv6-in-IPv6 e IPv4-
in-IPv6. No se admite IKEv2 para TDR-T. No se
admite TDR-T de IPv6 a IPv4 ni de IPv4 a IPv6.
Detección de pares inactivos (DPD) y Sí El failover de puerta de enlace de DPD solo se

failover de puerta de enlace DPD admite para las distintas direcciones de puerta de
enlace dentro de la misma familia. No se admite la
conmutación por error desde una dirección de
puerta de enlace IPv6 a una dirección de puerta
de enlace IPv4, o viceversa.
Conjuntos de cifrado, algoritmos de Sí –

autenticación y grupos DH compatibles
con Junos OS versión 12.1 X45-D10
para dispositivos serie SRX.
Propuestas y políticas genéricas para Sí –

IPv6 e IPv4
ID. de ICR general Sí –
ESP y los modos de transporte AH No No se admiten estos modos para IPv4.
Modos de túnel ESP y AH Sí No se admite el modo de túnel AH con

encabezados y opciones con extensiones
mutables.
337
Número de secuencia extendida No –
Pares de ID de proxy único Sí –
Varios pares de selector de tráfico Sí Solo se admite con IKEv1.
Duración de ICR o SA de IPsec, en Sí –

segundos
Duración de ICR SA, en kilobytes Sí –
Supervisión de VPN No No se puede confirmar la configuración con

túneles de IPv6.
Bit DF Sí Para túneles IPv6 en IPv6, el bit DF solo se

establece si se configura en el nivel deedit
security ipsec vpn vpn-namejerarquía []. df-bit
clear es el valor predeterminado.
Dos pilas (túneles IPv4 e IPv6 paralelos) Sí Para VPN de sitio a sitio basadas en la ruta. Un
a través de una sola interfaz física túnel IPv4 único puede funcionar en los modos de
túnel IPv4-in-IPv4 e IPv6-in-IPv4 y un solo túnel
IPv6 puede funcionar en los modos de túnel IPv4-
in-IPv6 e IPv6-in-IPv6.
Encabezados de extensión de IPv6 Sí Los encabezados de extensión de IPv6 y las

opciones de IPv4 para ICR y los paquetes IPsec se
aceptan, pero no se procesan. No se admite AH
con EHs mutables y opciones.
Fragmentación y remontaje Sí –
338
Afinidad de sesión VPN Sí –
Tráfico de multidifusión No –
Servicios de IP de túnel (Screen, TDR, Sí –

ALG, IP, AppSecure)
Reordenación de paquetes para No –

fragmentos IPv6 a través de túnel
Detección de reenvío bidireccional No –

(BFD) a través de OSPFv3 rutas en la
interfaz st0
Protocolo Neighbor Discovery (NDP) a No –

través de las interfaces st0
Compatibilidad con PKI:
PKI en enrutador virtual Sí –
RSA Signature Authentication (512-, Sí –

1024-, 2048-o 4096-bit de tamaño)
Autenticación de firma de DSA (1024-, Sí –

2048 ó 4096 de tamaño de clave)
Firmas de ECDSA Sí –
Autenticación de cadena de certificado No –

339
Inscripción automática o manual a Sí –

través de IPv4
Revocación automática o manual a Sí –

través de IPv4
Inscripción automática o manual a No –

través de IPv6
Revocación automática o manual a No –

través de IPv6
Direcciones IPv6 en campos de No –

certificados de PKI
SEE ALSO
Descripción de los modos de túnel VPN

Descripción del procesamiento de paquetes IPsec e ICR de IPv6
in this section
Procesamiento de paquetes del ICR IPv6 | 340
Procesamiento de paquetes IPsec IPv6 | 342

340
Procesamiento de paquetes del ICR IPv6
Intercambio de claves por red (ICR) forma parte del conjunto IPsec de protocolos. Habilita
automáticamente dos extremos de túnel para configurar asociaciones de seguridad (SA) y negociar
claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. ICR
también proporciona autenticación para los elementos del mismo nivel que se comunican.
El procesamiento de paquetes ICR en redes IPv6 incluye los siguientes elementos:
• Carga de identificación del Protocolo de administración de claves e Asociación de seguridad de

Internet (ISAKMP)
La carga de identificación de ISAKMP se utiliza para identificar y autenticar los interlocutores IPv6
que se comunican. Se habilitan dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) para
IPv6. El tipo de ID. indica el tipo de identificación que se va a utilizar. El tipo de ID_IPV6_ADDR
especifica una dirección IPv6 única de 16 octetos. Este tipo de identificador representa una dirección
IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por
valores de 2 16 octetos. Este tipo de identificador representa una máscara de red IPv6. Tabla 26 en la
página 340 enumera los tipos de identificador y sus valores asignados en la carga de identificación.
Tabla 26: Tipos de IDENTIFICADOres ISAKMP y sus valores
ID (tipo) Valor
Reservados 0
ID_IPV4_ADDR 1
ID_FQDN 2
ID_USER_FQDN 3
ID_IPV4_ADDR_SUBNET 4
ID_IPV6_ADDR 5
ID_IPV6_ADDR_SUBNET 6
341
Tabla 26: Tipos de IDENTIFICADOres ISAKMP y sus valores (Continued)
ID (tipo) Valor
ID_IPV4_ADDR_RANGE 7
ID_IPV6_ADDR_RANGE 8
ID_DER_ASN1_DN 9
ID_DER_ASN1_GN 10
ID_KEY_ID 11
ID_LIST 12
El tipo ID_IPV6_ADDR_RANGE especifica un rango de direcciones IPv6 representadas por valores de

2 16 octetos. El primer valor de octeto representa la dirección IPv6 de inicio y el segundo valor de
octetos representa la dirección IPv6 final del intervalo. Todas las direcciones IPv6 que se encuentren
entre la primera y la última dirección IPv6 se consideran parte de la lista.
En esta versión no se admiten dos tipos de ID. en la carga de identificación de ISAKMP

(ID_IPV6_ADDR_RANGE y ID_IPV4_ADDR_RANGE).
• ID de proxy
Un ID de proxy se utiliza durante la fase 2 de ICR negociación. Se genera antes de que se establezca
un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Se generan dos ID de
proxy: local y remoto. El ID de proxy local se refiere a las direcciones IPv4 o IPv6, red y máscara de
subred locales. El ID de proxy remoto hace referencia a las direcciones IPv4 o IPv6, red y máscara de
subred remotas.
• Asociación de seguridad
Una SA es un acuerdo entre los participantes de VPN para apoyar la comunicación segura. LasAS se
diferencian según tres parámetros: índice de parámetros de seguridad (SPI), dirección IPv6 de destino
y protocolo de seguridad (AH o ESP). El SPI es un valor único asignado a una SA para ayudar a
identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica desde la dirección de
destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica desde el encabezado
AH o el de ESP.
342
Procesamiento de paquetes IPsec IPv6
Después de completar ICR negociaciones y de que las dos puertas de enlace ICR han establecido una de
las SA de las fases 1 y 2, IPv6 IPsec emplea las tecnologías de autenticación y cifrado para proteger los
paquetes IPv6. Dado que las direcciones IPv6 tienen una longitud de 128 bits, en comparación con las
direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere
más recursos.
No se admite la reordenación de paquetes para fragmentos IPv6 a través de un túnel.
Los dispositivos con direccionamiento IPv6 no realizan fragmentación. Los hosts de IPv6 deben realizar
el descubrimiento de MTU de ruta o enviar paquetes más pequeños que el tamaño de MTU mínimo de
IPv6 de 1280 bytes.
Protocolo AH en IPv6
El protocolo AH proporciona integridad de datos y autenticación de datos para paquetes de IPv6. IPsec
IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) que deben
organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado
AH sigue inmediatamente al nuevo encabezado IPv6 externo, similar al que aparece en el modo de túnel
AH de IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo
tanto, en el modo de túnel AH, todo el paquete se encapsula mediante la adición de un nuevo
encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno,
encabezados de extensión y el resto del datagrama Figura 27 en la página 342original, tal como se
muestra en la.
Figura 27: Modo de túnel AH IPv6
A diferencia de lo que ocurre con ESP, el algoritmo de autenticación de AH abarca tanto al encabezado
externo como a cualquier otro encabezado o opción de extensión.
El modo de túnel AH en serie SRX dispositivos no admite las opciones mutables de IPv4 ni los
encabezados de extensión mutables IPv6. Consulte Tabla 27 en la página 344la.
343
Protocolo ESP en IPv6
El protocolo ESP proporciona cifrado y autenticación para paquetes de IPv6. Dado que IPsec IPv6 utiliza
encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) en el datagrama IPv6, la
diferencia más importante entre el modo de túnel IPv6 ESP y el modo de túnel IPv4 ESP radica en la
colocación de los encabezados de extensión en el diseño de paquetes. En el modo de túnel ESP, el
encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo, similar al del modo de túnel
IPv4 ESP. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula mediante la adición de un
nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados
de extensión y el resto del datagrama original Figura 28 en la página 343tal y como se muestra en.
Figura 28: Modo de túnel IPv6 ESP
Opciones de IPv4 y encabezados de extensión de IPv6 con AH y ESP
Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión de IPv6 para
decapsulation en dispositivos serie SRX. Tabla 27 en la página 344 muestra las opciones de IPv4 o los
encabezados de extensión de IPv6 que se admiten con el protocolo ESP o ah en los dispositivos serie
SRX. Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta
el paquete.
344
Tabla 27: Compatibilidad con opciones de IPv4 o encabezados de extensión de IPv6
Encabezados de opciones o extensión SRX300, SRX320, Dispositivos SRX5400,

SRX340, SRX345 y SRX5600 y SRX5800
dispositivos de
SRX550HM
Opciones ESP con IPv4 Posible Posible
ESP con encabezados de extensión de IPv6 Posible Posible
AH con IPv4, opciones invariables Posible Posible
AH con encabezados de extensión invariable Posible Posible

IPv6
AH con opciones mutables de IPv4 No compatible No compatible
AH con encabezados de extensión mutable No compatible No compatible

IPv6
Cálculo del valor de comprobación de integridad en IPv6
El protocolo AH comprueba la integridad del paquete IPv6 mediante el cálculo de un valor de

comprobación de integridad (ICV) en el contenido del paquete. El ICV se suele crear sobre un algoritmo
de autenticación, como MD5 o SHA-1. Los cálculos de IPv6 ICV difieren de eso en IPv4 en términos de
dos campos de encabezado: encabezado mutable y encabezado de extensión opcional.
Puede calcular el AH ICV sobre los campos de encabezado de IPv6 que son inmutables en tránsito o
previsibles en el valor cuando llega en los extremos de túnel. También puede calcular el AH ICV sobre el
encabezado AH y los datos de protocolo de alto nivel (considerados inmutables durante la transmisión).
Puede calcular la ICV de ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y
los encabezados de extensión opcionales.
A diferencia de IPv4, IPv6 cuenta con un método para marcar opciones como mutables en el tránsito.
IPv6 los encabezados de extensión opcionales contienen un indicador que indica la mutabilidad. Este
indicador determina el procesamiento adecuado.
345
Las opciones variables de IPv4 y los encabezados de extensión de IPv6 no son compatibles con el
protocolo AH.
Construcción de encabezado en modos de túnel
En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo
representan los extremos del túnel, mientras que las direcciones de origen y de destino del encabezado
IPv4 o IPv6 interno representan las direcciones de origen y destino finales. Tabla 28 en la página 345
resume cómo se relaciona el encabezado IPv6 externo con el encabezado interno IPv6 o IPv4 para los
modos de túnel IPv6-en-IPv6 o IPv4-in-IPv6. En los campos de encabezado externos, "Constructed"
significa que el valor del campo de encabezado exterior se crea independientemente del valor del campo
de encabezado interno.
Tabla 28: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6
Los campos de encabezado Encabezado exterior en Encabezado interno en

encapsulador Decapsulator
versi 6. Ningún cambio.
Campo DS Copiado de la cabecera interna. Ningún cambio.
Campo ECN Copiado de la cabecera interna. Elabora.
etiqueta de flujo 0. Ningún cambio.
longitud de carga útil Elabora. Ningún cambio.
siguiente encabezado AH, ESP, y encabezado de Ningún cambio.

enrutamiento.
límite de saltos 64. Disminución.
Dirección de origen Elabora. Ningún cambio.
Dirección de destino Elabora. Ningún cambio.

346
Tabla 28: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6
(Continued)
Los campos de encabezado Encabezado exterior en Encabezado interno en

encapsulador Decapsulator
Encabezados de extensión Nunca se copió. Ningún cambio.
Tabla 29 en la página 346resume cómo se relaciona el encabezado IPv4 exterior con el encabezado
interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv4 o IPv4-en-IPv4. En los campos de encabezado
externos, "Constructed" significa que el valor del campo de encabezado exterior se crea
independientemente del valor del campo de encabezado interno.
Tabla 29: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4
Los campos de encabezado Encabezado exterior Encabezado interno
versi 4. Ningún cambio.
longitud del encabezado Elabora. Ningún cambio.
Campo DS Copiado de la cabecera interna. Ningún cambio.
Campo ECN Copiado de la cabecera interna. Elabora.
longitud total Elabora. Ningún cambio.
ID Elabora. Ningún cambio.
indicadores (DF, MF) Elabora. Ningún cambio.
desplazamiento de fragmento Elabora. Ningún cambio.
PERIODO 64. Disminución.

347
Tabla 29: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4
(Continued)
Los campos de encabezado Encabezado exterior Encabezado interno
Protocolo AH, ESP Ningún cambio.
MD5 Elabora. Elabora.
Dirección de origen Elabora. Ningún cambio.
Dirección de destino Elabora. Ningún cambio.
Opciones Nunca se copió. Ningún cambio.
Para el modo de túnel IPv6-en-IPv4, el bit No fragmentar (DF) está desactivado de forma
predeterminada. Si las df-bit set opciones df-bit copy o se configuran enedit security ipsec vpn vpn-
nameel nivel de jerarquía [] para el correspondiente VPN de IPv4, se establecerá el bit DF en el
encabezado de IPv4 exterior.
Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 exterior se basa en la df-bit opción
configurada para el encabezado IPv4 interno. Si df-bit no se configura para el encabezado IPv4 interno,
el bit DF se borra en el encabezado IPv4 exterior.
SEE ALSO

Introducción a la configuración IPsec de IPv6
Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas
para IPv6 IPsec VPN.
• VPN manual: en una configuración VPN manual, las claves y asociaciones de seguridad (AS) secretos
se configuran manualmente en los puntos de conexión de túnel mediante el mecanismo de clave
348
manual. Para crear una VPN manual IPv6 IPsec, consulte el ejemplo: Configuración de una
VPNmanual de IPSec para IPv6.
• AUTOKey ICR VPN: en una configuración VPN de ICR autoKey, las claves y LAS secretos se crean
automáticamente mediante el mecanismo de ICR automático. Para configurar una VPN de clave
automática IPv6 ICR, se requieren dos fases de negociaciones: fase 1 y fase 2.
• Fase 1: en esta fase, los participantes establecen un canal seguro para negociar las SA de IPSec.
• Fase 2: en esta fase, los participantes negocian las SA de IPSec para autenticar y cifrar los
paquetes de datos IPv6.
Para obtener más información sobre las negociaciones de fase 1 y fase 2, consulte Intercambio de
claves por red
SEE ALSO

Ejemplo Configuración de una dirección IPv6 como dirección de origen de un perfil de CA
Ejemplo Configuración de una VPN manual de IPsec para IPv6
in this section
Aplicables | 348
Automática | 349
Comproba | 351
En este ejemplo se muestra cómo configurar una VPN manual de IPsec para IPv6.
Aplicables
Antes de empezar:
• Comprenda cómo funcionan las VPN. Consulte Introducción a IPSec VPN.

349
• Comprender el procesamiento de paquetes IPsec IPv6. Consulte Descripción de la ICR IPv6 y el

procesamiento de paquetes IPSec.
En una configuración VPN manual, las claves secretas se configuran manualmente en los dos extremos
de IPsec.
En este ejemplo, usted:
• Configure los parámetros de autenticación para una VPN denominada VPN-Sunnyvale.
• Configure los parámetros de cifrado para VPN-Sunnyvale.
• Especifique la interfaz de salida de la SA.
• Especifique la dirección IPv6 del interlocutor.
• Defina el protocolo IPsec. Seleccione el protocolo ESP porque la configuración incluye tanto la
autenticación como el cifrado.
• Configure un índice de parámetros de seguridad (SPI).
Automática
in this section
Modalidades | 349
Modalidades
set security ipsec vpn vpn-sunnyvale manual authentication algorithm hmac-md5–96 key ascii-text
“$ABC123”
set security ipsec vpn vpn-sunnyvale manual encryption algorithm 3des-cbc key ascii-text “$ABC123”
350
set security ipsec vpn vpn-sunnyvale manual external-interface ge-0/0/14.0

set security ipsec vpn vpn-sunnyvale manual gateway 2001:db8:1212::1112
set security ipsec vpn vpn-sunnyvale manual protocol esp
set security ipsec vpn vpn-sunnyvale manual spi 12435
Para configurar algoritmos de seguridad:
1. Configure los parámetros de autenticación.
[edit security ipsec vpn vpn-sunnyvale manual]

user@host# set authentication algorithm hmac-md5–96 key ascii-text “$ABC123”
2. Configure los parámetros de cifrado.

user@host# set encryption algorithm 3des-cbc key ascii-text “$ABC123”
3. Especifique la interfaz de salida de la SA.

4. Especifique la dirección IPv6 del interlocutor.

user@host# set gateway 2001:db8:1212::1112
5. Defina el protocolo IPsec.

351
6. Configurar un IRP.

user@host# set spi 12435
Resultados
Desde el modo de configuración, escriba el show security ipsec vpn vpn-sunnyvale comando para
[edit]
[user@host]show security ipsec vpn vpn-sunnyvale
manual {
gateway 2001:db8:1212::1112 ;
external-interface ge-0/0/14.0 ;
protocol esp ;
spi 12435 ;
authentication {
algorithm hmac-md5-96 ;
key ascii-text $ABC123” ;## SECRET DATA
}
encryption {
algorithm 3des-cbc ;
key ascii-text $ABC123”; ## SECRET DATA
}
}
Comproba
in this section
Comprobación de los algoritmos de seguridad | 352
Para confirmar que la configuración funciona correctamente, realice esta tarea:

352
Comprobación de los algoritmos de seguridad
Purpose
Determine si se aplican o no algoritmos de seguridad.
Intervención
SEE ALSO
Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en

políticas
in this section
Aplicables | 352
Automática | 360
Comproba | 374
Este ejemplo muestra cómo configurar un IPv6 AutoKey ICR VPN basado en políticas para permitir que
los datos de IPv6 se transfieran de manera segura entre la sucursal y la oficina corporativa.
Las VPN basadas en directivas de IPv6 solo se admiten en dispositivos independientes SRX300,
SRX320, SRX340, SRX345 y SRX550HM.
Aplicables
353
Antes de empezar:
• Comprenda cómo funcionan las VPN. Consulte Introducción a IPSec VPN.
• Comprender el ICR IPv6 y el procesamiento de paquetes IPsec. Consulte Descripción de la ICR IPv6 y
el procesamiento de paquetes IPSec.
En este ejemplo, se configura una VPN basada en políticas de IPv6 ICR para una sucursal de Chicago,
Illinois, ya que no es necesario conservar los recursos de túnel ni configurar muchas políticas de
seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red
privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.
354
Figura 29 en la página 355muestra un ejemplo de una topología VPN de ICR IPv6 basada en políticas. En
esta topología, un dispositivo serie SRX se encuentra en Sunnyvale y otro dispositivo serie SRX (puede
ser un segundo dispositivo serie SRX o un dispositivo de otro fabricante) se encuentra en Chicago.
355
Figura 29: Topología VPN basada en la Directiva de ICR de IPv6
En este ejemplo, puede configurar interfaces, una ruta IPv6 predeterminada, zonas de seguridad y
libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de seguridad y
los parámetros TCP-MSS. Consulte Tabla 30 en la página 356 a Tabla 34 en la página 359través de.
356
Interfaces ge-0/0/14.0 2001:db8:1:1::/64
ge-0/0/15.0 2001:db8:0:4::/64



sistema permitido.

Entradas de la libreta de Sunnyvale • Esta dirección es para la

direcciones libreta de direcciones de la
zona de confianza.

2001: db8:1: 2::/64.
Oficina • Esta dirección es para la

libreta de direcciones de la
zona de no confianza.

2001: db8:0: 1::/64.
357
Tabla 31: Parámetros de configuración de IPv6 ICR 1
Clasificado ipv6-ike-phase1- • Método de autenticación: claves previamente compartidas

proposal
Políticas ipv6-ike-phase1- • Medio Ambiciosa

policy
• Referencia de la propuesta: ipv6-ike-phase1-proposal

Gateway GW-Chicago • Referencia de políticas ICR: ipv6-ike-phase1-policy
• Dirección de puerta de enlace: 2001:db8:0:3::/64
Tabla 32: Parámetros de configuración de IPv6 IPsec Phase 2
Clasificado ipv6-ipsec-phase2- • Protocolo sensorial

proposal
Políticas ipv6-ipsec-phase2-policy • Referencia de la propuesta: ipv6-ipsec-phase2-proposal
358
Tabla 32: Parámetros de configuración de IPv6 IPsec Phase 2 (Continued)
VIRTUALES ipv6-ike-vpn-chicago • Referencia de puerta de enlace ICR: GW-Chicago
• Referencia de directiva IPsec: ipv6-ipsec-phase2-policy
Esta directiva de seguridad permite el tráfico ipv6-vpn- • Criterios de coincidencia:

desde la zona de confianza a la zona de no tr-untr
confianza. • Sunnyvale de dirección de
origen
• destino de la dirección de
Chicago
• Acción de permiso: túnel IPSec-

VPN IPv6-IKE-VPN-Chicago

Directiva IPv6-VPN-untr-TR
Esta directiva de seguridad permite el tráfico ipv6-vpn- • Criterios de coincidencia:

desde la zona de no confianza hasta la zona untr-tr
de confianza. • Dirección de origen Chicago
• Sunnyvale de dirección de
destino
• Acción de permiso: túnel IPSec-

VPN IPv6-IKE-VPN-Chicago

Directiva IPv6-VPN-TR-untr
359
Esta directiva de seguridad permite todo el permiso- • Criterios de coincidencia:

tráfico desde la zona de confianza hasta la any
Debe colocar la Directiva IPv6-VPN-TR-untr • origen-destino cualquiera

antes de la Directiva permit-any Security.
Junos OS realiza una búsqueda de políticas
de seguridad a partir de la parte superior de • Intervención estancia
la lista. Si el permiso-cualquier política viene
antes de la Directiva IPv6-VPN-TR-untr, todo
el tráfico procedente de la zona de confianza
coincidirá con el permiso-cualquier política y
estará permitido. Por lo tanto, ningún tráfico
se corresponderá nunca con la Directiva
IPv6-VPN-TR-untr.
configuración
TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y Valor MSS: 1350
de MTU en una red. Esto es especialmente importante para el tráfico VPN, ya
que la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y Frame,
puede hacer que el paquete ESP resultante supere la MTU de la interfaz física,
causando así la fragmentación. La fragmentación da como resultado un uso más
elevado de los recursos de dispositivos y ancho de banda.
Se recomienda el valor 1350 como punto de partida para la mayoría de las redes
360
Automática
in this section
Configuración de la información básica de red, zona de seguridad y libreta de direcciones | 360
Configuración de la información básica de red, zona de seguridad y libreta de direcciones
set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:1:1::/64

set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:0:4::/64
set security address-book book1 address sunnyvale 2001:db8:1:2::/64
set security address-book book2 address chicago 2001:db8:0:1::/64
361
Para configurar la red básica, la zona de seguridad y la libreta de direcciones:
[edit]
user@host# set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:1:1::/64
user@host# set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:0:4::/64
[edit]
[edit]


362
[edit]



user@host# set address sunnyvale 2001:db8:1:2::/64
user@host# set attach zone trust

user@host# set address chicago 2001:db8:0:1::/64
user@host# set attach zone untrust
Resultados
corregirlo.
[edit]
363
ge-0/0/14 {
unit 0 {
family inet6 {
address 2001:db8:1:1::/64;
}
}
}
ge-0/0/15 {
unit 0 {
family inet6 {
address 2001:db8:0:4::/64;
}
}
}
[edit]
static {
route 0.0.0.0/0 next-hop 1.1.1.1;
}
[edit]
system-services {
ike;
}
}
interfaces {
ge-0/0/15.0;
}
}
system-services {
all;
}
}
interfaces {
364
ge-0/0/14.0;
}
}
[edit]
book1 {
address sunnyvale 2001:db8:1:2::/64;
attach {
zone trust;
}
}
book2 {
address chicago 2001:db8:0:1::/64;
attach {
zone untrust;
}
}
Configurar ICR
set security ike proposal ipv6-ike-phase1-proposal authentication-method pre-shared-keys

set security ike proposal ipv6-ike-phase1-proposal dh-group group2
set security ike proposal ipv6-ike-phase1-proposal authentication-algorithm sha1
set security ike proposal ipv6-ike-phase1-proposal encryption-algorithm aes-128-cbc
set security ike policy ipv6-ike-phase1-policy mode aggressive
set security ike policy ipv6-ike-phase1-policy proposals ipv6-ike-phase1-proposal
set security ike policy ipv6-ike-phase1-policy pre-shared-key ascii-text 1111111111111111
set security ike gateway gw-chicago ike-policy ipv6-ike-phase1-policy
set security ike gateway gw-chicago address 2001:db8:0:3::/64
365
[edit security ike]

user@host# set proposal ipv6-ike-phase1-proposal
[edit security ike proposal ipv6-ike-phase1-proposal]




[edit security ike]

user@host# set policy ipv6-ike-phase1-policy
366
[edit security ike policy ipv6-ike-phase1-policy]

user@host# set mode aggressive

user@host# set proposals ipv6-ike-phase1-proposal

user@host# set pre-shared-key ascii-text 1111111111111111
[edit security ike]

user@host# set gateway gw-chicago external-interface ge-0/0/15.0

user@host# set ike-policy ipv6-ike-phase1-policy
12. Asigne una dirección IP a la puerta de enlace ICR Phase 1.

user@host# set address 2001:db8:0:3::
367
Resultados
[edit]
proposal ipv6-ike-phase1-proposal {
dh-group group2;
}
policy ipv6-ike-phase1-policy {
mode ;
proposals ipv6-ike-phase1-proposal;
pre-shared-key ascii-text "$9$jrHP5QFn/ApPfBIEhr1Yg4aDik.P5z3Dj9Apu1I7—
dbgoJGD"; ## SECRET-DATA
}
ike-policy ipv6-ike-phase1-policy;
address 2001:db8:0:3::;
}
set security ipsec proposal ipv6-ipsec-phase2-proposal protocol esp

set security ipsec proposal ipv6-ipsec-phase2-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal ipv6-ipsec-phase2-proposal encryption-algorithm aes-128-cbc
set security ipsec policy ipv6-ipsec-phase2-policy proposals ipv6-ipsec-phase2-proposal
368
set security ipsec policy ipv6-ipsec-phase2-policy perfect-forward-secrecy keys group2

set security ipsec vpn ipv6-ike-vpn-chicago ike gateway gw-chicago
set security ipsec vpn ipv6-ike-vpn-chicago ike ipv6-ipsec-policy ipsec-phase2-policy
[edit]
user@host# set security ipsec proposal ipv6-ipsec-phase2-proposal
[edit security ipsec proposal ipv6- ipsec-phase2-proposal]

[edit security ipsec proposal ipv6-ipsec-phase2-proposal]

[edit security ipsec proposal ipv6-ipsec-phase2-proposal]


user@host# set policy ipv6-ipsec-phase2-policy
369
[edit security ipsec policy ipv6-ipsec-phase2-policy]

user@host# set proposals ipv6-ipsec-phase2-proposal
[edit security ipsec policy ipv6-ipsec-phase2-policy]


user@host# set vpn ipv6-ike-vpn-chicago ike gateway gw-chicago

user@host# set vpn ipv6-ike-vpn-chicago ike ipsec-policy ipv6-ipsec-phase2-policy
Resultados
[edit]
proposal ipv6-ipsec-phase2-proposal {
protocol esp;
}
policy ipv6-ipsec-phase2-policy {
keys group2;
}
370
proposals ipv6-ipsec-phase2-proposal;
}
vpn ipv6-ike-vpn-chicago {
ike {
gateway gw-chicago;
ipsec-policy ipv6-ipsec-phase2-policy;
}
}
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match source-address sunnyvale
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match destination-address
chicago
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match application any
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn
ipv6-ike-vpn-chicago
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr then permit tunnel pair-policy
ipv6-vpn-untr-tr
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match source-address chicago
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match destination-address
sunnyvale
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match application any
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn
ipv6-ike-vpn-chicago
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr then permit tunnel pair-policy
ipv6-vpn-tr-untr
set security policies from-zone trust to-zone untrust policy permit-any match source-address any
set security policies from-zone trust to-zone untrust policy permit-any match destination-address any
set security policies from-zone trust to-zone untrust policy permit-any match application any
371
set security policies from-zone trust to-zone untrust policy permit-any then permit
insert security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr before policy permit-any
confianza.

user@host# set policy ipv6-vpn-tr-untr match source-address sunnyvale
user@host# set policy ipv6-vpn-tr-untr match destination-address chicago
user@host# set policy ipv6-vpn-tr-untr match application any
user@host# set policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago
user@host# set policy ipv6-vpn-tr-untr then permit tunnel pair-policy ipv6-vpn-untr-tr
confianza.

user@host# set policy ipv6-vpn-untr-tr match source-address sunnyvale
user@host# set policy ipv6-vpn-untr-tr match destination-address chicago
user@host# set policy ipv6-vpn-untr-tr match application any
user@host# set policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago
user@host# set policy ipv6-vpn-untr-tr then permit tunnel pair-policy ipv6-vpn-tr-untr
confianza.

user@host# set policy permit-any match source-address any
user@host# set policy permit-any match destination-address any
372
user@host# set policy permit-any match application any

user@host# set policy permit-any then permit
4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada
por encima de la Directiva permit-any Security.

user@host# insert policy ipv6-vpn-tr-untr before policy permit-any
Resultados
[edit]
policy ipv6-vpn-tr-untr {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-untr-tr;
}
}
}
}
policy permit-any {
match {
source-address any;
application any;
}
373
then {
permit
}
}
}
policy ipv6-vpn-untr-tr {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-tr-untr;
}
}
}
}
}
Configurar TCP-MSS

374
[edit]
Resultados
[edit]
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Comproba
in this section
Purpose

375
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en Sunnyvale a un host de
Chicago. En el caso de las VPN basadas en políticas, un host independiente debe generar el tráfico; el
tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva VPN. Recomendamos que el
tráfico de prueba sea de un dispositivo independiente en un extremo de la VPN a otro dispositivo del
otro extremo de la VPN. Por ejemplo, inicie ping desde 2001: db8:1: 2::/64 a 2001: db8:0: 1::/64.
detail el comando.

5 2001:db8:0:3:: UP e48efd6a444853cf 0d09c59aafb720be
Aggressive

IKE peer 2001:db8:0:3::, Index 5,
Role: Initiator, State: UP
Initiator cookie: e48efd6a444853cf, Responder cookie: 0d09c59aafb720be
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 2001:db8:0:4::500, Remote: 2001:db8:0:3::500
Peer ike-id: not valid
Algorithms:
Traffic statistics:
Input bytes : 1568
Output bytes : 2748
Input packets: 6
Output packets: 23
Negotiation type: Quick mode, Role: Initiator, Message ID: 2900338624

Local: 2001:db8:0:4::500, Remote: 2001:db8:0:3::500
376

Efectos
El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA)
activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase
configuración.
security ike security-associations index index_number detail más información acerca de la SA.
• Estado
acerca de la Asociación de seguridad con un número de índice de 5:
direcciones)

377
Purpose
Intervención

2 ESP:aes-128/sha1 14caf1d9 3597/ unlim - root 500
2001:db8:0:3::
2 ESP:aes-128/sha1 9a4db486 3597/ unlim - root 500 2001:db8:0:3::

Local Gateway: 2001:db8:0:4::, Remote Gateway: 2001:db8:0:3::
DF-bit: clear
Direction: inbound, SPI: 14caf1d9, AUX-SPI: 0
, VPN Monitoring: -
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Direction: outbound, SPI: 9a4db486, AUX-SPI: 0

378
, VPN Monitoring: -
Efectos
• El número de identificación es 2. Utilice este valor con el show security ipsec security-associations
index comando para obtener más información acerca de esta SA en particular.
no se ha especificado ningún LifeSize, lo que indica que la duración es ilimitada. La vigencia de la fase
2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN
está activa.
la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).
información:
• Las identidades local y remota componen el ID de proxy de la SA.
Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres
de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. Las
direcciones local y remota se derivan de las entradas de la libreta de direcciones, y el servicio se
deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de proxy, puede
utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están configuradas.
Compruebe que las direcciones coinciden con la información enviada. Compruebe el servicio para
asegurarse de que los puertos coinciden con la información enviada.
Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que
coincidan.
379
SEE ALSO

7
VPN basada en rutas
Interfaz de túnel seguro en un enrutador virtual | 471
Dos túneles de pila a través de una interfaz externa | 481
Túneles VPN de IPsec con clústeres de chasis | 499

381
VPN basadas en enrutamiento de IPsec
in this section
Descripción de VPN de IPsec basadas en rutas | 381
Una VPN basada en rutas es una configuración en la que una ruta que determina qué tráfico se envía a
través de una dirección IP de destino hace referencia a un túnel VPN de IPsec creado entre dos puntos
finales.
Con las VPN basadas en la ruta, puede configurar docenas de políticas de seguridad para regular el
tráfico que fluye a través de un túnel único de VPN entre dos sitios, y solo hay un conjunto de ICR y
asociaciones de seguridad IPsec en el trabajo. A diferencia de las VPN basadas en políticas, para las VPN
basadas en la ruta, una directiva se refiere a una dirección de destino y no a un túnel VPN. Cuando
Junos OS busca una ruta para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de
destino del paquete, encuentra una ruta a través de una interfaz de túnel seguro (st0. x). La interfaz de
túnel está enlazada a un túnel de VPN específico y el tráfico se enruta al túnel si la acción de la directiva
lo permite.
Una interfaz de túnel seguro (st0) solo admite una dirección IPv4 y una dirección IPv6 al mismo tiempo.
Esto se aplica a todas las VPN basadas en rutas. La disable opción no se admite en interfaces st0.
Ejemplos de dónde se pueden utilizar las VPN basadas en la ruta:
• Existen subredes o direcciones IP superpuestas entre las dos LAN.
• En la red se utiliza una topología VPN de concentrador y periferia, y se requiere tráfico de radio a
radio.
• Se requieren VPN principales y de backup.
• Un protocolo de enrutamiento dinámico (por ejemplo, OSPF, RIP o BGP) se ejecuta a través de la
VPN.
No se admite la configuración de circuitos de demanda RIP en interfaces VPN punto a multipunto.

382
Recomendamos que utilice VPN basado en la ruta cuando desee configurar VPN entre varios sitios
remotos. VPN basado en la ruta permite enrutar entre los radios entre varios sitios remotos; es más fácil
de configurar, supervisar y solucionar problemas.
SEE ALSO
Guía de usuario de clase de servicio (dispositivos de seguridad)

in this section
Aplicables | 382
Automática | 387
Comproba | 401
En este ejemplo se muestra cómo configurar una VPN basada en enrutamiento IPsec para permitir que
los datos se transfieran de manera segura entre una sucursal y la oficina corporativa.
Aplicables
• Cualquier dispositivo serie SRX
383
En este ejemplo, puede configurar una VPN basada en rutas para una sucursal de Chicago, ya que desea
conservar los recursos de túnel, pero seguir conteniendo restricciones granulares en el tráfico VPN. Los
usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
empresariales en Sunnyvale, California.
Figura 30 en la página 383muestra un ejemplo de una topología VPN basada en rutas. En esta topología,
los dispositivos serie SRX se encuentran en Sunnyvale, y un dispositivo serie SSG (o un dispositivo de
terceros) se encuentra en Chicago.
Figura 30: Topología VPN basada en rutas
las libretas de direcciones. A continuación, configure ICR, IPsec, la Directiva de seguridad y los
384
parámetros TCP-MSS. Consulte Tabla 35 en la página 384 a Tabla 39 en la página 387 través de los
parámetros de configuración específicos que se utilizan en este ejemplo.
Tabla 35: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones
Interfaces ge-0/0/0.0 192.0.2.1/24
ge-0/0/1.0 10.1.1.2/30
St 0.0 (interfaz de túnel) 10.10.11.10/24
Rutas estáticas 0.0.0.0/0 (ruta predeterminada) El siguiente salto es St 0.0.
Zonas de seguridad confia • La interfaz GE-0/0/0.0 está


sistema permitido.
• La interfaz GE-0/0/1,0 está

virtuales La interfaz St 0.0 está enlazada a

esta zona.
385
Tabla 36: ICR parámetros de configuración
Clasificado propuesta IKE • Método de autenticación: firmas de RSA
Políticas IKE-Directiva • Medio principalmente
• Referencia de la propuesta: propuesta IKE
• Método de autenticación de la Directiva ICR: firmas de RSA
Gateway GW-Sunnyvale • Referencia de políticas ICR: IKE-Directiva
Tabla 37: Parámetros de configuración de IPsec
Clasificado ipsec_prop • Protocolo sensorial
• Algoritmo de autenticación: hmac-sha-256
Políticas ipsec_pol • Referencia de la propuesta: ipsec_prop
386
Tabla 37: Parámetros de configuración de IPsec (Continued)
VIRTUALES ipsec_vpn1 • Referencia de puerta de enlace ICR: GW-Sunnyvale
• Referencia de directiva IPsec: ipsec_pol
La Directiva de seguridad permite el tráfico virtuales • Criterios de coincidencia:

desde la zona de confianza a la zona VPN.
• Sunnyvale de dirección de origen
• destino de la dirección de Chicago
• aplicación ICR
• Intervención estancia

desde la zona VPN hasta la zona de confianza.
• Dirección de origen Chicago
• Sunnyvale de dirección de destino
• aplicación ICR
387
Purpose Parámetros de configuración
TCP-MSS se negocia como parte del Protocolo de Valor MSS: 1350

enlace de TCP de tres vías y limita el tamaño máximo
de un segmento TCP para ajustarse mejor a los
límites de MTU en una red. Para el tráfico VPN, la
sobrecarga de encapsulación de IPsec, junto con la
sobrecarga de IP y Frame, puede hacer que el
paquete ESP resultante supere la MTU de la interfaz
física, lo que produce una fragmentación. La
fragmentación aumenta el ancho de banda y los
recursos de dispositivos.
Se recomienda el valor 1350 como punto de partida

para la mayoría de las redes basadas en Ethernet con
una MTU de 1500 o superior. Es posible que
necesite experimentar con distintos valores de TCP-
MSS para obtener un rendimiento óptimo. Por
ejemplo, es posible que necesite cambiar el valor si
algún dispositivo de la ruta de acceso tiene una MTU
baja o si hay alguna sobrecarga adicional, como PPP
o Frame Relay.
Automática
in this section
Configuración de la red básica y la información de las zonas de seguridad | 388

388
Configuración de la red básica y la información de las zonas de seguridad

set routing-options static route 0.0.0.0/0 next-hop st0.0
set security zones security-zone vpn-chicago interfaces st0.0
Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:
[edit]
user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
389


[edit]

[edit]
user@host# edit security zones security-zone vpn
[edit security zones security-zone vpn-chicago]

user@host# set interfaces st0.0
Resultados
390
corregirlo.
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
system-services {
ike;
391
}
}
interfaces {
ge-0/0/1.0;
}
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
}
interfaces {
st0.0;
}
}
Configurar ICR
set security ike proposal ike-proposal authentication-method pre-shared-keys

set security ike proposal ike-proposal dh-group group14
set security ike proposal ike-proposal authentication-algorithm sha-256
set security ike proposal ike-proposal encryption-algorithm aes-256-cbc
set security ike policy ike-policy mode main
set security ike policy ike-policy proposals ike-proposal
set security ike policy ike-policy pre-shared-key ascii-text $ABC123
set security ike gateway gw-sunnyvale ike-policy ike-policy
392

set security ike gateway gw-sunnyvale version v1-only
1. Crear la propuesta de ICR.
[edit security ike]

user@host# set proposal ike-proposal
[edit security ike proposal ike-proposal]



user@host# set authentication-algorithm sha-256

393
6. Crear una directiva de ICR.
[edit security ike]

user@host# set policy ike-policy
7. Establezca el modo de directiva ICR.
[edit security ike policy ike-policy]


user@host# set proposals ike-proposal
9. Defina el método de autenticación de la Directiva ICR.

user@host# set pre-shared-key ascii-text $ABC123
10. Cree una puerta de enlace ICR y defina su interfaz externa.
[edit security ike]

user@host# set gateway gw-sunnyvale external-interface ge-0/0/1.0
11. Defina la referencia de directiva ICR.
[edit security ike gateway gw-sunnyvale]

user@host# set ike-policy ike-policy
12. Defina la dirección de puerta de enlace de ICR.

394
13. Defina la versión de puerta de enlace de ICR.

user@host# set version v1-only
Resultados
[edit]
proposal ike-proposal {
dh-group group14;
}
policy ike-policy {
mode main;
proposals ike-proposal;
pre-shared-key ascii-text "$ABC123";
}
ike-policy ike-policy;
address 10.2.2.2;
version v1-only;
}
395
set security ipsec traceoptions flag all

set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha-256
set security ipsec proposal ipsec_prop encryption-algorithm aes256-cbc
set security ipsec policy ipsec_pol proposals ipsec_prop
set security ipsec vpn ipsec_vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn ipsec_vpn1 bind-interface st0.0
set security ipsec vpn ipsec_vpn1 ike gateway gw_sunnyvale
1. Habilite las opciones de seguimiento de IPsec.
[edit]
user@host# set security ipsec traceoptions flag all
2. Cree una propuesta IPsec.
[edit]
user@host# set security ipsec proposal ipsec_prop
3. Especifique el protocolo de propuesta IPsec.

396
4. Especifique el algoritmo de autenticación de propuestas de IPsec.

user@host# set authentication-algorithm hmac-sha-256
5. Especifique el algoritmo de cifrado de propuestas IPsec.

user@host# set encryption-algorithm aes256-cbc
6. Cree la directiva IPsec.

user@host# set policy ipsec_pol
7. Especifique la referencia a la propuesta IPsec.
[edit security ipsec policy ipsec_pol]

user@host# set proposals ipsec_prop

user@host# set vpn ipsec_vpn1 ike gateway gw_sunnyvale
9. Especifique la directiva IPsec.

user@host# set vpn ipsec_vpn1 ike ipsec-policy ipsec_pol

user@host# set vpn ipsec_vpn1 bind-interface st0.0
397
Resultados
[edit]
traceoptions {
flag all;
}
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop;
policy ipsec_pol {
}
vpn ipsec_vpn1 {
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
}
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale
set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago
398
set security policies from-zone trust to-zone vpn policy vpn match application any
set security policies from-zone trust to-zone vpn policy vpn then permit
set security policies from-zone vpn to-zone trust policy vpn match source-address chicago
set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale
set security policies from-zone vpn to-zone trust policy vpn match application any
set security policies from-zone vpn to-zone trust policy vpn then permit

user@host# set policy vpn match source-address sunnyvale
user@host# set policy vpn match destination-address chicago
user@host# set policy vpn match application any
user@host# set policy vpn then permit

user@host# set policy vpn match source-address chicago
user@host# set policy vpn match destination-address sunnyvale
Resultados
[edit]
399

policy vpn {
match {
application any;
}
then {
permit;
}
}
}
policy vpn {
match {
application any;
}
then {
permit;
}
}
}
Configurar TCP-MSS

400
[edit]
Resultados
[edit]
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de
Conceptos y ejemplos de ScreenOS,que se encuentra en http://www.juniper.net/techpubs.
401
set zone name vpn

set interface tunnel.1 zone vpn
set address Trust “192.51.100-net” 198.51.100.0 255.255.255.0
set address vpn "10.1.1-net" 10.1.1.0 255.255.255.0
set ike gateway corp-ike address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare $ABC123 sec-level
standard
set vpn corp-vpn bind interface tunnel.1
set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit
set policy from Trust to vpn “192.51.100-net” “10.1.1-net” “ANY” permit
set policy from vpn to Trust “10.1.1-net” “192.51.100-net” “ANY” permit
Comproba
in this section
Verificación del estado de ICR | 402
Comprobación del estado de IPsec | 404

402
Verificación del estado de ICR
Purpose
Compruebe el estado ICR.
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.0.2.10/24 a
un host en la red 198.51.100.10/24. En el caso de las VPN basadas en la ruta, el tráfico puede ser
iniciado por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles
de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN
hacia un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.0.2.10 a
198.51.100.10.
detail el comando.

1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main

Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387
Local: 198.51.100.2:500, Remote: 10.2.2.2:500
Algorithms:
Traffic statistics:
Input bytes : 852
Output bytes : 940
Input packets : 5
Output packets : 5
403

Efectos
El show security ike security-associations comando enumera todas las sa activas ICR. Si no se enumera
ninguna SA, hubo un problema con ICR establecimiento. Compruebe los parámetros de directiva ICR y
las opciones de configuración de interfaz externa de su configuración.
• Estado
• UP: se estableció ICR sa de red.
• ABAJO: se hubo un problema al establecer la ICR SA.
• Parámetros de propuesta (deben coincidir en ambos interlocutores)
• cesiones
direcciones)
• Información de funciones
• Información del iniciador y del respondedor

404
• Número de negociaciones en curso
Comprobación del estado de IPsec
Purpose
Compruebe el estado de IPsec.
Intervención

<16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0
>16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0

DF-bit: clear

bits)

405

(128 bits)
Efectos
direcciones. El valor 3363/unlim indica que la duración caduca en 3363 segundos y que no se ha
especificado ningún LifeSize, lo que indica que es ilimitada. La duración puede diferir de la duración,
ya que IPsec no depende de ICR después de que la VPN esté activa.
información:
Una de las causas más comunes de un error de IPsec es que no coincide el identificador de proxy. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de IPsec, incluida la
configuración del ID de proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
• Otra causa común de un error de IPsec no es especificar el enlace de la interfaz ST. Si IPsec no puede
406
Purpose
de seguridad IPsec.
Intervención

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
Efectos
paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores
de errores se están incrementando.
407
Purpose
Intervención
ssg-> ping 10.10.11.10 interface ge-0/0/0 count 5

PING 10.10.11.10 (10.10.11.10): 56 data bytes
--- 10.10.11.10 ping statistics ---

user@host> ping 198.51.100.1 from ethernet0/6

ethernet0/6
!!!!!
408
Efectos
paquetes ESP.
SEE ALSO

VPN basada en rutas con IKEv2
in this section
Ejemplo Configuración de una VPN basada en rutas para IKEv2 | 409
Ejemplo Configurando el serie SRX para el aprovisionamiento pico de celda con carga de configuración
IKEv2 | 435
Intercambio de claves por red versión 2 (IKEv2) es un protocolo de túnel basado en IPsec que
proporciona un canal de comunicación VPN seguro entre dispositivos VPN del mismo nivel y define la
negociación y autenticación para las asociaciones de seguridad IPsec (SA) de manera protegida.
409
Ejemplo Configuración de una VPN basada en rutas para IKEv2
in this section
Aplicables | 409
Automática | 414
Comproba | 429
En este ejemplo se muestra cómo configurar una VPN basada en enrutamiento IPsec para permitir que
los datos se transfieran de manera segura entre una sucursal y una oficina corporativa.
Aplicables
En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que
desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN.
Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
las libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de
seguridad y los parámetros TCP-MSS. Consulte Tabla 40 en la página 410 a Tabla 44 en la página 413
través de los parámetros de configuración específicos que se utilizan en este ejemplo.
410
Tabla 40: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones
Interfaces ge-0/0/0.0 192.168.10.1/24
ge-0/0/3.0 10.1.1.2/30
Rutas estáticas 0.0.0.0/0 (ruta predeterminada) El siguiente salto es 10.1.1.1.
192.168.168.0/24 El siguiente salto es St 0.0.



sistema permitido.

VPN-Chicago La interfaz St 0.0 está enlazada a

esta zona.
Entradas de la libreta de Sunnyvale • Esta dirección es para la

direcciones libreta de direcciones de la
zona de confianza.

192.168.10.0/24.
411
Tabla 40: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones (Continued)
Oficina • Esta dirección es para la

libreta de direcciones de la

192.168.168.0/24.
Clasificado ike-phase1- • Método de autenticación: claves previamente compartidas

proposal
Políticas ike-phase1- • Medio principalmente

policy
• Referencia de la propuesta: ike-phase1-proposal

Gateway GW-Chicago • Referencia de políticas ICR: ike-phase1-policy

412
Clasificado ipsec-phase2-proposal • Protocolo sensorial
Políticas ipsec-phase2-policy • Referencia de la propuesta: ipsec-phase2-proposal
VIRTUALES IPSec-VPN-Chicago • Referencia de puerta de enlace ICR: GW-Chicago
• Referencia de directiva IPsec: ipsec-phase2-policy
La Directiva de seguridad permite el tráfico VPN-TR-Chi • Criterios de coincidencia:

desde la zona de confianza hasta la zona
VPN-Chicago. • Sunnyvale de dirección de origen
413
La política de seguridad permite el tráfico VPN-Chi-TR • Criterios de coincidencia:

desde la zona VPN-Chicago hacia la zona de
confianza. • Dirección de origen Chicago
Purpose Parámetros de configuración
TCP-MSS se negocia como parte del Protocolo de Valor MSS: 1350

enlace de TCP de tres vías y limita el tamaño máximo
de un segmento TCP para ajustarse mejor a los
límites de MTU en una red. Para el tráfico VPN, la
sobrecarga de encapsulación de IPsec, junto con la
sobrecarga de IP y Frame, puede hacer que el
paquete ESP resultante supere la MTU de la interfaz
física, lo que produce una fragmentación. La
fragmentación aumenta el ancho de banda y los
recursos de dispositivos.
Se recomienda el valor 1350 como punto de partida

para la mayoría de las redes basadas en Ethernet con
una MTU de 1500 o superior. Es posible que
necesite experimentar con distintos valores de TCP-
MSS para obtener un rendimiento óptimo. Por
ejemplo, es posible que necesite cambiar el valor si
algún dispositivo de la ruta de acceso tiene una MTU
baja o si hay alguna sobrecarga adicional, como PPP
o Frame Relay.
414
Automática
in this section
Configuración de la interfaz, ruta estática, zona de seguridad e información de la libreta de

direcciones | 414
Configuración de la interfaz, ruta estática, zona de seguridad e información de la libreta de direcciones

set security zones security-zone trust address-book address sunnyvale 192.168.10.0/24
set security zones security-zone vpn-chicago address-book address chicago 192.168.168.0/24
415
Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:
[edit]
[edit]
[edit ]


416
[edit]


9. Configure la entrada de la libreta de direcciones para la zona de seguridad de confianza.

user@host# set address-book address sunnyvale 192.168.10.0/24
10. Configure la zona de seguridad VPN-Chicago.
[edit]
user@host# edit security zones security-zone vpn-chicago

12. Configure la entrada de la libreta de direcciones para la zona VPN-Chicago.

user@host# set address-book address chicago 192.168.168.0/24
417
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
418
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
address-book {
address sunnyvale 192.168.10.0/24;
}
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
Configurar ICR
419

set security ike gateway gw-chicago ike-policy ike-phase1-policy
set security ike gateway gw-chicago address 10.2.2.2
set security ike gateway gw-chicago version v2-only
[edit security ike]

user@host# set proposal ike-phase1-proposal


420


[edit security ike]

user@host# set policy ike-phase1-policy

user@host# set proposals ike-phase1-proposal

[edit security ike]

user@host# set gateway gw-chicago external-interface ge-0/0/3.0

user@host# set ike-policy ike-phase1-policy
421

12. Defina la versión de puerta de enlace ICR Phase 1.

Resultados
[edit]
dh-group group2;
}
}
address 10.2.2.2;
version v2-only;
}

422

set security ipsec vpn ipsec-vpn-chicago ike gateway gw-chicago
set security ipsec vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn ipsec-vpn-chicago bind-interface st0.0
[edit]
user@host# set security ipsec proposal ipsec-phase2-proposal

423



user@host# set policy ipsec-phase2-policy

user@host# set proposals ipsec-phase2-proposal


user@host# set vpn ipsec-vpn-chicago ike gateway gw-chicago

user@host# set vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
424

user@host# set vpn ipsec-vpn-chicago bind-interface st0.0
Resultados
[edit]
protocol esp;
}
keys group2;
}
}
vpn ipsec-vpn-chicago {
ike {
gateway gw-chicago;
}
}
425
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address
chicago
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address
sunnyvale
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
1. Crear la Directiva de seguridad para permitir el tráfico desde la zona de confianza hacia la zona VPN-
Chicago.
[edit security policies from-zone trust to-zone vpn-chicago]

user@host# set policy vpn-tr-chi match source-address sunnyvale
user@host# set policy vpn-tr-chi match destination-address chicago
user@host# set policy vpn-tr-chi match application any
user@host# set policy vpn-tr-chi then permit
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN-Chicago a la zona de
confianza.
[edit security policies from-zone vpn-chicago to-zone trust]

user@host# set policy vpn-chi-tr match source-address sunnyvale
user@host# set policy vpn-chi-tr match destination-address chicago
user@host# set policy vpn-chi-tr match application any
user@host# set policy vpn-chi-tr then permit
426
Resultados
[edit]
from-zone trust to-zone vpn-chicago {
policy vpn-tr-vpn {
match {
application any;
}
then {
permit;
}
}
}
from-zone vpn-chicago to-zone trust {
policy vpn-tr-vpn {
match {
application any;
}
then {
permit;
}
}
}
Configurar TCP-MSS
427
[edit]
Resultados
[edit]
tcp-mss {
ipsec-vpn {
mss 1350;
}
}

428
información sobre cómo configurar dispositivos serie SSG, consulte la Guía de referencia de Concepts &
Examples ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
set zone name vpn-chicago

set interface tunnel.1 zone vpn-chicago
set address Trust “192.168.168-net” 192.168.168.0 255.255.255.0
set address vpn-chicago "192.168.10-net" 192.168.10.0 255.255.255.0
set ike gateway corp-ike address 10.1.1.2 IKEv2 outgoing-interface ethernet0/0 preshare 395psksecr3t sec-
level standard
set vpn corp-vpn bind interface tunnel.1
set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit
set policy from Trust to vpn-chicago “192.168.168-net” “192.168.10-net” “ANY” permit
set policy from vpn-chicago to Trust “192.168.10-net” “192.168.168-net” “ANY” permit
429
Comproba
in this section
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a
un host en la red 192.168.168/24. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado
por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de
IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia
un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a
192.168.168.10.
detail el comando.

1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 IKEv2

430
Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387

Exchange type: IKEv2, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.2.2.2:500
Algorithms:
Traffic statistics:
Input bytes : 852
Output bytes : 940
Input packets : 5
Output packets : 5
Efectos
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR).
• ICR los parámetros de la Directiva.
• Información de claves previamente compartidas.

431
• Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores).
El show security ike security-associations index 1 detail comando muestra información adicional acerca
de la SA con un número de índice 1:
direcciones)
Purpose
Intervención

<16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0
>16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0

432
Version: IKEv2
DF-bit: clear

bits)

(128 bits)
Efectos
• Existe un par IPsec SA con el puerto 500.
• Vsys es el sistema raíz y siempre aparece en la lista como 0.
• IKEv2 permite conexiones desde un sistema del mismo nivel de la versión 2 y iniciará una
negociación de la versión 2.
información:
433
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de IPsec SA.
Intervención

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
434
Efectos
paquetes cifrados y descifrados se incrementan. También debe comprobar que el resto de los
contadores de errores se incrementan.
Purpose
Intervención
ssg-> ping 192.168.168.10 interface ge-0/0/0 count 5

PING 192.168.168.10 (192.168.168.10): 56 data bytes
--- 192.168.168.10 ping statistics ---

user@host> ping 192.168.10.10 from ethernet0/6

435
ethernet0/6
!!!!!
Efectos
paquetes ESP.
SEE ALSO

Ejemplo Configurando el serie SRX para el aprovisionamiento pico de

celda con carga de configuración IKEv2
in this section
Aplicables | 436
Automática | 442
Comproba | 463
En las redes en las que se están distribuyendo varios dispositivos, es necesario que la administración de
la red sea sencilla. La característica de carga de configuración de IKEv2 es compatible con el
aprovisionamiento de estos dispositivos sin tocar ni la configuración del dispositivo ni la serie SRX. En
este ejemplo se muestra cómo configurar un serie SRX para admitir el aprovisionamiento de celda pico
mediante la característica de carga de configuración de IKEv2.
436
Aplicables
• Dos dispositivos serie SRX configurados en un clúster del chasis
• Un dispositivo serie SRX configurado como enrutador intermedio
• Dos clientes de celda pico
• Un servidor RADIUS configurado con información de aprovisionamiento de clientes celda pico
• Junos OS de la versión 12.1 X46-D10 o posterior para la compatibilidad con la carga de la

configuración IKEv2
En este ejemplo, un serie SRX usa la característica de carga de configuración de IKEv2 para propagar la
información de aprovisionamiento a una serie de celdas de pico. Las celdas de pico se envían desde la
fábrica con una configuración estándar que les permite conectarse al serie SRX, pero la información de
aprovisionamiento de celdas de pico se almacena en un servidor RADIUS externo. Las celdas pico
reciben información de aprovisionamiento completa después de establecer conexiones seguras con
servidores de aprovisionamiento en una red protegida. La característica de carga de configuración de
IKEv2 solo se admite para IPv4.
Figura 31 en la página 436 muestra una topología en la que la serie SRX admite el aprovisionamiento de
celdas pico mediante la función de carga de configuración IKEv2.
Figura 31: serie SRX compatibilidad con el aprovisionamiento de celdas pico con la carga de
configuración IKEv2
Cada celda pico de esta topología inicia dos VPN de IPsec: uno para la administración y otro para los
datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado mantenimiento seguros
437
Tunnel, mientras que el tráfico de datos fluye a través del túnel identificado como un túnel 3GPP. Cada
túnel admite conexiones con servidores de aprovisionamiento de mantenimiento seguros y 3GPP en
redes distintas y configurables, que requieren distintas instancias de encaminamiento y VPN. Este
ejemplo proporciona las opciones ICR Phase 1 y Phase 2 para establecer las VPN mantenimiento
seguros y 3GPP.
En este ejemplo, el serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo el
aprovisionamiento de la información del servidor RADIUS y proporcionando esa información a los
clientes de celda pico. El serie SRX devuelve la información de aprovisionamiento de cada cliente
autorizado en la carga de configuración IKEv2 durante la negociación de túnel. No se puede usar el serie
SRX como dispositivo cliente.
Además, el serie SRX usa la información de carga de configuración de IKEv2 para actualizar el iniciador
del selector de tráfico (TSr) y los valores del respondedor del selector de tráfico intercambiados con el
cliente durante la negociación del túnel. La carga de configuración utiliza la ETI y los valores TSr que se
configuran en proxy-identity el serie SRX mediante laedit security ipsec vpn vpn-name ikeinstrucción
en el nivel de jerarquía []. Los valores de la ETI y los TSr definen el tráfico de red de cada VPN.
El enrutador intermedio enruta el tráfico de celdas pico a las interfaces correspondientes del serie SRX.
El siguiente proceso describe la secuencia de conexión:
1. La celda pico inicia un túnel IPsec con el serie SRX utilizando la configuración de fábrica.
2. En el serie SRX se autentica al cliente mediante la información de certificado de cliente y el

certificado raíz de la entidad emisora que está inscrito en el serie SRX. Después de la autenticación,
el serie SRX pasa la ICR la información de identidad del certificado de cliente al servidor RADIUS en
una solicitud de autorización.
3. Después de autorizar al cliente, el servidor de RADIUS responderá a la serie SRX con la información
de aprovisionamiento del cliente:
• Dirección IP (valor de la ETI)
• Máscara de subred IP (opcional; el valor predeterminado es 32 de bits)
• Dirección DNS (opcional)
4. El serie SRX devuelve la información de aprovisionamiento en la carga de configuración de IKEv2

para cada conexión de cliente y intercambia los valores de TSr y ETI finales con las celdas de pico. En
este ejemplo, el serie SRX proporciona la siguiente información sobre la ETI y los TSr para cada VPN:
438
Conexión VPN Valores de ETI/TSr suministrados por SRX
Pico 1 mantenimiento Relativa 12.12.1.201/32, TSr: 192.168.2.0/24

seguros
Pico 1 3GPP Relativa 13.13.1.201/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16
Pico 2 mantenimiento Relativa 12.12.1.205/32, TSr: 192.168.2.0/24

seguros
Pico 2 3GPP Relativa 13.13.1.205/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16
Si la información de aprovisionamiento suministrada por el servidor RADIUS incluye una máscara de

subred, el serie SRX devolverá un segundo valor TSr para la conexión del cliente que incluya la subred
IP. Esto habilita la comunicación en el mismo nivel para los dispositivos de esa subred. En este
ejemplo, la comunicación dentro del mismo nivel está habilitada para la subred asociada con la VPN
3GPP (13.13.0.0/16).
La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro
punto a multipunto (st0). Para interfaces de punto a multipunto, las interfaces deben estar numeradas
y las direcciones que se proporcionan en la carga de configuración deben estar dentro del rango de
subred de la interfaz de punto a multipunto asociada.
Tabla 45 en la página 438 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida
la información para establecer túneles OAM y 3GPP.
Tabla 45: Opciones de las fases 1 y 2 de la serie SRX
, Valor
ICR propuesta:
Nombre de la propuesta IKE_PROP
Método de autenticación Certificados digitales de RSA
Grupo Diffie-Hellman (DH) group5

439
Tabla 45: Opciones de las fases 1 y 2 de la serie SRX (Continued)
, Valor
Algoritmo de autenticación SHA-1
Algoritmo de cifrado AES 256 CBC
Directiva de ICR:
Nombre de directiva ICR IKE_POL
Certificado local Example_SRX
Puerta de enlace de ICR (mantenimiento seguros):
ICR Directiva IKE_POL
Dirección IP remota manera
Tipo de usuario ICR Group-IKE-ID
ID. de ICR local hostname srx_series. example. net
ID. de ICR remoto hostname. pico_cell .net
Interfaz externa Reth 0.0
Perfil de acceso radius_pico
ICR versión v2-only
Puerta de enlace de ICR (3GPP):

440
, Valor
ICR Directiva IKE_POL
Dirección IP remota Manera
ID. de ICR local comodines de nombre distintivo = srx_series
ID. de ICR remoto comodines de nombre distintivo = pico_cell
Interfaz externa reth1
Perfil de acceso radius_pico
ICR versión v2-only
Propuesta de IPsec:
Nombre de la propuesta IPSEC_PROP
Protocolo SENSORIAL
Algoritmo de autenticación HMAC SHA-1 96
Directiva IPsec:
Nombre de la Directiva IPSEC_POL

441
, Valor
Claves de confidencialidad directa group5

perfecta (PFS)
Propuestas de IPsec IPSEC_PROP
IPsec VPN (mantenimiento seguros):
Enlazar interfaz st0.0
Puerta de enlace ICR OAM_GW
Proxy local: identidad 192.168.2.0/24
Identidad de proxy remoto 0.0.0.0/0
Directiva IPsec IPSEC_POL
IPsec VPN (3GPP):
Puerta de enlace ICR 3GPP_GW
Proxy local: identidad 192.169.2.0/24
Identidad de proxy remoto 0.0.0.0/0
Directiva IPsec IPSEC_POL
Los certificados se almacenan en el pico de celdas y el serie SRX.

442
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
Automática
in this section
Configuración del serie SRX | 442
Configuración del enrutador intermedio | 455
Configuración de la celda pico (configuración de ejemplo) | 459
Configuración del servidor de RADIUS (configuración de ejemplo con un FreeRADIUS) | 461
Configuración del serie SRX
set chassis cluster reth-count 5

set chassis cluster node 0
set chassis cluster redundancy-group 0 node 0 priority 250
set chassis cluster redundancy-group 1 interface-monitor ge-3/0/0 weight 255
443

set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces reth0.0
set security zones security-zone oam-trust host-inbound-traffic system-services all
set security zones security-zone oam-trust host-inbound-traffic protocols all
set security zones security-zone oam-trust interfaces reth2.0
set security zones security-zone oam-trust interfaces st0.0
set security zones security-zone 3gpp-trust host-inbound-traffic system-services all
set security zones security-zone 3gpp-trust host-inbound-traffic protocols all
set security zones security-zone 3gpp-trust interfaces reth3.0
set security zones security-zone 3gpp-trust interfaces st0.1
set access profile radius_pico authentication-order radius
set access profile radius_pico radius-server 192.168.2.22 secret "$ABC123"
set access profile radius_pico radius-server 192.168.2.22 routing-instance VR-OAM
set security ike proposal IKE_PROP authentication-method rsa-signatures
set security ike proposal IKE_PROP dh-group group5
set security ike proposal IKE_PROP authentication-algorithm sha1
444
set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc

set security ike policy IKE_POL proposals IKE_PROP
set security ike policy IKE_POL certificate local-certificate example_SRX
set security ike gateway OAM_GW ike-policy IKE_POL
set security ike gateway OAM_GW dynamic hostname .pico_cell.net
set security ike gateway OAM_GW dynamic ike-user-type group-ike-id
set security ike gateway OAM_GW local-identity hostname srx_series.example.net
set security ike gateway OAM_GW external-interface reth0.0
set security ike gateway OAM_GW aaa access-profile radius_pico
set security ike gateway OAM_GW version v2-only
set security ike gateway 3GPP_GW ike-policy IKE_POL
set security ike gateway 3GPP_GW dynamic distinguished-name wildcard OU=pico_cell
set security ike gateway 3GPP_GW dynamic ike-user-type group-ike-id
set security ike gateway 3GPP_GW local-identity distinguished-name wildcard OU=srx_series
set security ike gateway 3GPP_GW external-interface reth1.0
set security ike gateway 3GPP_GW aaa access-profile radius_pico
set security ike gateway 3GPP_GW version v2-only
set security ipsec proposal IPSEC_PROP protocol esp
set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96
set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc
set security ipsec proposal IPSEC_PROP lifetime-seconds 300
set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5
set security ipsec policy IPSEC_POL proposals IPSEC_PROP
set security ipsec vpn OAM_VPN bind-interface st0.0
set security ipsec vpn OAM_VPN ike gateway OAM_GW
set security ipsec vpn OAM_VPN ike proxy-identity local 192.168.2.0/24
set security ipsec vpn OAM_VPN ike proxy-identity remote 0.0.0.0/0
set security ipsec vpn OAM_VPN ike ipsec-policy IPSEC_POL
set security ipsec vpn 3GPP_VPN bind-interface st0.1
set security ipsec vpn 3GPP_VPN ike gateway 3GPP_GW
set security ipsec vpn 3GPP_VPN ike proxy-identity local 192.169.2.0/24
set security ipsec vpn 3GPP_VPN ike proxy-identity remote 0.0.0.0/0
set security ipsec vpn 3GPP_VPN ike ipsec-policy IPSEC_POL
set routing-instances VR-OAM instance-type virtual-router
set routing-instances VR-OAM interface reth2.0
set routing-instances VR-OAM interface st0.0
set routing-instances VR-3GPP instance-type virtual-router
set routing-instances VR-3GPP interface reth3.0
set routing-instances VR-3GPP interface st0.1
set security policies default-policy permit-all
445
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Para configurar el serie SRX:
1. Configure el clúster del chasis.
[edit chassis cluster]

user@host# set reth-count 5
user@host# set node 0
user@host# set node 1
user@host#set redundancy-group 0 node 0 priority 250
user@host# set redundancy-group 1 interface-monitor ge-3/0/0 weight 255
[edit interfaces]
user@host# set ge-3/0/0 gigether-options redundant-parent reth0
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 2.2.2.1/24
446

user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 12.12.1.20/24
3. Configure las opciones de enrutamiento.
[edit routing-options]
user@host# set static route 1.1.0.0/16 next-hop 2.2.2.253
4. Especificar las zonas de seguridad.

user@host# set host-inbound-traffic protocols all
user@host# set interfaces reth0.0
[edit security zones security-zone oam-trust]
[edit security zones security-zone 3gpp-trust]
5. Cree el perfil de RADIUS.
[edit access profile radius_pico]

user@host# set authentication-order radius
447
user@host# set radius-server 192.168.2.22 secret “$ABC123”

user@host# set radius-server 192.168.2.22 routing-instance VR-OAM
[edit security ike proposal IKE_PROP]

[edit security ike policy IKE_POL]
user@host# set proposals IKE_PROP
user@host# set certificate local-certificate example_SRX
[edit security ike gateway OAM_GW]
user@host# set ike-policy IKE_POL
user@host# set dynamic hostname .pico_cell.net
user@host# set dynamic ike-user-type group-ike-id
user@host# set local-identity hostname srx.example.net
user@host# set external-interface reth0.0
user@host# set aaa access-profile radius_pico
[edit security ike gateway 3GPP_GW]
user@host# set dynamic distinguished-name wildcard OU=pico_cell
user@host# set local-identity distinguished-name wildcard OU=srx_series
user@host# set aaa access-profile radius_pico
7. Especifique las opciones de fase 2.
[edit set security ipsec proposal IPSEC_PROP]

[edit security ipsec policy IPSEC_POL]
448
user@host# set proposals IPSEC_PROP

[edit security ipsec vpn OAM_VPN]
user@host# set ike gateway OAM_GW
user@host# set ike proxy-identity local 192.168.2.0/24
user@host# set ike proxy-identity remote 0.0.0.0/0
user@host# set ike ipsec-policy IPSEC_POL
[edit security ipsec vpn 3GPP_VPN]
user@host# set ike gateway 3GPP_GW
user@host# set ike proxy-identity local 192.169.2.0/24
user@host# set ike proxy-identity remote 0.0.0.0/0
8. Especifique las instancias de enrutamiento.
[edit routing-instances VR-OAM]

user@host# set instance-type virtual router
user@host# set interface reth2.0
user@host# set interface st0.0
[edit routing-instances VR-3GPP]
user@host# set instance-type virtual router
user@host# set interface reth3.0
user@host# set interface st0.1
9. Especifique políticas de seguridad para permitir el tráfico de sitio a sitio.
[edit security policies]

user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, confirme la configuración show chassis clusterespecificando los

comandos show access profile radius_pico, show security ikeshow interfaces, show security ipsecshow
449
security zones, show routing-instances,, show security policies y. Si el resultado no muestra la

configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show chassis cluster
reth-count 5
node 0
node 1
redundancy-group 0{
node 0 priority 250;
redundancy-group 1 {
interface-monitor {
ge-3/0/0 weight 255;
}
}
[edit]
ge-3/0/0 {
gigether-options {
}
}
ge-3/0/1 {
gigether-options {
}
}
ge-3/2/0 {
gigether-options {
}
}
450
ge-3/2/1 {
gigether-options {
}
}
ge-8/0/0 {
gigether-options {
}
}
ge-8/0/1 {
gigether-options {
}
}
ge-8/2/0 {
gigether-options {
}
}
ge-8/2/1 {
gigether-options {
}
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 2.2.2.1/24;
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 3.3.3.1/24;
}
451
}
}
reth2 {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.2.20/24;
}
}
}
reth3 {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.169.2.20/24;
}
}
}
st0 {
unit 0{
multipoint;
family inet {
address 12.12.1.20/24;
}
}
unit 1{
multipoint;
family inet {
address 13.13.1.20/24;
}
}
}
[edit]
static {
route 1.1.0.0/16 next-hop 2.2.2.253;
route 5.5.0.0/16 next-hop 2.2.2.253;
}
[edit]
452

system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
reth0.0;
}
}
security-zone oam-trust {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth2.0;
st0.0;
}
}
security-zone 3gpp-trust {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth3.0;
st0.1;
}
}
453
[edit]
user@host# show access profile radius_pico
authentication-order radius;
radius-server {
192.168.2.22 {
secret "$ABC123";
routing-instance VR-OAM;
}
}
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate example_SRX;
}
}
gateway OAM_GW {
ike-policy IKE_POL;
dynamic {
hostname .pico_cell.net;
ike-user-type group-ike-id;
}
local-identity hostname srx_series.example.net;
external-interface reth0.0;
aaa access-profile radius_pico;
version v2-only;
}
gateway 3GPP_GW {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=pico_cell;
}
}
local-identity distinguished-name;
454
aaa access-profile radius_pico;
version v2-only;
}
[edit]
proposal IPSEC_PROP {
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
proposals IPSEC_PROP;
}
vpn OAM_VPN {
ike {
gateway OAM_GW;
proxy-identity {
local 192.168.2.0/24;
remote 0.0.0.0/0;
}
}
}
vpn 3GPP_VPN {
ike {
gateway 3GPP_GW;
proxy-identity {
local 192.169.2.0/24;
remote 0.0.0.0/0;
}
}
}
[edit]
user@host# show routing-instances
VR-OAM {
455
instance-type virtual-router;
interface reth2.0;
interface st0.0;
}
VR-3GPP {
interface reth3.0;
interface st0.1;
}
[edit]
default-policy {
permit-all;
}
Configuración del enrutador intermedio

set security zones security-zone trust host-inbound-traffic protocols all
456
Para configurar el enrutador intermedio:
[edit interfaces]
3. Especificar las zonas de seguridad.

4. Especificar las políticas de seguridad.

457
Resultados
optionsescriba show security zoneslos comandos show security policies ,, y. Si el resultado no muestra
la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.253/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 5.5.5.253/24;
}
}
}
ge-0/0/14 {
unit 0 {
family inet {
address 3.3.3.253/24;
}
}
}
ge-0/0/15 {
unit 0 {
family inet {
address 2.2.2.253/24;
}
}
}
[edit]
static {
route 192.169.2.0/24 next-hop 2.2.2.1;
}
[edit]
458

system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/14.0;
ge-0/0/15.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/2.0;
}
}
}
[edit]
default-policy {
permit-all;
}

459
Configuración de la celda pico (configuración de ejemplo)
La información de la celda pico de este ejemplo se proporciona como referencia. La información

detallada de configuración de celda pico queda fuera del alcance de este documento. La configuración
de la fábrica de celdas de pico debe incluir la siguiente información:
• Certificado local (X. 509v3) e información de identidad del ICR
• Valores de selector de tráfico (ETI, TSr) establecidos en cualquiera/cualquiera (0.0.0.0/0)
• serie SRX ICR información de identidad y dirección IP pública
• Propuestas de las fases 1 y 2 que coincidan con la configuración serie SRX
Las celdas pico de este ejemplo utilizan strongSwan software de código abierto para conexiones VPN
basadas en IPsec. Esta información la usa el serie SRX para el aprovisionamiento de celda pico mediante
la característica de carga de configuración de IKEv2. En las redes en las que se implementan varios
dispositivos, la configuración de celda pico puede ser idéntica, salvo en el caso de la información de
certificado (leftcert) e identidad (leftid). Las siguientes configuraciones de ejemplo muestran la
configuración de fábrica.
1. Revisar la configuración de pico de 1:
Pico 1: Configuración de ejemplo
conn %default
ikelifetime=8h
keylife=1h
rekeymargin=1m
keyingtries=1
keyexchange=ikev2
authby=pubkey
mobike=no
conn oam
left=%any
leftsourceip=%config
leftcert=/usr/local/etc/ipsec.d/certs/<cert_name>
leftid=pico1.pico_cell.net
leftfirewall=yes
reauth=yes
right=2.2.2.1/24
460
rightid=srx_series.example.net
rightsubnet=0.0.0.0/0 #peer net for proxy id
ike=aes256-sha-modp1536!
esp=aes256-sha-modp1536!
auto=add
conn 3gpp
left=%any
leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1”
leftfirewall=yes
reauth=yes
right=3.3.3.1/24
rightid=”OU=srx_series”
auto=add
2. Revise la configuración de pico 2:
Configuración de muestra de pico 2
conn %default
ikelifetime=8h
keylife=1h
rekeymargin=1m
keyingtries=1
keyexchange=ikev2
authby=pubkey
mobike=no
conn oam
left=%any
leftid=pico2.pico_cell.net
leftfirewall=yes
#reauth=no
right=2.2.2.1/24
rightid=srx_series.example.net
461

auto=add
conn 3gpp
left=%any
leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2”
leftfirewall=yes
#reauth=no
right=3.3.3.1/24
rightid=”OU=srx_series”
auto=add
Configuración del servidor de RADIUS (configuración de ejemplo con un FreeRADIUS)
La información del servidor RADIUS se proporciona para referencia en este ejemplo. La información
completa RADIUS configuración del servidor queda fuera del alcance de este documento. El servidor
RADIUS devolverá la siguiente información a serie SRX:
• Dirección IP entramada
• Máscara de la m de IP con trama (opcional)
• DNS principal y secundario-DNS (opcional)
En este ejemplo, el servidor de RADIUS tiene información de aprovisionamiento independiente para las
conexiones mantenimiento seguros y 3GPP. El nombre de usuario se toma de la información del
certificado del cliente proporcionada en el serie SRX solicitud de autorización.
Si el servidor de RADIUS adquiere la información de aprovisionamiento del cliente desde un servidor

DHCP, la información de identidad del cliente que se retransmite al servidor DHCP por el servidor
RADIUS debe ser coherente con el cliente ICR la información de identidad transmitida al servidor de la
RADIUS por The SRX Dispositivo serie. Esto garantiza la continuidad de la identidad del cliente en los
distintos protocolos.
462
El canal de comunicación entre el dispositivo serie SRX y el servidor RADIUS está protegido por un
RADIUS secreto compartido.
1. Revise la configuración RADIUS para la VPN de pico 1 mantenimiento seguros. El servidor RADIUS
tiene la siguiente información:
Pruebe la configuración RADIUS en las versiones 12.3X48 y Junos OS de Junos OS versiones

anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
Ejemplo de configuración FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper"

Service-Type = Framed-User,
Framed-IP-Address = 12.12.1.201,
Framed-IP-Netmask = 255.255.255.255,
Primary-Dns = 192.168.2.104,
Secondary-Dns = 192.168.2.106,
Ejemplo de configuración RADIUS a partir de Junos OS las versiones 15.X49-D161, 15.1X49-D170,

17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept"

Framed-IP-Address = 12.12.1.201,
Primary-Dns = 192.168.2.104,
En este caso, el servidor RADIUS proporciona la máscara de subred predeterminada

(255.255.255.255), que bloquea el tráfico en el mismo nivel.
2. Revise la configuración del RADIUS para la VPN 3GPP pico 1. El servidor RADIUS tiene la siguiente
información:
Ejemplo de configuración de RADIUS en las versiones 12.3X48 y Junos OS de Junos OS versiones

anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2 :
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper"

463
Framed-IP-Address = 13.13.1.201.10,
Primary-Dns = 192.168.2.104,
Ejemplo de configuración RADIUS a partir de Junos OS las versiones 15.X49-D161, 15.1X49-D170,

17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept"

Framed-IP-Address = 13.13.1.201.10,
Primary-Dns = 192.168.2.104,
En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), lo que
permite el tráfico dentro del mismo nivel.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de
carga de configuración IKEv2 para una configuración ICR puerta de enlace. La contraseña común en
un intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta
contraseña se utiliza entre el dispositivo serie SRX y el servidor RADIUS cuando el dispositivo serie
SRX que solicita una dirección IP en nombre de un par IPsec remoto mediante carga de configuración
IKEv2. RADIUS servidor coincide con los credenciales antes de que proporciona cualquier
información IP al dispositivo de la serie SRX para la solicitud de carga de configuración. Puede
configurar la contraseña común mediante una instrucción config-payload-password configured-
password de configuración en el nivel de [edit security ike gateway gateway-name aaa access-
profile access-profile-name] jerarquía. Además, en este ejemplo se crean dos túneles a partir del
mismo certificado de cliente mediante el uso de diferentes partes del certificado para obtener
información de nombre de usuario (ICR identidad).
Comproba
in this section
Verificación del estado de la fase 1 ICR para el serie SRX | 464
Comprobando las asociaciones de seguridad IPsec para el serie SRX | 466

464
Verificación del estado de la fase 1 ICR para el serie SRX
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando.
Después de obtener un número de índice del comando, utilice show security ike security-associations
detail el comando.
user@host# show security ike security-associations

node0:
--------------------------------------------------------------------------
Index State Initiator cookie Responder cookie Mode Remote Address
553329718 UP 99919a471d1a5278 3be7c5a49172e6c2 IKEv2 1.1.1.1
1643848758 UP 9e31d4323195a195 4d142438106d4273 IKEv2 1.1.1.1
user@host# show security ike security-associations index 553329718 detail

node0:
--------------------------------------------------------------------------
IKE peer 1.1.1.1, Index 553329718, Gateway Name: OAM_GW
Location: FPC 2, PIC 0, KMD-Instance 1
Initiator cookie: 99919a471d1a5278, Responder cookie: 3be7c5a49172e6c2
Local: 2.2.2.1:500, Remote: 1.1.1.1:500
Peer ike-id: C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1
aaa assigned IP: 12.12.1.201
Algorithms:
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 2104
465
Output bytes : 425

Input packets: 2
Output packets: 1
Efectos
El show security ike security-associations comando enumera todas las sa de ICR Phase 1 activas con
pico de celdas de Devices. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la
fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa
de su configuración. Este ejemplo muestra únicamente el ICR SA de Phase 1 para la VPN de
mantenimiento seguros; sin embargo, aparecerá una SA de ICR Phase 1 que muestra los parámetros ICR
Phase 1 para la VPN 3GPP.
• Índice: este valor es único para cada ICR SA: puede utilizar el show security ike security-associations
index detail comando para obtener más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 500 se está
utilizando para la comunicación par a par.
• Estado del contestador de roles:
• Up: se estableció la SA de fase 1.
• Abajo: se hubo un problema al establecer la SA de fase 1.
• Id. de ICR par (remoto): compruebe que la información del certificado es correcta.
• Identidad local e identidad remota: compruebe que estas direcciones son correctas.
• Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)
• Parámetros de propuesta de la fase 1 (deben coincidir entre iguales)
El show security ike security-associations comando enumera la siguiente información adicional acerca
de las asociaciones de seguridad:

466
direcciones)
Comprobando las asociaciones de seguridad IPsec para el serie SRX
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando.
Después de obtener un número de índice del comando, utilice show security ipsec security-associations
detail el comando.
user@host# show security ipsec security-associations

node0:
--------------------------------------------------------------------------
<214171651 ESP:aes-cbc-256/sha1 cc2869e2 3529/ - root 500 1.1.1.1
>214171651 ESP:aes-cbc-256/sha1 c0a54936 3529/ - root 500 1.1.1.1
<205520899 ESP:aes-cbc-256/sha1 84e49026 3521/ - root 500 1.1.1.1
>205520899 ESP:aes-cbc-256/sha1 c4ed1849 3521/ - root 500 1.1.1.1
user@host# show security ipsec security-associations detail

node0:
--------------------------------------------------------------------------
Last Tunnel Down Reason: SA not initiated
467
ID: 214171651 Virtual-system: root, VPN Name: 3GPP_VPN

Local Identity: list(any:0,ipv4_subnet(any:0-65535,[0..7]=192.169.2.0/24),
ipv4_subnet(any:0-65535,[0..7]=13.13.0.0/16))
Remote Identity: ipv4(any:0,[0..3]=13.13.1.201)
DF-bit: clear

Direction: inbound, SPI: cc2869e2, AUX-SPI: 0
, VPN Monitoring: -
Lifesize Remaining:

Direction: outbound, SPI: c0a54936, AUX-SPI: 0
, VPN Monitoring: -
Lifesize Remaining:
ID: 205520899 Virtual-system: root, VPN Name: OAM_VPN

Local Identity: ipv4_subnet(any:0-65535,[0..7]=192.168.2.0/24)
Remote Identity: ipv4(any:0,[0..3]=12.12.1.201)
Version: IKEv2
DF-bit: clear

Direction: inbound, SPI: 84e49026, AUX-SPI: 0
, VPN Monitoring: -
468

Lifesize Remaining:

Direction: outbound, SPI: c4ed1849, AUX-SPI: 0
, VPN Monitoring: -
Lifesize Remaining:
Efectos
En este ejemplo se muestran las SA activas de ICR Phase 2 para pico 1. Si no se enumera ninguna SA,
hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de la directiva IPsec
en su configuración. Para cada Asociación de fase 2 (mantenimiento seguros y 3GPP), la información se
proporciona tanto en el sentido entrante como en el exterior. La salida del show security ipsec security-
associations comando muestra la siguiente información:
• La puerta de enlace remota tiene la dirección IP pág.
direcciones. 3529/valor indica que la duración de la fase 2 caduca en 3529 segundos y que no se ha
especificado ningún LifeSize, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de
la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
El resultado anterior del show security ipsec security-associations index index_id detail comando
muestra la siguiente información:

469
• Algoritmos de autenticación y de cifrado utilizados.
• Parámetros de propuesta de la fase 2 (deben coincidir entre iguales).
• Enlaces de túnel seguro (St 0.0 y St 0.1) a las puertas de enlace mantenimiento seguros y 3GPP.
SEE ALSO

Introducción a la PKI en Junos OS | 32
ICR política de desarrollo con un sistema de AC
En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una directiva de ICR del
elemento del mismo nivel.
Antes de comenzar, debe disponer de una lista de todas las entidades de certificación de confianza que
desea asociar con la Directiva de ICR del interlocutor.
Puede asociar una directiva de ICR a un perfil único de CA de confianza o a un grupo de CA de

confianza. Para establecer una conexión segura, la puerta de enlace de ICR usa la Directiva de ICR para
limitarse al grupo configurado de entidades emisoras (perfiles de CA) mientras se valida el certificado.
No se valida un certificado emitido por cualquier fuente distinta de la CA de confianza o el grupo de CA
de confianza. Si hay una solicitud de validación de certificado procedente de una directiva de ICR, el
perfil de CA asociado de la Directiva de ICR validará el certificado. Si una directiva de ICR no está
asociada con ninguna entidad emisora de certificados, entonces, de forma predeterminada, el certificado
será validado por cualquiera de los perfiles de CA configurados.
En este ejemplo, se crea un perfil root-ca de CA con el root-ca-identity nombre y se asocia a al perfil.
Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No

puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.
470
1. Crear un perfil de CA y asociar un identificador de CA al perfil.
[edit]
user@host# set security pki ca-profile root-ca ca-identity root-ca
2. Definir una propuesta de ICR y el método de autenticación de propuesta de ICR.
[edit]
user@host# set security ike proposal ike_prop authentication-method rsa-signatures
3. Definir el grupo Diffie-Hellman, el algoritmo de autenticación, un algoritmo de cifrado para la

propuesta de ICR.
[edit]
user@host# set security ike proposal ike_prop dh-group group2
user@host# set security ike proposal ike_prop authentication-algorithm sha-256
user@host# set security ike proposal ike_prop encryption-algorithm aes-256-cbc
4. Configure una directiva de ICR y asocie la Directiva con la propuesta de ICR.
[edit]
user@host# set security ike policy ike_policy proposals ike_prop
5. Configure un identificador de certificado local para la Directiva ICR.
[edit]
user@host# set security ike policy ike_policy certificate local-certificate SPOKE
6. Defina la entidad emisora de certificados que se utilizará para la Directiva de ICR.
[edit]
user@host# set security ike policy ike_policy certificate trusted-ca ca-profile root-ca

proposal ike_prop {
471
dh-group group2;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
El show security ike comando muestra el grupo de perfiles de CA bajo la directiva ike_policy ICR
denominada y el certificado asociado a la Directiva de ICR.
SEE ALSO
Interfaz de túnel seguro en un enrutador virtual
in this section
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas | 472
Ejemplo Configuración de una interfaz st0 en un enrutador virtual | 473
Una interfaz de túnel seguro (st0) es una interfaz interna que utilizan las VPN basadas en la ruta para
enrutar tráfico de texto sin cifrar a un túnel VPN de IPsec.
472
Comprensión de la compatibilidad con enrutadores virtuales para redes

VPN basadas en rutas
in this section
Descripción de las limitaciones del enrutador virtual | 473
Esta característica incluye la compatibilidad con instancias de enrutamiento para VPN basadas en rutas.
En versiones anteriores, cuando se colocaba una interfaz st0 en una instancia de enrutamiento no
predeterminada, los túneles VPN de esta interfaz no funcionaban correctamente. En el Junos OS 10,4, la
compatibilidad está habilitada para colocar interfaces st0 en una instancia de enrutamiento, donde cada
unidad está configurada en modo punto a punto o modo multipunto. Por lo tanto, el tráfico VPN
funcionará ahora correctamente en un VR que no sea predeterminado. Ahora puede configurar distintas
subunidades de la interfaz st0 en distintas instancias de enrutamiento. Las siguientes funciones son
compatibles con instancias de enrutamiento no predeterminadas:
• Gestión manual de claves
• Tráfico de tránsito
• Tráfico automático
• Supervisión de VPN
• VPN de concentrador y periferia
• Protocolo ESP (carga de seguridad de encapsulación)
• Protocolo AH (encabezado de autenticación)
• Modo de borrado o modo principal
• st0 anclado en la interfaz de bucle de retroceso (lo0)
• Número máximo de enrutadores virtuales (VRs) admitidos en un dispositivo serie SRX
• Aplicaciones como puerta de enlace de Capa de aplicación (ALG), detección y prevención de

intrusiones (IDP) y administración unificada de amenazas (UTM)
• Detección de punto muerto (DPD)
• Cluster del chasis activo/backup

473
• Primera trayectoria abierta más corta (Open Shortest Path First) (OSPF) sobre st0
• Protocolo de información de enrutamiento (RIP) sobre st0
• VPN basada en directivas en VR
Descripción de las limitaciones del enrutador virtual
Cuando configura VPN en dispositivos serie SRX, se admite la superposición de direcciones IP a través
de enrutadores virtuales con las siguientes limitaciones:
• Una dirección de interfaz externa ICR no puede superponerse con ningún otro enrutador virtual.
• Una dirección interna o de interfaz de confianza puede superponerse a través de cualquier otro
enrutador virtual.
• Una dirección de interfaz st0 no puede superponerse en túneles de punto a multipunto basados en
rutas como, por ejemplo, NHTB.
• Una dirección de interfaz st0 puede superponerse en túneles de punto a punto en una VPN basada
en rutas.
SEE ALSO
Ejemplo Configuración de una interfaz st0 en un enrutador virtual
in this section
Aplicables | 474
Automática | 474
Comproba | 480
En este ejemplo se muestra cómo configurar una interfaz st0 en un enrutador virtual.
474
Aplicables
Antes de comenzar, configure las interfaces y asigne las interfaces a las zonas de seguridad. Consulte
"Introducción a las zonas de seguridad".
En este ejemplo, se realizan las operaciones siguientes:
• Configure las interfaces.
• Configure ICR propuestas de la fase 1.
• Configure ICR políticas y haga referencia a las propuestas.
• Configure una puerta de enlace ICR y haga referencia a la Directiva.
• Configure las propuestas de fase 2.
• Configure las políticas y haga referencia a las propuestas.
• Configure AutoKey ICR y haga referencia a la Directiva y la puerta de enlace.
• Configure la Directiva de seguridad.
• Configure la instancia de enrutamiento.
• Configure la interfaz de enlace de VPN a túnel.
• Configure las opciones de enrutamiento.
Automática
in this section
Modalidades | 474
Modalidades
475

set security ike proposal first_ikeprop authentication-method pre-shared-keys
set security ike proposal first_ikeprop dh-group group2
set security ike proposal first_ikeprop authentication-algorithm md5
set security ike proposal first_ikeprop encryption-algorithm 3des-cbc
set security ike policy first_ikepol mode main
set security ike policy first_ikepol proposals first_ikeprop
set security ike policy first_ikepol pre-shared-key ascii-text "$ABC123"
set security ike gateway first ike-policy first_ikepol
set security ike gateway first address 10.4.4.2
set security ike gateway first external-interface ge-0/0/0.0
set security ipsec proposal first_ipsecprop protocol esp
set security ipsec proposal first_ipsecprop authentication-algorithm hmac-md5-96
set security ipsec proposal first_ipsecprop encryption-algorithm 3des-cbc
set security ipsec policy first_ipsecpol perfect-forward-secrecy keys group1
set security ipsec policy first_ipsecpol proposals first_ipsecprop
set security ipsec vpn first_vpn bind-interface st0.0
set security ipsec vpn first_vpn ike gateway first
set security ipsec vpn first_vpn ike ipsec-policy first_ipsecpol
set security ipsec vpn first_vpn establish-tunnels immediately
set security policies from-zone trust to-zone untrust policy p1 match source-address any
set security policies from-zone trust to-zone untrust policy p1 match destination-address any
set security policies from-zone trust to-zone untrust policy p1 match application any
set security policies from-zone trust to-zone untrust policy p1 then permit
set security policies from-zone untrust to-zone trust policy p2 match source-address any
set security policies from-zone untrust to-zone trust policy p2 match destination-address any
set security policies from-zone untrust to-zone trust policy p2 match application any
set security policies from-zone untrust to-zone trust policy p2 then permit
set routing-instances VR1 instance-type virtual-router
set routing-instances VR1 interface ge-0/0/1.0
set routing-instances VR1 interface st0.0
set routing-instances VR1 routing-options static route 10.6.6.0/24 next-hop st0.0
476
Para configurar un st0 en el VR:
1. Configure las interfaces.
[edit]
2. Configure la fase 1 del túnel IPsec.
[edit security ike]

user@host# set proposal first_ikeprop authentication-method pre-shared-keys
user@host# set proposal first_ikeprop dh-group group2
user@host# set proposal first_ikeprop authentication-algorithm md5
user@host# set proposal first_ikeprop encryption-algorithm 3des-cbc
3. Configure las políticas de ICR y haga referencia a las propuestas.
[edit security ike]

user@host# set policy first_ikepol mode main
user@host# set policy first_ikepol proposals first_ikeprop
user@host# set policy first_ikepol pre-shared-key ascii-text "$ABC123"
4. Configure la puerta de enlace de ICR y haga referencia a la Directiva.
[edit security ike]

user@host# set gateway first ike-policy first_ikepol
user@host# set gateway first address 10.4.4.2
user@host# set gateway first external-interface ge-0/0/0.0
477
5. Configure la fase 2 del túnel IPsec.

user@host# set proposal first_ipsecprop protocol esp
user@host# set proposal first_ipsecprop authentication-algorithm hmac-md5-96
user@host# set proposal first_ipsecprop encryption-algorithm 3des-cbc
6. Configure las políticas y haga referencia a las propuestas.

user@host# set policy first_ipsecpol perfect-forward-secrecy keys group1
user@host# set policy first_ipsecpol proposals first_ipsecprop
7. Configure AutoKey ICR y haga referencia a la Directiva y la puerta de enlace.

user@host# set vpn first_vpn ike gateway first
user@host# set vpn first_vpn ike ipsec-policy first_ipsecpol
user@host# set vpn first_vpn establish-tunnels immediately
8. Configure la interfaz de enlace de VPN a túnel.

user@host# set vpn first_vpn bind-interface st0.0
9. Configure la Directiva de seguridad.

user@host# set from-zone trust to-zone untrust policy p1 match source-address any
user@host# set from-zone trust to-zone untrust policy p1 match destination-address any
user@host# set from-zone trust to-zone untrust policy p1 match application any
user@host# set from-zone trust to-zone untrust policy p1 then permit
user@host# set from-zone untrust to-zone trust policy p2 match source-address any
user@host# set from-zone untrust to-zone trust policy p2 match destination-address any
user@host# set from-zone untrust to-zone trust policy p2 match application any
user@host# set from-zone untrust to-zone trust policy p2 then permit
478
10. Configure st0 en la instancia de enrutamiento.
[edit routing-instances]
user@host# set VR1 instance-type virtual-router
user@host# set VR1 interface ge-0/0/1.0
user@host# set VR1 interface st0.0
[edit routing-instances VR1 routing-options]

user@host# set static route 10.6.6.0/24 next-hop st0.0
Resultados
Desde el modo de configuración, escriba los show security comandos y show routing-instances para
user@host# show security

ike {
proposal first_ikeprop {
dh-group group2;
authentication-algorithm md5;
}
policy first_ikepol {
mode main;
proposals first_ikeprop;
}
gateway first {
ike-policy first_ikepol;
address 10.4.4.2;
}
}
ipsec {
proposal first_ipsecprop {
479
protocol esp;
authentication-algorithm hmac-md5-96;
}
policy first_ipsecpol {
keys group1;
}
proposals first_ipsecprop;
}
vpn first_vpn {
ike {
gateway first;
ipsec-policy first_ipsecpol;
}
}
}
policies {
policy p1 {
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy p2 {
match {
source-address any;
application any;
}
then {
permit;
}
}
480
}
}
VR1 {
interface ge-0/0/1.0;
interface st0.0;
routing-options {
static {
}
}
}
Comproba
in this section
Verificación de una interfaz st0 en el enrutador virtual | 480
Verificación de una interfaz st0 en el enrutador virtual
Purpose
Compruebe la interfaz st0 en el enrutador virtual.
Intervención
En modo operativo, escriba el show interfaces st0.0 detail comando. El número que aparece para la
tabla de enrutamiento se corresponde con el orden de las show route all tablas de enrutamiento del
comando.
481
SEE ALSO
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas
Dos túneles de pila a través de una interfaz externa
in this section
Descripción de los modos de túnel VPN | 481
Ejemplo Configuración de túneles de pila dual a través de una interfaz externa | 485
Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un
par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6
puede usarse como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o
en diferentes interlocutores al mismo tiempo.
in this section
Descripción de los túneles de pila dual a través de una interfaz externa | 484
En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original)
dentro de un segundo datagrama IP. El encabezado de IP exterior contiene la dirección IP de la puerta de
enlace, mientras que el encabezado interno contiene las últimas direcciones IP de origen y destino. Los
482
encabezados de IP exterior e interior pueden tener un campo de protocolo de IPv4 o IPv6. Los
dispositivos de serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.
Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 en paquetes IPv4, como se muestra en Figura 32 en
la página 482la. Los campos de protocolo para la cabecera exterior y la externa son IPv4.
Figura 32: Túnel IPv4 en IPv4
Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 en paquetes IPv6, tal y como se muestra en Figura
33 en la página 482. Los campos de protocolo para la cabecera interna y externa son IPv6.

483
Los túneles IPv6-en-IPv4 encapsulan paquetes IPv6 en paquetes IPv4, tal y como se Figura 34 en la
página 483muestra en la. El campo Protocol para el encabezado Outer es IPv4 y el campo Protocol para
el encabezado interno es IPv6.
Figura 34: Túnel IPv6-en-IPv4
Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 en paquetes IPv6, como se muestra en Figura 35 en
la página 483la. El campo Protocol para el encabezado exterior es IPv6 y el campo Protocol para el
encabezado interior es IPv4.
Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede
funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico
IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family
inet configurarse con ambos y family inet6.
Una interfaz física configurada con direcciones IPv4 e IPv6 puede usarse como la interfaz externa para
túneles IPv4 e IPv6 paralelos a un interlocutor de una VPN de sitio a sitio basada en la ruta. Esta
característica se conoce como túneles de pila dual y requiere interfaces st0 independientes para cada
túnel.
484
Para VPN basadas en directivas, IPv6 en IPv6 es el único modo de túnel admitido y solo se admite en
dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
Descripción de los túneles de pila dual a través de una interfaz externa
Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un
par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6
puede usarse como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o en
diferentes interlocutores al mismo tiempo. En Figura 36 en la página 484, las interfaces físicas Reth 0.0 y
GE-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.
Figura 36: Túneles de pila dual
En Figura 36 en la página 484, deben configurarse interfaces independientes de túnel seguro (st0) para
cada túnel VPN de IPSec. No se admiten los túneles IPv4 e IPv6 paralelos que estén enlazados a la
misma interfaz st0.
Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede
funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico
IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family
inet configurarse con ambos y family inet6.
Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a una
VPN Peer, es recomendable local-address que configureedit security ike gateway gateway-nameel nivel
de jerarquía [].
Si local-address está configurado, la dirección IPv4 o IPv6 especificada se utiliza como dirección de
puerta de enlace local. Si solo se configura una dirección IPv4 y otra de IPv6 en una interfaz externa
física local-address , la configuración no es obligatoria.
El local-address valor debe ser una dirección IP configurada en una interfaz del dispositivo de serie SRX.
Es recomendable que local-address pertenezca a la interfaz externa de la puerta de enlace de ICR. Si
local-address no pertenece a la interfaz externa de la puerta de enlace de ICR, la interfaz debe estar en
la misma zona que la interfaz externa de la puerta de enlace de ICR y debe configurarse una directiva de
seguridad intra-Zone para permitir el tráfico.
El local-address valor y la dirección de puerta de enlace de ICR remoto deben estar en la misma familia
de direcciones, ya sea IPv4 o IPv6.
485
Si local-address no está configurado, la dirección de la puerta de enlace local se basará en la dirección de

puerta de enlace remota. Si la dirección de la puerta de enlace remota es una dirección IPv4, la dirección
de puerta de enlace local será la dirección IPv4 principal de la interfaz física externa. Si la dirección de la
puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local será la dirección
IPv6 principal de la interfaz física externa.
SEE ALSO

Descripción del procesamiento de paquetes IPsec e ICR de IPv6
Ejemplo Configuración de túneles de pila dual a través de una interfaz

externa
in this section
Aplicables | 485
Automática | 489
Comproba | 495
En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos en una sola interfaz física
externa a un interlocutor para VPN de sitio a sitio basadas en la ruta.
Aplicables
Antes de comenzar, lea comprensión de los modos de túnel VPN.
La configuración mostrada en este ejemplo sólo es compatible con VPN de sitio a sitio basadas en rutas.
486
in this section
Topología | 489
En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6
paralelos a un dispositivo del mismo nivel:
• El túnel IPv4 lleva el tráfico IPv6; funciona en el modo de túnel IPv6-in-IPv4. La interfaz de túnel
seguro St 0.0 enlazada al túnel IPv4 se configura con la familia inet6 solamente.
• El túnel IPv6 lleva tanto el tráfico IPv4 como IPv6; funciona en los modos de túnel IPv4-in-IPv6 e
IPv6-in-IPv6. La interfaz de túnel seguro St 0.1 enlazada al túnel IPv6 está configurada con las
familias inet y inet6.
Tabla 46 en la página 486muestra las opciones de la fase 1 utilizadas en este ejemplo. La configuración
de la opción de la fase 1 incluye dos configuraciones de puerta de enlace ICR, una al interlocutor IPv6 y
la otra a IPv4 del mismo nivel.
Tabla 46: Opciones de la fase 1 para la configuración del túnel de doble pila
, Valor
ICR propuesta ike_proposal
Método de autenticación Claves previamente compartidas
Algoritmo de autenticación MD5
Algoritmo de cifrado 3DES CBC
Cesiones 3600 segundos
ICR Directiva ike_policy

487
Tabla 46: Opciones de la fase 1 para la configuración del túnel de doble pila (Continued)
, Valor
Medio Ambiciosa
ICR propuesta ike_proposal
Clave previamente compartida Texto ASCII
Puerta de enlace de ICR IPv6 ike_gw_v6
Dirección de puerta de enlace 2000::2
ICR versión IKEv2
Puerta de enlace de ICR IPv4 ike_gw_v4
Dirección de puerta de enlace 20.0.0.2
Tabla 47 en la página 488muestra las opciones de la fase 2 utilizadas en este ejemplo. La configuración
de la opción fase 2 incluye dos configuraciones VPN: una para el túnel IPv6 y la otra para el túnel IPv4.
488
Tabla 47: Opciones de la fase 2 para la configuración del túnel de doble pila
, Valor
Propuesta de IPsec ipsec_proposal
Protocolo SENSORIAL
Algoritmo de autenticación HMAC SHA-1 96
Algoritmo de cifrado 3DES CBC
Directiva IPsec ipsec_policy
Clasificado ipsec_proposal
VPN de IPv6 test_s2s_v6
Puerta de enlace ICR ike_gw_v6
ICR la directiva IPsec ipsec_policy
Establecer túneles Justo
VPN IPv4 test_s2s_v4
Puerta de enlace ICR ike_gw_4
ICR la directiva IPsec ipsec_policy

489
Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:
• Enrutar el tráfico IPv6 hasta el 3000::1/128 hasta el St 0.0.
• Enrutar el tráfico IPv6 hasta el 3000::2/128 hasta el St 0.1.
Una ruta estática se configura en la tabla de enrutamiento de valores predeterminados (IPv4) para
enrutar el tráfico IPv4 a 30.0.0.0/24 hasta St 0.1.
El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción
de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].
Topología
En Figura 37 en la página 489, el dispositivo serie SRX a admite túneles IPv4 e IPv6 hasta dispositivo B.
el tráfico ipv6 hacia 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 al tráfico
3000::2/128 e IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.
Figura 37: Ejemplo de túnel de pila dual
Automática
in this section
Modalidades | 490
490
Modalidades

set interfaces reth1 unit 0 family inet6 address 2000::1/64
set interfaces st0 unit 0 family inet6
set interfaces st0 unit 1 family inet
set security ike proposal ike_proposal authentication-method pre-shared-keys
set security ike proposal ike_proposal authentication-algorithm md5
set security ike proposal ike_proposal encryption-algorithm 3des-cbc
set security ike proposal ike_proposal lifetime-seconds 3600
set security ike policy ike_policy proposals ike_proposal
set security ike policy ike_policy pre-shared-key ascii-text "$ABC123"
set security ike gateway ike_gw_v6 ike-policy ike_policy
set security ike gateway ike_gw_v6 address 2000::2
set security ike gateway ike_gw_v6 external-interface reth1.0
set security ike gateway ike_gw_v6 version v2-only
set security ike gateway ike_gw_v4 ike-policy ike_policy
set security ike gateway ike_gw_v4 address 20.0.0.2
set security ike gateway ike_gw_v4 external-interface reth1.0
set security ipsec proposal ipsec_proposal protocol esp
set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc
set security ipsec policy ipsec_policy proposals ipsec_proposal
set security ipsec vpn test_s2s_v6 bind-interface st0.1
set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6
set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy
set security ipsec vpn test_s2s_v6 establish-tunnels immediately
set security ipsec vpn test_s2s_v4 bind-interface st0.0
491
set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4

set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy
set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0
set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1
set security forwarding-options family inet6 mode flow-based
Para configurar túneles de pila dual:
1. Configure la interfaz externa.
[edit interfaces]
user@host# set reth1 unit 0 family inet6 address 2000::1/64
2. Configure las interfaces de túnel seguro.
[edit interfaces]
user@host# set st0 unit 0 family inet6
user@host# set st0 unit 1 family inet
[edit security ike proposal ike_proposal]

user@host# set authentication-algorithm md5
492

user@host# set proposals ike_proposal
user@host# set pre-shared-key ascii-text "$ABC123"
[edit security ike gateway ike_gw_v6]
user@host# set ike-policy ike_policy
user@host# set address 2000::2
[edit security ike gateway ike_gw_v4]
user@host# set ike-policy ike_policy
[edit security ipsec proposal ipsec_proposal]

user@host# set proposals ipsec_proposal
[edit security ipsec vpn test_s2s_v6 ]
user@host# set ike gateway ike_gw_v6
user@host# set ike ipsec-policy ipsec_policy
user@host# set establish-tunnels immediately
[edit security ipsec vpn test_s2s_v4]
user@host# set ike gateway ike_gw_v4
user@host# set ike ipsec-policy ipsec_policy
5. Configurar rutas estáticas.
[edit routing-options rib inet6.0]

user@host# set static route 3000::1/128 next-hop st0.0
user@host# set static route 3000::2/128 next-hop st0.1
493
6. Habilite el reenvío basado en flujos IPv6.
[edit security forwarding-options]

user@host# set family inet6 mode flow-based
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show security ike, show
security ipsecshow routing-options, y show security forwarding-options para confirmar la
[edit]
ge-0/0/1 {
gigether-options {
}
}
ge-8/0/1 {
gigether-options {
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
494
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
proposal ike_proposal {
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
}
gateway ike_gw_v6 {
address 2000::2;
version v2-only;
}
gateway ike_gw_4 {
address 20.0.0.2;
}
[edit]
proposal ipsec_proposal {
protocol esp;
}
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
ike {
495
gateway ike_gw_v6;
}
}
vpn test_s2s_v4 {
ike {
gateway ike_gw_4;
}
}
[edit]
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Comproba
in this section
Comprobando rutas | 497

496
Purpose
Intervención

Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2
2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive
20.0.0.2
Efectos
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 1 deben coincidir en los dispositivos del mismo nivel.
Purpose

497
Intervención

<131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2
>131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2
<131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2
>131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
Comprobando rutas
Purpose
Comprobar las rutas activas.
Intervención
user@host> show route

10.5.0.0/16 *[Static/5] 3d 01:43:23

> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
498
> to 10.157.64.1 via fxp0.0

10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)

2000::/64 *[Direct/0] 03:45:41

> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
499
3000::2/128 *[Static/5] 00:03:45

> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Efectos
El show route comando enumera las entradas activas en las tablas de enrutamiento.

Túneles VPN de IPsec con clústeres de chasis
in this section
Comprensión de los clústeres de chasis de VPN IPsec de reserva activa dual | 500
500
Ejemplo Configuración de grupos de redundancia para interfaces de bucle invertido | 502
Los dispositivos de serie SRX son compatibles con túneles VPN de IPsec en una configuración de
clústeres del chasis. En un clúster de chasis activo/pasivo, todos los túneles VPN terminan en el mismo
nodo. En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquier nodo.
Comprensión de los clústeres de chasis de VPN IPsec de reserva activa

dual
En un clúster de chasis activo/pasivo, todos los túneles de VPN terminan en el mismo nodo Figura 38 en
la página 500, como se muestra en la.
Figura 38: Clúster de chasis activo/pasivo con túneles VPN de IPsec
En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquier nodo. Los dos
nodos del clúster del chasis pueden pasar activamente el tráfico a través de túneles VPN en ambos
501
nodos al mismo tiempo, Figura 39 en la página 501como se muestra en la. Esta implementación se
conoce como clústeres de chasis VPN de reserva IPSec de doble actividad.
Figura 39: Dos clústeres de chasis de VPN IPsec de reserva activa
Las siguientes características se admiten con clústeres duales de canal de seguridad activo-VPN IPsec:
• Solo redes VPN basadas en la ruta. No se admiten VPN basadas en políticas.
• IKEv1 e IKEv2.
• Certificado digital o autenticación por claves compartidas previamente.
• Interfaces de túnel ICR y seguro (st0) en enrutadores virtuales.
• Traducción de direcciones de red-transversal (TDR-T).
• Supervisión de VPN.
• Detección de pares de tráfico muerto.
• Actualización del software en servicio (emisión).
• Inserción de tarjetas de procesamiento de servicios (SPCs) en un dispositivo de un clúster de chasis

sin interrumpir el tráfico en los túneles VPN existentes. Consulte Compatibilidad de VPN para
insertar tarjetas de procesamiento de servicios.
• Protocolos de enrutamiento dinámico.
• Interfaces de túnel seguro (st0) configuradas en el modo de punto a multipunto.
• AutoVPN con interfaces de st0 en modo punto a punto con selectores de tráfico.
• Modos de túnel IPv4-in-IPv4, IPv6-in-IPv4, IPv6-in-IPv6 e IPv4-in-IPv6.
• Tráfico fragmentado.
• La interfaz de bucle de retroceso puede configurarse como la interfaz externa para VPN.
502
VPN IPsec de reserva de backup dual los clústeres no se pueden configurar con flujos de modo Z. Los
flujos de modo Z se producen cuando el tráfico entra en una interfaz en un nodo del clúster del chasis,
pasa por el vínculo de la estructura y sale a través de una interfaz en el otro nodo del clúster.
SEE ALSO
Guía de usuario del clúster de chasis para dispositivos de serie SRX
Ejemplo Configuración de grupos de redundancia para interfaces de bucle

invertido
in this section
Aplicables | 502
Automática | 506
Comproba | 510
En este ejemplo se muestra cómo configurar un grupo de redundancia (RG) para una interfaz de bucle
invertido para evitar errores de VPN. Los grupos de redundancia se utilizan para agrupar interfaces en
un grupo con el fin de hacer failover en una configuración de clústeres del chasis.
Aplicables
Este ejemplo utiliza el siguiente hardware y software:
• Un par de dispositivos serie SRX del clúster de chasis compatibles
• Un dispositivo SSG140 o equivalente
• Dos conmutadores
• Junos OS de la versión 12.1 x44-D10 o posterior para puertas de enlace de servicios serie SRX
Antes de empezar:
Comprender las interfaces Ethernet redundantes del clúster de chasis. Consulte Guía de usuario del
clúster de chasis para obtener serie SRX dispositivos.
503
Una puerta de enlace de Intercambio de claves por red (ICR) necesita una interfaz externa para
comunicarse con un dispositivo del mismo nivel. En una instalación del clúster del chasis, el nodo en el
que está activa la interfaz externa Selecciona una unidad de procesamiento de servicios (SPU) para
soportar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, la interfaz
externa activa decide el anclaje de la SPU.
En la configuración de un clúster del chasis, la interfaz externa es una interfaz Ethernet redundante. Una
interfaz Ethernet redundante puede bajarse cuando sus interfaces físicas (secundarias) están inactivas.
Puede configurar una interfaz de bucle de retorno como una interfaz física alternativa para alcanzar la
puerta de enlace del mismo nivel. Las interfaces de bucle de retroceso se pueden configurar en cualquier
grupo de redundancia. Esta configuración del grupo de redundancia solo se comprueba para paquetes
VPN, dado que solo los paquetes VPN deben encontrar el anclaje SPU a través de la interfaz activa.
Debe configurar lo0. x en un enrutador virtual personalizado, ya que lo 0,0 se encuentra en el enrutador
virtual predeterminado y solo se permite una interfaz de bucle de retroceso en un enrutador virtual.
Figura 40 en la página 505muestra un ejemplo de una topología VPN de clúster de un chasis de bucle
invertido. En esta topología, el dispositivo en el clúster del serie SRX chasis se encuentra en Sunnyvale,
California. El dispositivo en el clúster del serie SRX funciona como una sola puerta de enlace en esta
instalación. El dispositivo de la serie SSG (o un dispositivo de otro fabricante) se encuentra en Chicago,
504
Illinois. Este dispositivo actúa como un dispositivo del mismo nivel para el clúster de chasis SRX y ayuda
a crear un túnel VPN.
505
Figura 40: Interfaz de bucle invertido para VPN del clúster de chasis
506
Automática
in this section
Modalidades | 506
Modalidades

set routing-instances vr1 instance-type virtual-router
set routing-instances vr1 interface lo0.1
set routing-instances vr1 interface reth0.0
set routing-instances vr1 interface reth1.0
set routing-instances vr1 interface st0.0
set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop
st0.0
set security ike policy ike-policy1 mode main
set security ike policy ike-policy1 proposal-set standard
set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123"
set security ike gateway t-ike-gate ike-policy ike-policy1
set security ike gateway t-ike-gate address 10.2.2.2
set security ike gateway t-ike-gate external-interface lo0.1
set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96
set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc
set security ipsec proposal p2-std-p1 lifetime-seconds 180
set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96
set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc
set security ipsec proposal p2-std-p2 lifetime-seconds 180
set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2
set security ipsec policy vpn-policy1 proposals p2-std-p1
set security ipsec policy vpn-policy1 proposals p2-std-p2
507
set security ipsec vpn t-ike-vpn bind-interface st0.0

set security ipsec vpn t-ike-vpn ike gateway t-ike-gate
set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24
set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24
set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
Para configurar un grupo de redundancia para una interfaz de bucle de retroceso:
1. Configure la interfaz de bucle invertido en un grupo de redundancia.
[edit interfaces]
user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
2. Configure la dirección IP para la interfaz de bucle invertido.
[edit interfaces]
user@host# set lo0 unit 1 family inet address 10.3.3.3/30
[edit routing-instances]
user@host# set vr1 instance-type virtual-router
user@host# set vr1 interface lo0.1
user@host# set vr1 interface reth0.0
user@host# set vr1 interface reth1.0
user@host# set vr1 interface st0.0
user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
4. Configure la interfaz de bucle invertido como una interfaz externa para la puerta de enlace de ICR.
[edit security ike]

user@host# set policy ike-policy1 mode main
user@host# set policy ike-policy1 proposal-set standard
user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123"
user@host# set gateway t-ike-gate ike-policy ike-policy1
508
user@host# set gateway t-ike-gate address 10.2.2.2

user@host# set gateway t-ike-gate external-interface lo0.1
5. Configure una propuesta IPsec.

user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96
user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc
user@host# set proposal p2-std-p1 lifetime-seconds 180
user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96
user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc
user@host# set proposal p2-std-p2 lifetime-seconds 180
user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2
user@host# set policy vpn-policy1 proposals p2-std-p1
user@host# set policy vpn-policy1 proposals p2-std-p2
user@host# set vpn t-ike-vpn bind-interface st0.0
user@host# set vpn t-ike-vpn ike gateway t-ike-gate
user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24
user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24
user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces lo0, show routing-
instancesescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no muestra la
configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
509
redundancy-group 1;
}
[edit]
vr1 {
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
policy ike-policy1 {
mode main;
proposal-set standard;
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
proposal p2-std-p1 {
}
proposal p2-std-p2 {
510
}
policy vpn-policy1 {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
Comproba
in this section
Verificación de la configuración | 511

511
Verificación de la configuración
Purpose
Compruebe que la configuración de los grupos de redundancia para las interfaces de bucle invertido sea
correcta.
Intervención
En modo operativo, escriba el show chassis cluster interfaces comando.
user@host> show chassis cluster interfaces

Control link status: Up
Control interfaces:
Index Interface Status
0 em0 Up
1 em1 Down
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
fab0 ge-0/0/7 Up / Up
fab0
fab1 ge-13/0/7 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Down Not configured
reth4 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Efectos
El show chassis cluster interfaces comando muestra la información de las interfaces del clúster del
chasis. Si el estado del campo de información de pseudo-interfaz redundante muestra la interfaz lo0
512
como arriba y el estado del campo de información redundante de Ethernet muestra los campos reth0,
reth1 y reth2, y la configuración es correcta.
SEE ALSO
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad
Guía de usuario del clúster de chasis para dispositivos de serie SRX
Selectores de tráfico en VPN basadas en rutas
in this section
Ejemplo Configuración de selectores de tráfico en una VPN basada en rutas | 520
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el
tráfico que se ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada.
Descripción de los selectores de tráfico en VPN basadas en rutas
in this section
Configuración del selector de tráfico | 513
Descripción de la inserción automática de rutas | 514
Descripción de los selectores de tráfico y las direcciones IP superpuestas | 514

513
si el tráfico coincide con un par especificado de direcciones locales y remotas. Con esta característica,
puede definir un selector de tráfico dentro de una VPN basada en ruta específica, lo que puede producir
varias asociaciones de seguridad (SA) de IPsec de fase 2. Solo se permite el tráfico que se ajusta a un
selector de tráfico a través de la SA asociada.
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de tráfico se
pueden configurar con VPN de sitio a sitio de IKEv1. A partir de Junos OS Release 15.1 X49-D100, los
selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.
Configuración del selector de tráfico
Para configurar el selector de tráfico, utilice traffic-selector la instrucción de configuración enedit

security ipsec vpn vpn-nameel nivel de jerarquía []. El selector de tráfico se define con las local-ip ip-
address/netmask instrucciones remote-ip ip-address/netmask y obligatorias. El comando show security
ipsec security-association detail operativo CLI muestra información del selector de tráfico para SAS. El
show security ipsec security-association traffic-selector traffic-selector-name comando CLI muestra
información de un determinado selector de tráfico.
Para un determinado selector de tráfico, se especifica una sola dirección y máscara de la m á scara para
las direcciones locales y remotas. Los selectores de tráfico se pueden configurar con direcciones IPv4 o
IPv6. Las libretas de direcciones no se pueden utilizar para especificar direcciones locales o remotas.
Se pueden configurar varios selectores de tráfico para la misma VPN. Se pueden configurar un máximo
de 200 selectores de tráfico para cada VPN. Los selectores de tráfico se pueden usar con los modos
IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 o IPv6-in-IPv4.
Las características siguientes no se admiten con los selectores de tráfico:
• Diferentes familias de direcciones configuradas para las direcciones IP locales y remotas en un

selector de tráfico
• Una dirección remota de 0.0.0.0/0 (IPv4) o 0::0 (IPv6) para VPN de sitio a sitio
A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las instancias
vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0 (IPv6), el siguiente
mensaje se muestra cuando se realiza la confirmación y se produce un error “error: configuration
check-out failed” en la desprotección de la configuración.
• Interfaces punto a multipunto
• Protocolos de enrutamiento dinámico configurados en interfaces st0
Cuando hay varios selectores de tráfico configurados para una VPN basada en rutas, el tráfico claro
puede entrar en un túnel VPN sin tener que coincidir con un selector de tráfico si la interfaz externa de
514
ICR puerta de enlace se mueve a otro enrutador virtual (VR). El software no controla varios eventos de
interfaz asincrónica que se generan cuando una ICR interfaz externa de puerta de enlace se mueve a
otro VR. Como solución, primero debe desactivar el túnel VPN de IPsec y ejecutar la configuración sin
ese túnel antes de trasladar la interfaz externa de puerta de enlace de ICR a otro virtual virtual.
Descripción de la inserción automática de rutas
La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y
los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota
configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota
configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está
enlazada a la VPN.
Los protocolos de enrutamiento y la configuración del selector de tráfico son maneras mutuamente
excluyentes del tráfico de dirección hacia un túnel. Las rutas ARI pueden entrar en conflicto con rutas
que se rellenan a través de protocolos de enrutamiento. Por lo tanto, no debe configurar protocolos de
enrutamiento en una interfaz st0 que esté enlazada a una VPN en la que estén configurados los
selectores de tráfico.
ARI se conoce también como inserción de ruta inversa (RRI). Las rutas ARI se insertan en la tabla de
enrutamiento de la siguiente manera:
• Si la establish-tunnels immediately opción se configura en el niveledit security ipsec vpn vpn-

namede jerarquía [], las rutas Ari se agregarán después de completar las negociaciones de las fases 1
y 2. Dado que no se agrega una ruta hasta que se establecen las SA, una negociación fallida no
provoca el enrutamiento del tráfico a una interfaz st0 que no funciona. En su lugar se utiliza un túnel
alternativo o de copia de seguridad.
• Si la establish-tunnels immediately opción no está configurada enedit security ipsec vpn vpn-nameel
nivel de jerarquía [], las rutas Ari se agregan durante la confirmación de configuración.
• No se añade una ruta ARI si la dirección remota configurada o negociada en el selector de tráfico es
0.0.0.0/0 o 0::0.
La preferencia de la ruta ARI estática es la 5. Este valor es necesario para evitar conflictos con rutas
similares que puede Agregar un proceso de protocolo de enrutamiento. No hay configuración de la
métrica para la ruta ARI estática.
La ruta ARI estática no puede filtrarse por otras instancias de enrutamiento que rib-groups usan la
configuración. Utilice la import-policy configuración para filtrar las rutas Ari estáticas.
Descripción de los selectores de tráfico y las direcciones IP superpuestas
En esta sección se explican las direcciones IP superpuestas en las configuraciones de los selectores de
tráfico.
515
Direcciones IP superpuestas en distintas VPN enlazadas a la misma interfaz st0
Los selectores de tráfico no admiten este escenario. Los selectores de tráfico no se pueden configurar en
distintas VPN que se enlazan con la misma interfaz st0 punto a multipunto, como se muestra en el
siguiente ejemplo:
[edit]
vpn vpn-1 {
}
vpn vpn-2 {
}
Direcciones IP superpuestas en la misma VPN enlazada a la misma interfaz st0
Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en la misma VPN, el
primer selector de tráfico configurado que coincide con el paquete determina el túnel utilizado para el
cifrado de paquetes.
En el ejemplo siguiente, se configuran cuatro selectores de tráfico (TS-1, TS-2, TS-3 y TS-4) para VPN
(VPN-1), que está enlazado a la interfaz punto a punto St 0.1:
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
516
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
Un paquete con una dirección de origen 192.168.5.5 y una dirección 10.1.5.10 de destino coincide con
los selectores de tráfico TS-1 y TS-2. Sin embargo, el selector de tráfico TS-1 es la primera coincidencia
configurada y el túnel asociado con TS-1 se utiliza para el cifrado de paquetes.
Un paquete con una dirección de origen 172.16.5.5 y una dirección de destino 10.2.5.10 coincide con
los selectores de tráfico TS-3 y TS-4. Sin embargo, el selector de tráfico TS-3 es la primera coincidencia
configurada y el túnel asociado con el selector de tráfico TS-3 se utiliza para el cifrado de paquetes.
Direcciones IP superpuestas en distintas VPN enlazadas a diferentes interfaces st0
Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en VPN diferentes
enlazados a interfaces st0 punto a punto diferentes, una interfaz st0 se selecciona en primer lugar por la
coincidencia de prefijo más larga para un paquete dado. Dentro de la VPN que está enlazada a la interfaz
st0 seleccionada, se selecciona el selector de tráfico en función de la primera coincidencia configurada
para el paquete.
En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores
de tráfico se configuran con la misma subred local pero con las distintas redes remotas.
[edit]
vpn vpn-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
517
En cada selector de tráfico se configuran distintas redes remotas, por lo que se agregan dos rutas
distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN
correspondiente.
de tráfico se configuran con distintas redes remotas. Se configura la misma subred local para cada
selector de tráfico, pero se especifican distintos valores de máscara de red.
[edit]
vpn vpn-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
En cada selector de tráfico se configura una subred remota diferente, por lo que se agregan dos rutas
distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN
correspondiente.
En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los
selectores de tráfico se configuran con distintas redes remotas y locales.
[edit]
vpn vpn-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
518
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
En este caso, los selectores de tráfico no se superponen. Las subredes remotas configuradas en los
selectores de tráfico son distintas, por lo que dos rutas distintas se agregan a la tabla de enrutamiento.
La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN correspondiente.
de tráfico se configuran con la misma subred local. Se ha configurado la misma subred remota para cada
selector de tráfico, pero se han especificado distintos valores de máscara de red.
[edit]
vpn vpn-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
Tenga en cuenta remote-ip que la configuración de TS-1 es 10.1.1.0/24 remote-ip mientras que la
configurada para TS-2 es 10.1.0.0/16. Para un paquete destinado a 10.1.1.1, la búsqueda de ruta
selecciona la interfaz St 0.1, ya que tiene la coincidencia de prefijo más larga. El paquete se cifra
basándose en el túnel correspondiente a la interfaz St 0.1.
En algunos casos, es posible eliminar paquetes válidos debido a la aplicación del tráfico del selector de
tráfico. En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los
519
selectores de tráfico se configuran con distintas subredes locales. Se ha configurado la misma subred
remota para cada selector de tráfico, pero se han especificado distintos valores de máscara de red.
[edit]
vpn vpn-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
En la tabla de enrutamiento se añaden dos rutas a 10.1.1.0 (10.1.1.0/24 a través de interface St 0.1 e
10.1.0.0/16 Via interface St 0,2). Un paquete enviado desde el origen 172.16.1.1 al destino 10.1.1.1
coincide con la entrada de la tabla de enrutamiento para 10.1.1.0/24 a través de la interfaz St 0.1. Sin
embargo, el paquete no coincide con el tráfico especificado por el selector de tráfico TS-1 y se descarta.
Si hay varios selectores de tráfico configurados con la misma subred remota y máscara de red, las rutas
de costo igual se agregan a la tabla de enrutamiento. Este caso no es compatible con los selectores de
tráfico, ya que no se puede predecir la ruta elegida.
SEE ALSO

520
Ejemplo Configuración de selectores de tráfico en una VPN basada en

rutas
in this section
Aplicables | 520
Automática | 522
Comproba | 536
En este ejemplo se muestra cómo configurar los selectores de tráfico para una VPN basada en una ruta.
Aplicables
Antes de empezar, lea los selectores de tráfico de las VPN basadas en rutas.
in this section
Topología | 521
En este ejemplo se configuran los selectores de tráfico para permitir que el tráfico fluya entre subredes
en SRX_A y en las subredes de SRX_B.
Tabla 48 en la página 521muestra los selectores de tráfico de este ejemplo. Los selectores de tráfico se
configuran en las opciones de fase 2.
521
Tabla 48: Configuraciones del selector de tráfico
SRX_A SRX_B
Nombre IP local IP remota Nombre IP local IP remota

del del
selector selector
de de
tráfico tráfico
TS1- 2001:db8:10::0/64 2001:db8:20::0/64 TS1- 2001:db8:20::0/64 2001:db8:10::0/64

ipv6 ipv6
TS2- 192.168.10.0/24 192.168.0.0/16 TS2- 192.168.0.0/16 192.168.10.0/24

ipv4 ipv4
El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción
de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].
Topología
En Figura 41 en la página 521, un túnel VPN de IPv6 lleva tanto el tráfico IPv4 como IPv6 entre los
dispositivos SRX_A y SRX_B. Es decir, el túnel funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-
IPv6.
Figura 41: Ejemplo de configuración del selector de tráfico

522
Automática
in this section
Configurar SRX_A | 522
Configurar SRX_B | 529
Configurar SRX_A
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64

set security ike proposal PSK-DH14-AES256-SHA256 authentication- method pre-shared-keys
set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14
set security ike proposal PSK-DH14-AES256-SHA256 authentication- algorithm sha-256
set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc
set security ike policy site-2-site mode main
set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256
set security ike policy site-2-site pre-shared-key ascii-text "$ABC123"
set security ike gateway SRX_A-to-SRX_B ike-policy site-2-site
set security ike gateway SRX_A-to-SRX_B address 192.168.20.2
set security ike gateway SRX_A-to-SRX_B external-interface ge-0/0/1.0
set security ike gateway SRX_A-to-SRX_B local-address 192.168.10.1
set security ipsec proposal ESP-AES256-SHA256 protocol esp
set security ipsec proposal ESP-AES256-SHA256 authentication- algorithm hmac-sha-256-128
set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc
set security ipsec policy site-2-site perfect-forward-secrecy keys group14
set security ipsec policy site-2-site proposals ESP-AES256-SHA256
523
set security ipsec vpn SRX_A-to-SRX_B bind-interface st0.1

set security ipsec vpn SRX_A-to-SRX_B ike ipsec-policy site-2-site
set security ipsec vpn SRX_A-to-SRX_B ike gateway SRX_A-to-SRX_B
set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS1- ipv6 local-ip 2001:db8:10::0/64 remote-ip
2001:db8:20::0/64
set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS2- ipv4 local-ip 192.168.10.0/24 remote-ip
192.168.0.0/16
set security zones security-zone VPN interfaces st0.1
set security policies from-zone VPN to-zone trust policy 1 match source-address any
set security policies from-zone VPN to-zone trust policy 1 match destination-address any
set security policies from-zone VPN to-zone trust policy 1 match application any
set security policies from-zone VPN to-zone trust policy 1 then permit
set security policies from-zone trust to-zone VPN policy 1 match source-address any
set security policies from-zone trust to-zone VPN policy 1 match destination-address any
set security policies from-zone trust to-zone VPN policy 1 match application any
set security policies from-zone trust to-zone VPN policy 1 then permit
set security policies default-policy deny -all
Para configurar los selectores de tráfico:
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
524
2. Configure la interfaz de túnel seguro.
[edit interfaces]
3. Configure la interfaz interna.
[edit interfaces]
[edit security ike proposal PSK-DH14-AES256-SHA256]

[edit security ike policy site-2-site]
user@host# set proposals PSK-DH14-AES256-SHA256
[edit security ike gateway SRX_A-to-SRX_B]
user@host# set ike-policy site-2-site
user@host# set local-address 192.168.10.1
[edit security ipsec proposal ESP-AES256-SHA256]

user@host# set authentication-algorithm hmac-sha-256-128
[edit security ipsec policy site-2-site]
user@host# set proposals ESP-AES256-SHA256
525
[edit security ipsec vpn SRX_A-to-SRX_B]

user@host# set ike gateway SRX_A-to-SRX_B
user@host# set ike ipsec-policy site-2-site
user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64
user@host# set traffic-selector TS2-ipv4 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16

7. Configurar zonas de seguridad y la Directiva de seguridad.

[edit security zones security-zone VPN]
[edit security policies from-zone VPN to-zone trust ]
user@host# set policy 1 match source-address any
user@host# set policy 1 match destination-address any
user@host# set policy 1 match application any
user@host# set policy 1 then permit
[edit security policies from-zone trust to-zone VPN ]
user@host# set default-policy deny-all
526
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,,
show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de
[edit]
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
family inet6 {
address 10::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
proposal PSK-DH14-AES256-SHA256 {
dh-group group14;
}
policy site-2-site {
mode main;
527
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text
"$ABC123"; ## SECRET-DATA
}
gateway SRX_A-to-SRX_B {
ike-policy site-2-site;
address 192.168.20.2;
local-address 192.168.10.1;
}
[edit]
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
}
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_A-to-SRX_B {
ike {
ipsec-policy site-2-site;
gateway SRX_A-to-SRX_B;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:10::0/64;
remote-ip 2001:db8:20::0/64;
}
local-ip 192.168.10.0/24;
remote-ip 192.168.0.0/16;
}
}
[edit]
family {
inet6 {
mode flow-based;
}
}
528
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
}
}
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
application any;
}
then {
permit;
}
}
529
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
application any;
}
then {
permit;
}
}
}
Configurar SRX_B

set security ike proposal PSK-DH14-AES256-SHA256 authentication-method pre-shared-keys
set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14
set security ike proposal PSK-DH14-AES256-SHA256 authentication-algorithm sha-256
set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc
set security ike policy site-2-site mode main
set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256
set security ike policy site-2-site pre-shared-key ascii-text "$ABC123"
set security ike gateway SRX_B-to-SRX_A ike-policy site-2-site
set security ike gateway SRX_B-to-SRX_A address 192.168.10.1
set security ike gateway SRX_B-to-SRX_A external-interface ge-0/0/1.0
530
set security ike gateway SRX_B-to-SRX_A local-address 192.168.20.2

set security ipsec proposal ESP-AES256-SHA256 protocol esp
set security ipsec proposal ESP-AES256-SHA256 authentication-algorithm hmac-sha-256-128
set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc
set security ipsec policy site-2-site perfect-forward-secrecy keys group14
set security ipsec policy site-2-site proposals ESP-AES256-SHA256
set security ipsec vpn SRX_B-to-SRX-A bind-interface st0.1
set security ipsec vpn SRX_B-to-SRX-A ike ipsec-policy site-2-site
set security ipsec vpn SRX_B-to-SRX-A ike gateway SRX_B-to-SRX_A
set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip
2001:db8:10::0/64
set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip
192.168.10.0/24
set security policies from-zone VPN to-zone trust policy 1 match source-address any
set security policies from-zone VPN to-zone trust policy 1 match destination-address any
set security policies from-zone VPN to-zone trust policy 1 match application any
set security policies from-zone VPN to-zone trust policy 1 then permit
set security policies from-zone trust to-zone VPN policy 1 match source-address any
set security policies from-zone trust to-zone VPN policy 1 match destination-address any
set security policies from-zone trust to-zone VPN policy 1 match application any
set security policies from-zone trust to-zone VPN policy 1 then permit
set security policies default-policy deny -all
Para configurar los selectores de tráfico:

531
[edit interfaces]
2. Configure la interfaz de túnel seguro.
[edit interfaces]
3. Configure las interfaces internas.
[edit interfaces]
[edit security ike proposal PSK-DH14-AES256-SHA256]

[edit security ike policy site-2-site]
user@host# set proposals PSK-DH14-AES256-SHA256
[edit security ike gateway SRX_B-to-SRX_A]
user@host# set ike-policy site-2-site
532
[edit security ipsec proposal ESP-AES256-SHA256]

[edit security ipsec policy site-2-site]
user@host# set proposals ESP-AES256-SHA256
[edit security ipsec vpn SRX_B-to-SRX-A]
user@host# set ike gateway SRX_B-to-SRX_A
user@host# set ike ipsec-policy site-2-site
user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64
user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24

7. Configurar zonas de seguridad y la Directiva de seguridad.

[edit security policies from-zone VPN to-zone trust ]
[edit security policies from-zone trust to-zone VPN ]
533

Resultados
ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,,
[edit]
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
family inet6 {
address 2001:db8:20::0/64;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.0.1/24;
}
}
}
st0 {
unit 1 {
534
family inet;
family inet6;
}
}
[edit]
proposal PSK-DH14-AES256-SHA256 {
dh-group group14;
}
mode main;
proposals PSK-DH14-AES256-SHA256;
}
gateway SRX_B-to-SRX_A {
ike-policy site-2-site;
address 192.168.10.1;
}
[edit]
proposal ESP-AES256-SHA256 {
protocol esp;
}
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_B-to-SRX-A {
ike {
ipsec-policy site-2-site;
gateway SRX_B-to-SRX_A;
}
local-ip 2001:db8:20::0/64;
remote-ip 2001:db8:10::0/64;
535
}
local-ip 192.168.0.0/16;
remote-ip 192.168.10.0/24;
}
}
[edit]
family {
inet6 {
mode flow-based;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
ge-1/1/1.0;
}
}
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
536
}
[edit]
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
application any;
}
then {
permit;
}
}
}
Comproba
in this section
Comprobación de los selectores de tráfico | 539
Comprobando rutas | 539

537
Los resultados de ejemplo que se muestran se encuentran en los SRX-A.
Purpose
Intervención

<268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500
2001:db8:2000::2
>268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500
2001:db8:2000::2
<268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500
2001:db8:2000::2
>268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500
2001:db8:2000::2
En modo operativo, escriba el show security ipsec security-associations detail comando.

ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Traffic Selector Name: TS1-ipv6
Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff)
Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff)
Version: IKEv1
DF-bit: clear
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29

Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0
, VPN Monitoring: -
538

Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Direction: outbound, SPI: a468fece, AUX-SPI: 0

, VPN Monitoring: -
ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B

Traffic Selector Name: TS2-ipv4
Local Identity: ipv4(192.168.10.0-192.168.10.255)
Remote Identity: ipv4(192.168.20.0-192.168.20.255)
Version: IKEv1
DF-bit: clear
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29

Direction: inbound, SPI: 417f3cea, AUX-SPI: 0
, VPN Monitoring: -
Direction: outbound, SPI: a4344027, AUX-SPI: 0

, VPN Monitoring: -
539

Efectos
Comprobación de los selectores de tráfico
Purpose
Compruebe los selectores de tráfico negociados en la interfaz de túnel seguro.
Intervención
En modo operativo, escriba el show security ipsec traffic-selector st0.1 comando.
user@host> show security ipsec traffic-selector st0.1

Source IP Destination
IP Interface Tunnel-
id IKE-ID
2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff
2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313
2001:db8:2000::1
192.168.10.0-192.168.10.255
192.168.0.0-192.168.255.255 st0.1
268173316 2001:db8:2000::1
192.168.10.0-192.168.10.255
192.168.20.0-192.168.20.255 st0.1
268173317 2001:db8:2000::1
Comprobando rutas
Purpose
Comprobar las rutas activas

540
Intervención

192.168.0.0/16 *[Static/5] 00:00:32

> via st0.1
2001:db8:20::0/64 *[Static/5] 00:00:34
> via st0.1
Efectos
El show route comando enumera las entradas activas en las tablas de enrutamiento. Las rutas a la
dirección IP remota configurada en cada selector de tráfico deben estar presentes con la interfaz st0
correcta.
SEE ALSO
release-history
in release-
history
15.1X49-D140 A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las
instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0
(IPv6), el siguiente mensaje se muestra cuando se realiza la confirmación y se produce un
error “error: configuration check-out failed” en la desprotección de la configuración.
15.1X49-D100 A partir de Junos OS Release 15.1 X49-D100, los selectores de tráfico se pueden configurar
con VPN de sitio a sitio IKEv2.
12.1X46-D10 A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de
tráfico se pueden configurar con VPN de sitio a sitio de IKEv1.
541

8
VPN basada en clase de servicio
VPN de IPsec basadas en CoS | 543

543
VPN de IPsec basadas en CoS
in this section
Descripción de la compatibilidad con CoS en interfaces st0 | 580
Puede configurar Junos características de clase de servicio (CoS) para proporcionar varias clases de
servicio para las VPN. En el dispositivo, puede configurar varias clases de reenvío para transmitir
paquetes, definir qué paquetes se colocan en cada cola de salida, programar el nivel del servicio de
transmisión para cada cola y administrar la congestión.
Descripción de VPN de IPsec basadas en CoS con varias SA de IPsec
in this section
Ventajas de las VPN de IPsec basadas en CoS con varias SA de IPsec | 544
Asignación de FCs a las SA de IPsec | 544
Negociación de SA de IPsec | 544
Regeneración | 545
Agregar o eliminar FCs de una VPN | 546
Detección de punto muerto (DPD) | 546
Órdenes | 546
Características de VPN compatibles | 546

544
Clase de servicio (CoS) las clases de reenvío (FCs) configuradas en el dispositivo serie SRX se pueden
asignar a asociaciones de seguridad IPsec (SA). Los paquetes de cada FC se asignan a una asociación de
IPsec diferente, lo que permite el tratamiento de CES en el dispositivo local y en enrutadores
intermedios.
Ventajas de las VPN de IPsec basadas en CoS con varias SA de IPsec
• Ayuda a garantizar distintas secuencias de datos, donde cada túnel utiliza un conjunto independiente
de asociaciones de seguridad.
• Ayuda a facilitar las implementaciones de VPN de IPsec en las que se requiere tráfico diferenciado,
como voz sobre IP.
Esta característica es propiedad de Juniper Networks y funciona con las plataformas SRX y las versiones
Junos OS compatibles. El dispositivo del mismo nivel de VPN debe ser un dispositivo serie SRX o una
instancia vSRX compatible con esta característica o cualquier otro producto que admita la misma
funcionalidad que serie SRX dispositivo.
Asignación de FCs a las SA de IPsec
Se pueden configurar hasta 8 clases de reenvío (FC) para una VPN con el multi-sa forwarding-classes
nivel de jerarquíaedit security ipsec vpn vpn-name[]. El número de SA de IPsec negociadas con una
puerta de enlace del mismo nivel se basa en el número de FCs configurado para la VPN. La asignación de
FCs a SA de IPsec se aplica a todos los selectores de tráfico configurados para la VPN.
Todas las SA de IPsec creadas para el FCs de una VPN específica se representan mediante el mismo ID
de túnel. Los eventos relacionados con el túnel tienen en cuenta el estado y las estadísticas de todas las
SA de IPsec. Todas las SA IPsec relacionadas con un túnel se fijan a la misma SPU o al mismo ID de
subproceso serie SRX dispositivos o instancias de vSRX.
Negociación de SA de IPsec
Cuando se configuran varios FCs para una VPN, se negocia una asociación de IPsec única con el
interlocutor para cada FC. Además, se negocia una asociación de IPsec predeterminada para enviar
paquetes que no coinciden con una FC configurada. Se negocia el IPsec predeterminado, incluso si el
dispositivo VPN del mismo nivel no está configurado para FCs o si no admite FC para la asignación de
asociaciones de Asociación de IPsec. La SA IPsec predeterminada es la primera SA IPsec que se va a
negociar y la última SA que deje de funcionar.
Dependiendo del número de FCs configurado. Cuando las SA de IPsec se encuentran en proceso de
negociación, los paquetes pueden llegar con un FC para el que aún no se ha negociado una asociación
545
de IPsec. Hasta que se negocia una asociación de IPsec para una FC determinada, el tráfico se envía a la
SA IPsec predeterminada. Un paquete con una FC que no coincida con ninguna de las SA IPsec
instaladas se envía a la Asociación de IPsec predeterminada.
La asignación de FCs a SA IPsec se realiza en la puerta de enlace VPN local. Las puertas de enlace
locales y las de los interlocutores pueden tener un FCs configurado en un orden diferente. Cada puerta
de enlace del mismo nivel asigna FCs en el orden en que se completan las negociaciones de SA de IPsec.
Por lo tanto, las puertas de enlace locales y las de los interlocutores pueden tener FC diferentes para las
asignaciones de SA de IPsec. Una puerta de enlace detiene la negociación de nuevas asociaciones de
IPsec una vez que se alcanza el número configurado de FCs. Una puerta de enlace del mismo nivel
puede iniciar más SA IPsec que el número de FCs configurado en la puerta de enlace local. En este caso,
la puerta de enlace local acepta las solicitudes SA de IPsec adicionales, hasta 18 SA de IPsec. La puerta
de enlace local utiliza las demás SA de IPsec únicamente para descifrar el tráfico entrante de IPsec. Si se
recibe un paquete con una FC que no coincide con ninguna FC configurada, el paquete se envía por el
FC SA de IPsec predeterminado.
Si se recibe una notificación de eliminación para la SA IPsec predeterminada desde el dispositivo del
mismo nivel, solo se eliminará la SA IPsec predeterminada y se negociará la nueva asociación de IPsec
predeterminada. Durante este tiempo, se elimina el tráfico que puede encontrarse en la Asociación de
IPsec predeterminada. El túnel VPN se deja desactivado sólo si la SA IPsec predeterminada es la última
SA.
Si la establish-tunnels immediately opción está configurada y confirmada para la VPN, el dispositivo de

serie SRX negocia la SA de IPSec sin tener que esperar a que llegue el tráfico. Si las negociaciones no se
completan para una SA IPsec para una FC configuradas, se reintentan las negociaciones cada 60
segundos.
Si la establish-tunnels on-traffic opción está configurada para la VPN, el dispositivo de serie SRX
negocia las SA de IPsec cuando llega el primer paquete de datos; el FC del primer paquete no es
relevante. Con cualquiera de estas opciones, primero se negocia la SA IPsec predeterminada, después se
negocia cada SA de IPsec uno a uno en el orden en que se configura FCs en el dispositivo.
Regeneración
Cuando se usan varias SA con el tráfico de punto de código de servicios diferenciados (DSCP) que
controlan los selectores de tráfico, se produce el siguiente comportamiento durante la regeneración de
claves. Cuando los selectores de tráfico realizan el cambio de claves, si uno o varios de los selectores de
tráfico no pueden generar claves por cualquier motivo, la SA específica se desactivará cuando expire la
duración. En este caso, el tráfico que se utiliza para hacer coincidir la SA específica se envía a través del
selector de tráfico predeterminado en su lugar.
546
Agregar o eliminar FCs de una VPN
Cuando se agregan o se eliminan FCs de una VPN, las asociaciones de seguridad de ICR y IPsec para
VPN se activan o desconectan, y las negociaciones se reinician. El clear security ipsec security-
associations comando borra todas las SA de IPSec.
Detección de punto muerto (DPD)
Cuando DPD está configurado con esta característica, el optimized modo envía sondeos únicamente
cuando hay tráfico saliente y no hay tráfico entrante en ninguna de las SA de IPSec. Mientras que probe-
idle el modo envía sondeos sólo cuando no hay tráfico saliente ni entrante en ninguna de las SA de
IPSec. No se admite la supervisión de VPN con la característica DPD.
Órdenes
El show security ipsec sa details index tunnel-id comando muestra todos los detalles de SA de IPSec,
incluido el nombre del FC. El show security ipsec stats index tunnel-id comando muestra las estadísticas
de cada FC.
Características de VPN compatibles
Las VPN de IPsec basadas en CoS admiten las siguientes características VPN:
• VPN de sitio a sitio basadas en la ruta. No se admiten VPN basadas en políticas.
• AutoVPN.
• Selectores de tráfico.
• Detección automática de VPN (ADVPNs).
• IKEv2. No se admite IKEv1.
• Detección de pares de tráficos inactivos (DPD). No se admite la supervisión de VPN.
SEE ALSO

Información general sobre las clases de reenvío
547
Descripción de los selectores de tráfico y VPN de IPsec basados en CoS
VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el
tráfico que se ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada.
La característica VPN basada en co de IPsec admite los siguientes escenarios
• Uno o varios selectores de tráfico de una VPN de sitio a sitio basada en rutas con el mismo FCs.
• Varios selectores de tráfico, con diferentes FCs para cada selector de tráfico. Este escenario requiere
configuraciones VPN separadas.
En este tema se describen las configuraciones VPN y las SA IPsec que se negocian para cada escenario.
En los siguientes escenarios, se configuran tres de FCs en el dispositivo serie SRX:
forwarding-classes {
queue 7 voip-data;
queue 6 web-data;
queue 5 control-data;
}
En el primer caso, VPN VPN1 se configura con un único selector de tráfico TS1 y tres:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico ts1: uno para la SA
IPsec predeterminada y tres para las SA de IPsec que se asignan a FC.
548
En el segundo caso, VPN VPN1 se configura con dos selectores de tráfico TS1 y TS2 y tres:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
forwarding-class voip-data
}
}
}
En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico TS1 y se negocian
cuatro SA IPsec para el selector de tráfico TS2. Para cada selector de tráfico, hay una SA de IPsec
negociada para la SA IPsec predeterminada y tres asociaciones de IPsec negociadas para las SA de IPsec
que se asignan a FCs.
En el tercer escenario, los selectores de tráfico TS1 y TS2 admiten distintos conjuntos de FCs. Los
selectores de tráfico deben configurarse para distintas VPN:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class voip-data;
}
549
vpn vpn2 {
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
}
}
En la configuración anterior, se negocian cuatro SA de IPsec para el selector de tráfico ts1 en VPN vpn1:
uno para la SA IPsec predeterminada y tres para las SA de IPsec que se asignan a FC.
SEE ALSO

Ejemplo Configuración de VPN de IPsec basadas en CoS
in this section
Aplicables | 550
Automática | 554
Comproba | 575
En este ejemplo se muestra cómo configurar una VPN de IPsec basada en el co con varias asociaciones
de IPsec para permitir la asignación de paquetes para cada clase de reenvío a una asociación de IPsec
diferente, lo que supone un tratamiento de CES en el dispositivo local y en enrutadores intermedios.
550
Esta característica es propiedad de Juniper Networks y funciona únicamente con las plataformas SRX y
las versiones Junos OS compatibles. El dispositivo del mismo nivel de VPN debe ser un dispositivo serie
SRX o una instancia vSRX compatible con esta característica.
Aplicables
• Cualquier dispositivo serie SRX
Antes de empezar:
• Comprenda cómo se pueden asignar las clases de reenvío de clase de servicio (CoS) (FCs)
configuradas en el dispositivo serie SRX a las asociaciones de seguridad IPsec (SA). Consulte
Descripción de VPN de IPsec basadas en CoS con varias SA de IPsec.
• Comprender los selectores de tráfico y las VPN basadas en CES de IPsec. Consulte Descripción de los
selectores de tráfico y VPN de IPsec basados en CoS.
En este ejemplo, se configura una VPN basada en enrutamiento IPsec para una sucursal de Chicago, ya
que no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para
filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual
para conectarse a sus sedes corporativas en Sunnyvale.
551
Figura 42 en la página 551muestra un ejemplo de una topología VPN basada en enrutamiento de IPsec.
En esta topología, un dispositivo serie SRX se encuentra en Sunnyvale y un dispositivo serie SRX se
encuentra en Chicago.
Figura 42: Topología VPN basada en enrutamiento de IPsec
En este ejemplo, configure interfaces, una ruta y zonas de seguridad predeterminadas de IPv4. A
continuación, configure ICR, IPsec, una directiva de seguridad y los parámetros CoS. Consulte Tabla 49
en la página 552 a Tabla 52 en la página 554través de.
552
Tabla 49: Información de interfaz, ruta estática y zona de seguridad
Interfaces ge-0/0/0.0 192.0.2.1/24
ge-0/0/3.0 10.1.1.2/30
Rutas estáticas 0.0.0.0/0 (ruta predeterminada) El siguiente salto es St 0.0.


no fiable • Se permiten todos los


virtuales La interfaz St 0.0 está enlazada a

esta zona.
553
Tabla 50: ICR parámetros de configuración
Clasificado propuesta IKE • Método de autenticación: firmas de RSA
• Algoritmo de autenticación: sha-256
Políticas IKE-Directiva • Medio principalmente
• Referencia de la propuesta: propuesta IKE
• Método de autenticación de la Directiva ICR: firmas de RSA
Gateway GW-Sunnyvale • Referencia de políticas ICR: IKE-Directiva
Tabla 51: Parámetros de configuración de IPsec
• Algoritmo de autenticación: hmac-sha-256
VIRTUALES ipsec_vpn1 • Referencia de puerta de enlace ICR: GW-Chicago

554

desde la zona de confianza a la zona VPN.
• Sunnyvale de dirección de origen

desde la zona VPN hasta la zona de confianza.
• Dirección de origen Chicago
Automática
in this section
Configuración de la red básica y la información de las zonas de seguridad | 555
Configuración de la CES | 559

555
Configuración de la red básica y la información de las zonas de seguridad

set security zones security-zone vpn-chicago host-inbound-traffic protocols all
set security zones security-zone vpn-chicago host-inbound-traffic system-services all
Para configurar la interfaz, ruta estática y la información de zona de seguridad:
[edit]
556
[edit]
[edit ]



[edit]

557

[edit]
user@host# edit security zones security-zone vpn

Resultados
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
558
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
static {
}
[edit]
system-services {
ike;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
559
interfaces {
ge-0/0/0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
}
}
Configuración de la CES
set class-of-service classifiers dscp ba-classifier import default

set class-of-service classifiers dscp ba-classifier forwarding-class best-effort loss-priority high code-points
000000
set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points
000001
set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points
001010
set class-of-service classifiers dscp ba-classifier forwarding-class network-control loss-priority high code-
points 000011
set class-of-service classifiers dscp ba-classifier forwarding-class res-class loss-priority high code-points
000100
set class-of-service classifiers dscp ba-classifier forwarding-class web-data loss-priority high code-points
560
000101
set class-of-service classifiers dscp ba-classifier forwarding-class control-data loss-priority high code-points
000111
set class-of-service classifiers dscp ba-classifier forwarding-class voip-data loss-priority high code-points
000110
set class-of-service forwarding-classes queue 7 voip-data
set class-of-service forwarding-classes queue 6 control-data
set class-of-service forwarding-classes queue 5 web-data
set class-of-service forwarding-classes queue 4 res-class
set class-of-service forwarding-classes queue 2 af-class
set class-of-service forwarding-classes queue 1 ef-class
set class-of-service forwarding-classes queue 0 best-effort
set class-of-service forwarding-classes queue 3 network-control
set class-of-service interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map sched_1
set class-of-service scheduler-maps sched_1 forwarding-class voip-data scheduler Q7
set class-of-service scheduler-maps sched_1 forwarding-class control-data scheduler Q6
set class-of-service scheduler-maps sched_1 forwarding-class web-data scheduler Q5
set class-of-service scheduler-maps sched_1 forwarding-class res-class scheduler Q4
set class-of-service scheduler-maps sched_1 forwarding-class af-class scheduler Q2
set class-of-service scheduler-maps sched_1 forwarding-class ef-class scheduler Q1
set class-of-service scheduler-maps sched_1 forwarding-class best-effort scheduler Q0
set class-of-service scheduler-maps sched_1 forwarding-class network-control scheduler Q3
set class-of-service schedulers Q7 transmit-rate percent 5
set class-of-service schedulers Q7 priority strict-high
set class-of-service schedulers Q6 priority high
set class-of-service schedulers Q5 transmit-rate remainder
set class-of-service schedulers Q5 priority high
set class-of-service schedulers Q4 priority medium-high
set class-of-service schedulers Q3 priority medium-high
set class-of-service schedulers Q2 priority medium-low
set class-of-service schedulers Q1 priority medium-low
set class-of-service schedulers Q0 priority low
561
Para configurar CoS:
1. Configure los clasificadores agregados de comportamiento para las CES de DiffServ.
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
user@host# set import default
2. Configure un clasificador de clase de reenvío mejor-Effort.
[edit class-of-service classifiers dscp ba-classifier]

user@host# set forwarding-class best-effort loss-priority high code-points 000000
3. Defina el valor DSCP que se va a asignar a la clase de reenvío.

user@host# set forwarding-class ef-class loss-priority high code-points 000001
user@host# set forwarding-class af-class loss-priority high code-points 001010
user@host# set forwarding-class network-control loss-priority high code-points 000011
user@host# set forwarding-class res-class loss-priority high code-points 000100
user@host# set forwarding-class web-data loss-priority high code-points 000101
user@host# set forwarding-class control-data loss-priority high code-points 000111
user@host# set forwarding-class voip-data loss-priority high code-points 000110
4. Defina ocho clases de reenvío (nombres de cola) para las ocho colas.
[edit class-of-service forwarding-classes]

user@host# set queue 7 voip-data
user@host# set queue 6 control-data
user@host# set queue 5 web-data
user@host# set queue 4 res-class
user@host# set queue 2 af-class
user@host# set queue 1 ef-class
562
user@host# set queue 0 best-effort

user@host# set queue 3 network-control
5. Configure los clasificadores en las interfaces de entrada (GE).
user@host# set interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
6. Aplique el mapa del planificador a la interfaz GE.
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map sched_1
7. Configure el mapa del programador para asociar los programadores a las clases de reenvío definidas.
user@host# set scheduler-maps sched_1 forwarding-class voip-data scheduler Q7
user@host# set scheduler-maps sched_1 forwarding-class control-data scheduler Q6
user@host# set scheduler-maps sched_1 forwarding-class web-data scheduler Q5
user@host# set scheduler-maps sched_1 forwarding-class res-class scheduler Q4
user@host# set scheduler-maps sched_1 forwarding-class af-class scheduler Q2
user@host# set scheduler-maps sched_1 forwarding-class ef-class scheduler Q1
user@host# set scheduler-maps sched_1 forwarding-class best-effort scheduler Q0
user@host# set scheduler-maps sched_1 forwarding-class network-control scheduler Q3
8. Defina los programadores con prioridad y velocidad de transmisión.
[edit set class-of-service]

user@host# set schedulers Q7 transmit-rate percent 5
user@host# set schedulers Q7 priority strict-high
user@host# set schedulers Q6 priority high
user@host# set schedulers Q5 transmit-rate remainder
user@host# set schedulers Q5 priority high
user@host# set schedulers Q4 priority medium-high
563
user@host# set schedulers Q3 priority medium-high

user@host# set schedulers Q2 priority medium-low
user@host# set schedulers Q1 priority medium-low
user@host# set schedulers Q0 priority low
Resultados
Desde el modo de configuración, escriba el show class-of-service comando para confirmar la

[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class best-effort {
loss-priority high code-points 000000;
}
forwarding-class ef-class {
}
forwarding-class af-class {
}
forwarding-class network-control {
}
forwarding-class res-class {
}
forwarding-class web-data {
}
forwarding-class control-data {
}
forwarding-class voip-data {
564

}
}
}
queue 7 voip-data;
queue 6 control-data;
queue 5 web-data;
queue 4 res-class;
queue 2 af-class;
queue 1 ef-class;
queue 0 best-effort;
queue 3 network-control;
}
interfaces {
ge-0/0/3 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map sched_1;
}
}
}
scheduler-maps {
sched_1 {
forwarding-class voip-data scheduler Q7;
forwarding-class control-data scheduler Q6;
forwarding-class web-data scheduler Q5;
forwarding-class res-class scheduler Q4;
forwarding-class af-class scheduler Q2;
forwarding-class ef-class scheduler Q1;
forwarding-class best-effort scheduler Q0;
forwarding-class network-control scheduler Q3;
}
}
schedulers {
Q7 {
transmit-rate percent 5;
565
priority strict-high;
}
Q6 {
priority high;
}
Q5 {
transmit-rate {
remainder;
}
priority high;
}
Q4 {
priority medium-high;
}
Q3 {
transmit-rate {
remainder;
}
priority medium-high;
}
Q2 {
priority medium-low;
}
Q1 {
priority medium-low;
}
Q0 {
transmit-rate {
remainder;
}
priority low;
}
}

566
Configurar ICR
set security ike proposal ike-proposal authentication-method pre-shared-keys

set security ike proposal ike-proposal authentication-algorithm sha-256
set security ike policy ike-policy mode main
set security ike policy ike-policy proposals ike-proposal
set security ike policy ike-policy pre-shared-key ascii-text $ABC123
set security ike gateway gw-sunnyvale ike policy ike-policy
set security ike gateway gw-sunnyvale version v2-only
1. Crear la propuesta de ICR.
[edit security ike]

user@host# set proposal ike-proposal

567



6. Crear una directiva de ICR.
[edit security ike]

user@host# set policy ike-policy
7. Establezca el modo de directiva ICR.


9. Defina el método de autenticación de la Directiva ICR.

user@host# set pre-shared-key ascii-text $ABC123
568
10. Cree una puerta de enlace ICR y defina su interfaz externa.
[edit security ike]

user@host# set gateway gw-sunnyvale external-interface ge-0/0/3.0
11. Defina la referencia de directiva ICR.

user@host# set ike policy ike-policy
12. Defina la dirección de puerta de enlace de ICR.

13. Defina la versión de puerta de enlace de ICR.

Resultados
[edit]
dh-group group14;
}
policy ike-policy {
mode main;
569

}
ike policy ike-policy;
address 10.2.2.2;
version v2-only;
}
set security ipsec traceoptions flag all

set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha-256
set security ipsec proposal ipsec_prop encryption-algorithm aes256-cbc
set security ipsec vpn ipsec_vpn1 bind-interface st0.0
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class ef-class
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class af-class
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class res-class
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class web-data
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class control-data
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class voip-data
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class network-control
set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class best-effort
set security ipsec vpn ipsec_vpn1 ike gateway gw_sunnyvale
set security ipsec vpn ipsec_vpn1 establish-tunnels immediately
set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25
set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
570
1. Habilite las opciones de seguimiento de IPsec.
[edit]
user@host# set security ipsec traceoptions flag all
2. Cree una propuesta IPsec.
[edit]
3. Especifique el protocolo de propuesta IPsec.

4. Especifique el algoritmo de autenticación de propuestas de IPsec.

user@host# set authentication-algorithm hmac-sha-256
5. Especifique el algoritmo de cifrado de propuestas IPsec.

user@host# set encryption-algorithm aes256-cbc
6. Especifique la duración (en segundos) de una asociación de seguridad IPsec (SA).
[set security ipsec proposal ipsec_prop]

571
7. Cree la directiva IPsec.

8. Especifique la referencia a la propuesta IPsec.


user@host# set vpn ipsec_vpn1 bind-interface st0.0
10. Configure la clase de reenvío en la Asociación de IPsec de varias.

user@host# set vpn ipsec_vpn1 multi-sa forwarding-class ef-class
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class af-class
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class res-class
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class web-data
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class control-data
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class voip-data
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class network-control
user@host# set vpn ipsec_vpn1 multi-sa forwarding-class best-effort

user@host# set vpn ipsec_vpn1 ike gateway gw_sunnyvale
12. Especifique las directivas IPsec.

user@host# set vpn ipsec_vpn1 ike ipsec-policy ipsec_pol
572
13. Especifica que el túnel se pondrá inmediatamente en funcionamiento para negociar asociaciones de
seguridad IPsec cuando llegue el primer paquete de datos que debe enviarse.

user@host# set vpn ipsec_vpn1 establish-tunnels immediately
14. Configure direcciones IP locales para un selector de tráfico.

user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25
15. Configure direcciones IP remotas para un selector de tráfico.

user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
Resultados
[edit]
traceoptions {
flag all;
}
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
}
policy ipsec_pol {
}
573
vpn ipsec_vpn1 {
multi-sa {
forwarding-class ef-class;
forwarding-class af-class;
forwarding-class res-class;
forwarding-class network-control;
forwarding-class best-effort;
}
ike {
gateway gw_sunnyvale;
}
traffic-selector ipsec_vpn1_TS1 {
local-ip 203.0.113.2/25;
remote-ip 192.0.2.30/24;
}
}
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale
set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago
set security policies from-zone trust to-zone vpn policy vpn match application any
set security policies from-zone trust to-zone vpn policy vpn then permit
set security policies from-zone vpn to-zone trust policy vpn match source-address chicago
set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale
574
set security policies from-zone vpn to-zone trust policy vpn match application any
set security policies from-zone vpn to-zone trust policy vpn then permit
Habilite las opciones de seguimiento de políticas de seguridad para solucionar problemas relacionados
con las políticas.

user@host# set policy vpn match source-address sunnyvale
user@host# set policy vpn match destination-address chicago

user@host# set policy vpn match source-address chicago
user@host# set policy vpn match destination-address sunnyvale
Resultados
[edit]
575
policy vpn {
match {
application any;
}
then {
permit;
}
}
}
policy vpn {
match {
application any;
}
then {
permit;
}
}
}
Comproba
in this section
Comprobar las asociaciones de seguridad IPsec | 575
Comprobar las asociaciones de seguridad IPsec
Purpose

576
Intervención
un número de índice del comando, utilice show security ipsec security-associations index 131073 detail
los show security ipsec statistics index 131073 comandos y.
Para mayor brevedad, el comando mostrar resultados no muestra todos los valores de la configuración.
Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema ha sido
sustituida por puntos suspensivos (...).

Total active tunnels: 2 Total Ipsec sas: 18
<131073 ESP:aes256/sha256 2d8e710b 1949/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 5f3a3239 1949/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 5d227e19 1949/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 5490da 1949/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 211fb8bc 1949/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 dde29cd0 1949/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 49b64080 1949/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 314afea0 1949/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 fec6f6ea 1949/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 428a3a0d 1949/ unlim - root 500
5.0.0.1
...
ID: 131073 Virtual-system: root, VPN Name: IPSEC_VPN1

577
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Multi-sa, Configured SAs# 9, Negotiated SAs#: 9
Tunnel events:
Mon Apr 23 2018 22:20:54 -0700: IPSec SA negotiation successfully completed
(1 times)
Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2
times)
Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding
IPSec SAs cleared (1 times)
(2 times)
Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event
or peer to trigger negotiation (1 times)
Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information
updated (1 times)
Mon Apr 23 2018 22:19:23 -0700: External interface's zone received.
Information updated (1 times)
Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Multi-sa FC Name: default
Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0
, VPN Monitoring: -
, VPN Monitoring: -
578

Multi-sa FC Name: best-effort
Direction: outbound, SPI: 5490da, AUX-SPI: 0
, VPN Monitoring: -
...
ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes
best-effort 7 7 952
588
custom_q1 0 0 0
0
custom_q2 0 0 0
0
network-control 0 0 0
0
custom_q4 0 0 0
0
custom_q5 0 0 0
579
0
custom_q6 0 0 0
0
custom_q7 0 0 0
0
default 0 0 0
0
Efectos
• El número de identificación es 131073. Utilice este valor con el comando show Security IPSec
Security-Associations index para obtener más información acerca de esta SA concreta.
• Existe un par IPsec SA con el puerto 500.
direcciones. El valor 1949/unlim indica que la duración de la fase caduca en 1949 segundos y que no
se ha especificado ningún LifeSize, lo que indica que es ilimitado.
El show security ike security-associations index 131073 detail comando enumera información adicional
acerca de la SA con el número de índice 131073:
• La identidad local y la identidad remota constituyen el ID. de proxy de la SA. Una de las causas más
comunes de un fallo de fase son las diferencias entre los IDENTIFICADOres proxy. Si no aparece
ninguna asociación de IPsec, confirme que las propuestas de fase, incluida la configuración del ID de
proxy, son correctas para ambos interlocutores.
• Muestra todos los detalles de SA secundarios, incluido el nombre de clase de reenvío.
El show security ipsec statistics index 131073 comando muestra las estadísticas de cada uno de los
nombres de clase de reenvío.
• Un valor de error cero en la salida indica una condición normal.
• Es recomendable ejecutar este comando varias veces para observar cualquier problema de pérdida
de paquetes en una VPN. La salida de este comando también muestra las estadísticas de los
contadores de paquetes cifrados y descifrados, los contadores de errores, etc.
• Debe habilitar las opciones de seguimiento de flujo de seguridad para investigar qué paquetes ESP
tienen errores y por qué.
580
SEE ALSO

Descripción de la compatibilidad con CoS en interfaces st0
in this section
Limitaciones de la compatibilidad con CoS en interfaces st0 de VPN | 581
A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, las funciones de clase de
servicio (CoS), como clasificador, policía, colas, planificación, creación de nuevas versiones, marcadores y
canales virtuales, ahora se pueden configurar en la interfaz de túnel seguro (st0) para VPN de punto a
punto.
La interfaz de túnel st0 es una interfaz interna que puede ser utilizada por VPN basadas en la ruta para
enrutar tráfico de texto sin cifrar a un túnel VPN de IPsec. Las funciones de CoS siguientes son
compatibles con la interfaz st0 en todos los dispositivos serie SRX y vSRX 2.0 disponibles:
• Clasificadores
• Las políticas
• Puesta en cola, programación y formas
• Volver a escribir los marcadores
• Canales virtuales
A partir de Junos OS Release 15.1 X49-D70 y Junos OS Release 17.3 R1, se agrega soporte para
Queuing, programación, modelación y canales virtuales a la interfaz st0 para dispositivos de SRX5400,
SRX5600 y SRX5800. La compatibilidad con todas las funciones de la lista CoS se agrega a la interfaz st0
para los dispositivos SRX1500, SRX4100 y SRX4200. A partir de Junos OS versión 17.4 R1, se añade
soporte a las funciones enumeradas de CoS para la interfaz st0 para dispositivos SRX4600.
581
Limitaciones de la compatibilidad con CoS en interfaces st0 de VPN
Las siguientes limitaciones se aplican a la compatibilidad con CoS en interfaces st0 de VPN:
• El número máximo para colas de software es el 2048. Si el número de interfaces st0 supera el 2048,
no se pueden crear suficientes colas de software para todas las interfaces del st0.
• Solo las redes VPN basadas en la ruta pueden aplicar funciones de CoS en interfaces st0. Tabla 53 en
la página 581 describe la compatibilidad de la característica st0 cos con los distintos tipos de VPN.
Tabla 53: Compatibilidad de las funciones de CoS con VPN
Características de VPN de sitio a sitio AutoVPN (P2P) /AD-VPN de sitio a

clasificador (P2P) sitio/auto VPN
automática (P2MP)
Clasificadores, Posible Posible Posible

políticas y
marcadores de
reescritura
Poner en cola, Posible No compatible No compatible

programar y
manipular
basándose en
interfaces lógicas
de st0
Colas, Posible Posible Posible

programación y
formas basadas
en canales
virtuales
• En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM, una interfaz lógica de st0
puede enlazarse a varios túneles VPN. Las ocho colas para la interfaz lógica st0 no pueden
redireccionar el tráfico a diferentes túneles, por lo que no se admite el túnel previo.
La función del canal virtual puede utilizarse como solución en SRX300, SRX320, SRX340, SRX345 y
dispositivos SRX550HM.
582
• Al definir una velocidad de forma de CES en una interfaz de túnel st0, tenga en cuenta las siguientes
restricciones:
• La velocidad de forma de la interfaz de túnel debe ser inferior a la de la interfaz de salida física.
• La velocidad de modelación sólo mide el tamaño del paquete que incluye el paquete de texto de
capa 3 interno con un encabezado ESP/AH y una encapsulación de encabezado IP exterior. La
encapsulación exterior de capa 2 agregada por la interfaz física no se factoriza en la medida de la
velocidad de cambio.
• El comportamiento de CoS funciona de la manera esperada cuando la interfaz física sólo incluye el
tráfico de túnel IP o GRE en forma. Si la interfaz física incluye otro tráfico, con lo que se reduce el
ancho de banda disponible para el tráfico de interfaz de túnel, las funciones de co no funcionarán
de la manera esperada.
• En los dispositivos de SRX550M, SRX5400, SRX5600 y SRX5800, el límite de ancho de banda y los
valores límite del tamaño de ráfaga en una configuración de policía es una limitación no por sistema.
Éste es el mismo comportamiento de la policíaización que en la interfaz física.
SEE ALSO
release-history
release desc heading in release-history
heading in
release-history
17.4R1 A partir de Junos OS versión 17.4 R1, se añade soporte a las funciones enumeradas de CoS para
la interfaz st0 para dispositivos SRX4600.
15.1X49-D70 A partir de Junos OS Release 15.1 X49-D70 y Junos OS Release 17.3 R1, se agrega soporte
para Queuing, programación, modelación y canales virtuales a la interfaz st0 para dispositivos
de SRX5400, SRX5600 y SRX5800. La compatibilidad con todas las funciones de la lista CoS se
agrega a la interfaz st0 para los dispositivos SRX1500, SRX4100 y SRX4200.
15.1X49-D60 A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, las funciones de clase
de servicio (CoS), como clasificador, policía, colas, planificación, creación de nuevas versiones,
marcadores y canales virtuales, ahora se pueden configurar en la interfaz de túnel seguro (st0)
para VPN de punto a punto.
583

9
TDR-T
VPN basadas en la ruta y en la Directiva con TDR-T | 585

585
VPN basadas en la ruta y en la Directiva con TDR-T
in this section
Descripción TDR-T | 585
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un dispositivo
TDR | 587
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de un
dispositivo TDR | 629
Traducción de direcciones de red-Traversal (TDR-T) es un método utilizado para administrar problemas

relacionados con la traducción de direcciones IP que se encuentran cuando los datos protegidos por
IPsec pasan por un dispositivo configurado con TDR para la traducción de direcciones.
Descripción TDR-T
Traducción de direcciones de red-transversal (TDR-T) es un método para evitar problemas de traducción

de direcciones IP cuando los datos protegidos por IPsec pasan por un dispositivo de TDR para la
traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace
que ICR descarte los paquetes. Después de detectar uno o varios dispositivos TDR a lo largo de la ruta
de acceso durante las intercambios de la fase 1, TDR-T agrega una capa de encapsulación del Protocolo
de datagramas de usuario (UDP) a los paquetes IPsec, de manera que no se descartan después de la
traducción de direcciones. TDR-T encapsula el tráfico ICR y ESP dentro de UDP con el puerto 4500 que
se utiliza como puerto de origen y destino. Dado que TDR dispositivos caducan las traducciones UDP
obsoletas, es necesario disponer de mensajes de KeepAlive entre los interlocutores.
TDR-T está habilitado de forma predeterminada, por lo tanto, debe usar la instrucción en el nivel
jerárquico para deshabilitar no-nat-traversal[edit security ike gateway gateway-name el TDR-T.
Existen dos amplias categorías de TDR:
• TDR estática, donde hay una relación uno a uno entre las direcciones privada y pública. La TDR
estática funciona en direcciones tanto entrantes como salientes.
• TDR dinámico, donde hay una relación de varios a uno o varios a varios entre las direcciones públicas
y privadas. La TDR dinámica funciona únicamente en dirección de salida.
586
La ubicación de un dispositivo TDR puede ser tal que:
• Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar
detrás de dispositivos de TDR independientes. Los iniciadores también se pueden conectar al
interlocutor que responde a través de varios dispositivos TDR.
• Solo el contestador de IKEv1 o IKEv2 está detrás de un dispositivo TDR.
• El iniciador IKEv1 o IKEv2 y el contestador están detrás de un dispositivo TDR.
Punto de conexión dinámico VPN cubre la situación en la que el iniciador ICR dirección externa no es
fijo y, por lo tanto, el contestador no lo conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente
la dirección del iniciador o cuando la conexión del iniciador atraviesa un dispositivo de TDR dinámico
que asigna direcciones de una agrupación dinámica de direcciones.
Los ejemplos de configuración de TDR-T se proporcionan para la topología en la que solo el contestador
se encuentra detrás de un dispositivo TDR y la topología en la que tanto el iniciador como el
contestador se encuentran detrás de un dispositivo TDR. La configuración de puerta de enlace ICR de
sitio a sitio para TDR-T es compatible tanto con el interlocutor inicial como con el interlocutor que
responde. Un ID de ICR remoto se usa para validar el ID de ICR local de un par durante la fase 1 de ICR
de túnel. Tanto el iniciador como el respondedor local-identity requieren una remote-identity y una
configuración.
En los dispositivos SRX5400, SRX5600 y SRX5800, los problemas de escalado y sostenimiento de

túneles IPsec TDR-T son los siguientes:
• Para una dirección IP privada dada, el dispositivo TDR debe traducir los puertos privados 500 y 4500
a la misma dirección IP pública.
• El número total de túneles a partir de una dirección IP pública traducida no puede superar los 1000
túneles.
A partir de Junos OS versión 19.2 R1, PowerMode IPSec (PMI) para TDR-T sólo se admite en
dispositivos SRX5400, SRX5600 y SRX5800 equipados con SRX5K-SPC3 Services Process Card (SPC) o
con vSRX.
SEE ALSO

587
Ejemplo Configuración de una VPN basada en ruta solo con el

contestador detrás de un dispositivo TDR
in this section
Aplicables | 587
Automática | 595
Comproba | 620
En este ejemplo se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un
dispositivo TDR para permitir que los datos se transfieran de manera segura entre una sucursal y la
oficina corporativa.
Aplicables
En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que
desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN.
Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
588
Figura 43 en la página 589muestra un ejemplo de una topología para VPN basada en rutas con solo el
respondedor detrás de un dispositivo TDR.
589
Figura 43: Topología VPN basada en rutas con solo el respondedor detrás de un dispositivo TDR
590
En este ejemplo, puede configurar interfaces, opciones de enrutamiento, zonas de seguridad y políticas
de seguridad tanto para un iniciador de Chicago como para un contestador de Sunnyvale. A
continuación, configure ICR parámetros Phase 1 e IPsec Phase 2.
Los paquetes enviados desde el iniciador con una dirección de destino/32 se convierten en la dirección
de destino 71.1.1.1/32 del dispositivo de TDR.
Consulte Tabla 54 en la página 590 a Tabla 56 en la página 592 través de los parámetros de
configuración específicos que se utilizan para el iniciador en los ejemplos.
Tabla 54: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad para el iniciador
Interfaces ge-0/0/1 1.0.0.1/24
ge-0/0/3 33.1.1.1/24
Rutas estáticas 32.1.1.0/24 El siguiente salto es St 0.1.
1.1.1.1/32 El siguiente salto es 1.0.0.2.
Zonas de seguridad no fiable • Solo se permite ICR servicio

del sistema.
• Las interfaces GE-0/0/1.0 y

St 0.1 están enlazadas a esta
zona.
confia • Se permiten todos los

• Todos los protocolos están

permitidos.

591
Tabla 54: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad para el iniciador
(Continued)
Políticas de seguridad to-Sunnyvale Permita el tráfico desde

33.1.1.1/24 en la zona de
confianza a 32.1.1.1/24 en la
de-Sunnyvale Permita el tráfico de 32.1.1.1/24

en la zona de no confianza a
confianza.
Tabla 55: ICR parámetros de configuración de la fase 1 del iniciador
Clasificado ike_prop • Método de autenticación: claves previamente compartidas
• Algoritmo de cifrado: 3des-cbc
Políticas ike_pol • Medio principalmente
• Referencia de la propuesta: ike_prop
• Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave

compartida previa
592
Tabla 55: ICR parámetros de configuración de la fase 1 del iniciador (Continued)
Gateway gw1 • Referencia de políticas ICR: ike_pol
• Interlocutor local (iniciador): branch_natt1@example.net
• Interlocutor remoto (contestador): responder_natt1@example.net
Tabla 56: Parámetros de configuración de la fase 2 de IPsec para el iniciador
• Claves de confidencialidad directa perfecta (PFS): group2
VIRTUALES vpn1 • Referencia de puerta de enlace ICR: gw1
• Establezca los túneles inmediatamente
configuración específicos que se utilizan para el contestador en los ejemplos.
593
Tabla 57: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad del contestador
Interfaces ge-0/0/2 71.1.1.1/24
ge-0/0/3 32.1.1.1/24
Rutas estáticas 0.0.0.0/0 (ruta predeterminada) El siguiente salto es 71.1.1.2.
33.1.1.0/24 El siguiente salto es St 0.1.
Zonas de seguridad no fiable • Solo se permite ICR servicio

del sistema.
• Las interfaces GE-0/0/2.0 y

St 0.1 están enlazadas a esta
zona.
confia • Se permiten todos los

Todos los protocolos están

permitidos.

Políticas de seguridad to-Chicago Permita el tráfico desde

confianza a 33.1.1.1/24 en la
594
Tabla 57: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad del contestador
(Continued)
desde-Chicago Permita el tráfico de 33.1.1.1/24

en la zona de no confianza a
confianza.
Tabla 58: ICR parámetros de configuración de la fase 1 del contestador

compartida previa
Gateway gw1 • Referencia de políticas ICR: ike_pol
• Interlocutor local (respondedor): responder_natt1@example.net
• Interlocutor remoto (iniciador): branch_natt1@example.net

595
Tabla 59: Parámetros de configuración de la fase 2 de IPsec para el contestador
• Claves PFS: group2
VIRTUALES vpn1 • Referencia de puerta de enlace ICR: gw1
• Establezca los túneles inmediatamente
Automática
in this section
Configuración de interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad

para el iniciador | 596
Configuración de ICR para el iniciador | 601
Configuración de IPsec para el iniciador | 605

para el contestador | 608
Configuración de ICR para el contestador | 614
Configuración de IPsec para el contestador | 617

596

para el iniciador

set security zones security-zone untrust interfaces st0.1
set security address-book book1 address Chicago-lan 33.1.1.1/24
set security address-book book2 address Sunnyvale-lan 32.1.1.1/24
set security policies from-zone trust to-zone untrust policy to-sunnyvale match source-address Chicago-lan
set security policies from-zone trust to-zone untrust policy to-sunnyvale match destination-address
Sunnyvale-lan
set security policies from-zone trust to-zone untrust policy to-sunnyvale match application any
set security policies from-zone trust to-zone untrust policy to-sunnyvale then permit
set security policies from-zone untrust to-zone trust policy from-sunnyvale match source-address Sunnyvale-
lan
set security policies from-zone untrust to-zone trust policy from-sunnyvale match destination-address
Chicago-lan
set security policies from-zone untrust to-zone trust policy from-sunnyvale match application any
set security policies from-zone untrust to-zone trust policy from-sunnyvale then permit
597
Para configurar la interfaz, ruta estática, zona de seguridad y información de las políticas de seguridad:
[edit]
[edit]
[edit ]
user@host# set security zones security-zone untrust
4. Asigne interfaces a la zona de seguridad que no es de confianza.


598
[edit]
user@host# set security zones security-zone trust host-inbound-traffic protocols all


9. Configurar libretas de direcciones.
[edit security address-book]

user@host# set book1 address Chicago-lan 33.1.1.1/24
user@host# set book1 attach zone trust
user@host# set book2 address Sunnyvale-lan 32.1.1.1/24
user@host# set book2 attach zone untrust
10. Crear políticas de seguridad.
[edit security security-policies from-zone trust to-zone untrust]

user@host# set policy to-sunnyvale match source-address Chicago-lan
user@host# set policy to-sunnyvale match destination-address Sunnyvale-lan
user@host# set policy to-sunnyvale match application any
user@host# set policy to-sunnyvale then permit
[edit security security-policies from-zone untrust to-zone trust]
user@host# set policy from-sunnyvale match source-address Sunnyvale-lan
user@host# set policy from-sunnyvale match destination-address Chicago-lan
user@host# set policy from-sunnyvale match application any
user@host# set policy from-sunnyvale then permit
599
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show routing-options,
show security zonesshow security address-book, y show security policiespara confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.0.0.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 33.1.1.1/24;
}
}
}
st0 {
unit 1 {
family inet {
address 31.1.1.2/24
}
}
}
[edit]
static {
600
route 1.1.1.1/32 next-hop 1.0.0.2;

}
[edit]
system-services {
ike;
}
}
interfaces {
st0.1;
ge-0/0/1.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
[edit]
[edit]
book1 {
address Chicago-lan 33.1.1.1/24;
attach {
zone trust;
}
}
book2 {
address Sunnyvale-lan 32.1.1.1/24;
attach {
zone untrust;
601
}
}
[edit]
policy to-sunnyvale {
match {
source-address Chicago-lan;
destination-address Sunnyvale-lan;
application any;
}
then {
permit;
}
}
}
policy from-sunnyvale {
match {
source-address Sunnyvale-lan;
destination-address Chicago-lan;
application any;
}
then {
permit;
}
}
}
Configuración de ICR para el iniciador
602
set security ike proposal ike_prop authentication-method pre-shared-keys

set security ike policy ike_pol mode main
set security ike policy ike_pol proposals ike_prop
set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
set security ike gateway gw1 ike-policy ike_pol
set security ike gateway gw1 address 1.1.1.1
set security ike gateway gw1 local-identity user-at-hostname branch_natt1@example.net
set security ike gateway gw1 remote-identity user-at-hostname responder_natt1@example.net
set security ike gateway gw1 external-interface ge-0/0/1.0
[edit security ike]

user@host# set proposal ike_prop


603


[edit security ike]

user@host# set policy ike_pol
[edit security ike policy ike_pol]


user@host# set proposals ike_prop

[edit security ike gateway gw1]

604

user@host# set ike-policy ike_pol

13. Conjunto local-identity del elemento del mismo nivel local.

user@host# set local-identity user-at-hostname branch_natt1@example.net
14. Conjunto remote-identity del contestador. Este es el identificador de ICR.

user@host# set remote-identity user-at-hostname responder_natt1@example.net
15. Defina la interfaz externa.

Resultados
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
proposal ike_prop {
dh-group group2;
605
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$ABC123”;
}
gateway gw1 {
ike-policy ike_poly;
address 1.1.1.1;
local-identity user-at-hostname branch_natt1@example.net;
remote-identity user-at-hostname responder_natt1@example.net;
}
Configuración de IPsec para el iniciador

set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2
set security ipsec vpn vpn1 bind-interface st0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn1 establish-tunnels immediately
606
[edit]




6. Especifique la fase 2 de IPsec para utilizar la confidencialidad directa perfecta (PFS).

607


user@host# set vpn vpn1 ike gateway gw1

user@host# set vpn vpn1 ike ipsec-policy ipsec_pol

user@host# set vpn vpn1 bind-interface st0.1
11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de
comprobación.

user@host# set vpn vpn1 establish-tunnels immediately
Resultados
[edit]
protocol esp;
608
}
policy ipsec_pol {
keys group2;
}
}
vpn vpn1 {
ike {
gateway gw1;
}
}
}
}

para el contestador

609

set security address-book book1 address Sunnyvale-lan 32.1.1.1/24
set security address-book book2 address Chicago-lan 33.1.1.1/24
set security policies from-zone trust to-zone untrust policy to-chicago match source-address Sunnyvale-lan
set security policies from-zone trust to-zone untrust policy to-chicago match destination-address Chicago-lan
set security policies from-zone trust to-zone untrust policy to-chicago match application any
set security policies from-zone trust to-zone untrust policy to-chicago then permit
set security policies from-zone untrust to-zone trust policy from-chicago match source-address Chicago-lan
set security policies from-zone untrust to-zone trust policy from-chicago match destination-address
Sunnyvale-lan
set security policies from-zone untrust to-zone trust policy from-chicago match application any
set security policies from-zone untrust to-zone trust policy from-chicago then permit
Para configurar la interfaz, la ruta estática, las zonas de seguridad, las directivas y las puertas de enlace:
[edit]
[edit]
610
[edit ]
user@host# set security zones security-zone untrust
4. Asigne interfaces a la zona de seguridad que no es de confianza.

user@host# set security zones security-zone untrust interfaces ge-0/0/2.0
user@host# set security zones security-zone untrust interfaces st0.1

[edit]


9. Configurar libretas de direcciones.
[edit security address-book]

user@host# set book1 address Sunnyvale-lan 32.1.1.1/24
user@host# set book1 attach zone trust
611
user@host# set book2 address Chicago-lan 33.1.1.1/24

user@host# set book2 attach zone untrust
10. Crear políticas de seguridad.
[edit security security-policies from-zone trust to-zone untrust]

user@host# set policy to-chicago match source-address Sunnyvale-lan
user@host# set policy to-chicago match destination-address Chicago-lan
user@host# set policy to-chicago match application any
user@host# set policy to-chicago then permit
[edit security security-policies from-zone untrust to-zone trust]
user@host# set policy from-chicago match source-address Chicago-lan
user@host# set policy from-chicago match destination-address Sunnyvale-lan
user@host# set policy from-chicago match application any
user@host# set policy from-chicago then permit
Resultados
show security zonesshow security address-book, y show security policies para confirmar la
[edit]
ge-0/0/2 {
unit 0 {
family inet {
address 71.1.1.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 32.1.1.1/24;
}
}
}
st0 {
612
unit 1 {
family inet {
address 31.1.1.1/24
}
}
}
[edit]
static {
route 0.0.0.0/0 next-hop 71.1.1.2;
}
[edit]
system-services {
ike;
}
}
interfaces {
ge-0/0/2.0;
st0.1;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
613
[edit]
book1 {
address Sunnyvale-lan 32.1.1.1/24;
attach {
zone trust;
}
}
book2 {
address Chicago-lan 33.1.1.1/24;
attach {
zone untrust;
}
}
[edit]
policy to-chicago {
match {
source-address Sunnyvale-lan;
destination-address Chicago-lan;
application any;
}
then {
permit;
}
}
}
policy from-chicago {
match {
source-address Chicago-lan;
destination-address Sunnyvale-lan;
application any;
}
then {
permit;
}
}
}

614
Configuración de ICR para el contestador

set security ike policy ike_pol mode main
set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
set security ike gateway gw1 ike-policy ike_pol
set security ike gateway gw1 address 1.0.0.1
set security ike gateway gw1 local-identity user-at-hostname responder_natt1@example.net
set security ike gateway gw1 remote-identity user-at-hostname branch_natt1@example.net
set security ike gateway gw1 external-interface ge-0/0/2.0
[edit security ike]

user@host# set proposal ike_prop

615



[edit security ike]

user@host# set policy ike_pol



616



13. Conjunto local-identity del contestador.

user@host# set local-identity user-at-hostname responder_natt1@example.net
14. Conjunto remote-identity del contestador. Este es el identificador de ICR.

user@host# set remote-identity user-at-hostname branch_natt1@example.net
Resultados
[edit]
proposal ike_prop {
dh-group group2;
617
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$ABC123”;
}
gateway gw1 {
ike-policy ike_pol;
address 1.0.0.1;
local-identity user-at-hostname "responder_natt1@example.net";
remote-identity user-at-hostname "branch_natt1@example.net";
}
Configuración de IPsec para el contestador

set security ipsec vpn vpn1 bind-interface st0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn1 establish-tunnels immediately
618
[edit]


[edit security ipsec proposal ipsec_prop ]


6. Especifique la fase 2 de IPsec para utilizar la confidencialidad directa perfecta (PFS).

619


user@host# set security ipsec vpn vpn1 ike gateway gw1

user@host# set vpn vpn1 ike ipsec-policy ipsec_pol

user@host# set vpn vpn1 bind-interface st0.1
11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de
comprobación.

user@host# set vpn vpn1 establish-tunnels immediately
Resultados
[edit]
protocol esp;
620
}
policy ipsec_pol {
keys group2;
}
}
vpn vpn1 {
ike {
gateway gw1;
}
}
Comproba
in this section
Verificación del estado de la fase 1 de ICR del iniciador | 620
Comprobando las asociaciones de seguridad IPsec para el iniciador | 623
Verificación del estado de la fase 1 ICR del contestador | 624
Comprobación de las asociaciones de seguridad IPsec para el contestador | 627
Verificación del estado de la fase 1 de ICR del iniciador
Purpose

621
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 33.1.1.0 a un host
de la red 32.1.1.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el
dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el
tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un
segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 33.1.1.2 a
32.1.1.2.
detail el comando.

Address
106321 UP d31d6833108fd69f 9ddfe2ce133086aa Main 1.1.1.1

IKE peer 1.1.1.1, Index
Initiator cookie: d31d6833108fd69f, Responder cookie: 9ddfe2ce133086aa
Local: 1.0.0.1:500, Remote: 1.1.1.1:500
Peer ike-id: responder_natt1@example.net
Xauth assigned IP: responder_natt1@example.net
Algorithms:
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0

Local: 1.0.0.1:500, Remote: 1.1.1.1:500
622
Local identity: branch_natt1@example.net

Remote identity: responder_natt1@example.net
Efectos
• Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 500 se está
• Estado del iniciador de rol
• Ambos interlocutores del par IPsec SA utilizan el puerto 500.
• ID de ICR par: compruebe que la dirección remota es correcta.
• Identidad local e identidad remota: compruebe que son correctas.
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
623
direcciones)
Comprobando las asociaciones de seguridad IPsec para el iniciador
Purpose
Intervención

<131073 ESP:3des/sha1 ac23df79 2532/ unlim - root 500 1.1.1.1
>131073 ESP:3des/sha1 cbc9281a 2532/ unlim - root 500 1.1.1.1

Virtual-system: root
Version: IKEv1
DF-bit: clear
Direction: inbound, SPI: ac23df79, AUX-SPI: 0
, VPN Monitoring: -
624

Mode: Tunnel, Type: dynamic, State: installed
Direction: outbound, SPI: cbc9281a, AUX-SPI: 0

, VPN Monitoring: -
Efectos
• La puerta de enlace remota tiene una dirección TDR de pág.
Verificación del estado de la fase 1 ICR del contestador
Purpose

625
Intervención
detail el comando.

Address
5802591 UP d31d6833108fd69f 9ddfe2ce133086aa Main 1.0.0.1

IKE peer 1.0.0.1, Index 5802591,
Initiator cookie: d31d6833108fd69f, Responder cookie: 9ddfe2ce133086aa
Local: 71.1.1.1:500, Remote: 1.0.0.1:500
Peer ike-id: branch_natt1@example.net
Algorithms:
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0

Local: 71.1.1.1:500, Remote: 1.0.0.1:500
Local identity: responder_natt1@example.net
Remote identity: branch_natt1@example.net
626
Efectos
• Estado del contestador de roles
• ID ICR par: compruebe que la dirección es correcta.
direcciones)
627
Comprobación de las asociaciones de seguridad IPsec para el contestador
Purpose
Intervención

<131073 ESP:3des/sha1 a5224cd9 3571/ unlim - root 500 1.0.0.1
>131073 ESP:3des/sha1 82a86a07 3571/ unlim - root 500 1.0.0.1

Version: IKEv1
DF-bit: clear
Direction: inbound, SPI: a5224cd9, AUX-SPI: 0
, VPN Monitoring: -
Direction: outbound, SPI: 82a86a07, AUX-SPI: 0

628
, VPN Monitoring: -
Efectos
• La puerta de enlace remota tiene la dirección IP 1.0.0.1.
La salida del show security ipsec security-associations index index_iddetail comando muestra la
siguiente información:
629
SEE ALSO

Ejemplo Configuración de una VPN basada en políticas con un iniciador y

un respondedor detrás de un dispositivo TDR
in this section
Aplicables | 629
Automática | 637
Comproba | 668
Este ejemplo muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor
detrás de un dispositivo TDR para permitir que los datos se transfieran de manera segura entre una
sucursal y la oficina corporativa.
Aplicables
En este ejemplo, puede configurar una VPN basada en políticas para una sucursal de Chicago, Illinois, ya
que desea conservar los recursos de túnel, pero aún así obtener restricciones granulares sobre el tráfico
VPN. Los usuarios de la sucursal utilizarán la red VPN para conectarse a sus sedes corporativas en
Sunnyvale, California.
En este ejemplo, se configuran interfaces, opciones de enrutamiento, zonas de seguridad, políticas de

seguridad tanto para el iniciador como para el contestador.
630
Figura 44 en la página 631 muestra un ejemplo de una topología para una VPN con un iniciador y un
respondedor detrás de un dispositivo TDR estático.
631
Figura 44: Topología VPN basada en políticas con un iniciador y un respondedor detrás de un
dispositivo TDR
632
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A
continuación, puede configurar ICR fase 1, incluidos los interlocutores locales y remotos, la fase 2 de
IPsec y la Directiva de seguridad. Nota: en el ejemplo anterior, la dirección IP privada del respondedor
13.168.11.1 está oculta por el dispositivo de TDR estático y está asignada a la dirección IP pública
1.1.100.1.
configuración específicos que se utilizan para el iniciador en los ejemplos.
Tabla 60: Interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador
Interfaces ge-0/0/0 12.168.99.100/24
ge-0/0/1 10.1.99.1/24
Rutas estáticas 10.2.99.0/24 (ruta El siguiente salto es

predeterminada) 12.168.99.100.
1.1.100.0/24 12.168.99.100


permitidos.

no fiable • La interfaz GE-0/0/0.0 está

633
Tabla 61: ICR parámetros de configuración de la fase 1 del iniciador
• Algoritmo de autenticación: md5

compartida previa
Gateway esclusa • Referencia de políticas ICR: ike_pol
• Local de mismo nivel es nombre de host Chicago
• El interlocutor remoto es hostname Sunnyvale
Tabla 62: Parámetros de configuración de la fase 2 de IPsec para el iniciador
• Algoritmo de autenticación: hmac-md5-96

634
Tabla 62: Parámetros de configuración de la fase 2 de IPsec para el iniciador (Continued)
• Confidencialidad directa perfecta (PFS): group1
VIRTUALES first_vpn • Referencia de puerta de enlace ICR: esclusa
Tabla 63: Parámetros de configuración de la Directiva de seguridad para el iniciador
La Directiva de seguridad permite el tráfico pol1 • Criterios de coincidencia:

de túnel desde la zona de confianza a la
• Intervención permitir túnel IPSec-VPN

first_vpn

de túnel desde la zona de no confianza
hasta la zona de confianza. • aplicación cualquier

first_vpn
configuración específicos que se utilizan para el contestador en los ejemplos.
635
Tabla 64: Interfaz, opciones de enrutamiento y zonas de seguridad para el contestador
Interfaces ge-0/0/0 13.168.11.100/24
ge-0/0/1 10.2.99.1/24
Rutas estáticas 10.1.99.0/24 (ruta El siguiente salto es

predeterminada) 13.168.11.100
1.1.100.0/24 13.168.11.100


permitidos.

no fiable • La interfaz GE-0/0/0.0 está

Tabla 65: ICR parámetros de configuración de la fase 1 del contestador
• Algoritmo de autenticación: md5

636
Tabla 65: ICR parámetros de configuración de la fase 1 del contestador (Continued)

compartida previa
Gateway esclusa • Referencia de políticas ICR: ike_pol
• Enviar siempre detección de elementos de mismo nivel
• El elemento de configuración local es hostname Sunnyvale
• Interlocutor remoto es nombre de host Chicago
Tabla 66: Parámetros de configuración de la fase 2 de IPsec para el contestador
• Algoritmo de autenticación: hmac-md5-96
• Confidencialidad directa perfecta (PFS): group1
VIRTUALES first_vpn • Referencia de puerta de enlace ICR: esclusa

637
Tabla 67: Parámetros de configuración de la Directiva de seguridad para el contestador

de túnel desde la zona de confianza a la

first_vpn

de túnel desde la zona de no confianza
hasta la zona de confianza. • aplicación cualquier

first_vpn
Automática
in this section
Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el iniciador | 638
Configuración de ICR para el iniciador | 641
Configuración de IPsec para el iniciador | 644
Configuración de políticas de seguridad para el iniciador | 646
Configuración de TDR para el iniciador | 649
Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el

contestador | 653
Configuración de ICR para el contestador | 656
Configuración de IPsec para el contestador | 659
Configuración de políticas de seguridad para el contestador | 662
Configuración de TDR para el respondedor | 664

638
Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el iniciador
[edit]
Para configurar interfaces, rutas estáticas y zonas de seguridad:
[edit]
[edit]
639
[edit ]

5. Especifique servicios del sistema para la zona de seguridad de confianza.


Resultados
optionsescriba los show security zones comandos, y, si la salida no muestra la configuración deseada,
repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
640
family inet {
address 10.1.99.1/24;
}
}
}
[edit]
static {
route 10.2.99.0/24 next-hop 12.168.99.1;
route 1.1.100.0/24 next-hop 12.168.99.1;
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
interfaces {
ge-0/0/0.0;
}
}

641
Configuración de ICR para el iniciador

set security ike proposal ike_prop authentication-algorithm md5
set security ike policy ike_pol mode aggressive
set security ike policy ike_pol pre-shared-key ascii-text "$ABC123”
set security ike gateway gate ike-policy ike_pol
set security ike gateway gate address 13.168.11.100
set security ike gateway gate external-interface ge-0/0/0.0
set security ike gateway gate local-identity hostname chicago
[edit security ike]

user@host# edit proposal ike_prop

642



[edit security ike policy ]

user@host# edit policy ike_pol


[edit security ike policy ike_pol pre-shared-key]

user@host# set ascii-text "$ABC123”
643
[edit security ike ]

user@host# set gateway gate external-interface ge-0/0/0.0
11. Cree una dirección de puerta de enlace ICR Phase 1.
[edit security ike gateway gate]


set ike-policy ike_pol
13. Establecido local-identity para el elemento local homólogo.

user@host# set local-identity hostname chicago
Resultados
[edit]
proposal ike_prop {
dh-group group2;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
644
pre-shared-key ascii-text "$ABC123”

}
gateway gate {
ike-policy ike_pol;
address 13.168.11.100;
local-identity hostname chicago;
}
Configuración de IPsec para el iniciador

set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96
set security ipsec vpn first_vpn ike gateway gate
set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
set security ipsec vpn first_vpn establish-tunnels immediately

645
[edit]
user@host# edit security ipsec proposal ipsec_prop


user@host# set authentication-algorithm hmac-md5-96


6. Especifique IPsec fase 2 para utilizar Grupo1 (confidencialidad directa perfecta).
[edit security ipsec policy ipsec_pol ]


user@host# set vpn first_vpn ike gateway gate
646

user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
[edit]
protocol esp;
}
policy ipsec_pol {
keys group1;
}
}
vpn first_vpn {
ike {
gateway gate;
}
}
Configuración de políticas de seguridad para el iniciador
647
set security policies from-zone trust to-zone untrust policy pol1 match source-address any
set security policies from-zone trust to-zone untrust policy pol1 match destination-address any
set security policies from-zone trust to-zone untrust policy pol1 match application any
set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn
set security policies from-zone untrust to-zone trust policy pol1 match application any
set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
confianza.

user@host# set policy pol1 match source-address any
user@host# set policy pol1 match destination-address any
user@host# set policy pol1 match application any
user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
confianza.

648
Resultados
[edit]
policy pol1 {
match {
source-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
}
}
}
}
}

649
Configuración de TDR para el iniciador
set security nat source rule-set ipsec from zone trust

set security nat source rule-set ipsec to zone untrust
set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0
set security nat source rule-set ipsec rule 1 then source-nat interface
set security policies from-zone trust to-zone untrust policy allow-all match source-address any
set security policies from-zone trust to-zone untrust policy allow-all match destination-address any
set security policies from-zone trust to-zone untrust policy allow-all match application any
set security policies from-zone trust to-zone untrust policy allow-all then permit
set security policies from-zone untrust to-zone trust policy allow-all match application any
set security policies from-zone untrust to-zone trust policy allow-all then permit
Para configurar el iniciador que proporciona TDR:

650
[edit interfaces]
2. Configurar zonas.


3. Configure TDR.
[edit security nat source rule-set ipsec]

user@host# set from zone trust
user@host# set to zone untrust
user@host# set rule 1 match source-address 0.0.0.0/0
user@host# set rule 1 then source-nat interface
4. Configure la Directiva de seguridad predeterminada.

user@host# set from-zone trust to-zone untrust policy allow-all match source-address any
user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any
user@host# set from-zone trust to-zone untrust policy allow-all match application any
user@host# set from-zone trust to-zone untrust policy allow-all then permit
user@host# set from-zone untrust to-zone trust policy allow-all match application any
user@host# set from-zone untrust to-zone trust policy allow-all then permit
651
5. Configure la opción de enrutamiento.
[edit routing-options
Resultados
Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración.
[edit]
user@host# show security nat
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
policy allow-all {
match {
source-address any;
application any;
}
then {
permit;
652
}
}
}
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.1/24;
}
653
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.23/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.22;
}
Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el contestador

654
Para configurar interfaces, rutas estáticas, zonas de seguridad y políticas de seguridad:
[edit]
[edit]

[edit]


655
Resultados
repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.2.99.1/24;
}
}
}
[edit]
static {
route 10.1.99.0/24 next-hop 13.168.11.1;
route 1.1.100.0/24 next-hop 13.168.11.1;
}
[edit]
}
interfaces {
ge-0/0/0.0;
}
}
656
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
Configuración de ICR para el contestador

set security ike proposal ike_prop authentication-algorithm md5
set security ike policy ike_pol mode aggressive
set security ike policy ike_pol pre-shared-key ascii-text "$ABC123"
set security ike gateway gate ike-policy ike_pol
set security ike gateway gate dynamic hostname chicago
set security ike gateway gate external-interface ge-0/0/0.0
657

user@host# set authentication-method pre-shared-key



[edit security ike]

user@host# edit policy ike_pol

658


9. Cree una puerta ICR de enlace de fase 1 y defina su nombre de host dinámico.

user@host# set dynamic hostname chicago


Resultados
[edit]
proposal ike_prop {
dh-group group2;
659
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
}
gateway gate {
ike-policy ike_pol;
dynamic hostname chicago;
}
Configuración de IPsec para el contestador

set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96
set security ipsec vpn first_vpn ike gateway gate
set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol

660
[edit]
user@host# edit security ipsec proposal ipsec_prop
[edit security security ipsec proposal ipsec_prop]




user@host# edit policy ipsec_pol
6. Establezca IPsec fase 2 para que utilice Grupo1 (confidencialidad directa perfecta).


661

user@host# set vpn first_vpn ike gateway gate

user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
[edit]
protocol esp;
}
policy ipsec_pol {
keys group1;
}
}
vpn first_vpn {
ike {
gateway gate;
}
}

662
Configuración de políticas de seguridad para el contestador
set security policies from-zone trust to-zone untrust policy pol1 match source-address any
set security policies from-zone trust to-zone untrust policy pol1 match destination-address any
set security policies from-zone trust to-zone untrust policy pol1 match application any
set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn
set security policies from-zone untrust to-zone trust policy pol1 match application any
set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
confianza.

user@host# set policy pol1 match source-address any
user@host# set policy pol1 match destination-address any
confianza.

663
Resultados
[edit]
policy pol1 {
match {
source-address any;
application any;
}
then {
permit {
tunnel {
}
}
}
}
}
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
}
}
}
}
}

664
Configuración de TDR para el respondedor
set security nat source rule-set ipsec from zone trust

set security nat source rule-set ipsec to zone untrust
set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0
set security nat source rule-set ipsec rule 1 then source-nat interface
set security policies from-zone trust to-zone untrust policy allow-all match source-address any
set security policies from-zone trust to-zone untrust policy allow-all match destination-address any
set security policies from-zone trust to-zone untrust policy allow-all match application any
set security policies from-zone trust to-zone untrust policy allow-all then permit
set security policies from-zone untrust to-zone trust policy allow-all match application any
set security policies from-zone untrust to-zone trust policy allow-all then permit
Para configurar el respondedor que proporciona TDR:

665
[edit interfaces]


3. Configure TDR.
[edit security nat source rule-set ipsec]

user@host# set from zone trust
user@host# set to zone untrust
user@host# set rule 1 match source-address 0.0.0.0/0
user@host# set rule 1 then source-nat interface

user@host# set from-zone trust to-zone untrust policy allow-all match source-address any
user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any
user@host# set from-zone trust to-zone untrust policy allow-all match application any
user@host# set from-zone trust to-zone untrust policy allow-all then permit
user@host# set from-zone untrust to-zone trust policy allow-all match application any
user@host# set from-zone untrust to-zone trust policy allow-all then permit
666
5. Configure la opción de enrutamiento.
[edit routing-options
Resultados
Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración.
[edit]
user@host# show security nat
nat {
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
policy allow-all {
match {
source-address any;
application any;
}
then {
667
permit;
}
}
}
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.1/24;
668
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.22/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.23;
}
Comproba
in this section
Verificación del estado de la fase 1 de ICR del iniciador | 668
Comprobando las asociaciones de seguridad IPsec para el iniciador | 671
Verificación del estado de la fase 1 de ICR del iniciador
Purpose

669
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 10.1.99.0 a un
host de la red 10.2.99.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el
dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el
tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un
segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 10.1.99.2 a
10.2.99.2.
detail el comando.

Address
5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.

IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 13.168.11.100
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Pseudo random function: hmac-md5
Traffic statistics:
Input bytes : 1140
Output bytes : 1203
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
670
Output fragmentated packets: 0


Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Local identity: chicago
Remote identity: 13.168.11.100
Efectos
• Estado del iniciador de rol
• Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)
• ID de ICR par: compruebe que el ID remoto (respondedor) es correcto. En este ejemplo, el nombre
de host es Sunnyvale.

671
direcciones)
Comprobando las asociaciones de seguridad IPsec para el iniciador
Purpose
Intervención

<2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100
>2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
672
ID: 2 Virtual-system: root, VPN Name: first_vpn

Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-
name: pol1
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Tunnel events:
Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1
times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs
cleared (1 times)
times)
Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times)
times)
times)
Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation
(2 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer
(2 times)
(1 times)
Wed Apr 08 2020
(1 times)
673
(1 times)
Wed Apr 08 2020
(1 times)
(1 times)
Direction: inbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Direction: outbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Efectos
• La puerta de enlace remota tiene TDR dirección 13.168.11.100.
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.).
direcciones. El valor 3390/Unlimited indica que la duración de la fase 2 caduca en 3390 segundos y
que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2
puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está
activa.

674
Purpose
Intervención
detail el comando.

Address
2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive
1.1.100.23
IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate

Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
IKE Fragmentation: Disabled, Size: 0
Peer ike-id: chicago
Algorithms:
Authentication : hmac-md5-96
Pseudo random function: hmac-md5
Traffic statistics:
Input bytes : 1203
Output bytes : 1140
675
Input packets: 6
Output packets: 6

Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Remote identity: chicago
Efectos
• ID ICR par: compruebe que el ID local para el par es correcto. En este ejemplo, el nombre de host
es Chicago.

676
direcciones)
Purpose
Intervención

677
<67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23

>67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
ID: 67108878 Virtual-system: root, VPN Name: first_vpn

Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-
name: pol1
Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829
Tunnel events:
times)
times)
Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs
cleared (1 times)
times)
times)
Wed Apr 08 2020
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation
(1 times)
Direction: inbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Direction: outbound, SPI: aff3ac30, AUX-SPI: 0
678
, VPN Monitoring: -
Efectos
• La puerta de enlace remota tiene una dirección TDR de 1.1.100.23.
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)
SEE ALSO

Ejemplo Configurando TDR-T con VPN de extremo dinámico
in this section
Aplicables | 679
679
Automática | 681
Comproba | 697
En este ejemplo se muestra cómo configurar una VPN basada en ruta donde el iniciador IKEv2 es un
extremo dinámico detrás de un dispositivo TDR.
Aplicables
• Dos dispositivos serie SRX configurados en un clúster del chasis
• Un dispositivo serie SRX proporcionando TDR
• Un serie SRX dispositivo que ofrece acceso a redes de sucursales
• Junos OS de la versión 12.1 X46-D10 o posterior para ofrecer compatibilidad con TDR de IKEv2 en T
En este ejemplo, se configura una VPN de IPsec entre la sucursal (iniciador IKEv2) y la sede central (el
respondedor IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra
detrás del dispositivo TDR. La dirección de la sucursal se asigna dinámicamente y es desconocida para el
contestador. El iniciador está configurado con la identidad remota del respondedor para la negociación
del túnel. Esta configuración establece una VPN de extremo dinámico entre los interlocutores de la TDR
dispositivo.
680
Figura 45 en la página 680muestra un ejemplo de una topología con TDR-Traversal (TDR-T) y VPN de
extremo dinámico.
Figura 45: TDR-T con punto de conexión dinámico VPN
En este ejemplo, la dirección IP del iniciador, 192.179.100.50, que se asignó dinámicamente al

dispositivo, se oculta en el dispositivo de TDR y se traduce a 100.10.1.253.
En este ejemplo se aplican las siguientes opciones de configuración:
• La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace
remota configurada en el contestador.
681
• Las opciones de las fases 1 y 2 deben coincidir entre el interlocutor inicial y el interlocutor que
responde.
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor predeterminado de
nat-keepalive la opción configurada en el nivel de la [edit security ike gateway gateway-name] jerarquía
se ha cambiado de 5 a 20 segundos.
En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, ICR las negociaciones que
impliquen TDR exploración transversal no funcionarán si el ICR del mismo nivel se encuentra detrás de
un TDR dispositivo que cambiará la dirección IP de origen de los paquetes de ICR durante la
negociación. Por ejemplo, si el dispositivo de TDR se configura con DIP, cambiará la dirección IP de
origen porque el protocolo ICR cambia el puerto UDP de 500 a 4500. (La compatibilidad con la
plataforma depende de la versión Junos OS de la instalación).
Automática
in this section
Configurando el dispositivo de sucursal (iniciador IKEv2) | 681
Configuración del dispositivo de TDR | 687
Configuración del dispositivo de la sede (respondedor de IKEv2) | 690
Configurando el dispositivo de sucursal (iniciador IKEv2)

682

set security ike proposal IKE_PROP authentication-method pre-shared-keys
set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123"
set security ike gateway HQ_GW ike-policy IKE_POL
set security ike gateway HQ_GW address 100.10.1.50
set security ike gateway HQ_GW local-identity hostname branch.example.net
set security ike gateway HQ_GW external-interface ge-0/0/1.0
set security ike gateway HQ_GW version v2-only
set security ipsec vpn HQ_VPN bind-interface st0.0
set security ipsec vpn HQ_VPN ike gateway HQ_GW
set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL
set security ipsec vpn HQ_VPN establish-tunnels immediately
Para configurar el dispositivo de la sucursal:

683
[edit interfaces]
[edit security zones security-zones trust]

[edit security zones security-zones untrust]
user@host#set interfaces st0.0

[edit security ike gateway HQ_GW]
user@host# set local-identity hostname branch.example.net
684

[edit security ipsec proposal IPSEC_PROP]

[edit security ipsec vpn HQ_VPN]
user@host# set ike gateway HQ_GW

Resultados
optionsescriba show security zoneslos show security ikecomandos show security ipsec,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración
de este ejemplo para corregirlo.
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 192.179.100.50/24;
}
}
685
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.179.2.20/24;
}
}
}
st0 {
unit 0 {
family inet {
address 172.168.100.1/16;
}
}
}
[edit]
static {
route 192.179.1.0/24 next-hop st0.0;
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
system-services {
all;
}
protocols {
all;
}
686
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$ABC123”
}
gateway HQ_GW{
ike-policy IKE_POL;
address 100.10.1.50;
local-identity hostname branch.example.net;
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
}
vpn HQ_VPN {
ike {
gateway HQ_GW;
687
}
}
[edit]
default-policy {
permit-all;
}
Configuración del dispositivo de TDR

set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24
set security zones security-zone untrust interfaces fe-0/0/2.0
set security nat source rule-set DYNAMIC from zone untrust
set security nat source rule-set DYNAMIC to zone trust
set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0
set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface
688
Para configurar el enrutador intermedio que proporciona TDR:
[edit interfaces]
user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24

user@host# set interfaces fe-0/0/2.0
3. Configure TDR.
[edit security nat source rule-set DYNAMIC]

user@host# set from zone untrust
user@host# set to zone trust
user@host# set rule R2R3 match source-address 0.0.0.0/0
user@host# set rule R2R3 then source-nat interface

Resultados
zonesescriba show security nat sourcelos comandos show security policies ,, y. Si el resultado no
689
corregirlo.
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 100.10.1.253/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.179.100.253/24;
}
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
system-services {
all;
}
protocols {
all;
}
690
}
interfaces {
fe-0/0/2.0;
}
}
[edit]
user@host# show security nat source
rule-set DYNAMIC {
from zone untrust;
to zone trust;
rule R2R3 {
match {
}
then {
source-nat {
interface;
}
}
}
}
[edit]
default-policy {
permit-all;
}
Configuración del dispositivo de la sede (respondedor de IKEv2)

691

set security zones security-zone trust interfaces reth0.0
set security ike proposal IKE_PROP authentication-method pre-shared-keys
set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123"
set security ike gateway Branch_GW ike-policy IKE_POL
set security ike gateway Branch_GW dynamic hostname branch.example.net
set security ike gateway Branch_GW dead-peer-detection optimized
set security ike gateway Branch_GW external-interface reth1.0
set security ike gateway Branch_GW version v2-only
set security ipsec vpn Branch_VPN bind-interface st0.0
set security ipsec vpn Branch_VPN ike gateway Branch_GW
692
set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL

1. Configure dos nodos como el clúster del chasis.

user@host# set redundancy-group 1 node 0 priority 220
[edit interfaces]
693


[edit security ike gateway Branch_GW]
user@host# set dynamic hostname branch.example.net
user@host# set dead-peer-detection optimized

[edit security ipsec vpn Branch_VPN]
694

user@host# set ike gateway Branch_GW

Resultados
Desde el modo show chassis clusterde configuración, especifique los comandos, show interfaces, show
routing-optionsshow security zonesshow security ikeshow security ipsec,, y y show security policies ,
para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de configuración de este ejemplo para corregirlo.
[edit]
reth-count 5;
interface-monitor {
}
}
[edit]
ge-0/0/1 {
gigether-options {
}
}
ge-0/0/2 {
gigether-options {
}
695
}
ge-8/0/1 {
gigether-options {
}
}
ge-8/0/2 {
gigether-options {
}
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.179.1.10/24;
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 100.10.1.50/24;
}
}
}
st0 {
unit 0{
family inet {
address 172.168.100.2/16;
}
}
}
[edit]
static {
route 192.179.2.0/24 next-hop st0.0;
route 192.179.100.0/24 next-hop 100.10.1.253;
696
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
reth1.0;
}
}
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text “$ABC123”
}
gateway Branch_GW {
697
ike-policy IKE_POL;
dynamic hostname branch.example.net;

dead-peer-detection optimized;
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
}
vpn Branch_VPN {
ike {
gateway Branch_GW;
}
}
[edit]
default-policy {
permit-all;
}
Comproba
in this section

698
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando.
Después de obtener un número de índice del comando, utilice show security ike security-associations
detail el comando.
user@host# show security ike security-associations

node0:
1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail

node0:
IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW
Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003
Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541
Peer ike-id: branch.example.net
Algorithms:
Traffic statistics:
Input bytes : 683
Output bytes : 400
Input packets: 2
Output packets: 1
699

Efectos
security ike security-associations index index_id detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 4500 se está
• ID ICR par: compruebe que la dirección es correcta.
• Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)
direcciones)
700
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando.
Después de obtener un número de índice del comando, utilice show security ipsec security-associations
detail el comando.
user@host# show security ipsec security-associations

node0
<77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541
100.10.1.253
>77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail

node0
ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN
Version: IKEv2
DF-bit: clear
Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29

701

Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0
, VPN Monitoring: -
Efectos
• La puerta de enlace remota tiene una dirección IP de 100.10.1.253.
direcciones. El valor de duración indica que la duración de la fase 2 caduca en 7186 segundos y que
La salida del show security ipsec security-associations index index_id detail comando muestra la
siguiente información:
no se muestra ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID de proxy, coinciden para ambos interlocutores. Para VPN basadas en la ruta, el
ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
SEE ALSO

Introducción a las políticas de seguridad
702
release-history

release-history
12.1X46-D10 A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor
predeterminado de nat-keepalive la opción configurada en el nivel de la [edit security ike
gateway gateway-name] jerarquía se ha cambiado de 5 a 20 segundos.

10
VPN de grupo
Agrupar VPNv1 | 704
Agrupar VPNv2 | 761
Agrupar VPNv2 clústeres de servidores | 824

704
Agrupar VPNv1
in this section
Descripción de las políticas dinámicas para el grupo VPNv1 | 718
Descripción de Antireplay para el VPNv1 del grupo | 719
Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo | 720
Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del servidor para mensajes de regeneración
de claves de unidifusión | 742
Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro del servidor para mensajes de
regeneración de claves de multidifusión | 744
Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor | 748
La VPN de grupo es un conjunto de características que son necesarias para proteger el tráfico de grupos
de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina o fluye a
través de un dispositivo.
Descripción general del grupo VPNv1
in this section
Descripción del protocolo GDOI para el grupo VPNv1 | 708
Descripción de las limitaciones de VPNv1 de grupo | 708
Descripción de los servidores y miembros del VPNv1 de grupo | 710
Descripción de la VPNv1 de grupo de servidores: comunicación de miembro | 711
Descripción de las operaciones de clave de grupo VPNv1 Group | 712

705
Descripción de los mensajes de latido de VPNv1 de grupo | 715
Descripción del VPNv1 de grupo de servidores: modo de coubicación de miembros | 715
Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red
privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y
cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las
implementaciones de VPN actuales, la SA es un túnel punto a punto entre dos dispositivos de seguridad.
706
Grupo VPNv1 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten
un grupo de dispositivos, Figura 46 en la página 707(consulte).
707
Figura 46: IPsec estándar VPN y grupo VPNv1
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con
VPNv1 de grupo, la conectividad de cualquier medio a cualquier se consigue conservando las
708
direcciones IP originales de origen y destino en el encabezado exterior. Los paquetes de multidifusión

seguros se replican de la misma manera que los paquetes de multidifusión de texto de la red principal.
A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar con servidores
VPNv2 Group.
El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, El dominio de
interpretación de grupo (GDOI). Para usar la VPN del grupo sin limitaciones patentadoras, actualice al
grupo VPNv2. El grupo VPNv2 se admite en las instancias de vSRX que comienzan por Junos OS versión
15.1-D30, serie SRX los dispositivos que comienzan con Junos OS Release 15.1 X49-D40 y los
dispositivos de la serie MX a partir de Junos OS Release 15.1 R2.
Descripción del protocolo GDOI para el grupo VPNv1
El grupo VPNv1 se basa en RFC 3547, El dominio de interpretación de grupo (GDOI). Esta RFC describe
el protocolo entre miembros del grupo y un servidor de grupo para establecer asociaciones de la SA
entre los miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de
dispositivos. El protocolo GDOI se ejecuta en el puerto 848.
El protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) define dos

fases de negociación para establecer SA para un túnel AutoKey ICR IPsec. La fase 1 permite que dos
dispositivos establezcan una SA ISAKMP. La fase 2 establece AS para otros protocolos de seguridad,
como GDOI.
Con la VPN de grupo, la negociación DE SA ISAKMP de fase 1 se lleva a cabo entre un servidor de grupo
y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. En la fase 2,
los intercambios de GDOI entre el servidor y el miembro establecen las AS que se comparten con otros
miembros del grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo.
Los intercambios de GDOI en la fase 2 deben estar protegidos por AS ISAKMP de fase 1.
Hay dos tipos de intercambios de GDOI:
• El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo
desde el servidor.
• El groupkey-push intercambio es un mensaje de regeneración de clave único que permite que el

servidor envíe las asociaciones de red y de grupo a los miembros antes de que caduquen las SA de
grupo existentes. Los mensajes de regeneración de claves son mensajes no solicitados enviados
desde el servidor a los miembros.
Descripción de las limitaciones de VPNv1 de grupo
Los siguientes elementos no se admiten en esta versión del grupo VPNv1:
• Instancias de enrutamiento no predeterminadas

709
• Clúster de chasis
• Clústeres de servidores
• VPN de grupo basado en la ruta
• Implementación pública basada en Internet
• SNMP
• Denegar Directiva a través de Cisco obtener servidor VPN
• J-interfaz web para configuración y supervisión
A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100, SRX110,
SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden interoperar con servidores
VPNv2 de grupo. Cuando configure miembros de VPNv1 de grupo para usarlos con servidores VPNv2
de grupos, tenga en cuenta las limitaciones siguientes:
• El grupo VPNv2 admite el protocolo de detección GTI-I borrador de especificación IP de retraso de

entrega para un mecanismo antireplay basado en tiempo. Por lo tanto, la antireplay basada en el
protocolo de detección de retraso de la entrega IP no es compatible con los miembros del VPNv1 del
grupo deactivate security group-vpn server group group-name anti-replay-time-window y debe
deshabilitarse en el grupo VPNv2 servidor con el comando.
• El servidor VPNv2 de grupo no admite la coubicación, donde las funciones de servidor y miembro de
grupo del grupo se encuentran en el mismo dispositivo.
• El servidor VPNv2 de grupo no admite la transmisión de latidos. Debe deshabilitarse Heartbeat en el

grupo VPNv1 miembro con deactivate security group-vpn member ipsec vpn vpn-name heartbeat-
threshold el comando. Se recomienda utilizar los clústeres del servidor VPNv2 del grupo para evitar
el impacto del tráfico debido a los reinicios u otras interrupciones en el servidor VPNv2 del grupo.
• Los mensajes de inserción en clave de grupo enviados desde el servidor group VPNv2 se basan en
RFC 6407, El dominio de interpretación de grupo (GDOI) y no se admiten en miembros del grupo
VPNv1. Por lo tanto, los mensajes de inserción de groupkey deben estar deshabilitados en deactivate
security group-vpn server group group-name server-member-communication el grupo VPNv2
servidor con el comando.
Las claves se admiten con mensajes groupkey-pull. Si hay problemas de escalabilidad en los que los
miembros de VPNv1 de grupo no pueden completar la operación de groupkey antes de que expire la
TEK dura, recomendamos aumentar la duración de TEK para permitir un tiempo suficiente para que
los miembros completen la operación de groupkey-pull. Juniper de escalamiento de Juniper están
calificados con una duración de TEK de 2 horas.
• Si el grupo VPNv2 del servidor se reinicia o se actualiza, o bien se borran las SA del grupo, no es
posible agregar nuevos miembros a la red hasta que no se produzca la siguiente regeneración de
710
claves para los miembros existentes. Los nuevos miembros no pueden enviar tráfico a los miembros
existentes que tienen claves antiguas. Como solución, borre las SA del grupo existente VPNv1 los
miembros con el clear security group-vpn member ipsec security-associations comando.
• Dado que los miembros del VPNv2 de grupo no admiten el tráfico de datos de multidifusión, no se
puede usar el tráfico de datos de multidifusión cuando los miembros del grupo VPNv1 y el grupo
VPNv2 coexisten en la red para el mismo grupo.
Descripción de los servidores y miembros del VPNv1 de grupo
El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las tareas siguientes:
• Controles de pertenencia a grupos
• Genera claves de cifrado
• Administra las SA del grupo y las claves, y las distribuye a los miembros del grupo
Los miembros del grupo cifran el tráfico en función de las SA y las claves del grupo que proporciona el
servidor del grupo.
Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser
miembro de varios grupos.
Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y
65.535. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el identificador
de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no pueden usar el
mismo identificador de grupo.
A continuación se muestra una vista de alto nivel del servidor VPN de grupo y las acciones de los
miembros:
1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren. Un
dispositivo miembro debe proporcionar una autenticación ICR fase 1 correcta para unirse al grupo. Se
admite la autenticación de clave previamente compartida para una base por miembro.
2. Tras una autenticación y un registro exitosos, el dispositivo miembro recupera las claves y los SA del
grupo del groupkey-pull servidor con un intercambio GDOI.
3. El servidor agrega el miembro a la pertenencia del grupo.
4. Miembros del grupo intercambiar paquetes cifrados con claves de SA de grupo.
El servidor envía periódicamente SA y actualizaciones de clave a los miembros del grupo con mensajes
de groupkey-pushregeneración de claves (GDOI). Los mensajes de regeneración de claves se envían
antes de que las SA expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de
tráfico entre los miembros del grupo.
711
El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los
miembros cuando se produce un cambio en la pertenencia a grupos o cuando la Asociación de grupo ha
cambiado.
Descripción de la VPNv1 de grupo de servidores: comunicación de miembro
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La
comunicación entre el servidor y el miembro permite que groupkey-push el servidor envíe GDOI
mensajes de correo a los miembros. Si la comunicación del servidor o miembro no está configurada para
el grupo, groupkey-pull los miembros pueden enviar mensajes de GDOI para registrarse y volver a
registrar con el servidor, pero el servidor no podrá enviar mensajes de regeneración de claves a los
miembros.
La comunicación entre el servidor y el miembro se configura para el server-member-communication

grupo mediante el uso deedit security group-vpn serverla instrucción de configuración en la jerarquía [].
Se pueden definir las siguientes opciones:
• Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede
especificar 3DES-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC o des-CBC. No hay ningún
algoritmo predeterminado.
• Algoritmo de autenticación (MD5 o SHA1) que se utiliza para autenticar el miembro en el servidor.
No hay ningún algoritmo predeterminado.
• Si el servidor envía mensajes de regeneración de claves de unidifusión o multidifusión a los miembros

del grupo y los parámetros relacionados con el tipo de comunicación.
• Intervalo de tiempo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite
que el miembro determine si el servidor se ha reiniciado, lo que requeriría que el miembro se volvera
a registrar con el servidor. El valor predeterminado es 300 segundos.
• Duración de la clave de cifrado de clave (KEK). El valor predeterminado es 3600 segundos.
La configuración de la comunicación entre miembros del servidor es necesaria para que el servidor de
grupo envíe mensajes de regeneración de claves a los miembros, pero puede haber situaciones en las
que no se desee este comportamiento. Por ejemplo, si los miembros del grupo son homólogos dinámicos
(como en una oficina doméstica), los dispositivos no siempre están en funcionamiento y la dirección IP
de un dispositivo puede ser diferente cada vez que se enciende. La configuración de la comunicación
entre miembros del servidor para un grupo de pares dinámicos puede ocasionar transmisiones
innecesarias del servidor. Si desea que ICR negociación de SA de fase 1 se realice siempre para proteger
la negociación de GDOI, no configure la comunicación entre miembros del servidor.
Si no se configura la comunicación de miembro de servidor para un grupo, la lista de pertenencia que

aparece en el show security group-vpn server registered-members comando muestra los miembros del
grupo que se han registrado con el servidor; los miembros pueden estar activos o no. Cuando se
712
configura la comunicación entre miembros del servidor para un grupo, la lista de pertenencia a grupos se
borra. Si el tipo de comunicación se configura como unidifusión, show security group-vpn server
registered-members el comando muestra sólo los miembros activos. Si el tipo de comunicación está
configurado como multidifusión show security group-vpn server registered-members , el comando
muestra miembros que se han registrado con el servidor después de la configuración; la lista de
pertenencias no representa necesariamente los miembros activos porque los miembros pueden
descartarse después del registro.
Descripción de las operaciones de clave de grupo VPNv1 Group
Este tema contiene las siguientes secciones:
Claves de grupo
El servidor de grupo mantiene una base de datos para hacer un seguimiento de la relación entre grupos
VPN, miembros de grupo y claves de grupo. Existen dos tipos de claves de grupo que el servidor
descarga a los miembros:
• Clave de cifrado de clave (KEK): se usa para cifrar los mensajes de reclave. Se admite un KEK por
grupo.
• Clave de cifrado de tráfico (TEK): se usa para cifrar y descifrar el tráfico de datos IPsec entre
miembros del grupo.
Un miembro del Grupo acepta la clave asociada con una SA solo si existe una directiva de ámbito
coincidente configurada en el miembro. Se ha instalado una clave aceptada para el grupo VPN, mientras
que una clave rechazada se descarta.
Mensajes de regenerar claves
Si el grupo está configurado para comunicaciones de miembro de servidor, el servidor envía

periódicamente SA y actualizaciones de clave a los miembros del grupo con mensajes groupkey-pushde
regeneración de claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA
expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los
miembros del grupo.
miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha
cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).
Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para
permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo. Estas
opciones especifican el tipo de mensaje y los intervalos en los que se envían, tal y como se explica en las
secciones siguientes:
713
Hay dos tipos de mensajes de cambio de claves:
• Mensajes de reclave de unidifusión: el servidor de grupo envía una copia del mensaje de reclave a
cada miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben
enviar una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro
(incluida la retransmisión de mensajes de regeneración de claves), el servidor considera que el
miembro está inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de
regeneración de claves al miembro.
Las number-of-retransmission instrucciones retransmission-period de configuración para las

comunicaciones del miembro de servidor controlan el reenvío de mensajes de cambio de claves del
servidor cuando no se recibe ACK de un miembro.
• Mensajes de reclame multidifusión: el servidor de grupo envía una copia del mensaje de reclame
desde la interfaz de salida especificada a la dirección de grupo de multidifusión configurada. Los
miembros no envían confirmación de la recepción de mensajes de regeneración de claves de
multidifusión. La lista de pertenencia registrada no representa necesariamente los miembros activos
porque los miembros pueden descartarse después del registro inicial. Todos los miembros del grupo
deben estar configurados para admitir mensajes de multidifusión.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de

multidifusión en la red. Para obtener información detallada sobre la configuración de protocolos de
multidifusión en Juniper Networks dispositivos, consulte Guía del usuario de multicast Protocols .
El intervalo en el que el servidor envía los mensajes de regeneración de claves se calcula en lifetime-
seconds función activation-time-delay de los valores de lasedit security group-vpn server
groupinstrucciones de configuración y en la jerarquía []. El intervalo se calcula como lifetime-seconds
minus 4*(activation-time-delay) .
El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del
servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la
propuesta de IPSec; el valor predeterminado es 3600 segundos. El activation-time-delay está
configurado para el grupo en el servidor; el valor predeterminado es 15 segundos. Utilice los valores
predeterminados para y , el intervalo en el que el servidor envía mensajes lifetime-secondsactivation-
time-delay de reclave es 3600 minus 4*15 , o 3540 segundos.
Registro de miembro
Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave
actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull
con un intercambio GDOI. En este caso, el intervalo en el que el servidor envía los mensajes de
regeneración de claves se calcula de la siguiente manera: lifetime-secondsmenos 3 * (activation-time-
delay). Si se utilizan los valores lifetime-seconds predeterminados para y activation-time-delay, el
intervalo en el que el servidor envía los mensajes de regeneración de claves es 3600 menos 3 * 15 ó
3555 segundos.
714
El reregistro de un miembro puede tener lugar por las siguientes razones:
• El miembro detecta un reinicio del servidor debido a la ausencia de latidos recibidos del servidor.
• El mensaje de regeneración de claves del servidor de grupo se pierde o se retrasa, y la vigencia de la

TEK ha expirado.
Activación de claves
Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la
clave para el cifrado. Este periodo de tiempo lo determina la activation-time-delay declaración de
configuración y si la clave se recibe a través de un mensaje de regeneración de claves enviado desde el
servidor o como resultado de que el miembro vuelva a registrarse con el servidor.
Si la clave se recibe a través de un mensaje de cambio de claves enviado desde el servidor, el

miembroactivation-time-delayespera 2 * () segundos antes de usar la clave. Si la clave se recibe
mediante el reregistro del miembro, el miembro espera el número de segundos especificado por
activation-time-delay el valor.
Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo
instalado en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más
reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el
activation-time-delay valor después de activar la nueva clave.
El valor predeterminado de activation-time-delay la instrucción de configuración es 15 segundos.

Establecer este periodo de tiempo demasiado pequeño puede hacer que se descarte un paquete en un
miembro de un grupo remoto antes de que se instale la nueva clave. Tenga en cuenta la topología de red
y los retrasos de activation-time-delay transporte del sistema cuando cambie el valor. En el caso de las
transmisiones de unidifusión, el retraso de transporte del sistema es proporcional al número de
miembros del grupo.
Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEKs) a un grupo VPNv1
miembro groupkey-pull en respuesta a una solicitud. A continuación, se describe cómo el miembro
VPNv1 de grupo controla las TEK existentes y el TEKs que recibe del servidor:
• Si el miembro VPNv1 del grupo recibe dos o más TEKs, contiene las dos TEKs más recientes y elimina
el TEK existente. De las dos TEKs, el TEK antiguo se activa inmediatamente y el TEK más reciente se
activa después de que activation-time-delay haya configurado en el grupo VPNv1 servidor (el valor
predeterminado es 15 segundos).
• Si el miembro VPNv1 del grupo recibe una sola TEK o si recibe un TEK a través de groupkey-push un
mensaje del servidor, el Tek existente no se eliminará hasta que la duración del disco duro expire. La
duración no se acorta para el TEK existente.
El miembro VPNv1 del grupo sigue instalando un TEK recibido incluso si la duración TEK es inferior a
dos veces activation-time-delay el valor.
715
Descripción de los mensajes de latido de VPNv1 de grupo
Cuando se configura la comunicación entre miembros del servidor, el servidor VPNv1 de grupos envía
mensajes de latido a los miembros en intervalos específicos (el intervalo predeterminado es de 300
segundos). El mecanismo de latido permite que los miembros vuelvan a registrarse en el servidor si no se
recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latido
durante un reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelve a registrar
con el servidor.
Los latidos se transmiten a través groupkey-push de los mensajes. El número de secuencia se

incrementa en cada mensaje de latido, lo que protege a los miembros de los ataques de respuesta. A
diferencia de los mensajes de regeneración de claves, los destinatarios no reconocen los mensajes de
latido y no son retransmitidos por el servidor.
Los mensajes de latido contienen la siguiente información:
• Estado actual y configuración de las claves en el servidor
• Hora relativa, si antireplay está habilitada
Mediante la comparación de la información de los latidos, un miembro puede detectar si ha perdido

información del servidor o mensajes de regeneración de claves. El miembro vuelve a registrarse para
sincronizarse con el servidor.
Los mensajes de latido pueden aumentar la congestión de la red y provocar registros de miembros
innecesarios. Por lo tanto, la detección de latidos puede deshabilitarse en el miembro si es necesario.
Descripción del VPNv1 de grupo de servidores: modo de coubicación de miembros
Las funciones miembro de agrupación y servidor son independientes y no se superponen. Las funciones
de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se denomina modo de
coubicación. En el modo de coubicación, no se produce ningún cambio en cuanto a la funcionalidad y
comportamiento del servidor o de un miembro, sino que el servidor y el miembro deben tener asignados
direcciones IP diferentes para que los paquetes se puedan entregar correctamente. En el modo de
coubicación, sólo puede haber una dirección IP asignada al servidor y una dirección IP asignada al
miembro entre varios grupos.
SEE ALSO

716
Descripción general de la configuración del grupo VPNv1
Este tema describe las tareas principales para configurar VPNv1 de grupo.
En el servidor de grupo, configure lo siguiente:
1. ICR fase 1. Utilice la jerarquía [ edit security group-vpn server ike ] para configurar la sa ICR fase 1.
Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
2. SA IPsec de fase 2. Consulte Descripción de la configuración de Asociación de IPSec para el grupo
VPNv1.
3. Grupo VPN. Consulte Descripción general de la configuración del grupo VPNv1.
En el miembro del grupo, configure lo siguiente:
1. ICR fase 1. Utilice la jerarquía [ edit security group-vpn member ike ] para configurar una SA ICR fase
1. Consulte Descripción de ICR configuración de la fase 1 para VPNv1 de grupo .
2. SA IPsec de fase 2. Consulte Descripción de la configuración de Asociación de IPSec para el grupo

VPNv1.
3. Directiva de ámbito que determina qué directivas de grupo están instaladas en el miembro. Consulte
Understanding Dynamic Policies for Group VPNv1.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el
miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño unidad máxima de
transmisión (MTU) no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración
para establecer el tamaño de MTU.
El grupo de VPN se configura en el servidor con group la instrucción de configuración enedit security
group-vpn serverla jerarquía [].
La información del grupo consta de la siguiente información:
• Identificador de grupo: un valor entre 1 y 65.535 que identifica al grupo VPN. Se debe configurar el
mismo identificador de grupo en el miembro del grupo para Autokey ICR.
• Miembros del grupo, como se ha ike-gateway configurado con la instrucción de configuración. Puede
haber varias instancias de esta instrucción de configuración, una por cada miembro del grupo.
• Dirección IP del servidor (se recomienda la dirección de la interfaz de bucle).
• Políticas de grupo: políticas que se deben descargar a los miembros. Las directivas de grupo
describen el tráfico al que se aplican la SA y las claves. Consulte Understanding Dynamic Policies for
Group VPNv1.
• Comunicación entre miembros del servidor: configuración opcional que permite al servidor enviar
mensajes de reclave a los miembros. Consulte Group VPNv1 Overview.
717
• Antireplay: configuración opcional que detecta la interceptación y reproducción de paquetes.

Consulte Understanding Antireplay for Group VPNv1.
Una SA ICR fase 1 entre el servidor del grupo y un miembro del grupo establece un canal seguro en el
que negociar SA de IPSec que son compartidas por un grupo. Para VPN IPsec estándar en Juniper
Networks dispositivos de seguridad, la configuración de SA de fase 1 consiste en especificar ICR
propuesta, política y puerta de enlace. Para el grupo VPNv1, la configuración de SA ICR fase 1 es similar
a la configuración para VPN IPsec estándar, pero se realiza en la jerarquía [ edit security group-vpn ].
En la configuración de propuesta de ICR, configure el método de autenticación y los algoritmos de

autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la
configuración de política de ICR, se establece el modo (principal o agresivo) en el que se negociará el
canal de fase 1, se especifica el tipo de intercambio de claves que se va a usar y se hace referencia a la
propuesta de fase 1. En la configuración ICR puerta de enlace, hace referencia a la política de fase 1.
Dado que VPNv2 de grupo solo admite algoritmos seguros sha-256 , la opción de algoritmo de
autenticación se admite para los miembros del grupo VPNv1 en SRX100, SRX110, SRX210, SRX220,
SRX240, SRX550 y en los dispositivos de SRX650. Cuando los miembros del grupo VPNv1 interoperen
con servidores del grupo VPNv2, esta opción debe estar configurada en edit security group-vpn
member ike proposal proposal-name authentication-algorithm sha-256 el grupo VPNv1 miembros con
el comando. En el servidor VPNv2 del grupo authentication-algorithm sha-256 , deben configurarse
para propuestas authentication-algorithm hmac-sha-256-128 de ICR y deben configurarse para
propuestas IPSec.
Si una puerta de enlace de ICR en un miembro de grupo VPNv1 está configurado con más de una
dirección de puerta de enlace, se muestra el mensaje de error "Solo se permite configurar una dirección
remota por configuración de puerta de enlace ICR" cuando se confirma la configuración.
La ICR de fase 1 en el servidor de grupo debe coincidir con la configuración ICR fase 1 de los miembros
del grupo.
Después de que el servidor y el miembro establecen un canal seguro y autenticado en la negociación de

fase 1, avanzan en la fase 2. La negociación de fase 2 establece las SA IPsec que comparten los
miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la
configuración de SA IPsec para VPN de grupo es similar a la configuración de VPN estándar, no es
necesario que un miembro del grupo negocie la SA con otros miembros del grupo.
718
La configuración de IPsec de fase 2 para el grupo VPNv1 consta de la siguiente información:
• Una propuesta para el protocolo de seguridad, autenticación y algoritmo de cifrado que se utilizará
para la SA. La propuesta de Asociación de IPSec se configura en el servidor de proposal grupo con la
instrucción deedit security group-vpn server ipsecconfiguración en la jerarquía [].
• Una directiva de grupo que hace referencia a la propuesta. Una directiva de grupo especifica el
tráfico (Protocolo, dirección de origen, Puerto de origen, dirección de destino y puerto de destino) al
que se aplican la SA y las claves. La Directiva de grupo se configura en el servidor con ipsec-sa la
instrucción de configuración enedit security group-vpn server group la jerarquía [].
• Una ICR Autokey que hace referencia al identificador de grupo, el servidor de grupo (configurado ike-
gateway con la instrucción de configuración) y la interfaz utilizada por el miembro para conectarse al
grupo. La ICR Autokey se configura en el miembro con la ipsec vpn instrucción de configuración en
laedit security group-vpn memberjerarquía [].
Descripción de las políticas dinámicas para el grupo VPNv1
El servidor de grupo distribuye las asociaciones de as y las claves del grupo a los miembros de un grupo
especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto
de SA de IPsec. No obstante, no todas las SA configuradas para un grupo se instalan en todos los
miembros del grupo. La SA instalada en un miembro específico lo determina la directiva asociada con el
grupo SA y las políticas de seguridad configuradas en el miembro.
En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con
una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos
el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.
Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino,
Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si
intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se
devuelve un error. Si este es el caso, debe eliminar una de las políticas de grupo idénticas.
En un miembro del grupo, debe configurarse una directiva de ámbito que defina el ámbito de la Directiva
de grupo descargada del servidor. Una directiva de grupo distribuida desde el servidor se compara con
las directivas de ámbito configuradas en el miembro. Para instalar una directiva de grupo en el miembro,
deben cumplirse las siguientes condiciones:
• Cualquier dirección especificada en la Directiva de grupo debe estar en el intervalo de direcciones

especificado en la Directiva de ámbito.
• El puerto de origen, el puerto de destino y el protocolo especificados en la Directiva de grupo deben

coincidir con los configurados en la Directiva de ámbito.
719
Una directiva de grupo instalada en un miembro se denomina Directiva dinámica.
Una directiva de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un
contexto específico de zona y a zona. Junos OS realiza una búsqueda de políticas de seguridad en los
paquetes entrantes empezando por la parte superior de la lista ordenada.
Dependiendo de la posición de la Directiva de ámbito dentro de la lista ordenada de políticas de

seguridad, existen varias posibilidades para la búsqueda de políticas dinámicas:
• Si el paquete entrante coincide con una directiva de seguridad antes de que se considere la Directiva
de ámbito, no se realiza la búsqueda dinámica de políticas.
• Si una directiva entrante coincide con una directiva de ámbito, el proceso de búsqueda continúa para
una directiva dinámica coincidente. Si hay una directiva dinámica coincidente, se realiza la acción de
directiva (permit). Si no hay ninguna directiva dinámica coincidente, el proceso de búsqueda sigue
buscando las directivas debajo de la Directiva de ámbito.
En esta versión, solo se tunnel permite la acción de una directiva de ámbito. No se admiten otras
acciones.
Para configurar una directiva de ámbito en un miembro del grupo, policies utilice la instrucción de
configuraciónedit securityen la jerarquía []. Utilice la ipsec-group-vpn instrucción de configuración en la
regla permitir túnel para hacer referencia al grupo VPN; Esto permite a los miembros del Grupo
compartir una sola SA.
SEE ALSO
Introducción a las políticas de seguridad

Descripción de la ordenación de políticas de seguridad
Ejemplo Configuración de una directiva de seguridad para permitir o denegar todo el tráfico
Descripción de Antireplay para el VPNv1 del grupo
Antireplay es una característica de IPsec que puede detectar cuándo un paquete es interceptado y lo
reproducen los intrusos. Antireplay está habilitada de forma predeterminada para VPN de grupo, pero
puede deshabilitarse no-anti-replay para un grupo con la instrucción de configuración.
Cuando antireplay está habilitado, el servidor de grupo sincroniza el tiempo entre los miembros del
grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de
hora del paquete se encuentra dentro del valor configurado (el valor predeterminado anti-replay-time-
window es de 100 segundos). Un paquete se descarta si la marca de hora supera el valor.
720
SEE ALSO

Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo
in this section
Aplicables | 720
Automática | 722
Comproba | 739
En este ejemplo se muestra cómo configurar VPNv1 de grupo para ampliar la arquitectura IPsec de
modo que admita las asociaciones de seguridad compartidas por un grupo de dispositivos. El grupo
VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
• Configure el Juniper Networks dispositivos de seguridad para las comunicaciones de red.
• Configure las interfaces de red en los dispositivos miembro y servidor. Consulte la Guía del usuario
de interfaces para los dispositivos de seguridad.
721
En Figura 47 en la página 721, una VPN de grupo se compone de dos dispositivos miembro (member1
y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido en el servidor es
20.0.0.1). El identificador de grupo es 1.
Figura 47: Ejemplo de configuración del miembro del servidor
Las SA de VPN del grupo fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la
configuración de VPN de grupo debe incluir la configuración de ICR negociaciones de fase 1 tanto en el
servidor de grupo como en los miembros del grupo. Además, debe configurarse el mismo identificador
de grupo tanto en el servidor del grupo como en los miembros del grupo.
Las directivas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas
para un grupo se descargan en miembros del grupo. Las políticas de ámbito configuradas en un miembro
del grupo determinan qué directivas de grupo se instalan realmente en el miembro. En este ejemplo, las
siguientes directivas de grupo se configuran en el servidor del grupo para descargarlas en todos los
miembros del Grupo:
• p1: permite todo el tráfico del 10.1.0.0/16 al 10.2.0.0./16
• p2: permite todo el tráfico del 10.2.0.0./16 al 10.1.0.0/16
• p3: permite el tráfico de multidifusión desde 10.1.1.1/32
El dispositivo member1 se configura con políticas de ámbito que permiten todo el tráfico de unidifusión
hacia y desde la subred 10.0.0.0/8. No hay ninguna directiva de ámbito configurada en member1 para
permitir el tráfico de multidifusión; por lo tanto, la Directiva de SA P3 no está instalada en member1.
El dispositivo miembro2 está configurado con directivas de ámbito que quitan el tráfico del 10.1.0.0/16
de la zona de confianza a la zona de no confianza y 10.1.0.0/16 de la zona de no confianza a la zona de
confianza. Por tanto, la Directiva de SA P2 no está instalada en miembro2.
722
Automática
in this section
Configuración del servidor del grupo | 722
Configurando Member1 | 726
Configura Miembro2 | 732
Configuración del servidor del grupo

set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys
set security group-vpn server ike proposal srv-prop dh-group group2
set security group-vpn server ike proposal srv-prop authentication-algorithm sha1
set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc
set security group-vpn server ike policy srv-pol mode main
set security group-vpn server ike policy srv-pol proposals srv-prop
set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123"
set security group-vpn server ike gateway gw1 ike-policy srv-pol
set security group-vpn server ike gateway gw1 address 10.1.0.1
set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96
set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc
set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600
set security group-vpn server group grp1 group-id 1
set security group-vpn server group grp1 ike-gateway gw1
set security group-vpn server group grp1 anti-replay-time-window 120
set security group-vpn server group grp1 server-address 20.0.0.1
723
set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0
Para configurar el servidor del Grupo:
1. Configure la dirección de bucle de retroceso en el dispositivo.
[edit]
user@host# edit interfaces
2. Configure ICR SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en los
miembros del grupo).
[edit security group-vpn server ike proposal srv-prop]

724
3. Defina la Directiva de ICR y establezca las puertas de enlace remotas.
[edit security group-vpn server ike]

user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123"
user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1
4. Configure el intercambio de SA de fase 2.
[edit security group-vpn server ipsec proposal group-prop]

user@host# set authentication-algorithm hmac-sha1–96
5. Configure el identificador de grupo y ICR puerta de enlace.
[edit security group-vpn server group grp1]

user@host# set group-id 1
user@host# set ike-gateway gw1
user@host# set ike-gateway gw2
user@host# set anti-replay-time-window 120 server-address 20.0.0.1
6. Configurar las comunicaciones de servidor a miembro.

user@host# set server-member-communication communication-type unicast encryption-algorithm
aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
7. Configure las directivas de grupo que se van a descargar en miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa]

user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16
source-port 0 destination-port 0 protocol 0
725

Resultados
Desde el modo de configuración, escriba el show security group-vpn server comando para confirmar la
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
dh-group group2;
}
policy srv-pol {
mode main;
proposals srv-prop;
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
}
}
group grp1 {
group-id 1;
726
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Configurando Member1
727
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys

set security group-vpn member ike proposal prop1 dh-group group2
set security group-vpn member ike proposal prop1 authentication-algorithm sha1
set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc
set security group-vpn member ike policy pol1 mode main
set security group-vpn member ike policy pol1 proposals prop1
set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123"
set security group-vpn member ike gateway g1 ike-policy pol1
set security group-vpn member ike gateway g1 address 20.0.0.1
set security group-vpn member ike gateway g1 local-address 10.1.0.1
set security group-vpn member ipsec vpn v1 ike-gateway g1
set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0
set security group-vpn member ipsec vpn v1 group 1
set security address-book book1 address 10_subnet 10.0.0.0/8
set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet
set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet
set security policies from-zone trust to-zone untrust policy scope1 match application any
set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1
set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope1 match application any
set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Para configurar member1:

728
1. Configurar SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el

servidor de grupo).
[edit security group-vpn member ike proposal prop1]

user@member1# set authentication-method pre-shared-keys
user@member1# set dh-group group2
user@member1# set authentication-algorithm sha1
user@member1# set encryption-algorithm 3des-cbc
[edit security group-vpn member ike]

user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123"
user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
3. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz de member1.
[edit security group-vpn member ipsec]

user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los
miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no
superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el
tamaño de MTU.
4. Crear libretas de direcciones y asociarles zonas.

user@member1# set address 10_subnet 10.0.0.0/8
user@member1# set attach zone trust

user@member1# set attach zone untrust
729
5. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita
el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet
application any
user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
6. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que permita

application any
Resultados
Desde el modo de configuración, escriba los show security group-vpn member comandos y show
security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada,
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
dh-group group2;
}
policy pol1 {
mode main;
proposals prop1;
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
730
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
731
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy scope1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
application any;
}
then {
deny;
}
}
}

732
Configura Miembro2

set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123"
set security address-book book1 address 10_1_0_0_16 10.1.0.0/16
set security address-book book1 address multicast_net 239.0.0.0/8
set security address-book book2 address 10_1_0_0_16 10.1.0.0/16
set security address-book book2 address multicast_net 239.0.0.0/8
set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16
set security policies from-zone trust to-zone untrust policy deny2 match destination-address any
set security policies from-zone trust to-zone untrust policy deny2 match application any
set security policies from-zone trust to-zone untrust policy deny2 then reject
set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet
set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address
733
10_subnet
set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address
multicast-net
set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any
set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-
vpn v2
set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security
policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies
from-zone untr
set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16
set security policies from-zone untrust to-zone trust policy deny2 match application any
set security policies from-zone untrust to-zone trust policy deny2 then reject
set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address
10_subnet
set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address
multicast-net
set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any
set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-
vpn v2
Para configurar miembro2:
1. Configurar SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el

servidor de grupo).

user@member2# set authentication-method pre-shared-keys
user@member2# set dh-group group2
user@member2# set authentication-algorithm sha1
user@member2# set encryption-algorithm 3des-cbc
734
2. Defina la Directiva de ICR y establezca la puerta de enlace remota.

user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123"
user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
3. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz para miembro2.

user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los
miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no
superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el
tamaño de MTU.
4. Cree una libreta de direcciones y adjúntela a la zona de confianza.

user@member2# set address 10_1_0_0_16 10.1.0.0/16
user@member2# set address multicast_net 239.0.0.0/8
5. Crear otra libreta de direcciones y adjuntarla a la zona de no confianza.

user@member2# set address 10_1_0_0_16 10.1.0.0/16
user@member2# set address multicast_net 239.0.0.0/8
6. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que bloquee
el tráfico desde 10.1.0.0/16.

user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any
application any
735
user@member2# set policy deny2 then reject

application any
user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address
multicast-net application any
user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
7. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que bloquee
el tráfico en 10.1.0.0/16.

user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16
application any
user@member2# set policy deny2 then reject
application any
user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address
multicast-net application any
user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Resultados
Desde el modo de configuración, escriba los show security group-vpn member comandos y show
security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada,
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
dh-group group2;
}
policy pol2 {
mode main;
736
proposals prop2;
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group 1;
}
}
[edit]
user@member2# show security policies
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy deny2 {
match {
source-address 10_1_0_0_16;
application any;
}
then {
reject;
}
737
}
policy scope2 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy deny2 {
match {
738
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
match {
source-address any;
application any;
}
then {
739
deny;
}
}
}
Comproba
in this section
Comprobando directivas dinámicas para Member1 | 739
Comprobando las políticas dinámicas de Miembro2 | 740
Comprobando directivas dinámicas para Member1
Purpose
Vea las políticas dinámicas instaladas en member1.
Intervención
Después de que el servidor del grupo descarga claves a member1 show security dynamic-policies ,
escriba el comando desde el modo operativo.
user@member1> show security dynamic-policies

Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI:
disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
740
Destination port range: [0-0]

Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI:
Sequence number: 2
From zone: trust, To zone: untrust
Efectos
La Directiva de multidifusión P3 desde el servidor no está instalada en member1 porque no hay ninguna
directiva de ámbito configurada en member1 que permita el tráfico de multidifusión.
Comprobando las políticas dinámicas de Miembro2
Purpose
Ver las políticas dinámicas instaladas en el miembro 2.
Intervención
Una vez que el servidor del grupo descarga las claves en show security dynamic-policies miembro2,
escriba el comando en el modo operativo.
user@member2> show security dynamic-policies

Sequence number: 1
741

Sequence number: 1
Sequence number: 2
Source addresses: 10.2.0.0/16/0
Sequence number: 2
742
Efectos
La Directiva P2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en

miembro2, ya que coincide con la Directiva de seguridad deny2 configurada en miembro2.
SEE ALSO
Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del

servidor para mensajes de regeneración de claves de unidifusión
in this section
Aplicables | 742
Automática | 743
Comproba | 744
En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de
unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110,
SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
• Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.
• Configure el servidor de grupo y los miembros para SA IPsec de fase 2.
• Configure el g1 grupo en el servidor de grupo.

743
En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor
para el Grupo:
• El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.
• para cifrar el tráfico entre el servidor y los miembros se utiliza 3DES-CBC.
• se utiliza SHA1 para la autenticación de miembros.
Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las
retransmisiones.
Automática
in this section
Modalidades | 743
Modalidades
Para configurar la comunicación entre miembros del servidor:
1. Establezca el tipo de comunicación.
[edit security group-vpn server group g1 server-member-communication]

user@host# set communications-type unicast
2. Establezca el algoritmo de cifrado.

744
3. Establezca la autenticación del miembro.

user@host# set sig-hash-algorithm sha1
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server
group g1 server-member-communication comando.
SEE ALSO
Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro

del servidor para mensajes de regeneración de claves de multidifusión
in this section
Aplicables | 744
Automática | 745
Comproba | 747
En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de cambio de clave de
multidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110,
SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
745
• Configure el servidor del grupo y los miembros para ICR fase 1 y la SA IPsec de fase 2. Consulte
ejemplo: Configuración del servidor y los miembros del grupo VPNv1 o ejemplo: Configurando
VPNv1 de grupo con la coubicaciónde miembros del servidor.
• Configure GE-0/0/1.0, que es la interfaz que utilizará el servidor para enviar mensajes de
multidifusión. Consulte Junos os biblioteca de protocolos de enrutamiento.
• Configure el 226.1.1.1 de dirección del grupo de multidifusión. Consulte Junos os biblioteca de

protocolos de enrutamiento.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de

multidifusión en la red. En este ejemplo no se muestra la configuración de multidifusión.
En este ejemplo, se especifica la siguiente comunicación del miembro de servidor para g1el Grupo:
• El servidor envía mensajes de regeneración de claves de multidifusión a los miembros del grupo por
medio de 226.1.1.1 de direcciones de multidifusión y interface GE-0/0/1.0.
• para cifrar el tráfico entre el servidor y los miembros se utiliza 3DES-CBC.
• se utiliza SHA1 para la autenticación de miembros.
Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las
retransmisiones.
Automática
in this section
Modalidades | 745
Modalidades
746
set security group-vpn server group g1 server-member-communication communication-type multicast

set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1
set security group-vpn server group g1 server-member-communication multicast-outgoing-interface
ge-0/0/1.0
set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc
set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Para configurar la comunicación de miembro de servidor para mensajes de cambio de claves de

multidifusión:

user@host# set communication-type multicast
2. Establecer el grupo de multidifusión.

user@host# set multicast-group 226.1.1.1
3. Establezca la interfaz para los mensajes de multidifusión salientes.

user@host# set multicast-outgoing-interface ge-0/0/1.0

747

user@host# set sig-hash-algorithm sha1
Resultados
Desde el modo de configuración, escriba el show security group-vpn server group g1 server-member-
communication comando para confirmar la configuración. Si el resultado no muestra la configuración
deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show security group-vpn server group g1 server-member-communication
communication-type multicast;
multicast-group 226.1.1.1;
multicast-outgoing-interface ge-0/0/1.0;
sig-hash-algorithm sha1;
Comproba
in this section
Comprobación de la comunicación de los miembros del servidor para mensajes de regeneración de

claves de multidifusión | 748

748
Comprobación de la comunicación de los miembros del servidor para mensajes de regeneración de

claves de multidifusión
Purpose
Compruebe que los parámetros de comunicación del miembro de servidor para el mensaje de
regeneración de multidifusión están configurados correctamente para garantizar que las claves válidas
estén disponibles para el cifrado de tráfico entre los miembros del grupo.
Intervención
En modo operativo, escriba el show security group-vpn server group g1 server-member-

communication comando.
SEE ALSO
Ejemplo Configuración de un ID ICR de grupo para varios usuarios

Descripción del procesamiento de paquetes de ICR y IPsec
Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del

servidor
in this section
Aplicables | 749
Automática | 750
Comproba | 759
En este ejemplo se muestra cómo configurar un dispositivo para el modo de coubicación, que permite
que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 se
admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
749
Aplicables
Antes de empezar:
• Configure el Juniper Networks dispositivos de seguridad para las comunicaciones de red.
• Configure las interfaces de red en los dispositivos miembro y servidor. Consulte la Guía del usuario
de interfaces para los dispositivos de seguridad.
Cuando se configura el modo de coubicación, las funciones agrupadas de servidor y miembro de grupo
pueden coexistir en el mismo dispositivo. En el modo de coubicación, el servidor y el miembro deben
tener direcciones IP diferentes para que los paquetes se entreguen correctamente.
En Figura 48 en la página 749, una VPN de grupo (identificador de grupo es 1) consta de dos miembros
(member1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido es
20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor del grupo. En
este ejemplo, se asigna a la interfaz que member1 usa para conectarse a MPLS red (GE-0/1/0) la
dirección IP 10.1.0.1/32.
Figura 48: Ejemplo de coubicación de miembros de servidor
Las instrucciones de configuración de este tema describen cómo configurar el servidor del grupo-
dispositivo member1 para el modo coubicación. Para configurar member2, consulte ejemplo:
Configurando el servidor VPNv1y los miembros del grupo.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el
miembro del grupo para conectarse al MPLS red esté configurada para un tamaño de MTU no superior a
1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.
750
Automática
in this section
Modalidades | 750
Modalidades

set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-
VYZUHX7UHqmF3Sre"
set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys
set security group-vpn server ike proposal srv-prop dh-group group2
set security group-vpn server ike proposal srv-prop authentication-algorithm sha1
set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc
set security group-vpn server ike policy srv-pol mode main
set security group-vpn server ike policy srv-pol proposals srv-prop
set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-
751
VYZUHX7UHqmF3Sre"
set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96
set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc
set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600
set security group-vpn server group grp1 group-id 1
set security group-vpn server group grp1 anti-replay-time-window 120
set security group-vpn server group grp1 server-address 20.0.0.1
set security group-vpn server group grp1 server-member-communication communication-type unicast
set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc
set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5
set security group-vpn server group grp1 server-member-communication certificate srv-cert
set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop
set security group-vpn co-location
752
set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet
Para configurar la VPN de grupo con coubicación de miembro de servidor:
1. Configure la dirección de bucle de retroceso en el dispositivo.
[edit interfaces]
2. Configure la interfaz que member1 usa para conectarse a la red MPLS.
[edit interfaces]
3. Configure la coubicación de VPN del grupo en el dispositivo.
[edit security group-vpn]

user@host# set co-location
4. Configure ICR SA de fase 1 para el servidor (esta configuración debe coincidir con la SA de fase 1
configurada en miembros del grupo).
[edit security group-vpn server ike proposal srv-prop]

753


user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-
VYZUHX7UHqmF3Sre"
6. Configure el intercambio de SA de fase 2 para el servidor.
[edit security group-vpn server ipsec proposal group-prop]

7. Configure el identificador de grupo, la puerta de enlace de ICR, el tiempo de antireplay y la

dirección de servidor en el servidor.

user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1
user@host#set ike-gateway gw1
user@host#set ike-gateway gw2
8. Configure las comunicaciones entre el servidor y el miembro.

user@host# set server-member-communication communication-type unicast encryption-algorithm
aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
9. Configure las directivas de grupo que se van a descargar en miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa ]

754

10. Configurar SA de fase 1 para member1 (esta configuración debe coincidir con la SA de fase 1
configurada para el servidor de grupo).

11. Defina la Directiva y establezca la puerta de enlace remota para member1.

user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-
VYZUHX7UHqmF3Sre"
user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
12. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz de member1.

user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
13. Crear libretas de direcciones y adjuntarlas a las zonas.


755
14. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita

application any
15. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que
permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

application any
Resultados
Desde el modo de configuración, escriba el show security group-vpn comando y show security policies
para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
En la lista de políticas de seguridad configuradas, asegúrese de que las políticas de ámbito se enumeran
antes de las directivas predeterminadas.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
dh-group group2;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-
DATA
756
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
dh-group group2;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ##
SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
757
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
server-member-communication {
communication-type unicast;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
758
}
co-location;
[edit]
match {
source-address any;
application any;
}
then {
permit;
}
}
}
policy scope1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
match {
source-address any;
application any;
}
then {
permit;
}
759
}
}
match {
source-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Comproba
in this section
Comprobando el registro de miembro de VPN de grupo | 760
Comprobando las asociaciones de seguridad del servidor VPN del grupo para ICR | 760
Comprobando asociaciones de seguridad de servidor VPN de grupo para IPsec | 760
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para ICR | 760
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para IPsec | 761
760
Comprobando el registro de miembro de VPN de grupo
Purpose
Compruebe que los miembros de la VPN del grupo se han registrado correctamente.
Intervención
En modo operativo, escriba el show security group-vpn registered-members comando.
Comprobando las asociaciones de seguridad del servidor VPN del grupo para ICR
Purpose
Compruebe que las SA del servidor VPN de grupo ICR.
Intervención
En modo operativo, escriba el show security group-vpn server ike security-associations comando.
Comprobando asociaciones de seguridad de servidor VPN de grupo para IPsec
Purpose
Compruebe las SA del servidor VPN de grupo para IPsec.
Intervención
En modo operativo, escriba el show security group-vpn server ipsec security-associations comando.
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para ICR
Purpose
Compruebe que el SAs de los miembros de la VPN del grupo ICR.
Intervención
En modo operativo, escriba el show security group-vpn member ike security-associations comando.
761
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para IPsec
Purpose
Compruebe las SA de los miembros de VPN de grupo para IPsec.
Intervención
En modo operativo, escriba el show security group-vpn member ipsec security-associations comando.
release-history

release-history
12.3X48-D30 A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar
con servidores VPNv2 Group.
12.3X48-D30 A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100,
SRX110, SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden
interoperar con servidores VPNv2 de grupo.
Agrupar VPNv2
in this section
Descripción de la dirección de tráfico del grupo VPNv2 | 771

762
Descripción del proceso del VPNv2 de la prueba de recuperación del grupo | 773
Descripción de los VPNv2 de grupo Antireplay | 774
Ejemplo Configuración de un grupo VPNv2 servidores y miembros | 774
Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del servidor para mensajes de regeneración
de claves de unidifusión | 822
Group VPNv2 introduce el concepto de grupo de confianza para eliminar los túneles punto a punto y sus
enrutamientos superpuestos asociados. Todos los miembros del grupo comparten una asociación de
seguridad común (SA), también conocida como SA de grupo.
in this section
Descripción del protocolo GDOI para el grupo VPNv2 | 764
Descripción de los servidores y miembros del VPNv2 de grupo | 764
Descripción de las limitaciones de VPNv2 de grupo | 765
Descripción de la VPNv2 de grupo de servidores: comunicación de miembro | 766
Descripción de las operaciones de clave de VPNv2 de grupo | 767
Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red
privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y
cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con muchas
763
implementaciones de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad (consulte
Figura 49 en la página 763).
Figura 49: SAs de punto a punto
Grupo VPNv2 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten
un grupo de dispositivos, Figura 50 en la página 763(consulte). Con VPNv2 de grupo, la conectividad
de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino
en el encabezado exterior. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Figura 50: SA compartidas
Group VPNv2 es una versión mejorada de la característica VPN de grupo introducida en una versión
anterior Junos OS para dispositivos serie SRX. El grupo VPNv2 en dispositivos de Juniper admite RFC
6407, El dominio de interpretación de grupo (GDOI)e interopera con otros dispositivos que cumplen con
la RFC 6407.
764
Descripción del protocolo GDOI para el grupo VPNv2
El grupo VPNv2 se basa en RFC 6407, El dominio de interpretación de grupo (GDOI). Esta RFC describe
el protocolo entre los miembros de grupo y los servidores de grupo para establecer SA entre los
miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de
dispositivos. El grupo VPNv2 se admite en vSRX instancias y en todos los dispositivos serie SRX, salvo
SRX5400, SRX5600 y SRX5800.
El protocolo GDOI se ejecuta en el puerto UDP 848. El protocolo de administración de claves y

asociaciones de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para
un túnel IPsec ICR. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP para otros
protocolos de seguridad, como GDOI.
Con el grupo VPNv2, la negociación DE SA ISAKMP de fase 1 se lleva a cabo entre un servidor de grupo
y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. GDOI
intercambios entre el servidor y el miembro establece las SA que se comparten con otros miembros del
grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo. Los
intercambios GDOI deben estar protegidos por AS ISAKMP de fase 1.
Hay dos tipos de intercambios de GDOI:
• El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo
desde el servidor. Los miembros del grupo deben registrarse en un servidor de groupkey-pull grupo a
través de un intercambio.
• El groupkey-push intercambio es un mensaje de regeneración de clave único que permite que el

servidor envíe las asociaciones de red y de grupo a los miembros antes de que caduquen las SA de
grupo existentes. Los mensajes de regeneración de claves son mensajes no solicitados enviados
desde el servidor a los miembros.
Descripción de los servidores y miembros del VPNv2 de grupo
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El centro del grupo VPNv2 es el controlador de
grupo/servidor de claves (GCKS). Un clúster de servidores se puede utilizar para proporcionar
redundancia GCKS.
El servidor de GCKS o grupo realiza las tareas siguientes:
• Controla la pertenencia a grupos.
• Genera claves de cifrado.
• Envía las nuevas SA y claves del grupo a los miembros. Los miembros del grupo cifran el tráfico en
función de las SA y las claves del grupo que proporciona el servidor del grupo.
765
Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser
miembro de varios grupos.
Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y
4.294.967.295. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el
identificador de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no
pueden usar el mismo identificador de grupo.
A continuación se muestra una vista de alto nivel del servidor VPNv2 las acciones de los miembros y los
servidores:
1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren.
2. Para registrarse con el servidor del grupo, el miembro establece primero una asociación de ICR con el
servidor. Un dispositivo miembro debe proporcionar una autenticación ICR fase 1 correcta para
unirse al grupo. Se admite la autenticación de clave previamente compartida para una base por
miembro.
3. Tras una autenticación y registro exitosos, el dispositivo miembro recupera asociaciones y claves de
grupo para el identificador de grupo especificado del servidor con un groupkey-pull intercambio
GDOI.
4. El servidor agrega el miembro a la pertenencia del grupo.
5. Miembros del grupo intercambiar paquetes cifrados con claves de SA de grupo.
El servidor envía SA y actualizaciones de clave a los miembros del grupo con mensajes de groupkey-
pushregeneración de claves (GDOI). El servidor envía mensajes de regeneración de claves antes de que
el SAs expire para garantizar que las claves válidas estén disponibles para el cifrado de tráfico entre los
miembros del grupo.
Un mensaje de regeneración de claves enviado por el servidor requiere un mensaje de confirmación

(ACK) de cada miembro del grupo. Si el servidor no recibe un mensaje ACK del miembro, el mensaje de
regeneración de claves se retransmite en el retransmission-period configurados (el valor predeterminado
es 10 segundos). Si no hay respuesta del miembro después de lo configurado (el valor predeterminado es
2 veces), el miembro se elimina de los miembros registrados number-of-retransmission del servidor.
También se elimina el SA ICR entre el servidor y el miembro.
miembros cuando el grupo de SA ha cambiado.
Descripción de las limitaciones de VPNv2 de grupo
Los servidores VPNv2 del grupo solo funcionan con miembros del grupo VPNv2 compatibles con RFC
6407, El dominio de interpretación de grupo (GDOI).
766
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Los siguientes elementos no se admiten en esta
versión del grupo VPNv2:
• SNMP.
• Denegar Directiva a través de Cisco obtener servidor VPN.
• La compatibilidad de PKI con la fase 1 ICR la autenticación.
• Coubicación del servidor y del miembro del grupo, donde las funciones servidor y miembro coexisten
en el mismo dispositivo físico.
• Agrupar los miembros configurados como clústeres de chasis.
• Interfaz de J-web para la configuración y supervisión.
• Tráfico de datos de multidifusión.
El grupo VPNv2 no se admite en implementaciones en las que no se pueden conservar las direcciones
IP; por ejemplo, en Internet, donde TDR se usa.
Descripción de la VPNv2 de grupo de servidores: comunicación de miembro
SRX4200 y dispositivos SRX4600 e instancias de vSRX. La comunicación entre los miembros del
servidor permite al servidor groupkey-push enviar mensajes GDOI (regenerar claves) a los miembros. Si
la comunicación del servidor o miembro no está configurada para el grupo, groupkey-pull los miembros
pueden enviar mensajes de GDOI para registrarse y registrarse en el servidor, pero el servidor groupkey-
push no podrá enviar mensajes a los miembros.
La comunicación entre el servidor y el miembro se configura para el server-member-communication

grupo mediante el uso deedit security group-vpn serverla instrucción de configuración en la jerarquía [].
Se pueden definir las siguientes opciones:
• Algoritmo de autenticación (SHA-256 o Sha-384) que se utiliza para autenticar al miembro en el

servidor. No hay ningún algoritmo predeterminado.
• Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede
especificar AES-128-CBC, AES-192-CBC o AES-256-CBC. No hay ningún algoritmo predeterminado.
• Comunicación de unidifusión tipo de mensajes de regeneración de claves enviados a miembros del

grupo.
• Duración de la clave de cifrado de clave (KEK). El valor predeterminado es 3600 segundos.

767
• Número de veces que el servidor de grupo vuelve groupkey-push a transmitir mensajes a un

miembro del grupo sin respuesta (el valor predeterminado es 2 veces) y el periodo de tiempo entre
retransmisiones (el valor predeterminado es 10 segundos).
Si no se configura la comunicación de miembro de servidor para un grupo, la lista de pertenencia que

aparece en el show security group-vpn server registered-members comando muestra los miembros del
grupo que se han registrado con el servidor; los miembros pueden estar activos o no. Cuando se
configura la comunicación entre miembros del servidor para un grupo, la lista de pertenencia a grupos se
borra. Para el tipo de comunicación de unidifusión, el show security group-vpn server registered-
members comando muestra únicamente los miembros activos.
Descripción de las operaciones de clave de VPNv2 de grupo
Este tema contiene las siguientes secciones:
Claves de grupo
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo mantiene una base de
datos para hacer un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo.
Existen dos tipos de claves de grupo que el servidor descarga a los miembros:
• Clave de cifrado de clave (KEK): se usa para cifrar los intercambios de reclame sa (GDOI). groupkey-
push Se admite un KEK por grupo.
• Clave de cifrado de tráfico (TEK): se usa para cifrar y descifrar el tráfico de datos IPsec entre
miembros del grupo.
La clave asociada con una SA solo la acepta un miembro del grupo si hay una directiva coincidente
configurada en el miembro. Se ha instalado una clave aceptada para el grupo, mientras que una clave
rechazada se descarta.
Mensajes de regenerar claves
Si el grupo está configurado para comunicaciones de miembro de servidor, el servidor envía la SA y las
actualizaciones de clave a los miembros del grupo groupkey-pushcon mensajes de regeneración de
claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA expiren; Esto
garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.
miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha
cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).
768
Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para
permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo.
El servidor del grupo envía una copia del mensaje de regeneración de claves de unidifusión a cada
miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben enviar
una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro (incluida la
retransmisión de mensajes de regeneración de claves), el servidor considera que el miembro está
inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de regeneración de
claves al miembro.
Las number-of-retransmission instrucciones retransmission-period de configuración para las

comunicaciones del miembro de servidor controlan el reenvío de mensajes de cambio de claves del
servidor cuando no se recibe ACK de un miembro.
El intervalo en el que el servidor envía mensajes de regeneración de claves se basa en lifetime-seconds

el valor de la instrucciónedit security group-vpn server group group-namede configuración en la
jerarquía []. Las claves nuevas se generan antes de que expiren las claves KEK y TEK.
El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del
servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la
propuesta de IPSec; el valor predeterminado es 3600 segundos.
Registro de miembro
Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave
actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull
con un intercambio GDOI.
Descripción general de la configuración del grupo VPNv2
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Este tema describe las tareas principales para
configurar VPNv2 de grupo.
El controlador de grupo/servidor de claves (GCKS) administra las asociaciones de seguridad (SA) del
grupo VPNv2, y genera claves de cifrado y las distribuye a los miembros del grupo. Puede usar un
clúster del servidor VPNv2 de grupo para proporcionar redundancia de GCKS. Consulte Understanding
Group VPNv2 Server clusters.
En el servidor o servidores del grupo, configure lo siguiente:
1. ICR sa de fase 1. Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
2. SA de IPsec. Consulte Descripción de la configuración de Asociación de IPSec para el grupo VPNv2.
769
3. Información del grupo VPN, incluido el identificador de grupo, ICR puertas de enlace para miembros
del grupo, el número máximo de miembros del grupo y las comunicaciones entre miembros del
servidor. La configuración del grupo incluye una directiva de grupo que define el tráfico al que se
aplican la SA y las claves. Puede configurar opcionalmente el clúster de servidor y antireplay ventana
de tiempo. Consulte Descripción general de la configuración del grupo VPNv2 y comprensión del
control de tráfico del VPNv2 del grupo.
En el miembro del grupo, configure lo siguiente:
1. ICR sa de fase 1. Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
2. SA de IPsec. Consulte Descripción de la configuración de Asociación de IPSec para el grupo VPNv2.
3. Directiva IPsec que define la zona entrante (normalmente una LAN protegida), la zona saliente
(normalmente una WAN) y el grupo VPN al que se aplica la Directiva. También se pueden especificar
las reglas Exclude o Fail-Open. Consulte Descripción del control del tráfico del grupo VPNv2.
4. Directiva de seguridad para permitir el tráfico VPN de grupo entre las zonas especificadas en la
directiva IPsec.
Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red.
El grupo se configura en el servidor con la group instrucción de configuración en laedit security group-
vpn serverjerarquía [].
La información del grupo consta de la siguiente información:
• Identificador de grupo: un valor que identifica al grupo VPN. Debe configurarse el mismo
identificador de grupo en el miembro del grupo.
• Cada miembro del grupo se configura con ike-gateway la instrucción de configuración. Puede haber
varias instancias de esta instrucción de configuración, una por cada miembro del grupo.
• Políticas de grupo: políticas que se deben descargar a los miembros. Las directivas de grupo
describen el tráfico al que se aplican la SA y las claves. Consulte Descripción del control del tráfico
del grupo VPNv2.
• Umbral de miembro: la cantidad máxima de miembros del grupo. Una vez que se alcanza el umbral de
miembros de un grupo, un servidor groupkey-pull deja de responder a las iniciaciones procedentes
de nuevos miembros. Consulte Understanding Group VPNv2 Server clusters.
• Comunicación entre miembros del servidor: configuración opcional que permite al servidor enviar
groupkey-push mensajes de reclave a los miembros.
• Clúster de servidor: configuración opcional que admite redundancia de controlador de grupo/

servidor de claves (GCKS). Consulte Understanding Group VPNv2 Server clusters.
770
• Antireplay: configuración opcional que detecta la interceptación y reproducción de paquetes.

Consulte Understanding Group VPNv2 Antireplay.
Una SA ICR fase 1 entre un servidor de grupo y un miembro del grupo establece un canal seguro en el
que negociar SA de IPSec que son compartidas por un grupo. Para VPN IPsec estándar en Juniper
Networks dispositivos de seguridad, la configuración de SA de fase 1 consiste en especificar ICR
propuesta, política y puerta de enlace.
Para el grupo VPNv2, la configuración de SA de fase 1 de ICR es similar a la configuración para VPN
IPsec estándar, pero se realiza en las jerarquías [ ] y edit security group-vpn server ike [ edit security
group-vpn member ike ]. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
En la configuración de propuesta de ICR, configure el método de autenticación y los algoritmos de

autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la
configuración ICR política, se establece el modo en el que se negociará el canal de fase 1, se especifica el
tipo de intercambio de claves que se va a utilizar y se hace referencia a la propuesta de fase 1. En la
configuración ICR puerta de enlace, hace referencia a la política de fase 1.
La propuesta de ICR y la configuración de políticas del servidor de grupo deben coincidir con la
propuesta de ICR y la configuración de políticas en los miembros del grupo. En un servidor de grupo, se
configura una puerta de enlace de ICR para cada miembro del grupo. En un miembro del grupo, se
pueden especificar hasta cuatro direcciones de servidor en la configuración de puerta de enlace de ICR.
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Después de que el servidor y el miembro
establecen un canal seguro y autenticado en la negociación de fase 1, proceden a establecer las SA de
IPSec que comparten los miembros del grupo para proteger los datos que se transmiten entre los
miembros. Mientras que la configuración de SA de IPsec para el grupo VPNv2 es similar a la
configuración de las VPN estándar, un miembro del grupo no necesita negociar la SA con otros
miembros del grupo.
La configuración de IPsec para VPNv2 de grupo consta de la siguiente información:
• En el servidor de grupo, se configura una propuesta IPsec para el algoritmo de seguridad,

autenticación y Protocolo de cifrado que se utilizará para la SA. La propuesta de Asociación de IPsec
771
se configura en el servidor de proposal grupo con la instrucción deedit security group-vpn server
ipsecconfiguración en la jerarquía [].
• En el miembro del grupo, se configura una ICR Autokey que hace referencia al identificador del
grupo, el servidor del grupo ( ike-gateway configurado con la instrucción de configuración) y la
interfaz utilizada por el usuario para conectar con el grupo de pares. La ICR Autokey se configura en
el miembro con la vpn instrucción de configuración en laedit security group-vpn member
ipsecjerarquía [].
SEE ALSO
Descripción de los clústeres de servidor VPNv2 de grupo
Descripción de la dirección de tráfico del grupo VPNv2
in this section
Directivas de grupo configuradas en servidores de grupo | 771
Directivas IPsec configuradas en miembros del grupo | 772
Error de cierre | 772
Reglas de exclusión y apertura de errores | 772
Prioridades de las políticas y reglas de IPsec | 773
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo distribuye asociaciones de
seguridad IPsec (SA) y claves a los miembros de un grupo especificado. Todos los miembros que
pertenecen al mismo grupo comparten el mismo conjunto de SA de IPsec. La SA instalada en un
miembro de un grupo específico lo determina la directiva asociada con el grupo SA y la directiva IPsec
configurada en el miembro del grupo.
Directivas de grupo configuradas en servidores de grupo
En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con
una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos
el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino. En
772
el servidor, la Directiva de grupo se configura con match-policy policy-name las opciones del niveledit
security group-vpn server group name ipsec-sa namede jerarquía [].
Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino,
Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si
intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se
devuelve un error. Si esto ocurre, debe eliminar una de las políticas de grupo idénticas antes de poder
confirmar la configuración.
Directivas IPsec configuradas en miembros del grupo
En el miembro del grupo, una directiva IPsec consta de la siguiente información:
• Zona entrante (from-zone) para el tráfico de grupos.
• Zona saliente (to-zone) para el tráfico de grupos.
• Nombre del grupo al que se aplica la directiva IPsec. Solo se puede hacer referencia a un nombre de
VPNv2 de grupo mediante un par de zona/zona específica.
La interfaz que utiliza el miembro del grupo para conectarse al grupo VPNv2 debe pertenecer a la zona
de salida. Esta interfaz se especifica con la group-vpn-external-interface instrucción en el niveledit
security group-vpn member ipsec vpn vpn-namede jerarquía [].
En el miembro del grupo, la directiva IPsec se configura en eledit security ipsec-policynivel de jerarquía
[]. El tráfico que coincide con la directiva IPsec se comprueba en las reglas de exclusión y apertura con
errores configuradas para el grupo.
Error de cierre
De forma predeterminada, el tráfico que no coincide con las reglas de exclusión o de apertura o error, o
las directivas de grupo recibidas del servidor de grupo, está bloqueada; Esto se conoce como error de
cierre.
Reglas de exclusión y apertura de errores
En los miembros del grupo, se pueden configurar los siguientes tipos de reglas para cada grupo:
• Tráfico que se excluye del cifrado de VPN. Los ejemplos de este tipo de tráfico pueden incluir
protocolos de enrutamiento de BGP o OSPF. Para excluir el tráfico de un grupo, set security group-
vpn member ipsec vpn vpn-name exclude rule utilice la configuración. Se puede configurar un
máximo de 10 reglas de exclusión.
• Tráfico que es crítico para el funcionamiento del cliente y debe enviarse con texto sin cifrar si el
miembro del grupo no ha recibido una clave de cifrado de tráfico (TEK) válida para la SA IPSec. Las
773
reglas de error de apertura permiten este flujo de tráfico mientras se bloquea el resto del tráfico.
Activar error de apertura con la set security group-vpn member ipsec vpn vpn-name fail-open rule
configuración. Puede configurarse un máximo de 10 reglas de error de apertura.
Prioridades de las políticas y reglas de IPsec
Las reglas y políticas IPsec tienen las siguientes prioridades en el miembro del Grupo:
1. Excluya las reglas que definen el tráfico que se va a excluir del cifrado de VPN.
2. Las directivas de grupo que se descargan desde el servidor de grupo.
3. Reglas de error de apertura que definen el tráfico que se envía en texto no cifrado si no hay ningún
TEK válido para la SA.
4. Directiva de cierre de bloqueo que bloquea el tráfico. Este es el valor predeterminado si el tráfico no
coincide con reglas de exclusión o apertura o directivas de grupo.
SEE ALSO
Descripción del proceso del VPNv2 de la prueba de recuperación del

grupo
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Dos situaciones podrían indicar que un miembro
del grupo no está sincronizado con el servidor del grupo y con otros miembros del Grupo:
• El miembro del grupo recibe un paquete ESP (Encapsulating Security Payload) con un índice de
parámetros de seguridad (SPI) no reconocido.
• Hay tráfico IPsec saliente, pero no hay tráfico entrante de IPsec en el miembro del grupo.
Cuando se detecta cualquiera de estas situaciones, se puede desencadenar un proceso de prueba de

recuperación en el miembro del grupo. El proceso de prueba de recuperación inicia intercambios de
GDOI a intervalos específicos para actualizar la SA del miembro groupkey-pull desde el servidor del
grupo. Si se produce un ataque DoS de paquetes SPI dañados o si el propio remitente no está
sincronizado, la indicación de falta de sincronización en el miembro del grupo puede ser una falsa
alarma. Para evitar la sobrecarga del sistema, la groupkey-pull iniciación se vuelve a intentar en
intervalos de 10, 20, 40, 80, 160 y 320 segundos.
774
El proceso de prueba de recuperación está deshabilitado de forma predeterminada. Para activar el

proceso de prueba de recuperación recovery-probe , configureedit security group-vpn member ipsec
vpn vpn-nameen el nivel de jerarquía [].
Descripción de los VPNv2 de grupo Antireplay
Grupo VPNv2 antireplay es compatible con vSRX instancias y con todos los dispositivos serie SRX, salvo
SRX5400, SRX5600 y SRX5800. Antireplay es una característica de IPsec que puede detectar cuándo un
paquete es interceptado y lo reproducen los intrusos. Antireplay está deshabilitado de forma
predeterminadapara un grupo.
Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora
del paquete está dentro del valor anti-replay-time-window configurado. Un paquete se descarta si la
marca de hora supera el valor.
Recomendamos que NTP esté configurado en todos los dispositivos que admiten VPNv2 de grupo
antireplay.
Los miembros del grupo que se ejecutan en vSRX instancias de una máquina host en la que el hipervisor
se está ejecutando bajo una carga pesada pueden experimentar problemas que pueden anti-replay-
time-window corregirse volviendo a configurar el valor. Si no se van a transferir los datos que coinciden
con la directiva IPsec en el miembro show security group-vpn member ipsec statistics del grupo,
compruebe el resultado en busca de errores D3P. Asegúrese de que el NTP funciona correctamente. Si
hay errores, ajuste el anti-replay-time-window valor.
SEE ALSO
Descripción de Antireplay para el VPNv1 del grupo
Ejemplo Configuración de un grupo VPNv2 servidores y miembros
in this section
Aplicables | 775
Automática | 777
775
Comproba | 813
En este ejemplo se muestra cómo configurar un servidor VPNv2 para que proporcione compatibilidad
con el controlador/servidor de claves (GCKS) para agrupar VPNv2 miembros del grupo. Group VPNv2 es
compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
dispositivos SRX4600 e instancias de vSRX.
Aplicables
El ejemplo utiliza los siguientes componentes de hardware y software:
• Un dispositivo serie SRX compatible o una instancia vSRX que ejecute Junos OS Release 15.1-D30 o
posterior que admita el grupo VPNv2. Esta serie SRX dispositivo o instancia de vSRX funciona como
un servidor VPNv2 de grupo.
• Dos dispositivos serie SRX compatibles o instancias vSRX que se ejecuta Junos OS Release 15.1-D30
o posterior que admite el grupo VPNv2. Estos dispositivos o instancias funcionan como miembros del
grupo VPNv2 Group.
• Dos dispositivos compatibles con la serie MX que se ejecutan Junos OS versión 15.1 R2 o posterior
que admiten el grupo VPNv2. Estos dispositivos funcionan como miembros del grupo VPNv2.
En cada dispositivo debe configurarse un nombre de host, una contraseña de administrador raíz y un
acceso de administración. Recomendamos que NTP también esté configurado en cada dispositivo.
Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red. Este ejemplo se centra en la configuración
del VPNv2 de grupo; no se describe la configuración de enrutamiento.
in this section
Topología | 776
En este ejemplo, la red del grupo VPNv2 está formada por un servidor y cuatro miembros. Dos de los
miembros se serie SRX dispositivos o instancias de vSRX mientras que los otros dos miembros son
dispositivos de la serie MX. El grupo compartido VPN SAs protege el tráfico entre miembros del grupo.
776
Las SA de grupo de VPN deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN
de grupo debe incluir la configuración ICR negociaciones de la fase 1 tanto en el servidor de grupo como
en los miembros del grupo.
El mismo identificador de grupo debe configurarse tanto en el servidor del grupo como en los miembros
del grupo. En este ejemplo, el nombre de grupo es GROUP_ID-0001 y el identificador de grupo es 1. La
Directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre las
subredes del intervalo 172.16.0.0/12.
En los miembros de la agrupación SRX o vSRX, se configura una directiva IPsec para el grupo con la zona
LAN como la zona de entrada (tráfico entrante) y la zona WAN como la zona a (tráfico saliente). También
se necesita una directiva de seguridad para permitir el tráfico entre las zonas LAN y WAN.
Topología
Figura 51 en la página 776muestra los dispositivos Juniper Networks que se configurarán para este
ejemplo.
Figura 51: Agrupar VPNv2 servidor con miembros de la serie SRX o vSRX y MX
777
Automática
in this section
Configuración del servidor del grupo | 777
Configurar el miembro del grupo GM-0001 (serie SRX dispositivo o instancia de vSRX) | 784
Configuración del miembro del grupo GM-0002 (serie SRX dispositivo o instancia de vSRX) | 792
Configurar un miembro del grupo GM-0003 (dispositivo serie MX) | 800
Configuración del miembro del grupo GM-0004 (dispositivo serie MX) | 807
Configuración del servidor del grupo

set security policies global policy 1000 match source-address any
set security policies global policy 1000 match destination-address any
set security policies global policy 1000 match application any
set security policies global policy 1000 match from-zone any
set security policies global policy 1000 match to-zone any
set security policies global policy 1000 then reject
set security policies global policy 1000 then log session-init
set security policies global policy 1000 then count
set security policies default-policy deny-all
set security zones security-zone GROUPVPN host-inbound-traffic system-services ike
set security zones security-zone GROUPVPN host-inbound-traffic system-services ssh
set security zones security-zone GROUPVPN host-inbound-traffic system-services ping
set security zones security-zone GROUPVPN interfaces ge-0/0/1.0
778
set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-

keys
set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256
set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 dh-group group14
set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc
set security group-vpn server ike policy GMs mode main
set security group-vpn server ike policy GMs proposals PSK-SHA256-DH14-AES256
set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123"
set security group-vpn server ike gateway GM-0001 ike-policy GMs
set security group-vpn server ike gateway GM-0001 address 10.18.101.1
set security group-vpn server ike gateway GM-0001 local-address 10.10.100.1
set security group-vpn server ipsec proposal AES256-SHA256-L3600 authentication-algorithm hmac-
sha-256-128
set security group-vpn server ipsec proposal AES256-SHA256-L3600 encryption-algorithm aes-256-cbc
set security group-vpn server ipsec proposal AES256-SHA256-L3600 lifetime-seconds 3600
set security group-vpn server group GROUP_ID-0001 group-id 1
set security group-vpn server group GROUP_ID-0001 member-threshold 2000
set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0001
set security group-vpn server group GROUP_ID-0001 anti-replay-time-window 1000
set security group-vpn server group GROUP_ID-0001 server-member-communication communication-type
unicast
set security group-vpn server group GROUP_ID-0001 server-member-communication encryption-algorithm
aes-256-cbc
set security group-vpn server group GROUP_ID-0001 server-member-communication lifetime-seconds 7200
set security group-vpn server group GROUP_ID-0001 server-member-communication sig-hash-algorithm
sha-256
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-
L3600
779
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source
172.16.0.0/12
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination
172.16.0.0/12
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
Para configurar el servidor VPNv2 de Grupo:
1. Configurar interfaces, zonas de seguridad y políticas de seguridad.
[edit interfaces]
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set global policy 1000 match source-address any
user@host# set global policy 1000 match destination-address any
user@host# set global policy 1000 match application any
user@host# set global policy 1000 match from-zone any
user@host# set global policy 1000 match to-zone any
user@host# set global policy 1000 then reject
user@host# set global policy 1000 then log session-init
user@host# set global policy 1000 then count
2. Configure las rutas estáticas.
780

3. Configure las ICR propuesta, Directiva y puertas de enlace.
[edit security group-vpn server ike proposal PSK-SHA256-DH14-AES256]

[edit security group-vpn server ike policy GMs]
user@host# set proposals PSK-SHA256-DH14-AES256
[edit security group-vpn server ike gateway GM-0001]
user@host# set ike-policy GMs
4. Configure la propuesta IPsec.
[edit security group-vpn server ipsec proposal AES256-SHA256-L3600]

user@host# set lifetime-seconds 3600 VPN Group
781
5. Configure el grupo.
[edit security group-vpn server group GROUP_ID-0001]

user@host# set member-threshold 2000
user@host# set ike-gateway GM-0001
user@host# set anti-replay-time-window 1000
6. Configurar las comunicaciones de servidor a miembro.
[edit security group-vpn server group GROUP_ID-0001 server-member-

communication]
user@host# set communication-type unicast
user@host# set sig-hash-algorithm sha-256
7. Configure la Directiva de grupo para que sea descargada a los miembros del grupo.
[edit security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001]

user@host# set proposal AES256-SHA256-L3600
user@host# set match-policy 1 source 172.16.0.0/12
user@host# set match-policy 1 destination 172.16.0.0/12
user@host# set match-policy 1 protocol 0
Resultados
security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de este ejemplo para corregir la configuración.
[edit]
ge-0/0/1 {
unit 0 {
782
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
dh-group group14;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
783
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
784
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configurar el miembro del grupo GM-0001 (serie SRX dispositivo o instancia de vSRX)
785
set interfaces ge-0/0/0 unit 0 description To_LAN

set interfaces ge-0/0/1 unit 0 description To_KeySrv
set security zones security-zone LAN host-inbound-traffic system-services ike
set security zones security-zone LAN host-inbound-traffic system-services ssh
set security zones security-zone LAN host-inbound-traffic system-services ping
set security zones security-zone LAN interfaces ge-0/0/0.0
set security zones security-zone WAN host-inbound-traffic system-services ike
set security zones security-zone WAN host-inbound-traffic system-services ssh
set security zones security-zone WAN host-inbound-traffic system-services ping
set security zones security-zone WAN interfaces ge-0/0/1.0
set security address-book global address 172.16.0.0/12 172.16.0.0/12
set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12
set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12
set security policies from-zone LAN to-zone WAN policy 1 match application any
set security policies from-zone LAN to-zone WAN policy 1 then permit
set security policies from-zone LAN to-zone WAN policy 1 then log session-init
set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12
set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12
set security policies from-zone WAN to-zone LAN policy 1 match application any
set security policies from-zone WAN to-zone LAN policy 1 then permit
set security policies from-zone WAN to-zone LAN policy 1 then log session-init
786

set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-
shared-keys
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc
set security group-vpn member ike policy KeySrv mode main
set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256
set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123"
set security group-vpn member ike gateway KeySrv ike-policy KeySrv
set security group-vpn member ike gateway KeySrv server-address 10.10.100.1
set security group-vpn member ike gateway KeySrv local-address 10.18.101.1
set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv
set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0
set security group-vpn member ipsec vpn GROUP_ID-0001 group 1
set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe
set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Para configurar el miembro VPNv2 del Grupo:
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_LAN
user@host# set ge-0/0/1 unit 0 description To_KeySrv
[edit security zones security-zone LAN]
[edit security]
787
user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12

[edit security zones security-zone WAN]
[edit security policies from-zone LAN to-zone WAN]
user@host# set policy 1 match source-address 172.16.0.0/12
user@host# set policy 1 match destination-address 172.16.0.0/12
user@host# set then log session-init
[edit security policies from-zone WAN to-zone LAN
user@host# set global policy 1000 match then reject
user@host# set global policy 1000 match then log session-init
user@host# set global policy 1000 match then count
788

3. Configure las ICR propuesta, Directiva y puerta de enlace.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256]

[edit security group-vpn member ike policy KeySrv ]
[edit security group-vpn member ike gateway KeySrv]
user@host# set ike-policy KeySrv
user@host# set server-address 10.10.100.1
4. Configure la SA de IPsec.
[edit security group-vpn member ipsec vpn GROUP_ID-0001]

user@host# set ike-gateway KeySrv
user@host# set group-vpn-external-interface ge-0/0/1.0
user@host# set group 1
user@host# set recovery-probe
[edit security ipsec-policy from-zone LAN to-zone WAN]

user@host# set ipsec-group-vpn GROUP_ID-0001
789
Resultados
[edit]
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
790
}
group-vpn {
member {
ike {
dh-group group14;
}
policy KeySrv {
mode main;
}
gateway KeySrv {
ike-policy KeySrv;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
policy 1 {
match {
destination-address 172.16.0.0/12;
application any;
791
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
792
deny-all;
}
}
zones {
security-zone LAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configuración del miembro del grupo GM-0002 (serie SRX dispositivo o instancia de vSRX)
793

set interfaces ge-0/0/1 unit 0 description To_KeySrv
794

shared-keys
[edit interfaces]
user@host# set ge-0/0/1 unit 0 description To_KeySrv
795

[edit security]
[edit security policies from-zone WAN to-zone LAN
user@host# set global policy 1000 match then reject
user@host# set global policy 1000 match then log session-init
user@host# set global policy 1000 match then count
796




797
Resultados
[edit]
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
798
}
group-vpn {
member {
ike {
dh-group group14;
}
policy KeySrv {
mode main;
}
gateway KeySrv {
ike-policy KeySrv;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group 1;
recovery-probe;
}
}
}
}
policies {
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
799
}
}
}
}
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
800
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configurar un miembro del grupo GM-0003 (dispositivo serie MX)
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-
KS
set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24
801

set interfaces ms-0/2/0 unit 0 family inet
shared-keys
set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output
set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400
set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear
set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0
set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001
set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.10.100.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address
172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
802
[edit interfaces]
user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24
user@host# set ms-0/2/0 unit 0 family inet
2. Configurar el enrutamiento.
3. Configure ICR propuesta, política y puerta de enlace.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ]

user@host# set group group14
803


user@host# set match-direction output
user@host# set tunnel-mtu 1400
user@host# set df-bit clear
5. Configure el filtro de servicio.
[edit firewall family inet service-filter GroupVPN-KS]

user@host# set term inbound-ks from destination-address 10.10.100.1/32
user@host# set term inbound-ks from source-address 10.10.100.1/32
user@host# set term inbound-ks then skip
user@host# set term outbound-ks from destination-address 10.10.100.1/32
user@host# set term outbound-ks then skip
user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12
user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12
user@host# set term GROUP_ID-0001 then service
6. Configure el conjunto de servicios.
[edit services service-set GROUP_ID-0001]

user@host# set interface-service service-interface ms-0/2/0.0
804
Resultados
show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra
la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
805
route 172.16.102.0/24 next-hop 10.18.103.254;

route 172.16.103.0/24 next-hop 10.18.103.254;
route 172.16.104.0/24 next-hop 10.18.103.254;
}
[edit]
group-vpn {
member {
ike {
dh-group group14;
}
policy KeySrv {
mode main;
}
gateway KeySrv {
ike-policy KeySrv;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
806
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
172.16.0.0/12;
}
}
then service;
}
}
}
807
Configuración del miembro del grupo GM-0004 (dispositivo serie MX)
KS
GroupVPN-KS
shared-keys
set security group-vpn member ike policy SubSrv mode main
set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123"
set security group-vpn member ike gateway SubSrv ike-policy SubSrv
set security group-vpn member ike gateway SubSrv server-address 10.17.101.1
set security group-vpn member ike gateway SubSrv local-address 10.18.104.1
set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv
808

set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32
10.17.101.1/32
10.17.102.1/32
10.17.103.1/32
10.17.104.1/32
172.16.0.0/12
[edit interfaces]
GroupVPN-KS
GroupVPN-KS
2. Configurar el enrutamiento.
809

3. Configure ICR propuesta, política y puerta de enlace.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ]



user@host# set term inbound-ks from destination-address 10.10.101.1/32
810


Resultados
show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra
la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
}
output {
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
811
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
group-vpn {
member {
ike {
dh-group group14;
}
policy KeySrv {
mode main;
}
gateway KeySrv {
ike-policy KeySrv;
}
}
812
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
interface-service {
}
}
[edit]
family inet {
term inbound-ks {
from {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
813
then skip;
}
from {
source-address {
172.16.0.0/12;
}
172.16.0.0/12;
}
}
then service;
}
}
}
Comproba
in this section
Comprobando registro de miembro del grupo | 813
Comprobar que las claves de grupo se distribuyen | 814
Comprobando el grupo de SA de VPN en el servidor de grupo | 815
Comprobando grupo de SA de VPN en miembros del grupo | 816
Comprobando las SA de IPsec en el servidor de grupo | 818
Comprobando las SA de IPsec en los miembros del grupo | 818
Verificación de las políticas de grupo (solo miembros de grupos SRX o vSRX) | 821
Comprobando registro de miembro del grupo
Purpose
Compruebe que los miembros del grupo están registrados en el servidor.

814
Intervención
Desde el modo operativo, escriba show security group-vpn server registered-members los show
security group-vpn server registered-members detail comandos y en el servidor.
user@host> show security group-vpn server registered-members

Group: GROUP_ID-0001, Group Id: 1
Total number of registered members: 2
Member Gateway Member IP Last Update Vsys
GM-0001 10.18.101.1 Thu Nov 19 2015 16:31:09 root
GM-0003 10.18.103.1 Thu Nov 19 2015 16:29:47 root
user@host> show security group-vpn server registered-members detail

GGroup: GROUP_ID-0001, Group Id: 1
Member gateway: GM-0001, Member IP: 10.18.101.1, Vsys: root

Last Update: Thu Nov 19 2015 16:31:09
Stats:
Pull Succeeded : 2
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Member gateway: GM-0003, Member IP: 10.18.103.1, Vsys: root

Last Update: Thu Nov 19 2015 16:29:47
Stats:
Pull Succeeded : 1
Pull Failed : 0
Push Sent : 0
Comprobar que las claves de grupo se distribuyen
Purpose
Compruebe que las claves de grupo se distribuyen entre los miembros.

815
Intervención
Desde el modo operativo, escriba show security group-vpn server statistics el comando en el servidor
de grupo.
user@host> show security group-vpn server statistics

Stats:
Pull Succeeded : 4
Pull Failed : 0
Pull Exceed Member Threshold : 0
Push Sent : 0
Comprobando el grupo de SA de VPN en el servidor de grupo
Purpose
Compruebe los grupos de SA de VPN en el servidor de grupo.
Intervención
Desde el modo operativo, escriba show security group-vpn server kek security-associations los show
security group-vpn server kek security-associations detail comandos y en el servidor de grupo.
user@host> show security group-vpn server kek security-associations

Index Life:sec Initiator cookie Responder cookie GroupId
738879 1206 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn server kek security-associations detail

Index 738879, Group Name: GROUP_ID-0001, Group Id: 1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Authentication method: RSA
Lifetime: Expires in 1204 seconds, Activated
Rekey in 694 seconds
Algorithms:
Sig-hash : sha256
816
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Server Member Communication: Unicast
Retransmission Period: 10, Number of Retransmissions: 2
Group Key Push sequence number: 0
PUSH negotiations in progress: 0
Comprobando grupo de SA de VPN en miembros del grupo
Purpose
Compruebe los grupos de SA de VPN en los miembros del grupo.
Intervención
Desde el modo operativo, introduzca show security group-vpn member kek security-associations los
show security group-vpn member kek security-associations detail comandos y en los miembros SRX o
vSRX del grupo.
user@host> show security group-vpn member kek security-associations

Index Server Address Life:sec Initiator cookie Responder cookie GroupId
5455810 10.10.100.1 1093 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail

Index 5455810, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Traffic statistics:
817
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
En modo operativo, escriba los show security group-vpn member kek security-associations comandos
show security group-vpn member kek security-associations detail y en el miembro del grupo de la serie
mx.

488598 10.10.100.1 963 a471513492db1e13 24045792a4b3dd64 1

Algorithms:
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
818
Comprobando las SA de IPsec en el servidor de grupo
Purpose
Compruebe las SA de IPsec en el servidor de grupo.
Intervención
Desde el modo operativo, escriba show security group-vpn server ipsec security-associations los show
security group-vpn server ipsec security-associations detail comandos y en el servidor de grupo.
user@host> show security group-vpn server ipsec security-associations

Total IPsec SAs: 1
IPsec SA Algorithm SPI Lifetime
GROUP_ID-0001 ESP:aes-256/sha256 1c548e4e 1156
user@host> show security group-vpn server ipsec security-associations detail

Total IPsec SAs: 1
IPsec SA: GROUP_ID-0001
Protocol: ESP, Authentication: sha256, Encryption: aes-256
Anti-replay: D3P enabled
SPI: 1c548e4e
Policy Name: 1
Source: 172.16.0.0/12
Destination: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Comprobando las SA de IPsec en los miembros del grupo
Purpose
Compruebe que las SA de IPsec en los miembros del grupo.

819
Intervención
Desde el modo operativo, introduzca show security group-vpn member ipsec security-associations los
show security group-vpn member ipsec security-associations detail comandos y en los miembros SRX o
vSRX del grupo.
user@host> show security group-vpn member ipsec security-associations

ID Server Port Algorithm SPI Life:sec/kb GId lsys
<>49152 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 1073/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail

Virtual-system: root Group VPN Name: GROUP_ID-0001
Group Id: 1
Routing Instance: default
Recovery Probe: Enabled
DF-bit: clear
Stats:
Pull Succeeded : 4
Pull Failed : 3
Pull Timeout : 3
Pull Aborted : 0
Push Succeeded : 6
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:

Tunnel-id: 49152
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e

Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 1070 seconds, Activated
820

Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
En modo operativo, escriba los show security group-vpn member ipsec security-associations comandos
show security group-vpn member ipsec security-associations detail y en el miembro del grupo de la
serie mx.

<>10001 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 947/ unlim 1 root

Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
DF-bit: clear
Stats:
Pull Succeeded : 2
Pull Failed : 0
Pull Timeout : 1
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Flags:
Rekey Needed: no

Tunnel-id: 10001
821
Direction: bi-directional, SPI: 1c548e4e

Verificación de las políticas de grupo (solo miembros de grupos SRX o vSRX)
Purpose
Compruebe las políticas de grupo en los miembros de la agrupación SRX o vSRX.
Intervención
Desde el modo operativo, escriba show security group-vpn member policy el comando en el miembro
del grupo.
user@host> show security group-vpn member policy

Group VPN Name: GROUP_ID-0001, Group Id: 1
From-zone: LAN, To-zone: WAN
Tunnel-id: 49152, Policy type: Secure
Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0>
Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0>
Tunnel-id: 63488, Policy type: Fail-close

SEE ALSO
Configurar VPN de grupo en el grupo VPNv2 en el dispositivo de enrutamiento

822
Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del

servidor para mensajes de regeneración de claves de unidifusión
in this section
Aplicables | 822
Automática | 823
Comproba | 823
En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de
unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Aplicables
Antes de empezar:
• Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.
• Configure el servidor de grupo y los miembros para la SA de IPsec.
• Configure el g1 grupo en el servidor de grupo.
En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor
para el Grupo:
• El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.
• para cifrar el tráfico entre el servidor y los miembros se utiliza AES-128-CBC.
• se utiliza SHA-256 para la autenticación de miembros.
Los valores predeterminados se utilizan para KEK la vigencia y las retransmisiones.

823
Automática
in this section
Modalidades | 823
Modalidades
Para configurar la comunicación entre miembros del servidor:

user@host# set communications-type unicast


user@host# set sig-hash-algorithm sha-256
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server
group g1 server-member-communication comando.
824
SEE ALSO
Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo

Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor

Agrupar VPNv2 clústeres de servidores
in this section
Descripción de las limitaciones de clúster de servidor VPNv2 de grupo | 829
Descripción de los mensajes del clúster del servidor VPNv2 de grupo | 831
Migrar un grupo independiente VPNv2 servidor a un grupo VPNv2 clúster de servidores | 839
Ejemplo Configurar un clúster de servidor VPNv2 y miembros | 840
Agrupar VPNv2 Server Cluster proporciona redundancia de controladores de grupo y servidor de claves
(GCKS), por lo que no existe un único punto de error para toda la red VPN de grupo.
Descripción de los clústeres de servidor VPNv2 de grupo
in this section
Servidor raíz y sub-servidores | 825

825
Registro de miembros de grupo con clústeres de servidores | 827
Detección de pares de tráfico muerto | 828
Balanceo de carga | 829
En el protocolo Group Domain of Interpretation (GDOI), el controlador de grupo/servidor de claves

(GCKS) administra las asociaciones de seguridad de VPN (SA) de grupo, y las distribuye a los miembros
del grupo. Los miembros del grupo cifran el tráfico basándose en las claves y las SA del grupo que
proporciona el GCKS. Si el GCKS falla, los miembros del grupo no pueden registrar ni obtener claves. Un
clúster de VPNv2 de servidores de grupos proporciona redundancia de GCKS, por lo que no hay un
único punto de error para toda la red VPN de grupo. Grupos VPNv2 los clústeres de servidores también
pueden proporcionar equilibrio de la carga, escalabilidad y redundancia de vínculos.
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Todos los servidores en un grupo VPNv2 clúster
de servidores deben ser compatibles en dispositivos serie SRX o instancias de vSRX. Los clústeres de
servidores VPNv2 del grupo son Juniper Networks solución exclusiva y no tienen interoperabilidad con
GCKS de otro proveedor.
Servidor raíz y sub-servidores
Un clúster de VPNv2 de servidores se compone de un servidor raíz con un máximo de cuatro sub-
servidores conectados. Todos los servidores del clúster comparten las mismas claves SA y de cifrado que
826
se distribuyen a los miembros VPNv2 del grupo. Los servidores del clúster pueden estar ubicados en
sitios diferentes, tal y como Figura 52 en la página 826se muestra en la.
Figura 52: Agrupar VPNv2 clúster de servidores
Los mensajes entre los servidores del clúster se cifran y autentican mediante ICR SA. El servidor raíz es
responsable de la generación y distribución de claves de cifrado a los subservidors; debido a esta
responsabilidad, recomendamos que el servidor raíz se configure como un clúster de chasis. Los
subservidors son dispositivos únicos y no pueden ser clústeres de chasis. Los sub-servidores deben
poder conectarse al servidor raíz, aunque los vínculos directos entre subservidors no son necesarios.
Si un subservidor pierde su conexión con el servidor raíz, no se permitirá ninguna conexión posterior al
subservidor desde miembros del grupo ni se eliminarán las SA. Por lo tanto, recomendamos que utilice
un vínculo diferente para conectar cada sub-servidor con el servidor raíz.
Grupos VPNv2 los clústeres de servidores se configuran con server-cluster lasedit security group-vpn
server group-nameinstrucciones en el nivel de jerarquía []. Deben configurarse los siguientes valores
para cada servidor de un clúster:
827
• El rol de servidor: especifique cualquiera root-server o sub-server . Un servidor dado puede ser parte
de varios grupos VPNv2 clústeres de servidores, pero debe tener la misma función de servidor en
todos los clústeres. No se puede configurar un servidor con la función de servidor raíz en un grupo y
la función del subservidor en otro grupo.
Debe asegurarse de que sólo hay un servidor raíz en cualquier momento para un grupo VPNv2
clúster de servidores.
• ICR puerta de enlace: especifique el nombre de una puerta ICR de enlace configurada en el nivel de
jerarquía [ edit security group-vpn server ike ]. En el caso de un servidor raíz, el ICR puerta de enlace
debe ser un subservidor del clúster; se pueden especificar hasta cuatro subservidors. En el caso de
los subservidors, el ICR puerta de enlace debe ser el servidor raíz.
El servidor raíz y los sub-servidores deben configurarse dead-peer-detection always-send con y no

pueden configurarse para una dirección IP dinámica (sin especificar). Los miembros del grupo no
están configurados con detección de elementos del mismo nivel muerto.
La configuración del VPNv2 de grupo debe ser la misma en todos los subservidors de un grupo
determinado.
Cada subservidor del clúster de servidores VPNv2 funciona como GCKS normal para registrar y eliminar
miembros. Tras el registro correcto del miembro, el servidor de registro es responsable de enviar
actualizaciones al miembro. Para un grupo determinado, puede configurar el número máximo de
miembros de VPNv2 de grupo que puede aceptar cada subservidor; Este número debe ser el mismo en
todos los subservidors del clúster. Un sub-servidor deja de responder a las solicitudes de registro de
miembros nuevos cuando alcanza el número máximo configurado de miembros de VPNv2 de grupo.
Consulte "Balanceo de carga" en la página 829la.
Registro de miembros de grupo con clústeres de servidores
Los miembros del grupo se pueden registrar con cualquier servidor en el grupo VPNv2 clúster del
servidor para un determinado grupo, pero recomendamos que los miembros solo se conecten a los
subservidors y no a la raíz. En cada miembro del grupo se pueden configurar hasta cuatro direcciones del
servidor. Las direcciones de servidor configuradas en miembros del grupo pueden ser diferentes. En el
ejemplo siguiente, el miembro de grupo A está configurado para los sub-servidores 1 a 4, mientras que el
miembro B está configurado para los subservidors 4 y 3:
Miembro de grupo A: Miembro B del Grupo:

828
Direcciones de servidor: Sub-servidor 1 Sub-servidor 4
Sub-servidor 2 Sub-servidor 3
Sub-servidor 3
Sub-servidor 4
El orden en que se configuran las direcciones de servidor de un miembro es importante. Un miembro del
grupo intenta registrarse con el primer servidor configurado. Si el registro con un servidor configurado
no se realiza correctamente, el miembro del grupo intenta registrarse en el siguiente servidor
configurado.
Cada servidor de un clúster de servidor VPNv2 funciona como una GCKS normal para registrar y
eliminar miembros. Al registrar con éxito, el servidor de registro es responsable de enviar actualizaciones
al miembro a groupkey-push través de intercambios. Para un grupo determinado, puede configurar el
número máximo de miembros del grupo que puede aceptar cada servidor, pero este número debe ser el
mismo en todos los servidores del clúster para un grupo dado. Al alcanzar el número máximo
configurado de miembros del grupo, un servidor deja de responder a las solicitudes de registro por
miembros nuevos. Consulte "Balanceo de carga" en la página 829 para obtener más información.
Detección de pares de tráfico muerto
Para comprobar la disponibilidad de servidores del mismo nivel en un grupo VPNv2 clúster de
servidores, cada servidor del clúster debe estar configurado para enviar solicitudes de detección de
pares inactivos (DPD) con independencia de si hay tráfico IPsec saliente hacia el mismo nivel. Se
configura con la dead-peer-detection always-send instrucción en el nivel deedit security group-vpn
server ike gateway gateway-namejerarquía [].
Un servidor activo de un grupo VPNv2 clústeres de servidores envía DPD sondeos a las puertas de
enlace ICR configuradas en el clúster de servidor. No se debe configurar DPD para un grupo porque
varios grupos pueden compartir el mismo servidor del mismo nivel ICR configuración de puerta de
enlace. Cuando DPD detecta que un servidor está inactivo, se elimina el ICR SA con ese servidor. Todos
los grupos marcan el servidor como inactivo y se detiene DPD al servidor.
DPD no debe configurarse para la puerta de enlace de ICR en miembros del grupo.
Cuando DPD marca el servidor raíz como inactivo, los subservidors dejan de responder a las nuevas
solicitudes de miembros del grupo. sin embargo, las SA existentes para los miembros actuales del grupo
permanecen activas. Un sub-servidor inactivo no envía eliminaciones a los miembros del grupo, ya que
las SA podrían seguir siendo válidas y los miembros del grupo pueden seguir usando las SA existentes.
Si una SA de ICR caduca mientras un servidor del mismo nivel sigue activo, DPD desencadena ICR
negociación de SA. Dado que los servidores raíz y los subservidors pueden activar ICR SA a través de
829
DPD, la negociación simultánea puede tener como resultado varias SA de ICR. En este caso no se espera
ningún impacto en la funcionalidad del clúster de servidores.
Balanceo de carga
El equilibrio de carga en el grupo VPNv2 clúster de servidores se puede lograr configurando el valor
adecuado member-threshold para el grupo. Cuando el número de miembros registrados en un servidor
supera el member-threshold valor, se rechaza el registro posterior del miembro en ese servidor. El
registro del miembro conmuta por error al siguiente servidor configurado en el miembro del grupo hasta
que llegue a member-threshold un servidor que aún no se haya alcanzado.
Existen dos restricciones para la member-thresholdconfiguración de:
• Para un grupo determinado, debe configurarse el mismo member-threshold valor en el servidor raíz y
en todos los subservidors de un clúster de servidor de grupo. Si el número total de miembros del
grupo supera el valor configurado member-threshold , se rechaza un groupkey-pull registro Iniciado
por un nuevo miembro (el servidor no envía una respuesta).
• Un servidor puede admitir miembros en varios grupos. Cada servidor tiene un número máximo de
miembros de grupo que puede admitir. Si un servidor alcanza el número máximo de miembros que
puede admitir, entonces se groupkey-pull rechaza un registro Iniciado por un nuevo miembro incluso
si no member-threshold se ha alcanzado el valor de un grupo específico.
No hay sincronización de miembros entre los servidores del clúster. El servidor raíz no contiene
información sobre el número de miembros registrados en los subservidors. Cada sub-servidor sólo
puede mostrar sus propios miembros registrados.
SEE ALSO
Descripción de las limitaciones de clúster de servidor VPNv2 de grupo
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Tenga en cuenta lo siguiente cuando configure
Group VPNv2 Server clusters:
• La autenticación de certificados no es compatible con la autenticación de servidor; solo se pueden

configurar claves previamente compartidas.
• No hay sincronización de configuración entre los servidores del clúster de servidor VPNv2 de grupo.
830
• Cuando se habilita un grupo VPNv2 clúster de servidores, la configuración debe realizarse primero en
el servidor raíz y, después, en los subservidors. Hasta que la configuración se sincronice manualmente
entre los servidores, puede esperarse la pérdida del tráfico durante el cambio en la configuración.
• En ciertos casos de esquina, las SA del grupo VPNv2 miembros no pueden estar sincronizadas. Los
miembros de la VPN de grupo pueden sincronizar las SA obteniendo groupkey-pull una nueva clave a
través de un intercambio. Puede borrar manualmente las SA de un grupo VPNv2 miembro con los
clear security group-vpn member ipsec security-associations comandos clear security group-vpn
member group o para acelerar la recuperación.
• El clúster del servidor VPNv2 del grupo no es compatible con la emisión.
• Si el último mensaje se pierde durante el registro de un miembro del grupo VPNv2, es posible que un
servidor considere que es un miembro registrado, aun si es posible que el miembro falle al siguiente
servidor del clúster de groupkey-pull servidor. En este caso, el mismo miembro podría aparecer
registrado en varios servidores. Si el umbral total de miembro de todos los servidores es igual al
número total de miembros implementados, es posible que no se registren los miembros posteriores
del grupo.
Tenga en cuenta las siguientes advertencias para las operaciones del clúster del chasis en el servidor raíz:
• No se conserva ninguna estadística.
• No se guardan los datos ni el estado de la negociación. Si una conmutación por error del chasis de
servidor raíz se groupkey-pull produce groupkey-push durante una negociación o, la negociación no
se reinicia después de la conmutación por error.
• Si se desactivan ambos nodos del clúster de un servidor raíz durante una regeneración de claves de
una clave de cifrado, es posible que algunos miembros del VPNv2 de grupo reciban la nueva clave
mientras que otros miembros no lo hagan. Es posible que se vea afectado el tráfico. Borrar
manualmente las asociaciones de seguridad de un grupo VPNv2 clear security group-vpn member
ipsec security-associations miembro clear security group-vpn member group con los comandos o
pueden ayudar a acelerar la recuperación cuando el servidor raíz sea alcanzable.
• En un entorno a gran escala, RG0 failover en el servidor raíz puede llevar tiempo. Si el intervalo de
DPD y el umbral de un subservidor se configuran con valores pequeños, puede hacer que el
subservidor marque al servidor raíz como inactivo durante una conmutación por error RG0. Es
posible que se vea afectado el tráfico. Recomendamos que configure la puerta ICR de enlace para el
sub servidor con un valor DPD mayor interval * threshold que 150 segundos.
831
Descripción de los mensajes del clúster del servidor VPNv2 de grupo
in this section
Intercambios de clúster | 831
Intercambios de inicialización de clúster | 832
Mensajes de actualización de clúster | 832
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Todos los mensajes entre los servidores de un
grupo VPNv2 clúster de servidores se cifran y autentican mediante una asociación de seguridad ICR
(SA). Cada sub-servidor inicia una ICR SA con el servidor raíz; Esta SA de ICR debe establecerse antes de
que se puedan intercambiar mensajes entre los servidores.
En esta sección se describen los mensajes intercambiados entre el servidor raíz y los sub-servidores.
Intercambios de clúster
Figura 53 en la página 831muestra los mensajes básicos intercambiados entre el grupo VPNv2 del
clúster del servidor y los miembros del grupo VPNv2.
Figura 53: Agrupar VPNv2 mensajes de clúster del servidor

832
Intercambios de inicialización de clúster
Un sub-servidor inicia un intercambio de inicialización de clúster (cluster-init) con el servidor raíz para
obtener información de SA y claves de cifrado. El servidor raíz responde mediante el envío de la
información actual de SA al subservidor a través cluster-init del intercambio.
A continuación, los sub-servidores pueden responder a las solicitudes de registro de groupkey-pull los
miembros VPNv2 del grupo a través de un intercambio. groupkey-pull Exchange permite a un grupo
VPNv2 miembro solicitar SAS y claves compartidas por el grupo desde un subservidor.
Los sub-servidores inician cluster-init Exchange con el servidor raíz cuando:
• El servidor raíz se considera inactivo. Este es el estado inicial asumido del servidor raíz. Si no hay
ninguna SA de ICR entre el servidor raíz y el subservidor, el subservidor inicia una asociación ICR SA
con el servidor raíz. Después de un cluster-init intercambio, el sub-servidor obtiene información
acerca de SAS y marca el servidor raíz como activo.
• La duración de software de la SA ha caducado.
• Se cluster-update recibe un mensaje para eliminar todas las SA.
• Hay cambios en la configuración del grupo.
Si se cluster-init produce un error en el intercambio, el sub-servidor vuelve a intentar el intercambio con

el servidor raíz cada 5 segundos.
Mensajes de actualización de clúster
El groupkey-push intercambio es un mensaje de regeneración de claves único que permite que un

controlador/servidor de claves (GCKS) envíe las SA del grupo y las claves a los miembros antes de que
expiren las SA de grupo existentes y actualicen la pertenencia a grupos. Los mensajes de regeneración
de claves son mensajes no solicitados que envía el GCKS a los miembros
A partir de la generación de nuevas claves de cifrado para una SA, el servidor raíz envía actualizaciones
de SA a todos cluster-update los subservidors activos a través de un mensaje. Después de recibir
cluster-update un del servidor raíz, el subservidor instala el nuevo SA y envía la nueva información de
SA a través de groupkey-push a a sus miembros registrados del grupo.
Un cluster-update mensaje enviado desde el servidor raíz requiere una confirmación del subservidor. Si
no se recibe ninguna confirmación de un sub-servidor, el servidor raíz vuelve a transmitir el cluster-
update al período de retransmisión configurado (el valor predeterminado es 10 segundos). El servidor
raíz no se retransmite si la detección de elementos no respondes (DPD) indica que el subservidor no está
disponible. Si un subservidor no puede actualizar la información de SA después de cluster-updaterecibir
un, no envía un acuse de recibo y el servidor raíz vuelve a transmitir cluster-update el mensaje.
833
Si la duración de software de una SA caduca antes de que se reciba una nueva SA desde el servidor raíz,
el subservidor envía un cluster-init mensaje al servidor raíz para obtener todas las SA y no envía un
groupkey-push mensaje a sus miembros hasta que tenga una nueva actualización. Si la duración dura de
una SA caduca en el sub servidor antes de que reciba una nueva SA, el sub server marca el servidor raíz
inactivo, elimina todos los miembros del grupo registrado y sigue envía mensajes al servidor cluster-init
raíz.
Se cluster-update puede enviar un mensaje para eliminar una SA o un miembro de un grupo; puede ser
el resultado de un clear comando o un cambio en la configuración. Si un subservidor recibe un cluster-
update mensaje para eliminar una asociación de tiempo, envía un groupkey-push mensaje de
eliminación a los miembros del grupo y elimina la SA correspondiente. Si se eliminan todas las SA de un
grupo, el sub-servidor inicia cluster-init un intercambio con el servidor raíz. Si se eliminan todos los
miembros registrados, el sub-servidor elimina todos los miembros registrados localmente.
Descripción de los cambios de configuración con clústeres de servidores

de VPNv2 de grupo
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Grupos VPNv2 los clústeres de servidores se
comportan de manera diferente que los servidores de VPNv2 de grupos independientes cuando hay
cambios de configuración que producen nuevas claves de cifrado y cambios en las asociaciones de
seguridad (SA). El servidor raíz envía actualizaciones o eliminaciones de SA a los subservidors cluster-
update a través de mensajes. A continuación, los subservidors envían groupkey-push mensajes a los
miembros. Los subservidors no pueden enviar mensajes de eliminación a los miembros del grupo sin
haber primero que reciban mensajes de eliminación del servidor raíz.
Todos los cambios de configuración deben realizarse primero en el servidor raíz y, a continuación, en los
sub-servidores para garantizar que los miembros del grupo reciban las actualizaciones o eliminaciones tal
y como se espera. Hasta que no se sincronice la configuración entre los servidores del grupo VPNv2
clúster de servidores, puede esperarse la pérdida de tráfico.
Tabla 68 en la página 834describe los efectos de varios cambios de configuración en servidores VPNv2
del grupo.
834
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo
Cambio de Acción de VPNv2 Acción de clúster de servidor VPNv2 de grupo

configuración Server Group
independiente
Servidor raíz Servidor secundario
Cambiar ICR Elimine el ICR SA de la puerta de enlace afectada. Para ICR las eliminaciones
propuesta, política o de propuesta, Directiva o puerta de enlace, elimine los miembros
puerta de enlace registrados para la puerta de enlace afectada.
Cambiar propuesta de Los cambios surten efecto tras la regeneración de la clave de cifrado de
IPsec tráfico (TEK).
Cambios de Grupo:
Eliminar nombre del Enviar "eliminar todo" a Enviar "eliminar todo" Eliminar todas las SA de
grupo los miembros del a los sub servidores. ICR miembro. Eliminar
grupo. Elimine todas Eliminar inmediatamente todas
ICR SA del grupo. inmediatamente todas las claves del grupo.
Eliminar las claves del grupo. Elimine todos los
inmediatamente todas Marcar todos los miembros registrados
las claves del grupo. interlocutores del grupo. Marcar
Elimine todos los inactivos. Eliminar las elemento del mismo
miembros registrados SA de ICR del sub- nivel inactivo. Eliminar
del grupo. servidor. Eliminar las SA de ICR del
todas las SA de ICR servidor del mismo
miembro. nivel.
835
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo (Continued)

independiente
ID. de cambio Enviar "eliminar todo" a Enviar "eliminar todo" Eliminar todos los
todos los miembros. a los sub servidores. miembros ICR SA del
Elimine todas ICR SA Eliminar todos los grupo. Eliminar
del grupo. Eliminar miembros ICR SA del inmediatamente todas
inmediatamente todas grupo. Eliminar las claves del grupo.
las claves del grupo. inmediatamente todas Elimine todos los
Elimine todos los las claves del grupo. miembros registrados
miembros registrados Marcar todos los del grupo. Marcar
del grupo. Generar interlocutores elemento del mismo
nuevas claves de inactivos. Eliminar nivel inactivo. Eliminar
acuerdo con la todas las SA de ICR del las SA de ICR del
configuración. servidor del mismo servidor del mismo
nivel. Generar nuevas nivel. Inicie nuevo
claves de acuerdo con cluster-init Exchange.
la configuración.
Agregar o eliminar ICR No hay cambios para adiciones. En el caso de eliminaciones, elimine el ICR
puerta de enlace SA y los miembros registrados para la puerta de enlace afectada.
Agregar o cambiar la Nuevo valor entra en vigor después de la regeneración de claves de TEK.
ventana de tiempos de
anti-reproducción
Agregar o cambiar la Nuevo valor entra en vigor después de la regeneración de claves de TEK.
ausencia de anti-
reproducción
Cambios en la comunicación del servidor-miembro:

836

independiente
Agregar Elimine todos los Genere KEK SA. Enviar Elimine todos los
miembros registrados. nuevo KEK SA a sub- miembros registrados.
Generar clave de Server. Eliminar todas
cifrado de clave (KEK) las SA de ICR
SA. miembro.
Cámbiela Nuevo valor entra en vigor después de KEK la regeneración de claves.
Elimina Enviar eliminar para Enviar la eliminación a Elimine KEK SA.

eliminar todas KEK SA. los sub-servidores.
Elimine KEK SA. Elimine KEK SA.
Eliminar todas las SA
de ICR miembro.
SA de IPsec:
Agregar Generar nuevo TEK Generar nuevo TEK Ninguna acción.

SA. Actualice el nuevo SA. Enviar nuevo TEK
SA de TEK en SA a los sub-
members. servidores.
837

independiente
Cámbiela Nuevo valor entra en Si cambia la Directiva Si cambia la Directiva

vigor después de TEK de coincidencia, envíe de coincidencia, elimine
la regeneración de la eliminación a los TEK inmediatamente.
claves. subservidors. Elimine
TEK inmediatamente.
Si la política de
coincidencia cambia, el
TEK actual se quita
inmediatamente y se
envía Delete groupkey-
Push, ya que es
necesario notificar
explícitamente a los
miembros que se ha
quitado esta
configuración.
Elimina Elimine TEK Enviar la eliminación a Elimine TEK

inmediatamente. los sub-servidores. inmediatamente.
Enviar eliminación para Elimine TEK
eliminar esta SA de inmediatamente.
TEK.
Tabla 69 en la página 838describe los efectos del cambio de la configuración del grupo VPNv2 del
servidor.
Debe asegurarse de que en cualquier momento sólo hay un servidor raíz en un clúster de servidores.
838
Tabla 69: Efectos del grupo VPNv2 cambios en la configuración del clúster de servidores
Cambio de Agrupar VPNv2 clúster de servidores

configuración de
clúster de servidor
Propuesta, Directiva o Para las adiciones, no hay ningún cambio. Para los cambios o eliminaciones,
puerta de enlace de elimine el ICR SA del sistema del mismo nivel afectado.
ICR (clúster del mismo
nivel)
Clúster de servidores:
Agregar Anula. Enviar "eliminar todo" a los miembros

del grupo. Eliminar todos los
miembros ICR SA del grupo. Elimine
todos los TEKs y KEKs
inmediatamente en el grupo. Elimine
todos los miembros registrados del
grupo. Enviar cluster-init al servidor
raíz.
Cambiar rol Enviar "eliminar todo" a los sub Regeneración de claves TEK.
servidores. Eliminar todos los Regeneración de claves KEK. Enviar
Debe asegurarse de
miembros ICR SA del grupo. nuevas claves a los sub-servidores.
que en cualquier
Elimine todos los TEKs y KEKs Enviar nuevas claves a los miembros.
momento sólo hay un
inmediatamente en el grupo.
servidor raíz en un
Marcar todos los interlocutores
clúster de servidores.
inactivos. Eliminar todas las SA de
ICR del servidor del mismo nivel.
Enviar cluster-init al servidor raíz.
Agregar elemento del Anula.

mismo nivel
839
Tabla 69: Efectos del grupo VPNv2 cambios en la configuración del clúster de servidores (Continued)
Cambio de Agrupar VPNv2 clúster de servidores

configuración de
clúster de servidor
Eliminar elemento del Marcar elemento del mismo nivel Marcar elemento del mismo nivel
mismo nivel inactivo. Borrar ICR SA del mismo inactivo. Borrar KEK. Borrar TEK.
nivel. Borrar ICR SA del mismo nivel.
Cambiar período de Anula.

retransmisión
Eliminar clúster de Enviar "eliminar todo" a los sub Eliminar todos los miembros ICR SA
servidor servidores. Elimine todos los TEKs del grupo. Elimine todos los TEKs y
y KEKs inmediatamente en el KEKs inmediatamente en el grupo.
grupo. Marcar todos los Elimine todos los miembros
interlocutores inactivos. Eliminar registrados del grupo. Marcar
todas las SA de ICR del servidor elemento del mismo nivel inactivo.
del mismo nivel. Generar nuevos Eliminar las SA de ICR del servidor del
TEKs y KEKs según la mismo nivel. Generar nuevos TEK y
configuración. KEK según la configuración.
Migrar un grupo independiente VPNv2 servidor a un grupo VPNv2

clúster de servidores
SRX4200 y dispositivos SRX4600 e instancias de vSRX. En esta sección se describe cómo migrar un
servidor VPNv2 de grupo independiente a un grupo VPNv2 clúster de servidores.
Para migrar un grupo independiente VPNv2 servidor a un servidor raíz:
Es muy recomendable que el servidor raíz sea un clúster del chasis.
1. Actualizar el grupo independiente VPNv2 servidor a un clúster de chasis. Consulte Guía de usuario
de clústeres de chasis para obtener más información acerca de los dispositivos serie SRX
Es necesario reiniciar durante la actualización de un dispositivo de serie SRX independiente a un
nodo del clúster del chasis. Se espera una pérdida de tráfico.
840
2. En el clúster del chasis, agregue la configuración del servidor raíz de clúster del servidor VPNv2 del
grupo. La función del servidor configurada para el root-serverclúster debe ser.
No debería haber pérdida de tráfico entre los miembros del grupo existentes durante el cambio de
configuración.
Para agregar un sub-servidor al grupo VPNv2 clúster del servidor:
1. En el servidor raíz, configure una puerta de enlace de VPNv2 Server ICR de grupo y una puerta de
enlace de ICR del clúster de servidores para el subservidor. No debe afectar al SAs ni al tráfico
existente de los miembros.
2. En el subservidor, configure el clúster de servidor. Recuerde que la configuración del VPNv2 del
grupo debe ser la misma en todos los servidores del clúster, con excepción de las puertas de enlace
del servidor VPNv2 Server ICR, el rol del servidor en el clúster y las configuraciones del clúster de
servidores ICR puerta de enlace. En el subservidor, la función del servidor configurada en el clúster
sub-serverdebe ser. Configure un grupo VPNv2 puerta de enlace de ICR servidor y una puerta de
enlace de ICR del clúster de servidores para el servidor raíz.
Para eliminar un subservidor del clúster de servidores VPNv2 de Grupo:
1. En el servidor raíz, elimine el servidor VPNv2 puerta de enlace ICR de grupo y las configuraciones del
clúster de servidor ICR puerta de enlace para el subservidor. No debe afectar al SAs ni al tráfico
existente de los miembros.
2. Apague el sub-servidor.
SEE ALSO
Ejemplo Configurar un clúster de servidor VPNv2 y miembros
in this section
Aplicables | 841
Automática | 845
Comproba | 915
841
En este ejemplo se muestra cómo configurar un clúster de servidor VPNv2 de grupo para proporcionar
redundancia y escalabilidad del controlador de grupo/servidor de claves (GCKS) a los miembros del
grupo VPNv2. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM,
SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Aplicables
El ejemplo utiliza los siguientes componentes de hardware y software:
• Ocho dispositivos serie SRX compatibles o instancias vSRX que se ejecute Junos OS Release 15.1-
D30 o posterior que admita el grupo VPNv2:
• Dos dispositivos o instancias están configurados para funcionar como un clúster de chasis. El
clúster de chasis funciona como servidor raíz en el clúster de servidor VPNv2 de grupo. Los
dispositivos o instancias deben tener la misma versión de software y licencias.
El servidor raíz es responsable de la generación y distribución de claves de cifrado a los

subservidors del clúster de servidores VPN de grupo; debido a esta responsabilidad,
recomendamos que el servidor raíz sea un clúster del chasis.
• Otros cuatro dispositivos o instancias funcionan como subservidors en el clúster de servidor

VPNv2 de grupo.
• Otros dos dispositivos o instancias funcionan como miembros del grupo VPNv2 grupo.
• Dos dispositivos compatibles con la serie MX que se ejecutan Junos OS versión 15.1 R2 o posterior
que admiten el grupo VPNv2. Estos dispositivos funcionan como miembros del grupo VPNv2.
En cada serie SRX dispositivo o instancia de vSRX, debe configurarse un nombre de host, una contraseña
de administrador raíz y un acceso de administración. Recomendamos que NTP también esté configurado
en cada dispositivo.
Las configuraciones de este ejemplo se centran en lo que se necesita para el funcionamiento de VPNv2
de grupo, basándose en la topología que se muestra en Figura 1la. Algunas configuraciones, como la
interfaz, el enrutamiento o las programaciones del clúster del chasis, no se incluyen aquí. Por ejemplo,
Group VPNv2 Operation requiere una topología de enrutamiento de trabajo que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red; Este ejemplo no cubre la configuración
del enrutamiento estático o dinámico.
in this section
Topología | 844
842
En este ejemplo, el grupo VPNv2 red está formado por un clúster de servidores y cuatro miembros. El
clúster de servidores se compone de un servidor raíz y cuatro subservidors. Dos de los miembros se
serie SRX dispositivos o instancias de vSRX mientras que los otros dos miembros son dispositivos de la
serie MX.
Las SA de grupo de VPN deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN
de grupo debe incluir la configuración ICR negociaciones de la fase 1 en el servidor raíz, los subservidors
y los miembros del grupo. Las configuraciones ICR se describen a continuación.
En el servidor raíz:
• La directiva SubSrv de ICR se utiliza para establecer las SA de la fase 1 con cada subservidor.
• Una puerta de enlace de ICR está configurada con detección de pares inactivos (DPD) para cada
subservidor.
• La función del clúster de root-server servidores es y cada subservidor está configurado como una
puerta de enlace de ICR para el clúster de servidores.
El servidor raíz debe configurarse para admitir el funcionamiento del clúster del chasis. En el ejemplo, las
interfaces Ethernet redundantes en el servidor raíz se conectan con cada uno de los subservidores del
clúster de servidores; no se muestra la configuración completa del clúster del chasis.
En cada sub-servidor:
• Se configuran dos políticas de ICR: RootSrvse utiliza para establecer una SA en la fase 1 con el
servidor raíz, GMs y se utiliza para establecer las SA de la fase 1 con cada miembro del grupo.
Las claves previamente compartidas se utilizan para fijar las SA de la fase 1 entre el servidor raíz y los
subdominios, y entre los subservidors y los miembros del grupo. Asegúrese de que las claves
previamente compartidas se utilizan con claves seguras. En los subservidors, la clave previamente
compartida configurada para la directiva RootSrv ICR debe coincidir con la clave previamente
compartida configurada en el servidor raíz, y la clave previamente compartida configurada GMs para
la Directiva ICR debe coincidir con la clave previamente compartida configurada en los miembros del
grupo.
• Una puerta de enlace de ICR está configurada con DPD para el servidor raíz. Además, se configura
una puerta de enlace de ICR para cada miembro del grupo.
• El rol de servidor de sub-server clústeres y el servidor raíz se configuran como ICR puerta de enlace
para el clúster de servidor.
En cada miembro del Grupo:
• La directiva SubSrv de ICR se utiliza para establecer las SA de la fase 1 con los subservidors.
• La configuración de puerta de enlace de ICR incluye las direcciones para los subservidors.
843
En serie SRX dispositivos o miembros del grupo de vSRX, se configura una directiva IPsec para el grupo
con la zona de LAN como zona de entrada (tráfico entrante) y la zona de WAN como la zona a (tráfico
saliente). También se necesita una directiva de seguridad para permitir el tráfico entre las zonas LAN y
WAN.
El mismo identificador de grupo debe configurarse tanto en el servidor del grupo como en los miembros
del grupo. En este ejemplo, el nombre de grupo es GROUP_ID-0001 y el identificador de grupo es 1. La
Directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre las
subredes del intervalo 172.16.0.0/12.
844
Topología
Figura 54 en la página 844muestra los dispositivos Juniper Networks que se configurarán para este
ejemplo.
Figura 54: Agrupar VPNv2 clúster de servidores con miembros de la serie serie SRX o vSRX y MX
845
Automática
in this section
Configurar el servidor raíz | 845
Configuración de sub-Server 1 | 855
Configuración de GM-0001 (dispositivo de serie SRX o instancia de vSRX) | 888
Configuración de GM-0002 (dispositivo de serie SRX o instancia de vSRX) | 895
Configuración de GM-0003 (dispositivo serie MX) | 903
Configuración de GM-0004 (dispositivo serie MX) | 909
Configurar el servidor raíz

set interfaces reth1 unit 0 description To_SubSrv01
846

set security zones security-zone GROUPVPN interfaces reth1.0
set security policies global policy 1000 then deny
keys
set security group-vpn server ike policy SubSrv mode main
set security group-vpn server ike policy SubSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn server ike policy SubSrv pre-shared-key ascii-text "$ABC123"
set security group-vpn server ike gateway SubSrv01 ike-policy SubSrv
set security group-vpn server ike gateway SubSrv01 address 10.16.101.1
set security group-vpn server ike gateway SubSrv01 dead-peer-detection always-send
set security group-vpn server ike gateway SubSrv01 local-address 10.10.101.1
847

sha-256-128
set security group-vpn server group GROUP_ID-0001 server-cluster server-role root-server
set security group-vpn server group GROUP_ID-0001 server-cluster ike-gateway SubSrv01
set security group-vpn server group GROUP_ID-0001 server-cluster retransmission-period 10
unicast
aes-256-cbc
sha-256
L3600
172.16.0.0/12
172.16.0.0/12
Para configurar el servidor raíz:

848
1. Configurar zonas y políticas de seguridad.
[edit interfaces]
user@host# set reth1 unit 0 description To_SubSrv01
[edit security policies global]
user@host# set policy 1000 match from-zone any
user@host# set policy 1000 match to-zone any
user@host# set policy 1000 then deny
user@host# set policy 1000 then log session-init
user@host# set policy 1000 then count
2. Configure el clúster del chasis.

849


[edit security group-vpn server ike policy SubSrv]
[edit security group-vpn server ike gateway SubSrv01]
user@host# set ike-policy SubSrv
user@host# set dead-peer-detection always-send
850

5. Configure el grupo VPN.

user@host# set server-cluster server-role root-server
user@host# set server-cluster ike-gateway SubSrv01
user@host# set server-cluster retransmission-period 10
user@host# set server-member-communication communication-type unicast
user@host# set server-member-communication encryption-algorithm aes-256-cbc
user@host# set server-member-communication lifetime-seconds 7200
user@host# set server-member-communication sig-hash-algorithm sha-256
6. Configure la Directiva de grupo.

user@host# set ipsec-sa GROUP_ID-0001 match-policy 1 source 172.16.0.0/12
user@host# set ipsec-sa GROUP_ID-0001 match-policy 1 destination 172.16.0.0/12
user@host# set ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
user@host# set ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-L3600
851
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show chassis clustery y show
[edit]
reth1 {
redundancy-group 1;
}
unit 0 {
description To_SubSrv01;
family inet {
address 10.10.101.1/24;
}
}
}
reth2 {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.10.102.1/24;
}
}
}
reth3 {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.10.103.1/24;
}
}
}
reth4 {
852
redundancy-group 1;
}
unit 0 {
family inet {
address 10.10.104.1/24;
}
}
}
[edit]
reth-count 5;
node 1 priority 1;
}
node 1 priority 1;
}
[edit]
group-vpn {
server {
ike {
dh-group group14;
}
policy SubSrv {
mode main;
}
gateway SubSrv01 {
ike-policy SubSrv;
address 10.16.101.1;
dead-peer-detection always-send;
}
853
gateway SubSrv02 {
ike-policy SubSrv;
address 10.16.102.1;
}
gateway SubSrv03 {
ike-policy SubSrv;
address 10.16.103.1;
}
gateway SubSrv04 {
ike-policy SubSrv;
address 10.16.104.1;
}
}
ipsec {
}
}
group-id 1;
server-cluster {
server-role root-server;
ike-gateway SubSrv01;
retransmission-period 10;
}
854
}
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
system-services {
ike;
ssh;
ping;
}
855
}
interfaces {
reth1.0;
reth2.0;
reth3.0;
reth4.0;
}
}
}
Configuración de sub-Server 1
set interfaces ge-0/0/0 unit 0 description To_RootSrv

set interfaces ge-0/0/1 unit 0 description To_WAN
keys
856

set security group-vpn server ike policy RootSrv mode main
set security group-vpn server ike policy RootSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn server ike policy RootSrv pre-shared-key ascii-text "$ABC123"
set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123$ABC123"
set security group-vpn server ike gateway RootSrv ike-policy RootSrv
set security group-vpn server ike gateway RootSrv address 10.10.101.1
set security group-vpn server ike gateway RootSrv dead-peer-detection always-send
set security group-vpn server ike gateway RootSrv local-address 10.16.101.1
sha-256-128
set security group-vpn server group GROUP_ID-0001 server-cluster server-role sub-server
set security group-vpn server group GROUP_ID-0001 server-cluster ike-gateway RootSrv
unicast
857

aes-256-cbc
sha-256
L3600
172.16.0.0/12
172.16.0.0/12
Para configurar el subservidor del clúster de servidores VPNv2 de Grupo:
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_RootSrv
user@host# set ge-0/0/1 unit 0 description To_WAN
858


[edit security group-vpn server ike policy RootSrv]
user@host# set pre-shared-key ascii-text "$ABC123$ABC123"
[edit security group-vpn server ike gateway RootSrv]
user@host# set ike-policy RootSrv
859



user@host# set server-cluster server-role sub-server
user@host# set server-cluster ike-gateway RootSrv

860
Resultados
Desde el modo de configuración, escriba los show interfacescomandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
[edit]
ge-0/0/0 {
unit 0 {
description To_RootSrv;
family inet {
address 10.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.101.1/24;
}
}
}
[edit]
group-vpn {
server {
ike {
dh-group group14;
}
policy RootSrv {
mode main;
}
policy GMs {
mode main;
861
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.101.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
}
}
ipsec {
}
}
group-id 1;
server-cluster {
server-role sub-server;
ike-gateway RootSrv;
862
}
}
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
863
default-policy {
deny-all;
}
}
zones {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}

864

keys
sha-256-128
865

unicast
aes-256-cbc
sha-256
L3600
172.16.0.0/12
172.16.0.0/12
[edit interfaces]
866


867



868

Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 10.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.102.1/24;
}
}
}
[edit]
group-vpn {
server {
ike {
869
dh-group group14;
}
policy RootSrv {
mode main;
}
policy GMs {
mode main;
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.102.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
}
}
ipsec {
870
}
}
group-id 1;
server-cluster {
}
}
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
871
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
872

keys
873

sha-256-128
unicast
aes-256-cbc
sha-256
L3600
172.16.0.0/12
172.16.0.0/12
874
[edit interfaces]

875


876


Resultados
[edit]
ge-0/0/0 {
unit 0 {
family inet {
877
address 10.16.103.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.103.1/24;
}
}
}
[edit]
group-vpn {
server {
ike {
dh-group group14;
}
policy RootSrv {
mode main;
}
policy GMs {
mode main;
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.103.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
878
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
}
}
ipsec {
}
}
group-id 1;
server-cluster {
}
}
879
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
system-services {
ike;
ssh;
ping;
}
}
880
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}

keys
881

sha-256-128
unicast
aes-256-cbc
882

sha-256
L3600
172.16.0.0/12
172.16.0.0/12
[edit interfaces]
883


884



885
Resultados
[edit]
ge-0/0/0 {
unit 0 {
family inet {
address 10.16.104.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.104.1/24;
}
}
}
[edit]
group-vpn {
server {
ike {
dh-group group14;
}
policy RootSrv {
mode main;
}
policy GMs {
mode main;
886
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.104.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
}
}
ipsec {
}
}
group-id 1;
server-cluster {
887
}
}
match-policy 1 {
source 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
888
default-policy {
deny-all;
}
}
zones {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
Configuración de GM-0001 (dispositivo de serie SRX o instancia de vSRX)

set interfaces ge-0/0/1 unit 0 description To_SubSrv
889

shared-keys
set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123$ABC123"
890

[edit interfaces]
user@host# set ge-0/0/1 unit 0 description To_SubSrv
[edit security]
[edit security policies from-zone WAN to-zone LAN]
891

[edit]
user@host# set security policies default-policy deny-all

[edit security group-vpn member ike policy SubSrv]
[edit security group-vpn member ike gateway SubSrv]

user@host# set ike-gateway SubSrv
892

Resultados
[edit]
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_SubSrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
893
dh-group group14;
}
policy SubSrv {
mode main;
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
}
}
policies {
policy 1 {
match {
application any;
}
then {
permit;
log {
894
session-init;
}
}
}
}
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
895
security-zone LAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configuración de GM-0002 (dispositivo de serie SRX o instancia de vSRX)

set interfaces ge-0/0/1 unit 0 description To_SubSrv
896

shared-keys
897

[edit interfaces]
user@host# set ge-0/0/1 unit 0 description To_SubSrv
[edit security]
898
[edit security policies from-zone WAN to-zone LAN]

[edit]
user@host# set security policies default-policy deny-all

899


Resultados
[edit]
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_SubSrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
900
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
dh-group group14;
}
policy SubSrv {
mode main;
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
}
}
policies {
901
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
902
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}

903
Configuración de GM-0003 (dispositivo serie MX)
KS
GroupVPN-KS
shared-keys
904
10.17.101.1/32
10.17.102.1/32
10.17.103.1/32
10.17.104.1/32
172.16.0.0/12
[edit interfaces]
GroupVPN-KS
GroupVPN-KS

905



906


Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show securityescriba
show serviceslos comandos show firewall ,, y. Si el resultado no muestra la configuración deseada, repita
las instrucciones de este ejemplo para corregir la configuración.
[edit]
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
}
output {
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
907
unit 0 {
family inet;
}
}
[edit]
group-vpn {
member {
ike {
dh-group group14;
}
policy SubSrv {
mode main;
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
interface-service {
908
}
}
[edit]
family inet {
term inbound-ks {
from {
source-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term outbound-ks {
from {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
from {
source-address {
172.16.0.0/12;
}
172.16.0.0/12;
}
}
then service;
}
}
}
909
Configuración de GM-0004 (dispositivo serie MX)
KS
GroupVPN-KS
shared-keys
910
10.17.101.1/32
10.17.102.1/32
10.17.103.1/32
10.17.104.1/32
172.16.0.0/12
[edit interfaces]
GroupVPN-KS
GroupVPN-KS
911



912


Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show securityescriba
show serviceslos comandos show firewall ,, y. Si el resultado no muestra la configuración deseada, repita
las instrucciones de este ejemplo para corregir la configuración.
[edit]
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
}
output {
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
913
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
group-vpn {
member {
ike {
dh-group group14;
}
policy SubSrv {
mode main;
pre-shared-key ascii-text ""$ABC123$ABC123"; ## SECRET-DATA
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
914
interface-service {
}
}
[edit]
family inet {
term inbound-ks {
from {
source-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term outbound-ks {
from {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
from {
source-address {
172.16.0.0/12;
}
172.16.0.0/12;
}
}
then service;
}
915
}
}
Comproba
in this section
Comprobación de la operación del clúster de servidores | 915
Verificación de que las SA se distribuyen a los miembros | 919
Comprobación de ICR SA en los servidores | 922
Comprobación de las SA de IPsec en los servidores y miembros del grupo | 924
Comprobación de las directivas IPsec en los miembros del grupo | 927
Comprobación de la operación del clúster de servidores
Purpose
Compruebe que los dispositivos del clúster de servidores reconocen servidores del mismo nivel en el
grupo. Asegúrese de que los servidores están activos y que las funciones del clúster están asignadas
correctamente.
Intervención
Desde el modo operativo, introduzca show security group-vpn server server-clusterlos show security
group-vpn server server-cluster detailcomandos, show security group-vpn server statistics y en el
servidor raíz.
user@RootSrv> show security group-vpn server server-cluster

Role: Root-server, Version Number: 2,
Peer Gateway Peer IP Role Status
SubSrv01 10.16.101.1 Sub-server Active
916

user@RootSrv> show security group-vpn server server-cluster detail

Role: Root-server, Version Number: 2
Peer gateway: SubSrv01

Peer IP: 10.16.101.1, Local IP: 10.10.101.1, VR: default
Role: Sub-server, Status: Active
CLUSTER-INIT send: 0
CLUSTER-INIT recv: 1
CLUSTER-INIT success: 1
CLUSTER-INIT fail: 0
CLUSTER-INIT dup: 0
CLUSTER-INIT abort: 0
CLUSTER-INIT timeout: 0
CLUSTER-UPDATE send: 2
CLUSTER-UPDATE recv: 0
CLUSTER-UPDATE success: 2
CLUSTER-UPDATE fail: 0
CLUSTER-UPDATE abort: 0
CLUSTER-UPDATE timeout: 0
CLUSTER-UPDATE pending: 0
CLUSTER-UPDATE max retry reached: 0
DPD send: 677
DPD send fail: 0
DPD ACK recv: 677
DPD ACK invalid seqno: 0
IPsec SA policy mismatch: 0
IPsec SA proposal mismatch: 0
KEK SA proposal mismatch: 0
Peer gateway: SubSrv02

Role: Sub-server, Status: Active
CLUSTER-INIT dup: 0
917
DPD send: 676
DPD send fail: 0
DPD ACK recv: 676
user@RootSrv> show security group-vpn server statistics

Stats:
Pull Succeeded : 0
Pull Failed : 0
Push Sent : 0
Desde el modo operativo, escriba show security group-vpn server server-clusterlos show security
group-vpn server server-cluster detailcomandos, show security group-vpn server statistics y en cada
sub-servidor.
user@SubSrv01> show security group-vpn server server-cluster

Role: Sub-server, Version Number: 2,
Peer Gateway Peer IP Role Status
RootSrv 10.10.101.1 Root-server Active
user@SubSrv01> show security group-vpn server server-cluster detail

918
Role: Sub-server, Version Number: 2
Peer gateway: RootSrv

Role: Root-server, Status: Active
CLUSTER-INIT dup: 0
DPD send: 812
DPD send fail: 0
DPD ACK recv: 812
user@SubSrv01> show security group-vpn server statistics

Stats:
Pull Succeeded : 4
Pull Failed : 0
Push Sent : 8
919
Verificación de que las SA se distribuyen a los miembros
Purpose
Compruebe que los subservidors han recibido SAs para la distribución a los miembros del grupo y que
los miembros del grupo han recibido el SAs.
Intervención
security group-vpn server kek security-associations detail comandos y en el servidor raíz.
user@RootSrv> show security group-vpn server kek security-associations

738885 2888 5742c24020056c6a d6d479543b56404c 1
user@RootSrv> show security group-vpn server kek security-associations detail

Initiator cookie: 5742c24020056c6a, Responder cookie: d6d479543b56404c
Algorithms:
Sig-hash : sha256
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0

920
security group-vpn server kek security-associations detail comandos y en cada sub-servidor.
user@SubSrv01> show security group-vpn server kek security-associations

738885 1575 5742c24020056c6a d6d479543b56404c 1
user@SubSrv01> show security group-vpn server kek security-associations detail

Initiator cookie: 114e4a214891e42f, Responder cookie: 4b2848d14372e5bd
Algorithms:
Sig-hash : sha256
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
En modo operativo, escriba los show security group-vpn member kek security-associations comandos
show security group-vpn member kek security-associations detail y en cada miembro del grupo.
Para los miembros de la agrupación SRX o vSRX:
user@GM-0001> show security group-vpn server kek security-associations

5455799 10.17.101.1 1466 5742c24020056c6a d6d479543b56404c 1
user@GM-0001> show security group-vpn server kek security-associations detail

921

Algorithms:
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Para miembros del grupo MX:
user@GM-0003> show security group-vpn member kek security-associations

5184329 10.17.101.1 1323 5742c24020056c6a d6d479543b56404c 1
user@GM-0003> show security group-vpn member kek security-associations detail

Algorithms:
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
922
Comprobación de ICR SA en los servidores
Purpose
Muestra ICR asociaciones de seguridad (SA) en los servidores.
Intervención
Desde el modo operativo, escriba show security group-vpn server ike security-associations los show
security group-vpn server ike security-associations detail comandos y en el servidor raíz.
user@RootSrv> show security group-vpn server ike security-associations

Address
738880 UP 2221001e980eb08b 5af00708f5da289c Main 10.16.104.1
738881 UP 59e8c1d328b1d9fd d63e823fb8be1f22 Main 10.16.101.1
738883 UP 9cb3a49c6771819e 8df3be8c9ddeb2a7 Main 10.16.102.1
738882 UP 9a8a75f05a1384c5 c6d58696c896b730 Main 10.16.103.1
user@RootSrv> show security group-vpn server ike security-associations detail

IKE peer 10.16.101.1, Index 738881, Gateway Name: SubSrv01
Initiator cookie: 59e8c1d328b1d9fd, Responder cookie: d63e823fb8be1f22
Local: 10.10.101.1:848, Remote: 10.16.101.1:848
Peer ike-id: 10.16.101.1
Xauth user-name: not available
Algorithms:
Traffic statistics:
Input bytes : 150112
Output bytes : 153472
Input packets: 1387
Output packets: 1387
923
IKE peer 10.16.102.1, Index 738883, Gateway Name: SubSrv02

Initiator cookie: 9cb3a49c6771819e, Responder cookie: 8df3be8c9ddeb2a7
Local: 10.10.102.1:848, Remote: 10.16.102.1:848
Peer ike-id: 10.16.102.1
Algorithms:
Traffic statistics:
Input packets: 1384
Desde el modo operativo, escriba show security group-vpn server ike security-associations los show
security group-vpn server ike security-associations detail comandos y en cada sub-servidor.
user@SubSrv01> show security group-vpn server ike security-associations

Address
738878 UP 59e8c1d328b1d9fd d63e823fb8be1f22 Main 10.10.101.1
user@SubSrv01> show security group-vpn server ike security-associations detail

IKE peer 10.10.101.1, Index 738878, Gateway Name: RootSrv
Initiator cookie: 59e8c1d328b1d9fd, Responder cookie: d63e823fb8be1f22
Local: 10.16.101.1:848, Remote: 10.10.101.1:848
Peer ike-id: 10.10.101.1
Algorithms:
924
Traffic statistics:
Input packets: 1646
Comprobación de las SA de IPsec en los servidores y miembros del grupo
Purpose
Muestra las asociaciones de seguridad IPsec (SA) en los servidores y miembros del grupo.
Intervención
security group-vpn server ipsec security-associations detail comandos y en el servidor raíz.
user@RootSrv> show security group-vpn server ipsec security-associations

Total IPsec SAs: 1
GROUP_ID-0001 ESP:aes-256/sha256 dddef414 2773
user@RootSrv> show security group-vpn server ipsec security-associations detail

Total IPsec SAs: 1
SPI: dddef414
Policy Name: 1
Source: 172.16.0.0/12
Source Port: 0
925
Destination Port: 0
Protocol: 0
security group-vpn server ipsec security-associations detail comandos y en cada sub-servidor.
user@SubSrv01> show security group-vpn server ipsec security-associations

Total IPsec SAs: 1
GROUP_ID-0001 ESP:aes-256/sha256 dddef414 1520
user@SubSrv01> show security group-vpn server ipsec security-associations detail

Total IPsec SAs: 1
SPI: dddef414
Policy Name: 1
Source: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Desde el modo operativo, escriba show security group-vpn member ipsec security-associations los
show security group-vpn member ipsec security-associations detail comandos y en cada miembro del
grupo
Para los miembros de la agrupación SRX o vSRX:
user@GM-0001> show security group-vpn member ipsec security-associations

<>49152 10.17.101.1 848 ESP:aes-256/sha256-128 dddef414 1412/ unlim 1 root
user@GM-0001> show security group-vpn member ipsec security-associations detail

926

Group Id: 1
DF-bit: clear
Stats:
Pull Succeeded : 1
Pull Failed : 0
Pull Timeout : 0
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Flags:
Rekey Needed: no

Tunnel-id: 49152
Direction: bi-directional, SPI: dddef414

Para miembros del grupo MX:
user@GM-0003> show security group-vpn member ipsec security-associations

<>10001 10.17.101.1 848 ESP:aes-256/sha256-128 dddef414 1308/ unlim 1 root
user@GM-0003> show security group-vpn member ipsec security-associations detail

927

Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
DF-bit: clear
Stats:
Pull Succeeded : 1
Pull Failed : 0
Pull Timeout : 0
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Flags:
Rekey Needed: no

Tunnel-id: 10001
Direction: bi-directional, SPI: dddef414

Comprobación de las directivas IPsec en los miembros del grupo
Purpose
Muestre la directiva IPsec en un miembro de un grupo de vSRX y SRX.
Este comando no está disponible para los miembros del grupo de la serie MX.
928
Intervención
Desde el modo operativo, escriba el comando en los miembros del show security group-vpn member
policy grupo SRX vSRX grupo.
user@GM-0001> show security group-vpn member policy

Group VPN Name: GROUP_ID-0001, Group Id: 1
From-zone: LAN, To-zone: WAN
Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol
<0>
Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol
<0>

SEE ALSO

Configurar VPN de grupo en el grupo VPNv2 en el dispositivo de enrutamiento
Agrupar VPNv1 | 704

11
ADVPN
Detección automática de VPN | 930

930
Detección automática de VPN
in this section
Descripción del enrutamiento del tráfico con túneles de acceso directo | 936
Ejemplo Mejorar la utilización de recursos de red con detección automática de túneles dinámicos de
VPN | 939
Ejemplo Configurando ADVPN con OSPFv3 para el tráfico de IPv6 | 995
Permitir que OSPF actualice las rutas rápidamente después de establecer los túneles de ADVPN | 1033
La VPN de descubrimiento automático (ADVPN) establece dinámicamente túneles VPN entre los radios
para evitar el enrutamiento de tráfico a través del concentrador.
Descripción de VPN de detección automática
in this section
Protocolo ADVPN | 931
Establecer un acceso directo | 931
Roles de iniciador de acceso directo y de respondedor | 932
Atributos de acceso directo | 933
Finalización de acceso directo | 935
Limitaciones de la configuración de ADVPN | 935
La VPN de descubrimiento automático (ADVPN) es una tecnología que permite que el

CONCENTRADOr central informe de forma dinámica a los radios de una ruta mejor para el tráfico entre
dos radios. Cuando ambos radios reconocen la información del CONCENTRADOr, establecen un túnel
de acceso directo y cambian la topología de enrutamiento del host para que alcance al otro, sin enviar
tráfico a través del CONCENTRADOr.
931
Protocolo ADVPN
ADVPN usa una extensión del protocolo IKEv2 para intercambiar mensajes entre dos pares, lo que
permite que los radios establezcan un túnel de acceso directo entre sí. Los dispositivos que admiten la
extensión ADVPN ADVPN_SUPPORTED envían una notificación en la carga NOTIFY de IKEv2, incluida
su información de funcionalidad y el número de versión ADVPN, durante el ICR inicial de Exchange. Un
dispositivo que admite ADVPN puede actuar como una sugerencia de acceso directo o como un socio
de acceso directo, pero no ambos.
Establecer un acceso directo
Una puerta de enlace VPN IPsec puede actuar como una sugerencia de acceso directo cuando advierte
que el tráfico sale de un túnel con uno de sus homólogos y entra en un túnel con otro interlocutor.
Figura 55 en la página 931 muestra el tráfico desde los radios 1 a radios 3 que pasan a través del
concentrador.
Figura 55: Tráfico de radio a periferia que pasa por el concentrador
Cuando se configura ADVPN en los dispositivos, se intercambian la información de la capacidad de

acceso directo ADVPN entre el concentrador y los radios. Siempre y cuando los radios 1 y 3 hayan
anunciado con anterioridad la capacidad de socio de acceso directo de ADVPN al concentrador, el
concentrador puede sugerir que los radios 1 y 3 establezcan un acceso directo entre sí.
La sugerencia de acceso directo usa sus SA IKEv2 ya establecidas con los iguales del mismo nivel para
comenzar un intercambio de accesos directos con uno de los dos interlocutores. Si el interlocutor acepta
932
el intercambio de acceso directo, comienza un intercambio de accesos directos con el otro interlocutor.
El intercambio de accesos directos incluye información que permite a los interlocutores (denominados
socios de acceso directo) establecer asociaciones de ICR y IPSec entre sí. La creación del acceso directo
entre los socios de accesos directos solo se inicia cuando ambos interlocutores aceptan el intercambio
de accesos directos.
Figura 56 en la página 932muestra el tráfico que pasa a través de un acceso directo entre los radios 1 y
3. El tráfico de radios 1 a radios 3 no necesita atravesar el concentrador.
Figura 56: Tráfico de radio a radio que pasa por el acceso directo
Roles de iniciador de acceso directo y de respondedor
La sugerencia de acceso directo elige uno de los asociados de acceso directo para que actúe como
iniciador para el acceso directo; el otro socio actúa como el contestador. Si uno de los socios está detrás
de un dispositivo TDR, el asociado que subyace al dispositivo TDR será elegido como iniciador. Si
ninguno de los socios está detrás de un dispositivo TDR, entonces la persona que sugiere elige
aleatoriamente uno de los socios como iniciador; el otro socio actúa como el contestador. Si ambos
socios están detrás de TDR dispositivos, no es posible crear un acceso directo entre ellos; el deparador
no envía un intercambio de accesos directos a ninguno de los interlocutores.
La sugerencia de acceso directo comienza el intercambio de accesos directos con el contestador

primero. Si el interlocutor que responde acepta la sugerencia de método abreviado, entonces la persona
que lo sugiere lo notificará al iniciador.
933
Mediante la información contenida en la notificación del sugerente de accesos directos, el iniciador de

métodos abreviados establece un intercambio IKEv2 con el respondedor y se establece una nueva SA
IPsec entre los dos socios. En cada socio, la ruta hacia la red que se encuentra detrás de su socio apunta
ahora al acceso directo en lugar de al túnel entre el socio comercial y el deparador. El tráfico originado
detrás de uno de los interlocutores destinados a una red que está detrás del otro asociado de acceso
directo fluye por el acceso directo.
Si los socios rechazan la sugerencia de método abreviado, los socios lo notificarán a la propuesta con la
razón del rechazo. En este caso, el tráfico entre los socios sigue fluyendo a través de la sugerencia de
acceso directo.
Atributos de acceso directo
El acceso directo recibe algunos de sus atributos de la sugerencia de acceso directo, mientras que otros
atributos se heredan de la configuración de túnel de VPN de asociado de negocios de sugerencias. Tabla
70 en la página 933 muestra los parámetros del acceso directo.
Tabla 70: Parámetros de acceso directo
Atributo Recibidos/heredados de
ADVPN Automática
Antireplay Automática
Algoritmo de autenticación Automática
Detección de pares de tráfico muerto Automática
Bit DF Automática
Algoritmo de cifrado Automática
Establecer túneles Sugerencia
Interfaz externa Automática

934
Tabla 70: Parámetros de acceso directo (Continued)
Atributo Recibidos/heredados de
Directiva de puerta de enlace Automática
ID. de ICR general Automática
ICR versión Automática
Intervalo de instalación Automática
Dirección local Automática
Identidad local Sugerencia
Recorrido de TDR Automática
Confidencialidad directa perfecta Automática
Protocolo Automática
ID de proxy No aplicable
Dirección remota Sugerencia
Identidad remota Sugerencia
Responder SPI incorrecto Automática
Selector de tráfico No aplicable

935
Finalización de acceso directo
De forma predeterminada, el acceso directo se mantiene de manera indefinida. Los socios de acceso
directo terminan el acceso directo si el tráfico cae por debajo de una velocidad especificada durante un
tiempo especificado. De forma predeterminada, el acceso directo se interrumpe si el tráfico cae por
debajo de 5 paquetes por segundo durante 900 segundos; los valores de umbral de tiempo inactivo y de
inactividad son configurables para los socios. El acceso directo puede eliminarse manualmente en
cualquier socio de acceso clear security ike security-association directo clear security ipsec security-
association con los comandos o para borrar el ICR o SA IPsec correspondiente. Cualquiera de los
asociados de acceso directo puede terminar el acceso directo en cualquier momento mediante el envío
de una carga de eliminación IKEv2 al otro asociado de acceso directo.
Cuando se termina el acceso directo, se eliminan el ICR SA correspondiente y todas las SA IPsec
secundarias. Una vez finalizado el acceso directo, la ruta correspondiente se elimina tanto en los socios
de acceso directo como en el tráfico entre dos del mismo nivel de nuevo a través de la sugerencia. La
información de finalización de acceso directo se envía de un socio a la empresa de sugerencias.
La duración de un acceso directo es independiente del túnel entre el sugierero y el asociado de acceso
directo. El acceso directo no se termina simplemente porque se termina el túnel entre el sugiere y el
asociado de negocios.
Limitaciones de la configuración de ADVPN
Tenga en cuenta las siguientes limitaciones al configurar ADVPN:
• ADVPN solo se admite para comunicaciones de sitio a sitio. La configuración de un sugerir ADVPN
solo se permite en concentradores de AutoVPN.
• No puede configurar los roles de sugerencias y de socios. Cuando ADVPN está habilitado en una
puerta de enlace, no puede deshabilitar los roles de sugerencias y de socios en la puerta de enlace.
• Como se mencionó anteriormente, no se puede crear un acceso directo entre socios que se
encuentren detrás TDR dispositivos. El proceso de inicio puede iniciar un intercambio de acceso
directo si sólo uno de los socios se encuentra detrás de un dispositivo TDR o si ningún socio está
detrás TDR dispositivos.
• No se admite el tráfico de multidifusión.
1. A partir de Junos OS Release 19.2 R1, en SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500,
vSRX 2,0 (con 2 vCPUs) y los dispositivos de la serie vSRX 3,0 (con 2 vCPUs), la multidifusión de
protocolo independiente (PIM) con el modo punto a multipunto (P2MP) admite VPN de p2mp
detección automática en la que se introduce un nuevo tipo de interfaz para PIM. La p2mp interfaz
realiza un seguimiento de todas las uniones PIM por vecino para garantizar que el reenvío de
multidifusión o la replicación solo se produzca en aquellos vecinos que se encuentren en estado
unido.
936
2. A partir de Junos OS versión 18.1 R1, ADVPN es compatible con IPv6.
Las configuraciones siguientes no se admiten con ADVPN:
• IKEv1
• VPN basada en políticas
• Carga de configuración IKEv2
• Selectores de tráfico
• Clave previamente compartida
• Interfaces de túnel seguro punto a punto
Descripción del enrutamiento del tráfico con túneles de acceso directo
Las proprevistos de túnel o los cambios catastróficos pueden ocasionar que los túneles estáticos y los
túneles de acceso directo se desconecten. Cuando esto ocurre, el tráfico hacia un destino específico
podría enrutarse a través de un túnel de acceso directo inesperado, en lugar de hacerlo a través de un
túnel estático esperado.
En Figura 57 en la página 937, existen túneles estáticos entre el concentrador y cada uno de los radios.
OSPF adyacencias se establecen entre el concentrador y los radios. Los radios A también tienen un túnel
de acceso directo con radios B y las adyacencias OSPF se establecen entre los radios. El concentrador (el
sugerente de accesos directos) reconoce que si la conectividad entre el concentrador y spoke A
937
desaparece, se puede llegar a la red de Spoke A a través del túnel de acceso directo entre radio B y radio
A.
Figura 57: Túneles estáticos y túneles de accesos directos establecidos en la red radial
En Figura 58 en la página 937, el túnel estático entre el concentrador y el radio A está inactivo. Si hay
nuevo tráfico de radios C a radios a, radios C reenvía el tráfico al concentrador, ya que no tiene un túnel
de acceso directo con radios A. El concentrador no tiene un túnel estático activo con los radios A pero
reconoce que hay un túnel de acceso directo entre los radios A y B, por lo que reenvía el tráfico de los
radios C a los radios B.
Figura 58: Ruta de tráfico de radios C a radios

938
Siempre que tanto el soporte de la red privada virtual de descubrimiento automático (ADVPN) de radios
B y Spoke C, el concentrador pueda sugerir que los radios establecen un acceso directo directo entre sí.
Esto ocurre incluso aunque no haya tráfico directo entre los dos radios. El tráfico de radios C a radios
atraviesa el túnel de acceso directo entre radios C y Spoke B y, a continuación, a través del túnel de
acceso directo entre los Figura 59 en la página 938radios B y los radios a (consulte).
Figura 59: Ruta de tráfico desde radios C hacia radios a a través de túneles de acceso directo
Cuando se restablece el túnel estático entre el concentrador y el radio A, el túnel se anuncia a todos los
radios. Spoke C descubre que hay una ruta mejor para alcanzar los radios a; en lugar de pasar tráfico a
través de la radio B, reenvía el tráfico de los radios de la a al concentrador. El concentrador sugiere que
se establezca un túnel de acceso directo entre los radios C y radios A. Cuando se establece el túnel de
acceso directo entre radios C y radios A, el tráfico fluye a través del Figura 60 en la página 939túnel de
939
acceso directo (consulte). El tráfico entre los radios C y Spoke deja de ser viaja a través de radios B, y el
túnel de acceso directo entre los radios B y Spokes C finalmente desaparece.
Figura 60: Ruta de tráfico desde radios C hacia radios a a través de túnel de acceso directo
Puede usar la connection-limit opción en el nivel deedit security ike gateway gateway-name advpn
partnerjerarquía [] para establecer el número máximo de túneles de acceso directo que se pueden crear
con distintos socios de acceso directo que utilizan una puerta de enlace concreta. El número máximo,
que también es el valor predeterminado, depende de la plataforma.
SEE ALSO
Ejemplo Mejorar la utilización de recursos de red con detección

automática de túneles dinámicos de VPN
in this section
Aplicables | 940

940
Automática | 946
Comproba | 971
Si va a implementar una red AutoVPN, es posible que pueda aumentar la utilización de recursos de red si
configura la VPN de detección automática (ADVPN). En las redes AutoVPN, el tráfico VPN fluye a través
del concentrador incluso cuando el tráfico viaja de un radio a otro. ADVPN permite que los túneles VPN
se establezcan dinámicamente entre los radios, lo que puede dar como resultado un mejor uso de los
recursos de la red. Use este ejemplo para configurar ADVPN para activar túneles VPN de radios
dinámicos en su red AutoVPN.
Aplicables
• Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes.
• Junos OS versión 12.3 X48-D10 o versiones posteriores que admiten ADVPN.
• Certificados digitales inscritos en el concentrador y los radios que permiten que los dispositivos se
autentiquen entre sí.
Antes de empezar:
1. Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la

contraseña de desafío) cuando envíe solicitudes para certificados locales. Consulte Understanding
local Certificates requests.
2. Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
certificados locales.
En este ejemplo se utilizan el protocolo de enrutamiento OSPF dinámico, así como configuraciones de
rutas estáticas para reenviar paquetes a través de túneles VPN. Debe estar familiarizado con el
protocolo de enrutamiento dinámico OSPF que se utiliza para reenviar paquetes a través de los túneles
VPN.
in this section
Topología | 944
941
En este ejemplo se muestran las configuraciones de un concentrador AutoVPN y dos radios para
ADVPN. Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite
comunicarse entre sí, así como con tener acceso a los recursos del concentrador. Mientras que el tráfico
se transfiere inicialmente de un radio al otro a través del concentrador, ADVPN permite que los radios
establezcan una asociación de seguridad directa entre sí. El concentrador actúa como una sugerencia de
acceso directo. En el concentrador, la configuración de ADVPN partner deshabilita la función. En los
radios, la configuración de ADVPN deshabilita suggester la función.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y los radios
deben tener los mismos valores. Tabla 71 en la página 941 muestra los valores utilizados en este
ejemplo.
Tabla 71: Opciones de fase 1 y fase 2 para AutoVPN concentrador y radios para ADVPN ejemplo
, Valor
ICR propuesta:
Método de autenticación firmas de RSA
Algoritmo de autenticación sha1
Algoritmo de cifrado aes-256-cbc
Directiva de ICR:
Certificado certificado local
Puerta de enlace de ICR:
Versi v2-only
Propuesta de IPsec:
942
Tabla 71: Opciones de fase 1 y fase 2 para AutoVPN concentrador y radios para ADVPN ejemplo
(Continued)
, Valor
Protocolo sensorial
Algoritmo de autenticación hmac-sha1-96
Directiva IPsec:
Grupo de confidencialidad directa perfecta (PFS) group5
La configuración de puerta de enlace de ICR en el concentrador y los radios incluye valores locales y
remotos que identifican los homólogos de VPN. Tabla 72 en la página 942 muestra la configuración de
puerta de enlace de ICR para el concentrador y los radios de este ejemplo.
Tabla 72: ICR configuración de puerta de enlace para ADVPN ejemplo
, Navegación Radios
Dirección IP remota Manera Radios 1: 11.1.1.1
Radios 2: 11.1.1.1
Dirección IP local 11.1.1.1 Radios 1: 21.1.1.2
Radios 2: 31.1.1.2
ID. de ICR remoto Nombre distinguido (DN) con la cadena DN con la cadena "Ventas" en el
"" en el campo organización (O) y campo UO del certificado del
"Ventas" en el campo unidad de concentrador
organización (UO) en los certificados
de los radios
943
Tabla 72: ICR configuración de puerta de enlace para ADVPN ejemplo (Continued)
, Navegación Radios
ID. de ICR local DN en el certificado del concentrador DN en el certificado del radio
El concentrador autentica el ID de ICR de radio si los campos de asunto de los certificados de radio
contienen la cadena "" en el campo O y "Ventas" en el campo UO.
944
Topología
Figura 61 en la página 945muestra los dispositivos serie SRX que se configurarán para este ejemplo.
945
Figura 61: Implementación de AutoVPN con ADVPN

946
Automática
in this section
Configuración de la sugerencia (hub) | 946
Configuración del socio comercial (radios 1) | 955
Configuración del socio comercial (radios 2) | 963
Configuración de la sugerencia (hub)

set protocols ospf graceful-restart restart-duration 300
set protocols ospf graceful-restart notify-duration 300
set protocols ospf graceful-restart no-strict-lsa-checking
set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp
set protocols ospf area 0.0.0.0 interface st0.1 metric 10
set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1
set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40
set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit
set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors
set protocols ospf area 0.0.0.0 interface reth0.0
947
set routing-options graceful-restart

set routing-options router-id 172.16.1.1
set security ike policy IKE_POL certificate local-certificate Suggester_Certificate_ID
set security ike gateway SUGGESTER_GW ike-policy IKE_POL
set security ike gateway SUGGESTER_GW dynamic distinguished-name wildcard O=XYZ, OU=Sales
set security ike gateway SUGGESTER_GW dynamic ike-user-type group-ike-id
set security ike gateway SUGGESTER_GW dead-peer-detection
set security ike gateway SUGGESTER_GW local-identity distinguished-name
set security ike gateway SUGGESTER_GW external-interface reth1.0
set security ike gateway SUGGESTER_GW local-address 11.1.1.1
set security ike gateway SUGGESTER_GW advpn partner disable
set security ike gateway SUGGESTER_GW advpn suggester
set security ike gateway SUGGESTER_GW version v2-only
set security ipsec vpn SUGGESTER_VPN bind-interface st0.1
set security ipsec vpn SUGGESTER_VPN ike gateway SUGGESTER_GW
set security ipsec vpn SUGGESTER_VPN ike ipsec-policy IPSEC_POL
set security pki ca-profile advpn ca-identity advpn
set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
set security zones security-zone trust interfaces st0.1
948
Para configurar la sugerencia:
[edit interfaces]
2. Configure el protocolo de enrutamiento y las rutas estáticas.
[edit protocols ospf]

user@host# set graceful-restart restart-duration 300
user@host# set graceful-restart notify-duration 300
user@host# set graceful-restart no-strict-lsa-checking
user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp
user@host# set area 0.0.0.0 interface st0.1 metric 10
user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1
user@host# set area 0.0.0.0 interface st0.1 dead-interval 40
user@host# set area 0.0.0.0 interface st0.1 demand-circuit
user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors
user@host# set area 0.0.0.0 interface reth0.0
user@host# set graceful-restart
user@host# set router-id 172.16.1.1
949

user@host# set certificate local-certificate Suggester_Certificate_ID
[edit security ike gateway SUGGESTER_GW]
user@host# set dynamic distinguished-name wildcard O=XYZ, OU=Sales
user@host# set dead-peer-detection
user@host# set local-identity distinguished-name
user@host# set advpn partner disable
user@host# set advpn suggester

[edit security isec vpn SUGGESTER_VPN]
user@host# set ike gateway SUGGESTER_GW
950
5. Configurar la información del certificado.
[edit security pki]

user@host# set ca-profile advpn ca-identity advpn
user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/


Resultados
Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos

show security ike, show security ipsecshow protocols, show security pkishow routing-options, show
security zones,, show security policies y. Si el resultado no muestra la configuración deseada, repita las
[edit]
ge-0/0/3 {
gigether-options {
}
}
ge-0/0/4 {
951
gigether-options {
}
}
ge-7/0/3 {
gigether-options {
}
}
ge-7/0/4 {
gigether-options {
}
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 11.1.1.1/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
952
user@host# show protocols

ospf {
graceful-restart {
restart-duration 300;
notify-duration 300;
no-strict-lsa-checking;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
metric 10;
retransmit-interval 1;
dead-interval 40;
demand-circuit;
dynamic-neighbors;
}
interface reth0.0;
}
}
[edit]
graceful-restart;
static {
route 21.1.1.0/24 next-hop 11.1.1.2;
route 31.1.1.0/24 next-hop 11.1.1.2;
}
router-id 172.16.1.1;
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate Suggester_Certificate_ID;
}
}
gateway SUGGESTER_GW {
ike-policy IKE_POL;
953
dynamic {
wildcard O=XYZ, OU=Sales;
}
}
dead-peer-detection {
}
external-interface reth1.0
advpn {
partner {
disable;
}
suggester {
]
}
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
}
vpn SUGGESTER_VPN {
ike {
gateway SUGGESTER_GW;
}
}
[edit]
ca-profile advpn {
954
ca-identity advpn;
enrollment {
url http://10.157.92.176:8080/scep/advpn/;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
[edit]
default-policy {
permit-all;
}

955
Configuración del socio comercial (radios 1)

set protocols ospf area 0.0.0.0 interface reth0.0
set security ike policy IKE_POL certificate local-certificate Partner1_Certificate_ID
set security ike gateway PARTNER_GW ike-policy IKE_POL
956
set security ike gateway PARTNER_GW address 11.1.1.1

set security ike gateway PARTNER_GW local-identity distinguished-name
set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales
set security ike gateway PARTNER_GW external-interface reth1
set security ike gateway PARTNER_GW local-address 21.1.1.2
set security ike gateway PARTNER_GW advpn suggester disable
set security ike gateway PARTNER_GW advpn partner
set security ike gateway PARTNER_GW version v2-only
set security ipsec vpn PARTNER_VPN bind-interface st0.1
set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW
set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL
set security ipsec vpn PARTNER_VPN establish-tunnels immediately
Para configurar radios 1:
[edit interfaces]
957


user@host# set protocols ospf area 0.0.0.0 interface reth0.0

user@host# set certificate local-certificate Partner1_Certificate_ID
958
[edit security ike gateway PARTNER_GW]

user@host# set remote-identity distinguished-name container OU=Sales
user@host# set external-interface reth1
user@host# set advpn suggester disable
user@host# set advpn partner

[edit security isec vpn PARTNER_VPN]
user@host# set ike gateway PARTNER_GW
[edit security pki]


959


Resultados

[edit]
ge-0/0/3 {
gigether-options {
}
}
ge-0/0/4 {
gigether-options {
}
}
ge-7/0/3 {
gigether-options {
}
}
ge-7/0/4 {
gigether-options {
}
}
960
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 25.1.1.1/24;
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 21.1.1.2/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.2/24;
}
}
}
[edit]
ospf {
graceful-restart {
}
area 0.0.0.0 {
interface st0.1 {
metric 15;
dead-interval 40;
demand-circuit;
961
dynamic-neighbors;
}
interface reth0.0;
}
}
[edit]
graceful-restart;
static {
route 11.1.1.0/24 next-hop 21.1.1.1;
route 31.1.1.0/24 next-hop 21.1.1.1;
}
router-id 172.16.1.2;
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate Partner1_Certificate_ID;
}
}
gateway PARTNER_GW {
ike-policy IKE_POL;
address 11.1.1.1;
remote-identity distinguished-name container OU=Sales;
advpn {
suggester {
disable;
}
partner {
}
}
version v2-only;
}
962
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
}
vpn PARTNER_VPN {
ike {
gateway PARTNER_GW;
}
}
[edit]
ca-profile advpn {
ca-identity advpn;
enrollment {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
963
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
[edit]
default-policy {
permit-all;
}
Configuración del socio comercial (radios 2)

964

set protocols ospf area 0.0.0.0 interface ge-0/0/4.0
set security ike policy IKE_POL certificate local-certificate Partner2_Certificate_ID
set security ike gateway PARTNER_GW ike-policy IKE_POL
set security ike gateway PARTNER_GW address 11.1.1.1
set security ike gateway PARTNER_GW dead-peer-detection
set security ike gateway PARTNER_GW local-identity distinguished-name
set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales
set security ike gateway PARTNER_GW external-interface ge-0/0/2.0
set security ike gateway PARTNER_GW local-address 31.1.1.2
set security ike gateway PARTNER_GW advpn suggester disable
set security ike gateway PARTNER_GW advpn partner
set security ike gateway PARTNER_GW version v2-only
set security ipsec vpn PARTNER_VPN bind-interface st0.1
set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW
set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL
set security ipsec vpn PARTNER_VPN establish-tunnels immediately
965

[edit interfaces]
[edit protocols ospf

user@host# set area 0.0.0.0 interface ge-0/0/4.0
966

user@host# set certificate local-certificate Partner2_Certificate_ID
[edit security ike gateway PARTNER_GW]
user@host# set remote-identity distinguished-name container OU=Sales
user@host# set advpn partner

[edit security isec vpn PARTNER_VPN]
user@host# set ike gateway PARTNER_GW
967
[edit security pki]



Resultados

[edit]
ge-0/0/2 {
unit 0 {
family inet {
address 31.1.1.2/24;
}
}
968
}
ge-0/0/4{
unit 0 {
family inet {
address 36.1.1.1/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.3/24;
}
}
}
[edit]
ospf {
graceful-restart {
}
area 0.0.0.0 {
interface st0.1 {
metric 15;
dead-interval 40;
demand-circuit;
dynamic-neighbors;
}
}
}
[edit]
graceful-restart;
static {
route 11.1.1.0/24 next-hop 31.1.1.1;
route 21.1.1.0/24 next-hop 31.1.1.1;
}
969
router-id 172.16.1.3;
[edit]
proposal IKE_PROP {
dh-group group5;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate Partner2_Certificate_ID
}
}
gateway PARTNER_GW {
ike-policy IKE_POL;
address 11.1.1.1;
remote-identity distinguished-name container OU=Sales;
advpn {
suggester{
disable;
}
partner {
}
}
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group5;
}
970
}
vpn PARTNER_VPN {
ike {
gateway PARTNER_GW;
}
}
[edit]
ca-profile advpn {
ca-identity advpn;
enrollment {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/4.0;
st0.1;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
971
ge-0/0/2.0;
}
}
[edit]
default-policy {
permit-all;
}
Comproba
in this section
Comprobación de túneles entre el concentrador y los radios | 971
Comprobación del túnel de acceso directo entre los socios | 982
Confirme que la configuración funciona correctamente. En primer lugar, compruebe que se establecen
los túneles entre el concentrador y los radios de AutoVPN. Cuando el tráfico pasa de un radio a otro a
través del concentrador, se puede establecer un acceso directo entre los radios. Compruebe que los
socios de accesos directos han establecido un túnel entre ellos y que se ha instalado una ruta al mismo
nivel en los socios comerciales.
Comprobación de túneles entre el concentrador y los radios
Purpose
Compruebe que se han establecido los túneles entre el concentrador y los radios de AutoVPN. El tráfico
inicial de un radio a otro debe atravesar el concentrador.
Intervención
Desde el modo operativo, escriba show security ike security-associations los show security ipsec
security-associations comandos y en el concentrador y los radios.
972
En el concentrador se introducen los siguientes comandos:

node1:
--------------------------------------------------------------------------
Address
10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2
31.1.1.2
10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2
21.1.1.2

node1:
--------------------------------------------------------------------------
IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW
Auto Discovery VPN:
Type: Static, Local Capability: Suggester, Peer Capability: Partner
Suggester Shortcut Suggestions Statistics:
Suggestions sent : 0
Suggestions accepted: 0
Suggestions declined: 0
Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0
Local: 11.1.1.1:500, Remote: 31.1.1.2:500
Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US
Algorithms:
Traffic statistics:
Input bytes : 2030
Output bytes : 2023
Input packets: 4
Output packets: 4
973

Local: 11.1.1.1:500, Remote: 31.1.1.2:500
Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA,
C=US
Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US

Auto Discovery VPN:
Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e
Local: 11.1.1.1:500, Remote: 21.1.1.2:500
Algorithms:
Traffic statistics:
Input bytes : 2030
Output bytes : 2023
Input packets: 4
Output packets: 4

Local: 11.1.1.1:500, Remote: 21.1.1.2:500
C=US
974


node1:
--------------------------------------------------------------------------
<201326593 ESP:aes-cbc-256/sha1 44ccf265 2999/ unlim - root 500
31.1.1.2
>201326593 ESP:aes-cbc-256/sha1 a9d301b0 2999/ unlim - root 500
31.1.1.2
<201326594 ESP:aes-cbc-256/sha1 98a2b155 3022/ unlim - root 500
21.1.1.2
>201326594 ESP:aes-cbc-256/sha1 de912bcd 3022/ unlim - root 500 21.1.1.2

node1:
--------------------------------------------------------------------------
ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN

Version: IKEv2
DF-bit: clear, Bind-interface: st0.1
Tunnel events:
Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed
(1 times)
Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event
Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1
times)
Direction: inbound, SPI: 44ccf265, AUX-SPI: 0
975

Direction: outbound, SPI: a9d301b0, AUX-SPI: 0

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: 98a2b155, AUX-SPI: 0
Direction: outbound, SPI: de912bcd, AUX-SPI: 0
user@host> show route protocol ospf

Restart Complete
976
25.1.1.0/24 *[OSPF/10] 00:00:27, metric 11

> to 172.16.1.2 via st0.1
36.1.1.0/24 *[OSPF/10] 00:00:27, metric 11
> to 172.16.1.3 via st0.1
172.16.1.2/32 *[OSPF/10] 00:00:27, metric 10
> to 172.16.1.2 via st0.1
172.16.1.3/32 *[OSPF/10] 00:00:27, metric 10
> to 172.16.1.3 via st0.1
224.0.0.5/32 *[OSPF/10] 00:00:48, metric 1
MultiRecv
user@host> show ospf neighbor

Address Interface State ID Pri Dead
172.16.1.3 st0.1 Full 172.16.1.3 128 -
172.16.1.2 st0.1 Full 172.16.1.2 128 -
Los siguientes comandos se escriben en radios 1:

node0:
--------------------------------------------------------------------------
Address
11.1.1.1

node0:
--------------------------------------------------------------------------
IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW
Auto Discovery VPN:
Type: Static, Local Capability: Partner, Peer Capability: Suggester
Partner Shortcut Suggestions Statistics:
Suggestions received: 0
977

Local: 21.1.1.2:500, Remote: 11.1.1.1:500
Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Algorithms:
Traffic statistics:
Input bytes : 2023
Output bytes : 2030
Input packets: 4
Output packets: 4

Local: 21.1.1.2:500, Remote: 11.1.1.1:500
Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US
Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA,
C=US

node0:
--------------------------------------------------------------------------
<67108866 ESP:aes-cbc-256/sha1 de912bcd 2985/ unlim - root 500 11.1.1.1
>67108866 ESP:aes-cbc-256/sha1 98a2b155 2985/ unlim - root 500 11.1.1.1

node0:
--------------------------------------------------------------------------
ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN

978

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: de912bcd, AUX-SPI: 0
Direction: outbound, SPI: 98a2b155, AUX-SPI: 0

Restart Complete
10.1.1.0/24 *[OSPF/10] 00:11:46, metric 16

> to 172.16.1.1 via st0.1
36.1.1.0/24 *[OSPF/10] 00:11:46, metric 26
> to 172.16.1.1 via st0.1
172.16.1.1/32 *[OSPF/10] 00:11:46, metric 15
> to 172.16.1.1 via st0.1
172.16.1.3/32 *[OSPF/10] 00:11:46, metric 25
> to 172.16.1.1 via st0.1
979
224.0.0.5/32 *[OSPF/10] 00:16:52, metric 1

MultiRecv

172.16.1.1 st0.1 Full 172.16.1.1 128 -

Address
11.1.1.1

Auto Discovery VPN:
Local: 31.1.1.2:500, Remote: 11.1.1.1:500
Algorithms:
Traffic statistics:
Input bytes : 2023
Output bytes : 2030
980
Input packets: 4
Output packets: 4

Local: 31.1.1.2:500, Remote: 11.1.1.1:500
C=US

<67108866 ESP:aes-cbc-256/sha1 a9d301b0 2936/ unlim - root 500 11.1.1.1
>67108866 ESP:aes-cbc-256/sha1 44ccf265 2936/ unlim - root 500 11.1.1.1

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: a9d301b0, AUX-SPI: 0
981
Direction: outbound, SPI: 44ccf265, AUX-SPI: 0


Restart Complete
10.1.1.0/24 *[OSPF/10] 00:00:09, metric 16

> to 172.16.1.1 via st0.1
25.1.1.0/24 *[OSPF/10] 00:00:09, metric 26
> to 172.16.1.1 via st0.1
172.16.1.1/32 *[OSPF/10] 00:00:09, metric 15
> to 172.16.1.1 via st0.1
172.16.1.2/32 *[OSPF/10] 00:00:09, metric 25
> to 172.16.1.1 via st0.1
224.0.0.5/32 *[OSPF/10] 00:17:52, metric 1
MultiRecv

172.16.1.1 st0.1 Full 172.16.1.1 128 -
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El
show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El
concentrador muestra dos túneles activos, uno a cada radio. Cada radio muestra un túnel activo hacia el
concentrador.
Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase
configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
982
configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
El show route protocol ospf comando muestra entradas de la tabla de enrutamiento que se aprendieron
desde el protocolo OSPF. El show ospf neighbor comando muestra información acerca de OSPF vecinos.
Comprobación del túnel de acceso directo entre los socios
Purpose
El concentrador AutoVPN puede actuar como una sugerencia de atajo cuando advierte que el tráfico
sale de un túnel con uno de sus radios y entra en un túnel con otro radio. Se establece una nueva
asociación de IPsec, o acceso directo, entre los dos socios de acceso directo. En cada socio, la ruta hacia
la red que se encuentra detrás de su socio apunta ahora al túnel de acceso directo en lugar de al túnel
entre el socio comercial y el desugeridor (hub).
Intervención
Desde el modo operativo, escriba show security ike security-associationslos show security ipsec
security-associationscomandos show route protocol ospf,, show ospf neighbor y en los radios.
En el concentrador se introducen los siguientes comandos:

node0:
--------------------------------------------------------------------------
Address
31.1.1.2
21.1.1.2

node0:
--------------------------------------------------------------------------
Auto Discovery VPN:
983
Local: 11.1.1.1:500, Remote: 31.1.1.2:500
Algorithms:
Traffic statistics:
Input bytes : 260
Output bytes : 548
Input packets: 3
Output packets: 3

Local: 11.1.1.1:500, Remote: 31.1.1.2:500
C=US

Auto Discovery VPN:
Local: 11.1.1.1:500, Remote: 21.1.1.2:500
984

Algorithms:
Traffic statistics:
Input bytes : 244
Output bytes : 548
Input packets: 3
Output packets: 3

Local: 11.1.1.1:500, Remote: 21.1.1.2:500
C=US

node0:
--------------------------------------------------------------------------
s Total active tunnels: 2
<201326593 ESP:aes-cbc-256/sha1 44ccf265 2584/ unlim - root 500
31.1.1.2
>201326593 ESP:aes-cbc-256/sha1 a9d301b0 2584/ unlim - root 500
31.1.1.2
<201326594 ESP:aes-cbc-256/sha1 98a2b155 2607/ unlim - root 500
21.1.1.2
>201326594 ESP:aes-cbc-256/sha1 de912bcd 2607/ unlim - root 500
21.1.1.2

node0:
--------------------------------------------------------------------------
985

Version: IKEv2
Tunnel events:
Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received.
Direction: inbound, SPI: 44ccf265, AUX-SPI: 0
Direction: outbound, SPI: a9d301b0, AUX-SPI: 0

Version: IKEv2
Tunnel events:
Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received.
Direction: inbound, SPI: 98a2b155, AUX-SPI: 0
986

Direction: outbound, SPI: de912bcd, AUX-SPI: 0

Restart Complete
25.1.1.0/24 *[OSPF/10] 00:04:49, metric 11

> to 172.16.1.2 via st0.1
36.1.1.0/24 *[OSPF/10] 00:04:49, metric 11
> to 172.16.1.3 via st0.1
172.16.1.2/32 *[OSPF/10] 00:04:49, metric 10
> to 172.16.1.2 via st0.1
172.16.1.3/32 *[OSPF/10] 00:04:49, metric 10
> to 172.16.1.3 via st0.1
224.0.0.5/32 *[OSPF/10] 00:05:10, metric 1
MultiRecv

172.16.1.3 st0.1 Full 172.16.1.3 128 -
172.16.1.2 st0.1 Full 172.16.1.2 128 -

Address
987
11.1.1.1
578873 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2
31.1.1.2

node0:
--------------------------------------------------------------------------
Auto Discovery VPN:
Local: 21.1.1.2:500, Remote: 11.1.1.1:500
Algorithms:
Traffic statistics:
Input bytes : 2495
Output bytes : 2274
Input packets: 6
Output packets: 7

Local: 21.1.1.2:500, Remote: 11.1.1.1:500
C=US
988

Auto Discovery VPN:
Type: Shortcut, Local Capability: Partner, Peer Capability: Partner
Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4
Local: 21.1.1.2:500, Remote: 31.1.1.2:500
Algorithms:
Traffic statistics:
Input bytes : 1855
Output bytes : 1990
Input packets: 2
Output packets: 2

Local: 21.1.1.2:500, Remote: 31.1.1.2:500

node0:
--------------------------------------------------------------------------
<67108866 ESP:aes-cbc-256/sha1 de912bcd 2709/ unlim - root 500 11.1.1.1
>67108866 ESP:aes-cbc-256/sha1 98a2b155 2709/ unlim - root 500 11.1.1.1
989
<67108868 ESP:aes-cbc-256/sha1 75d0177b 3590/ unlim - root 500 31.1.1.2

>67108868 ESP:aes-cbc-256/sha1 e4919d73 3590/ unlim - root 500 31.1.1.2

node0:
--------------------------------------------------------------------------

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: de912bcd, AUX-SPI: 0
Direction: outbound, SPI: 98a2b155, AUX-SPI: 0

Auto Discovery VPN:
990
Type: Shortcut, Shortcut Role: Initiator

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: 75d0177b, AUX-SPI: 0
Direction: outbound, SPI: e4919d73, AUX-SPI: 0

Restart Complete
10.1.1.0/24 *[OSPF/10] 00:03:29, metric 16

> to 172.16.1.1 via st0.1
36.1.1.0/24 *[OSPF/10] 00:00:35, metric 16
> to 172.16.1.3 via st0.1
172.16.1.1/32 *[OSPF/10] 00:03:29, metric 15
> to 172.16.1.1 via st0.1
172.16.1.3/32 *[OSPF/10] 00:00:35, metric 15
> to 172.16.1.3 via st0.1
991
224.0.0.5/32 *[OSPF/10] 00:20:22, metric 1

MultiRecv

172.16.1.3 st0.1 Full 172.16.1.3 128 -
172.16.1.1 st0.1 Full 172.16.1.1 128

Address
11.1.1.1
2299163 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2
21.1.1.2

Auto Discovery VPN:
Local: 31.1.1.2:500, Remote: 11.1.1.1:500
Algorithms:
992
Traffic statistics:
Input bytes : 2571
Output bytes : 2290
Input packets: 7
Output packets: 7

Local: 31.1.1.2:500, Remote: 11.1.1.1:500
C=US

Auto Discovery VPN:
Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4
Local: 31.1.1.2:500, Remote: 21.1.1.2:500
Algorithms:
Traffic statistics:
Input bytes : 2066
Output bytes : 1931
Input packets: 3
Output packets: 3

Local: 31.1.1.2:500, Remote: 21.1.1.2:500
993


<67108866 ESP:aes-cbc-256/sha1 a9d301b0 2638/ unlim - root 500 11.1.1.1
>67108866 ESP:aes-cbc-256/sha1 44ccf265 2638/ unlim - root 500 11.1.1.1
<67108868 ESP:aes-cbc-256/sha1 e4919d73 3542/ unlim - root 500 21.1.1.2
>67108868 ESP:aes-cbc-256/sha1 75d0177b 3542/ unlim - root 500 21.1.1.2

Version: IKEv2
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: a9d301b0, AUX-SPI: 0
Direction: outbound, SPI: 44ccf265, AUX-SPI: 0
994

Auto Discovery VPN:
Type: Shortcut, Shortcut Role: Responder
Version: IKEv2
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608aa9
Tunnel events:
(1 times)
times)
Direction: inbound, SPI: e4919d73, AUX-SPI: 0
Direction: outbound, SPI: 75d0177b, AUX-SPI: 0

Restart Complete
10.1.1.0/24 *[OSPF/10] 00:03:55, metric 16

> to 172.16.1.1 via st0.1
25.1.1.0/24 *[OSPF/10] 00:01:02, metric 16
> to 172.16.1.2 via st0.1
995
172.16.1.1/32 *[OSPF/10] 00:03:55, metric 15

> to 172.16.1.1 via st0.1
172.16.1.2/32 *[OSPF/10] 00:01:02, metric 15
> to 172.16.1.2 via st0.1
224.0.0.5/32 *[OSPF/10] 00:21:38, metric 1
MultiRecv

172.16.1.2 st0.1 Full 172.16.1.2 128 -
172.16.1.1 st0.1 Full 172.16.1.1 128 -
Efectos
concentrador sigue mostrando dos túneles activos: uno a cada radio. Cada radio muestra dos túneles
activos, uno al concentrador y otro al asociado de acceso directo.
El show route protocol ospf comando muestra la adición de rutas al asociado y al concentrador.
SEE ALSO
Ejemplo Configurando ADVPN con OSPFv3 para el tráfico de IPv6
in this section
Aplicables | 996
Automática | 1000
Comproba | 1030
996
En este ejemplo se muestra cómo configurar un concentrador de ADVPN y dos radios para crear un
túnel de acceso directo y cambiar la topología de enrutamiento del host para que alcance al otro, sin
enviar tráfico a través del concentrador. En este ejemplo, se configura el entorno de ADVPN para IPv6
utilizando el OSPFv3 para reenviar paquetes a través de los túneles VPN.
Aplicables
• Tres dispositivos serie SRX compatibles como ADVPN Hub y Spokes
• Junos OS Release 18.1 R1 y versiones posteriores.
Antes de empezar:
• Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la

contraseña de desafío) cuando envíe solicitudes para certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
in this section
Topología | 999
En este ejemplo se muestra la configuración de un concentrador de ADVPN y las configuraciones

posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador ADVPN y todos los radios deben tener los mismos valores. Tabla
73 en la página 997 muestra las opciones utilizadas en este ejemplo.
997
Tabla 73: Opciones de fase 1 y fase 2 para ADPN Hub y Spoke OSPFv3 configuraciones básicas
, Valor
ICR propuesta:
Grupo Diffie-Hellman (DH) 19
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Segundos de duración 3000
Algoritmo de cifrado AES 256 GCM
Directiva IPsec:
Grupo de confidencialidad directa perfecta (PFS) 19
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Tabla 74 en la página 998muestra las opciones configuradas en el concentrador y en todos los radios.
998
Tabla 74: ADVPN OSPFv3 configuración para concentrador y todos los radios
, Navegación Todos los radios
Dirección IP remota Manera 2001:db8:2000::1
ID. de ICR remoto Nombre distinguido (DN) en el DN en el certificado del concentrador

certificado del radio con la cadena en el
campo SLT unidad organizacional (UO)
ID. de ICR local DN en el certificado del concentrador DN en el certificado del spoke
Interfaz externa reth1 Radios 1: ge-0/0/0.0
Radios 2: ge-0/0/0.0
VIRTUALES
Establecer túneles (no configurado) establecer: túneles inmediatamente
Tabla 75 en la página 998muestra las opciones de configuración que son diferentes en cada radio.
Tabla 75: Comparación entre las configuraciones de radios OSPFv3
, Radios 1 Radios 2
interfaz St 0.1 2001:db8:9000::2/64 2001:db8:9000::3/64
Interfaz a la red interna (ge-0/0/1.0) 2001:db8:4000::1/64 (ge-0/0/1.0) 2001:db8:6000::1/64
Interfaz a Internet (ge-0/0/0.0) 2001:db8:3000::2/64 (ge-0/0/0.0) 2001:db8:5000::2/64

999
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
Topología
Figura 62 en la página 999en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para ADVPN.
Figura 62: Implementación de ADVPN con OSPFv3

1000
Automática
in this section
Inscribir certificados de dispositivo con SCEP | 1000
Configurando el concentrador | 1005
Configuración de radios 1 | 1014
Para configurar ADVPN, realice estas tareas:
En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de

inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.
Inscribir certificados de dispositivo con SCEP
Para inscribir certificados digitales con SCEP en el concentrador:
1. Configure la entidad emisora de certificados.
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
2. Inscriba el certificado de la entidad emisora.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el indicador para cargar el AC certificado.

1001
user@host> request security pki generate-key-pair certificate-id Local1
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
5. Compruebe el certificado local.
user@host> show security pki local-certificate detail
Certificate identifier: Local1

Serial number: 40a6d5f300000000258d
Issuer:
Common name: CASERVER1, Domain component: net, Domain component: internal
Subject:
Organization: example, Organizational unit: SLT, Country: IN, State: KA,
Locality: Bangalore, Common name: hub, Domain component: example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub
Alternate subject: "hub@example.net", example.net, 1.1.1.1
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3
2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b
34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da
90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8
ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
http://ca-server1/CertEnroll/CASERVER1.crl
file://\\ca-server1\CertEnroll\CASERVER1.crl
1002
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Para inscribir certificados digitales con SCEP en los radios 1:
[edit]
mscep/mscep.dll
user@host# commit
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
1003

Serial number: 40a7975f00000000258e
Issuer:
Subject:
Locality: Mysore, Common name: spoke1, Domain component: example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1
Alternate subject: "spoke1@example.net", example.net, 2.2.2.1
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce
c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1)
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
1004
Para inscribir certificados digitales con SCEP en radios 2:
[edit]
mscep/mscep.dll
user@host# commit
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>

Serial number: 40bb71d400000000258f
Issuer:
1005

Subject:
Locality: Tumkur, Common name: spoke2, Domain component: example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Validity:
Not before: 11- 6-2012 10:02
Not after: 11- 6-2013 10:12
30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89
27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03
77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46
44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e
7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d
7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11
58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01
Distribution CRL:
Fingerprint:
1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1)
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled
Configurando el concentrador
1006

set security pki ca-profile ROOT-CA ca-identity ROOT-CA
set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll
set security pki ca-profile ROOT-CA enrollment retry 5
set security pki ca-profile ROOT-CA enrollment retry-interval 0
set security pki ca-profile ROOT-CA revocation-check disable
set security ike proposal IKE_PROP authentication-algorithm sha-384
set security ike proposal IKE_PROP lifetime-seconds 6000
set security ike policy IKE_POL mode main
set security ike policy IKE_POL certificate local-certificate HUB
set security ike gateway IKE_GWA_1 ike-policy IKE_POL
set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT
set security ike gateway IKE_GWA_1 dynamic ike-user-type group-ike-id
set security ike gateway IKE_GWA_1 dead-peer-detection always-send
set security ike gateway IKE_GWA_1 dead-peer-detection interval 10
set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3
set security ike gateway IKE_GWA_1 local-identity distinguished-name
set security ike gateway IKE_GWA_1 external-interface reth1
set security ike gateway IKE_GWA_1 advpn partner disable
set security ike gateway IKE_GWA_1 version v2-only
set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm
set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1
set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1
1007
set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL

set security zones security-zone untrust host-inbound-traffic protocols ospf3
set security zones security-zone trust host-inbound-traffic protocols ospf3
set interfaces reth0 unit 0 family inet
set interfaces reth0 unit 0 family inet6 address 2001:db8:1000::1/64
set interfaces reth1 unit 0 family inet
set interfaces reth1 unit 0 family inet6 address 2001:db8:2000::1/64
set interfaces st0 unit 1 family inet6 address 2001:db8:9000::1/64
set routing-options rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2
set protocols ospf3 area 0.0.0.0 interface reth0.0
set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp
set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Para configurar el concentrador:
[edit interfaces]
1008

user@host# set reth0 unit 0 family inet
user@host# set reth0 unit 0 family inet6 address 2001:db8:1000::1/64
user@host# set reth1 unit 0 family inet
user@host# set reth1 unit 0 family inet6 address 2001:db8:2000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:9000::1/64
2. Configure el protocolo de enrutamiento.
[edit protocols ospf3]

user@host# set ospf3 area 0.0.0.0 interface reth0.0
user@host# set ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp
user@host# set ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
user@host# set rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2
user@host# set rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2

user@host# set certificate local-certificate HUB
[edit security ike gateway IKE_GWA_1]
user@host# set dynamic distinguished-name wildcard OU=SLT
user@host# set ike-user-type group-ike-id
user@host# set dead-peer-detection interval 10
user@host# set dead-peer-detection threshold 3
1009


user@host# set encryption-algorithm aes-256-gcm
[edit security ipsec vpn IPSEC_VPNA_1]
user@host# set ike gateway IKE_GWA_1

user@host# set host-inbound-traffic protocols ospf3

1010
[edit security pki]

user@host# set ca-profile ROOT-CA ca-identity ROOT-CA
user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/
mscep.dll
user@host# set ca-profile ROOT-CA enrollment retry 5
user@host# set ca-profile ROOT-CA enrollment retry-interval 0
user@host# set pki ca-profile ROOT-CA revocation-check disable
8. Configurar el clúster del chasis

set reth-count 2
set node 0
set node 1
set redundancy-group 0 node 0 priority 254
Resultados
Desde el modo de configuración, confirme la configuración especificando show protocolslos show

routing-optionsshow interfacescomandos show security ike, show security ipsec, show security zones,
show security policies,, show security pki show chassis cluster y. Si el resultado no muestra la
[edit]
ge-0/0/0 {
gigether-options {
}
}
ge-0/0/1 {
gigether-options {
}
1011
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet;
family inet6 {
address 2001:db8:1000::1/64;
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet;
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
st0 {
unit 1 {
multipoint;
family inet6 {
address 2001:db8:9000::1/64 {
primary;
}
}
}
}
[edit]
ospf3 {
area 0.0.0.0 {
interface st0.1 {
demand-circuit;
dynamic-neighbors;
}
1012
interface reth0.0;
}
}
[edit]
rib inet6.0 {
static {
route 2001:db8:3000::/64 next-hop 2001:db8:2000::2;
}
}
[edit]
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
wildcard OU=SLT;
}
}
always-send;
interval 10;
threshold 3;
}
advpn {
1013
partner {
disable;
}
}
version v2-only;
}
[edit]
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy IPSEC_POL {
keys group19;
}
}
vpn IPSEC_VPNA_1 {
ike {
gateway IKE_GWA_1;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
st0.1;
reth1.0;
}
}
1014
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
reth0.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 1
1015

set security ike policy IKE_POL certificate local-certificate SPOKE1
set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL
set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1
set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send
set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10
set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3
set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name
set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT
set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0
set security ike gateway IKE_GW_SPOKE_1 advpn suggester disable
set security ike gateway IKE_GW_SPOKE_1 version v2-only
set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1
set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1
set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL
set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately
1016

set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
[edit interfaces]

set area 0.0.0.0 interface ge-0/0/1.0
set area 0.0.0.0 interface st0.1 interface-type p2mp
set area 0.0.0.0 interface st0.1 dynamic-neighbors
user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
1017

user@host# set certificate local-certificate SPOKE1
[edit security ike gateway IKE_GW_SPOKE_1]
user@host# set address 2001:db8:2000::1
user@host# set remote-identity distinguished-name container OU=SLT
[edit security ipsec proposal IPSEC_PROPl]

[edit security ipsec vpn IPSEC_VPN_SPOKE_1]
user@host# set ike gateway IKE_GW_SPOKE_1
1018


[edit security pki]

mscep.dll
user@host# set ca-profile ROOT-CA revocation-check disable
Resultados

show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show
security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las
[edit]
ge-0/0/0 {
unit 0 {
1019
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1 {
multipoint;
family inet6 {
address 2001:db8:9000::2/64;
}
}
}
[edit]
ospf3 {
area 0.0.0.0 {
interface st0.1 {
dynamic-neighbors;
}
}
}
[edit]
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
proposal IKE_PROP {
dh-group group19;
1020
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE1;
}
}
gateway IKE_GW_SPOKE_1 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
always-send;
interval 10;
threshold 3;
}
remote-identity distinguished-name container OU=SLT;
advpn {
suggester {
disable;
}
}
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
}
}
vpn IPSEC_VPN_SPOKE_1 {
1021
ike {
gateway IKE_GW_SPOKE_1;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
st0.1;
ge-0/0/0.0;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
1022
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1023

set security ike gateway IKE_GW_SPOKE_2 advpn suggester disable
set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1

1024
[edit interfaces]


1025




1026
[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:9000::3/64;
}
}
}
1027
[edit]
ospf3 {
area 0.0.0.0 {
interface st0.1 {
dynamic-neighbors;
}
}
}
[edit]
rib inet6.0 {
static {
}
}
[edit]
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
ike-policy IKE_POL;
address 2001:db8:2000::1;
always-send;
interval 10;
threshold 3;
}
1028

advpn {
suggester {
disable
}
}
version v2-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
}
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
1029
st0.1;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1030
Comproba
in this section
Comprobando el estado ICR | 1030
Comprobar el estado de IPsec | 1031
Comprobación de los túneles IPsec de próximo salto | 1031
Comprobando OSPFv3 | 1032
Comprobando el estado ICR
Purpose
Intervención
En modo operativo, escriba el show security ike sa comando.
user@host> show security ike sa

Address
4295070 UP 2001:db8:1ad4ba7a115fa229 2001:db8:32e6382a058bb296 Main

2001:db8:3000::2
295069 UP 2001:db8:88a1520c20cbbe04 2001:db8:7fa4c8e365393c48 Main

2001:db8:5000::2
Efectos
El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los
parámetros de propuesta deben coincidir en el concentrador y los radios.
1031
Comprobar el estado de IPsec
Purpose
Intervención
En modo operativo, escriba el show security ipsec sa comando.
user@host> show security ipsec sa

<67108881 ESP:aes-gcm-256/None 3dba3f80 2979/ unlim - root 500
2001:db8:5000::2
>67108881 ESP:aes-gcm-256/None 46746d5d 2979/ unlim - root 500
2001:db8:5000::2
<67108882 ESP:aes-gcm-256/None 16dceb60 2992/ unlim - root 500
2001:db8:3000::2
>67108882 ESP:aes-gcm-256/None 681209c2 2992/ unlim - root 500 2001:db8:3000::2
Efectos
El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera
directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de
propuesta de la fase 2 deben coincidir en el concentrador y los radios.
Comprobación de los túneles IPsec de próximo salto
Purpose
Compruebe los túneles de próximos saltos IPsec.
Intervención
user@host> show security ipsec next-hop-tunnels

Next-hop gateway interface IPSec VPN name Flag IKE-
1032
ID XAUTH username
2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-
Available
Available
2001:db8::5668:ad10:fcd8:10c8 st0.1 IPSEC_VPNA_1 Auto C=US,
Available
2001:db8::5668:ad10:fcd8:112f st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando OSPFv3
Purpose
Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
En modo operativo, escriba el show ospf3 neighbor interface comando.
user@host> show ospf3 neighbor interface

ID Interface State Pri Dead
2001:db8:128.221.129.41 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:110e
2001:db8:20:54:49.693 INFO ${ret} = ID Interface State Pri

Dead
2001:db8:128.221.129.41 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:110e
1033
SEE ALSO
Permitir que OSPF actualice las rutas rápidamente después de establecer

los túneles de ADVPN
in this section
Relacionado | 1033
Solución | 1034
Relacionado
Descripción
OSPF puede tardar hasta 9 segundos en actualizar una ruta de acceso directo en la tabla de
enrutamiento. Puede tardar hasta 10 segundos antes de que el tráfico se reenvíe al túnel de acceso
directo.
Síntomas
Cuando se establece un túnel de acceso directo entre dos socios de acceso directo, OSPF inicia un
paquete OSPF Hello. Debido al tiempo de establecimiento del túnel de acceso directo y al OSPF de la
instalación de vecinos, es posible que se interrumpa el primer paquete del túnel. Esto puede hacer que
OSPF intente de nuevo establecer una adyacencia OSPF.
De forma predeterminada, el intervalo en el que el OSPF intenta establecer una adyacencia es de 10

segundos. Una vez que se establece un túnel de acceso directo, OSPF puede tardar más de 10 segundos
en establecer una adyacencia entre los socios.
1034
Solución
La configuración de un intervalo de reintentos más pequeño, como 1 o 2 segundos, puede permitir que
OSPF establezcan adyacencias más rápidamente a través del túnel de acceso directo. Por ejemplo, utilice
las configuraciones siguientes:
[edit]
SEE ALSO
release-history
in release-
history
19.2R1 A partir de Junos OS Release 19.2 R1, en SRX300, SRX320, SRX340, SRX345, SRX550,
SRX1500, vSRX 2,0 (con 2 vCPUs) y los dispositivos de la serie vSRX 3,0 (con 2 vCPUs), la
multidifusión de protocolo independiente (PIM) con el modo punto a multipunto (P2MP)
admite VPN de p2mp detección automática en la que se introduce un nuevo tipo de interfaz
para PIM.
18.1R1 A partir de Junos OS versión 18.1 R1, ADVPN es compatible con IPv6.

12
AutoVPN

1036
AutoVPN en dispositivos concentrados y radiales
in this section
Descripción de AutoVPN | 1036
Descripción general de la configuración de AutoVPN | 1043
Ejemplo Configuración de AutoVPN básicos con iBGP | 1044
Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de IPv6 | 1080
Ejemplo Configuración de AutoVPN con iBGP y ECMP | 1118
Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de seguridad activa | 1154
Ejemplo Configuración de AutoVPN básicos con OSPF | 1193
Ejemplo Configurando AutoVPN con OSPFv3 para el tráfico de IPv6 | 1227
Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico | 1265
Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y los selectores de tráfico | 1288
AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un
único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN
permite a los administradores de red configurar un concentrador para los radios actuales y futuros.
Descripción de AutoVPN
in this section
Modos de túnel seguro | 1037
Authentication | 1038
Configuración y administración | 1038
Descripción de las limitaciones de AutoVPN | 1038
Descripción de AutoVPN con los selectores de tráfico | 1038

1037
AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un
único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN
permite a los administradores de red configurar un concentrador para los radios actuales y futuros.
Cuando se agregan o eliminan dispositivos radiales, no es necesario realizar cambios de configuración en
el concentrador, lo que permite a los administradores la flexibilidad de administrar implementaciones de
red a gran escala.
Modos de túnel seguro
AutoVPN es compatible con VPN de IPsec basadas en rutas. En el caso de las VPN basadas en la ruta,
puede configurar una interfaz de túnel seguro (st0) y enlazarla con un túnel VPN de IPsec. las interfaces
st0 en las redes AutoVPN se pueden configurar en uno de estos dos modos:
• Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía
[ ] se encuentra en modo punto edit interfaces st0 unit x a punto. A partir de Junos OS Release 17.4
R1, la dirección IPv6 se soporta en AutoVPN.
• Modo punto a multipunto: en este modo, la opción se configura en el nivel jerárquico [ ] en las
interfaces st0 y hub AutoVPN en el concentrador y los radios deben estar numeradas, y la dirección
IP configurada en un spoke debe existir en la subred de interfaz st0 del multipointedit interfaces st0
unit x hub.
Tabla 76 en la página 1037compara los modos de interfaz de túnel seguro AutoVPN punto a punto y de
punto a multipunto.
Tabla 76: Comparación entre los modos de túnel seguro AutoVPN punto a punto y punto a multipunto
Modo punto a punto Modo punto a multipunto
Es compatible con IKEv1 o IKEv2. Es compatible con IKEv1 o IKEv2.
Admite el tráfico IPv4 e IPv6. Soporta IPv4 o IPv6.
Selectores de tráfico Protocolos de enrutamiento dinámico (OSPF,

OSPFv3 y iBGP)
Detección de pares de tráfico muerto Detección de pares de tráfico muerto
Permite que los dispositivos radiales sean serie Este modo solo se admite con dispositivos serie
SRX o de otros fabricantes. SRX.
1038
Authentication
La autenticación compatible para los concentradores y radios AutoVPN es X. 509 certificados de

infraestructura de clave pública (PKI). El tipo de usuario ICR de grupo configurado en el concentrador
permite especificar cadenas que coincidan con el campo de asunto alternativo de certificados de radios.
También se pueden especificar coincidencias parciales para los campos de asunto de los certificados de
radios. Consulte Understanding spoke Authentication in AutoVPN Deployments.
Configuración y administración
AutoVPN se configura y administra en dispositivos serie SRX con la CLI. Se pueden configurar varios
concentradores AutoVPN en un solo dispositivo serie SRX. El número máximo de radios compatibles con
un concentrador configurado es específico del modelo del dispositivo de serie SRX.
Descripción de las limitaciones de AutoVPN
Las siguientes características no son compatibles con AutoVPN:
• No se admiten VPN basadas en políticas.
• El protocolo de enrutamiento dinámico RIP no es compatible con túneles AutoVPN.
• No se admiten claves y Autokey ICRs manuales con claves compartidas previamente.
• No se admite la configuración de enlace de túnel estático de próximo salto (NHTB) en el

concentrador para radios.
• No se admite la multidifusión.
• El tipo de usuario del ID del ICR de grupo no es compatible con una dirección IP como ID. de ICR.
• Cuando se utiliza el tipo de usuario del ICR de grupo, el identificador de ICR no debe solaparse con
otras puertas de enlace de ICR configuradas en la misma interfaz externa.
Descripción de AutoVPN con los selectores de tráfico
Los concentradores AutoVPN se pueden configurar con varios selectores de tráfico para proteger el
tráfico a los radios. Esta característica ofrece las siguientes ventajas:
• Una sola configuración VPN puede admitir varios interlocutores diferentes.
• Los interlocutores VPN pueden ser dispositivos no serie SRX.
• Un solo interlocutor puede establecer varios túneles con la misma VPN.

1039
• Se puede admitir un número mayor de túneles que con AutoVPN con protocolos de enrutamiento
dinámico.
A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en
modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores
ICR.
Cuando se establece el túnel de concentrador a periferia, el concentrador utiliza la inserción automática

de rutas (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la
ruta en el prefijo de radios de su tabla de enrutamiento. A continuación, la ruta ARI se puede importar a
los protocolos de enrutamiento y distribuirse a la red central.
AutoVPN con los selectores de tráfico se pueden configurar con la interfaz de túnel seguro (st0) en
modo punto a punto tanto para IKEv1 como para IKEv2.
Los protocolos de enrutamiento dinámico no se admiten en las interfaces st0 cuando se configuran los
selectores de tráfico.
Tenga en cuenta las siguientes consideraciones a la hora de configurar AutoVPN con los selectores de
tráfico:
• Los selectores de tráfico con interfaces st0 en el modo punto a punto no admiten protocolos de
enrutamiento dinámico.
• La carga de la configuración VPN de detección automática y IKEv2 no se puede configurar con

AutoVPN con los selectores de tráfico.
• Los radios pueden ser dispositivos no serie SRX; sin embargo, tenga en cuenta las siguientes
diferencias:
• En IKEv2, un radio no serie SRX puede proponer varios selectores de tráfico en una sola
negociación de SA. Esto no se admite en dispositivos serie SRX y la negociación se rechaza.
• Un radio no serie SRX puede identificar puertos específicos o protocolos para el uso del selector
de tráfico. Los selectores de tráfico de serie SRX dispositivos no admiten puertos ni protocolos,
por lo que la negociación es rechazada.
SEE ALSO
Descripción de la autenticación de radios en implementaciones de AutoVPN

Ejemplo Configuración de selectores de tráfico en una VPN basada en rutas
1040
Descripción de la autenticación de radios en implementaciones de

AutoVPN
in this section
Configuración del ID ICR de grupo en el concentrador | 1040
Exclusión de una conexión de radios | 1042
En las implementaciones AutoVPN, los dispositivos radiales deben tener carga de certificados de PKI
válidos X. 509. Puede utilizar el show security pki local-certificate detail comando para mostrar
información acerca de los certificados cargados en un dispositivo.
En este tema se trata la configuración del concentrador que permite que los radios se autentiquen y se
conecten al concentrador:
Configuración del ID ICR de grupo en el concentrador
La función de identificación de ICR de grupo permite que varios dispositivos radiales compartan una
configuración ICR del concentrador. La identificación del titular del certificado, en el asunto o en los
campos de asunto alternativos del certificado X.509 de cada radio, debe contener una parte que sea
común a todos los radios; la parte común de la identificación del certificado se especifica para la ICR
configuración en el concentrador.
Por ejemplo, el ICR ID example.net se puede configurar en el concentrador para identificar los radios
con los nombres device1.example.netde device2.example.nethost, device3.example.nety. El certificado
de cada radio debe contener una identidad de nombre de host en el campo example.net de asunto
alternativo con respecto a la parte derecha del campo; por ejemplo, device1.example.net. En este
ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ICR ID. Durante ICR
negociación, el identificador de ICR de un radio se utiliza para hacer coincidir la parte común de la
identidad del ICR del mismo nivel configurada en el concentrador. Un certificado válido autentica los
radios.
La parte común de la identificación del certificado puede ser una de las siguientes:
• Por ejemplo example.net, un nombre de host parcial en la parte más a la derecha del campo de
asunto alternativo del certificado.
• Por ejemplo @example.net, una dirección de correo electrónico parcial en la parte más a la derecha
del campo de asunto alternativo del certificado.
1041
• Una cadena contenedora, un conjunto de caracteres comodín, o ambos, para que coincidan con los
campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado
digital en formato de nombre completo (DN) de notación de sintaxis abstracta uno (ASN. 1). Los
campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.
Para configurar un ID ICR de grupo para que coincida con los campos de asunto de los certificados,
puede especificar los siguientes tipos de coincidencias de identidad:
• Contenedor: el concentrador autentica el ID de ICR spoke si los campos de asunto del certificado
de spoke coinciden exactamente con los valores configurados en el concentrador. Se pueden
especificar varias entradas para cada campo de asunto (por ejemplo ou=eng,ou=sw,). El orden de
los valores en los campos debe coincidir.
• Comodín: el concentrador autentica el ID de ICR de radio si los campos de asunto del certificado
del spoke coinciden con los valores configurados en el concentrador. La coincidencia de
caracteres comodín solo admite un valor por campo (por ou=eng ejemplo ou=sw , o
ou=eng,ou=swpero no). El orden de los campos es inconsecuente.
En el siguiente ejemplo se configura un identificador ICR de grupo con el nombre example.net de host
parcial en el campo de asunto alternativo del certificado.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
hostname example.net;
}
external-interface fe-0/0/2;
}
}
}
En este ejemplo, example.net es la parte común de la identificación del nombre de host utilizada para
todos los radios. Todos los certificados X. 509 en los radios deben contener una identidad de nombre de
1042
host en el campo example.net de asunto alternativo con en la parte derecha. Todos los radios deben
usar la identidad de nombre de host en su ICR carga de ID.
En el siguiente ejemplo se configura un grupo ICR identificador con caracteres comodín para que
coincida con sales los valores de los campos example unidad organizativa y asunto de la organización del
certificado.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
wildcard ou=sales,o=example;
}
}
external-interface fe-0/0/2;
}
}
}
En este ejemplo, los campos ou=sales,o=example son la parte común del campo de asunto en los
certificados que se esperaban de los radios. Durante ICR negociación, si una radio presenta un
certificado con los campos cn=alice,ou=sales,o=example de asunto en su certificado, la autenticación se
realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos
cn=thomas,ou=engineer,o=example de asunto en su certificado, el concentrador rechazará el certificado
según debería ser salesla unidad organizativa.
Exclusión de una conexión de radios
Para excluir un radio concreto de conectarse al concentrador, es necesario revocar el certificado de

dichos radios. El concentrador necesita recuperar la última lista de revocación de certificados (CRL) de la
CA que contiene el número de serie del certificado revocado. El concentrador rechazará una conexión
VPN de los radios revocados. Hasta que la CRL más reciente esté disponible en el concentrador, es
1043
posible que el concentrador continúe estableciendo un túnel desde los radios revocados. Para obtener
más información, consulte Descripción del Protocolo de estado de certificados en línea y listas de
revocación de certificados , y descripción de los perfiles de autoridad de certificados.
SEE ALSO
Descripción general de la configuración de AutoVPN
Los pasos siguientes describen las tareas básicas para configurar AutoVPN en los dispositivos radiales. El
concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.
Para configurar el concentrador AutoVPN:
1. Inscriba un certificado de CA y el certificado local en el dispositivo.

2. Crear una interfaz de túnel seguro (st0) y configurarla en el modo punto a multipunto.
3. Configure una sola directiva de ICR.
4. Configure una puerta de enlace de ICR con un identificador de ICR de grupo que sea común a todos
los radios.
5. Configure una sola directiva IPsec y una VPN.
6. Configure un protocolo de enrutamiento dinámico.
Para configurar un dispositivo de radio de serie SRX AutoVPN:
1. Inscriba un certificado de CA y el certificado local en el dispositivo.
2. Crear una interfaz st0 y configurarla en el modo punto a multipunto.
3. Configure una directiva de ICR para que coincida con la Directiva de ICR configurada en el
concentrador.
4. Configure una puerta de enlace de ICR con un identificador que coincida con el ID. ICR del grupo
configurado en el concentrador.
5. Configure una directiva IPsec para que coincida con la directiva IPsec configurada en el concentrador.
6. Configure un protocolo de enrutamiento dinámico.

1044
SEE ALSO
Ejemplo Configuración de AutoVPN básicos con iBGP
in this section
Aplicables | 1044
Automática | 1048
Comproba | 1076
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único
punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para
sitios remotos. En este ejemplo se configura iBGP para reenviar paquetes a través de los túneles VPN.
Aplicables
• Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes
• Junos OS versión 12.1 X44-D10 y posterior compatible con AutoVPN
Antes de empezar:

través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un
protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.
1045
in this section
Topología | 1048
En este ejemplo se muestra la configuración de un concentrador de AutoVPN y las configuraciones

túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla
Tabla 77: Opciones de las fases 1 y 2 de AutoVPN configuraciones de concentrados y radios
, Valor
ICR propuesta:
Directiva de ICR:
1046

(Continued)
, Valor
Propuesta de IPsec:
Protocolo SENSORIAL
Algoritmo de autenticación HMAC MD5 96
Algoritmo de cifrado DES CBC
Directiva IPsec:
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 78: Configuración de AutoVPN para concentrador y todos los radios
Dirección IP remota Manera 1.1.1.1

1047
Tabla 78: Configuración de AutoVPN para concentrador y todos los radios (Continued)

certificado del radio con la cadena en
el campo SLT unidad organizacional
(UO)
Interfaz externa ge-0/0/1.0 Radios 1: fe-0/0/1.0
VIRTUALES
Establecer túneles (no configurado) Inmediatamente durante la

confirmación de configuración
Tabla 79: Comparación entre las configuraciones de radios
, Radios 1 Radios 2
interfaz St 0.0 10.10.10.2/24 10.10.10.3/24
Interfaz a la red interna (fe-0.0/4.0) 60.60.60.1/24 (fe-0.0/4.0) 70.70.70.1/24
Interfaz a Internet (fe-0/0/1.0) 2.2.2.1/30 (ge-0/0/1.0) 3.3.3.1/30
1048
Topología
para AutoVPN.
Figura 63: Implementación básica de AutoVPN con iBGP
Automática
in this section

1049
Para configurar AutoVPN, realice estas tareas:

[edit]
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# commit

1050

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
Fingerprint:
Auto-re-enrollment:
1051
Status: Disabled
[edit]
user@host# commit
<password>

1052

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled
[edit]
1053

user@host# commit
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 10:02
Not after: 11- 6-2013 10:12
1054

77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46
7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11
58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01
Distribution CRL:
Fingerprint:
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled

set policy-options policy-statement lan_nw from interface ge-0/0/3.0
set policy-options policy-statement lan_nw then accept
set protocols bgp group ibgp type internal
set protocols bgp group ibgp local-address 10.10.10.1
set protocols bgp group ibgp export lan_nw
set protocols bgp group ibgp cluster 1.2.3.4
1055
set protocols bgp group ibgp peer-as 10

set policy-options policy-statement bgp_nh_self term 1 from protocol bgp
set policy-options policy-statement bgp_nh_self term 1 then next-hop self
set policy-options policy-statement bgp_nh_self term 1 then accept
set protocols bgp group ibgp export bgp_nh_self
set protocols bgp group ibgp allow 10.10.10.0/24
set routing-options autonomous-system 10
set security ike proposal ike-proposal authentication-method rsa-signatures
set security ike proposal ike-proposal authentication-algorithm sha1
set security ike policy ike-policy1 proposals ike-proposal
set security ike policy ike-policy1 certificate local-certificate Local1
set security ike gateway hub-to-spoke-gw ike-policy ike-policy1
set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT
set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id
set security ike gateway hub-to-spoke-gw local-identity distinguished-name
set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0
set security ipsec proposal ipsec-proposal protocol esp
set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96
set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc
set security ipsec policy vpn-policy1 proposals ipsec-proposal
set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0
set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw
set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1
set security pki ca-profile ca-profile1 ca-identity ca-profile1
1056
set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll

set security pki ca-profile ca-profile1 revocation-check disable
[edit interfaces]
[edit policy-options]
user@host# set policy-statement lan_nw from interface ge-0/0/3.0
user@host# set policy-statement lan_nw then accept
user@host# set policy-statement bgp_nh_self term 1 from protocol bgp
user@host# set policy-statement bgp_nh_self term 1 then next-hop self
user@host# set policy-statement bgp_nh_self term 1 then accept
[edit protocols bgp]
user@host# set group ibgp type internal
user@host# set group ibgp local-address 10.10.10.1
user@host# set group ibgp export lan_nw
user@host# set group ibgp cluster 1.2.3.4
user@host# set group ibgp peer-as 10
user@host# set group ibgp allow 10.10.10.0/24
user@host# set group ibgp export bgp_nh_self
user@host# set autonomous-system 10
1057

user@host# set certificate local-certificate Local1
[edit security ike gateway hub-to-spoke-gw]
[edit security ipsec proposal ipsec-proposal]

user@host# set encryption-algorithm des-cbc
user@host# set proposals ipsec-proposal
[edit security ipsec vpn hub-to-spoke-vpn]
user@host# set ike gateway hub-to-spoke-gw
user@host# set ike ipsec-policy vpn-policy1

1058


[edit security pki]

user@host# set ca-profile ca-profile1 ca-identity ca-profile1
user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show

protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show
security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
1059
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement bgp_nh_self {
term 1 {
from protocol bgp;
then {
next-hop self;
accept;
}
}
}
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
[edit]
bgp {
group ibgp {
type internal;
export lan_nw;
cluster 1.2.3.4;
peer-as 10;
allow 10.10.10.0/24;
export bgp_nh_self;
}
}
[edit]
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
1060
autonomous-system 10;
[edit]
dh-group group2;
}
mode main;
certificate {
local-certificate Local1;
}
}
gateway hub-to-spoke-gw {
dynamic {
wildcard OU=SLT;
}
}
}
[edit]
proposal ipsec-proposal {
protocol esp;
encryption-algorithm des-cbc;
}
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn {
ike {
1061
gateway hub-to-spoke-gw;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
ca-profile ca-profile1 {
enrollment {
1062
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}

set policy-options policy-statement lan_nw from interface fe-0/0/4.0
set protocols bgp group ibgp neighbor 10.10.10.1
set security ike gateway spoke-to-hub-gw ike-policy ike-policy1
set security ike gateway spoke-to-hub-gw address 1.1.1.1
set security ike gateway spoke-to-hub-gw local-identity distinguished-name
1063
set security ike gateway spoke-to-hub-gw remote-identity distinguished-name

set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0
set security ipsec vpn spoke-to-hub bind-interface st0.0
set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw
set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1
set security ipsec vpn spoke-to-hub establish-tunnels immediately
set security zones security-zone trust interfaces fe-0/0/4.0
[edit interfaces]
1064
user@host# set policy-statement lan_nw from interface fe-0/0/4.0
user@host# set group ibgp neighbor 10.10.10.1

[edit security ike gateway spoke-to-hub-gw]
user@host# set remote-identity distinguished-name
user@host# set external-interface fe-0/0/1.0

1065

[edit security ipsec vpn spoke-to-hub]
user@host# set ike gateway spoke-to-hub-gw


[edit security pki]

Resultados

1066
[edit]
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
from interface fe-0/0/4.0;
then accept;
}
[edit]
bgp {
group ibgp {
type internal;
export lan_nw;
neighbor 10.10.10.1;
}
1067
}
[edit]
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
[edit]
dh-group group2;
}
mode main;
certificate {
}
}
gateway spoke-to-hub-gw {
address 1.1.1.1;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
[edit]
protocol esp;
}
keys group14;
}
}
vpn spoke-to-hub {
1068
ike {
gateway spoke-to-hub-gw;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
1069
enrollment {
}
revocation-check {
disable;
}
}

set protocols bgp group ibgp neighbor 10.10.10.1
1070

set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0
[edit interfaces]
1071
user@host# set group ibgp neighbor 10.10.10.1


1072



[edit security pki]

Resultados

1073
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
then accept;
}
[edit]
bgp {
group ibgp {
type internal;
export lan_nw;
}
1074
}
[edit]
static {
route 1.1.1.0/30 next-hop 3.3.3.2;
}
[edit]
dh-group group2;
}
mode main;
certificate {
}
}
address 1.1.1.1;
}
[edit]
protocol esp;
}
keys group14;
}
}
vpn spoke-to-hub {
1075
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
1076
enrollment {
}
revocation-check {
disable;
}
}
Comproba
in this section
Comprobando BGP | 1078
Comprobar rutas aprendidas | 1079
Purpose
Intervención

Address
1077
5480163 UP a558717f387074ab 6d0135c5ecaed61d Main

3.3.3.1
5480162 UP 7a63d16a5a723df1 c471f7ae166d3a34 Main
2.2.2.1
Efectos
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
En modo operativo, escriba el security ipsec security-associations comando.
user@host> security ipsec security-associations

<268173400 ESP:des/ md5 9bf33bc7 3567/ unlim - root 500 2.2.2.1
>268173400 ESP:des/ md5 aae5196b 3567/ unlim - root 500 2.2.2.1
<268173401 ESP:des/ md5 69c24d81 622/ unlim - root 500 3.3.3.1
>268173401 ESP:des/ md5 e3fe0231 622/ unlim - root 500 3.3.3.1
Efectos
parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
1078
Purpose
Intervención

ID XAUTH username
10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN,
DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1
DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Efectos
Comprobando BGP
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
En modo operativo, escriba el show bgp summary comando.
user@host> show bgp summary

Groups: 1 Peers: 2 Down peers: 0
Unconfigured peers: 2
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn
State|#Active/Received/Accepted/Damped...
1079
10.10.10.2 10 116 119 0 0 50:25

1/1/1/0 0/0/0/0
10.10.10.3 10 114 114 0 0 50:04
1/1/1/0 0/0/0/0
Comprobar rutas aprendidas
Purpose
Compruebe que se han aprendido las rutas a los radios.
Intervención
En modo operativo, escriba el show route 60.60.60.0 comando.
user@host> show route 60.60.60.0

60.60.60.0/24 *[BGP/170] 00:50:57, localpref 100

AS path: I
> to 10.10.10.2 via st0.0

70.70.70.0/24 *[BGP/170] 00:50:42, localpref 100

AS path: I
> to 10.10.10.3 via st0.0
SEE ALSO

Introducción a los protocolos de enrutamiento
1080
Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de

IPv6
in this section
Aplicables | 1080
Automática | 1085
Comproba | 1115
sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el iBGP para
reenviar paquetes a través de los túneles VPN.
Aplicables
Antes de empezar:

través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un
protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.
in this section
Topología | 1084
1081

, Valor
ICR propuesta:
Directiva de ICR:
Propuesta de IPsec:
Protocolo SENSORIAL

1082

(Continued)
, Valor
Directiva IPsec:
Tabla 81: Configuración de AutoVPN para concentrador y todos los radios

certificado del radio con la cadena en el
campo SLT unidad organizacional (UO)
Interfaz externa ge-0/0/0 Radios 1: ge-0/0/0.0
VIRTUALES
1083
Tabla 81: Configuración de AutoVPN para concentrador y todos los radios (Continued)
Establecer túneles (no configurado) establecer: túneles en tráfico
Tabla 82: Comparación entre las configuraciones de radios
, Radios 1 Radios 2
interfaz St 0.0 2001:db8:7000::2/64 2001:db8:7000::3/64
1084
Topología
para AutoVPN.
Figura 64: Implementación básica de AutoVPN con iBGP

1085
Automática
in this section

[edit]
mscep/mscep.dll
user@host# commit

1086

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
1087
Fingerprint:
Auto-re-enrollment:
Status: Disabled
[edit]
mscep/mscep.dll
user@host# commit
<password>
1088

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled
1089
[edit]
mscep/mscep.dll
user@host# commit
<password>

Issuer:
1090

Subject:
Subject string:
Validity:
Not before: 11- 6-2012 10:02
Not after: 11- 6-2013 10:12
77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46
7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11
58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01
Distribution CRL:
Fingerprint:
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled
1091

set security ike traceoptions file ik
set security ike traceoptions flag all
set security ike gateway IKE_GWA_1 external-interface ge-0/0/0
1092

set routing-options forwarding-table export load_balance
set protocols bgp traceoptions file bgp
set protocols bgp traceoptions flag all
set protocols bgp group ibgp local-address 2001:db8:9000::1
set protocols bgp group ibgp export ibgp
set protocols bgp group ibgp cluster 1.2.3.4
set protocols bgp group ibgp multipath
set protocols bgp group ibgp allow 2001:db8:9000::/64
set policy-options policy-statement ibgp from interface ge-0/0/1.0
set policy-options policy-statement ibgp then accept
set policy-options policy-statement load_balance then load-balance per-packet
[edit interfaces]
1093
user@host# set policy-statement ibgp from interface ge-0/0/1.0
user@host# set policy-statement ibgp then accept
user@host# set policy-statement load_balance then load-balance per-packet
user@host# set traceoptions file bgp
user@host# set traceoptions flag all
user@host# set group ibgp local-address 2001:db8:9000::1
user@host# set group ibgp export ibgp
user@host# set group ibgp cluster 1.2.3.4
user@host# set group ibgp multipath
user@host# set group ibgp allow 2001:db8:9000::/64
user@host# set forwarding-table export load_balance

user@host# set file ik
[edit security ike proposal ike-proposal IKE_PROP]
1094

user@host# set external-interface ge-0/0/0



1095
[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1{
multipoint;
family inet6 {
address 2001:db8:7000::1/64;
}
}
1096
}
[edit]
policy-statement ibgp {
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::1;
export ibgp;
cluster 1.2.3.4;
peer-as 100;
multipath;
allow 2001:db8:9000::/64;
}
}
[edit]
rib inet6.0 {
static {
route route 2001:db8:3000::/64 next-hop 2001:db8:2000::2;
}
}
[edit]
traceoptions {
file ik;
flag all;
1097
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
wildcard OU=SLT;
}
}
always-send;
interval 10;
threshold 3;
}
external-interface ge-0/0/0;
version v1-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
}
1098
}
vpn IPSEC_VPNA_1 {
ike {
gateway IKE_GWA_1;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
1099

enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1100

set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels on-traffic
set protocols bgp group ibgp neighbor 2001:db8:9000::1
1101
[edit interfaces]
user@host# set group ibgp neighbor 2001:db8:9000::1

1102


[edit security ipsec vpn IPSEC_VPNA_SPOKE_1]
user@host# set ike gateway IKE_GWA_SPOKE_1
user@host# set establish-tunnels on-traffic

1103


[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
1104
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
then accept;
}
[edit]
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
rib inet6.0 {
static {
}
}
[edit]
traceoptions {
1105
file ik;
flag all;
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
gateway IKE_GWA_SPOKE1 {
ike-policy IKE_POL;
dynamic {
wildcard OU=SLT;
}
}
always-send;
interval 10;
threshold 3;
}
version v1-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
1106
}
}
vpn IPSEC_VPNA_SPOKE_1 {
ike {
gateway IKE_GWA_SPOKE_1;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
1107
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1108

set protocols bgp group ibgp neighbor 2001:db8:9000::1
1109
[edit interfaces]
user@host# set group ibgp neighbor 2001:db8:9000::1

1110


[edit security ipsec vpn IPSEC_VPNA_SPOKE_2]
user@host# set ike gateway IKE_GWA_SPOKE_2

1111


[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
1112
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
then accept;
}
[edit]
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
rib inet6.0 {
static {
}
}
[edit]
traceoptions {
1113
file ik;
flag all;
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
gateway IKE_GWA_SPOKE2 {
ike-policy IKE_POL;
dynamic {
wildcard OU=SLT;
}
}
always-send;
interval 10;
threshold 3;
}
version v1-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
1114
}
}
vpn IPSEC_VPNA_SPOKE_2 {
ike {
gateway IKE_GWA_SPOKE_2;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
1115
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose

1116
Intervención

Address
493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main

2001:db8:3000::2
493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main

2001:db8:5000::2
Efectos
Purpose
Intervención

>67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500
2001:db8:3000::2
>67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500
2001:db8:3000::2
>67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500
2001:db8:5000::2
1117
>67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500

2001:db8:5000::2
Efectos
Purpose
Intervención

ID XAUTH username


2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US,

2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US,

Efectos
1118
Comprobando BGP
Purpose
Intervención

inet6.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State
2001:db8:9000::2 100 4 4 0 0 32 Establ
inet6.0: 1/1/1/0
2001:db8:9000::3 100 4 4 0 0 8 Establ
inet6.0: 1/1/1/0
SEE ALSO

Introducción a los protocolos de enrutamiento
Ejemplo Configuración de AutoVPN con iBGP y ECMP
in this section
Aplicables | 1119
Automática | 1124
Comproba | 1149
1119
En este ejemplo se muestra cómo configurar dos túneles VPN de IPsec entre un concentrador AutoVPN
y radios. En este ejemplo se configura iBGP con multipath de costo equivalente (ECMP) para reenviar
paquetes a través de los túneles VPN.
Aplicables
• Dos dispositivos serie SRX compatibles como concentrador y periferia AutoVPN
Antes de empezar:

in this section
Topología | 1122
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles
VPN de IPsec.
de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los
radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad
organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de
ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el
spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los
recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador
AutoVPN y los radios deben tener los mismos valores. Tabla 83 en la página 1120 muestra las opciones
utilizadas en este ejemplo.
1120
Tabla 83: Opciones de las fases 1 y 2 para AutoVPN hub and spoke iBGP ECMP configuraciones
, Valor
ICR propuesta:
Directiva de ICR:
Propuesta de IPsec:
Protocolo SENSORIAL
Directiva IPsec:
Tabla 84 en la página 1121muestra las opciones configuradas en el concentrador y en los radios.

1121
Tabla 84: AutoVPN iBGP ECMP configuración para concentradores y radios 1
, Navegación Radios 1
Dirección IP hub-to-spoke-gw-1: Manera spoke-to-hub-gw-1: 1.1.1.1

remota
hub-to-spoke-gw-2: Manera spoke-to-hub-gw-2: 1.1.2.1
ID. de ICR remoto hub-to-spoke-gw-1: DN en el spoke-to-hub-gw-1: DN en el

certificado del spoke con la cadena SLT certificado del concentrador
en el campo UO
spoke-to-hub-gw-2: DN en el
hub-to-spoke-gw-2: DN en el certificado del concentrador
certificado del spoke con la cadena
SBU en el campo UO
Interfaz externa hub-to-spoke-gw-1: ge-0/0/1.0 spoke-to-hub-gw-1: fe-0/0/1.0
hub-to-spoke-gw-2: ge-0/0/2.0 spoke-to-hub-gw-2: fe-0/0/2.0
VIRTUALES
Enlazar interfaz hub-to-spoke-vpn-1: st0.0 spoke-to-hub-1: st0.0
hub-to-spoke-vpn-2: st0.1 spoke-to-hub-2: st0.1

1122
Topología
para AutoVPN.
1123
Figura 65: Implementación de AutoVPN con iBGP y ECMP

1124
Automática
in this section

[edit]
user@host# commit

1125
3. Generar un par de claves para cada certificado.

4. Inscriba los certificados locales.
domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject
DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password
<password>
5. Compruebe los certificados locales.
user@host> show security pki local-certificate certificate-id Local1 detail

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
1126
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
Fingerprint:
Auto-re-enrollment:
Status: Disabled

Serial number: 505efdf900000000259a
Issuer:
Subject:
Organization: example, Organizational unit: SBU, Country: IN, State: KA,
Locality: Bangalore, Common name: hub_backup, Domain component:
example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SBU, CN=hub_backup
Alternate subject: "hub_backup@example.net", example.net, 1.1.2.1
Validity:
Not before: 11- 9-2012 10:55
Not after: 11- 9-2013 11:05
30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a
4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db
44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0
95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7
2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0
29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0
e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01
Distribution CRL:
1127
Fingerprint:
98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1)
c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5)
Auto-re-enrollment:
Status: Disabled
[edit]
user@host# commit
user@host> rrequest security pki generate-key-pair certificate-id Local1

<password>
domain-name example.net email spoke1_backup@example.net ip-address 3.3.3.1 subject
1128
DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled

1129

Serial number: 506c3d0600000000259b
Issuer:
Subject:
Locality: Mysore, Common name: spoke1_backup, Domain component:
example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Alternate subject: "spoke1_backup@example.net", example.net, 3.3.3.1
Validity:
Not before: 11- 9-2012 11:09
Not after: 11- 9-2013 11:19
30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27
8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e
31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c
cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08
4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2
54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74
1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01
Distribution CRL:
Fingerprint:
d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1)
76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5)
Auto-re-enrollment:
Status: Disabled
La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las
configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.
1130

set policy-options policy-statement load_balance then load-balance per-packet
set protocols bgp group ibgp-1 type internal
set protocols bgp group ibgp-1 local-address 10.10.10.1
set protocols bgp group ibgp-1 export lan_nw
set protocols bgp group ibgp-1 cluster 1.2.3.4
set protocols bgp group ibgp-1 multipath
set protocols bgp group ibgp-1 allow 10.10.10.0/24
set protocols bgp group ibgp-2 multipath
set routing-options forwarding-table export load_balance
set security ike policy ike-policy-1 mode main
1131
set security ike policy ike-policy-1 proposals ike-proposal

set security ike policy ike-policy-1 certificate local-certificate Local1
set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1
set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT
set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id
set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name
set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0
set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU
set security ipsec policy vpn-policy perfect-forward-secrecy keys group14
set security ipsec policy vpn-policy proposals ipsec-proposal
set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0
set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1
set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy
1132
[edit interfaces]
user@host# set policy-statement load_balance then load-balance per-packet
user@host# set group ibgp-1 type internal
user@host# set group ibgp-1 local-address 10.10.10.1
user@host# set group ibgp-1 export lan_nw
user@host# set group ibgp-1 cluster 1.2.3.4
user@host# set group ibgp-1 multipath
user@host# set group ibgp-1 allow 10.10.10.0/24
user@host# set group ibgp-2 multipath
1133

user@host# set forwarding-table export load_balance

[edit security ike policy ike-policy-1]
[edit security ike gateway hub-to-spoke-gw-1]
user@host# set ike-policy ike-policy-1
user@host# set dynamic distinguished-name wildcard OU=SBU

[edit security ipsec policy vpn-policy]
1134

[edit security ipsec vpn hub-to-spoke-vpn-1]
user@host# set ike gateway hub-to-spoke-gw-1
user@host# set ike ipsec-policy vpn-policy


[edit security pki]

1135
Resultados

[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
1136
}
}
[edit]
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
bgp {
group ibgp-1 {
type internal;
export lan_nw;
cluster 1.2.3.4;
multipath;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
export lan_nw;
cluster 1.2.3.5;
multipath;
allow 20.20.20.0/24;
}
}
[edit]
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
forwarding-table {
export load_balance;
}
1137
[edit]
dh-group group2;
}
policy ike-policy-1 {
mode main;
certificate {
}
}
mode main;
certificate {
}
}
gateway hub-to-spoke-gw-1 {
ike-policy ike-policy-1;
dynamic {
wildcard OU=SLT;
}
}
}
dynamic {
wildcard OU=SBU;
}
}
1138
}
[edit]
protocol esp;
}
policy vpn-policy {
keys group14;
}
}
vpn hub-to-spoke-vpn-1 {
ike {
gateway hub-to-spoke-gw-1;
ipsec-policy vpn-policy;
}
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
ge-0/0/2.0;
1139
st0.1;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
1140

set protocols bgp group ibgp-1 neighbor 10.10.10.1
set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1
set security ike gateway spoke-to-hub-gw-1 address 1.1.1.1
set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name
set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name
set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0
1141

set security ipsec vpn spoke-to-hub-1 bind-interface st0.0
set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1
set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy
set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately
[edit interfaces]
1142

user@host# set group ibgp-1 neighbor 10.10.10.1

[edit security ike gateway spoke-to-hub-gw-1]
1143


[edit security ipsec vpn spoke-to-hub-1]
user@host# set ike gateway spoke-to-hub-gw-1

1144


[edit security pki]

Resultados

[edit]
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
1145
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
then accept;
}
[edit]
bgp {
group ibgp-1 {
type internal;
export lan_nw;
}
group ibgp-2 {
type internal;
export lan_nw;
}
1146
}
[edit]
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
}
[edit]
dh-group group2;
}
mode main;
certificate {
}
}
mode main;
certificate {
}
}
gateway spoke-to-hub-gw-1 {
address 1.1.1.1;
}
address 1.1.2.1;
1147
}
[edit]
protocol esp;
}
policy vpn-policy {
keys group14;
}
}
vpn spoke-to-hub-1 {
ike {
gateway spoke-to-hub-gw-1;
}
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
1148
st0.0;
fe-0/0/2.0;
st0.1;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}

1149
Comproba
in this section
Comprobación de la instalación de la ruta en la tabla de reenvío | 1153
Purpose
Intervención

Address
3733049 UP bc9686796c2e52e9 1fbe46eee168f24e Main
2.2.2.1
3733048 UP a88db7ed23ec5f6b c88b81dff52617a5 Main
3.3.3.1
Efectos
1150

Purpose
Intervención

<268173315 ESP:des/ md5 93cfb417 1152/ unlim - root 500 2.2.2.1
>268173315 ESP:des/ md5 101de6f7 1152/ unlim - root 500 2.2.2.1
<268173313 ESP:des/ md5 272e29c0 1320/ unlim - root 500 3.3.3.1
>268173313 ESP:des/ md5 a3bf8fad 1320/ unlim - root 500 3.3.3.1
Efectos
Purpose

1151
Intervención

ID XAUTH username
10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN,
DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Efectos
Comprobando BGP
Purpose
Intervención

inet.0 2 2 0 0 0 0
10.10.10.2 10 4819 4820 0 2 1d 12:15:14
1/1/1/0 0/0/0/0
20.20.20.2 10 4926 4928 0 0 1d 13:03:03
1/1/1/0 0/0/0/0
1152
Purpose
Intervención
En modo operativo, escriba el show route 60.60.60.0 detail comando.
user@host> show route 60.60.60.0 detail

60.60.60.0/24 (2 entries, 1 announced)
*BGP Preference: 170/-101
Next hop type: Indirect
Address: 0x167407c
Next-hop reference count: 3
Source: 10.10.10.2
Next hop type: Router
Next hop: 10.10.10.2 via st0.0
Next hop: 20.20.20.2 via st0.1, selected
Protocol next hop: 10.10.10.2
Indirect next hop: 15c8000 262142
Indirect next hop: 15c80e8 262143
State: <Act Int Ext>
Local AS: 10 Peer AS: 10
Age: 1d 12:16:25 Metric2: 0
Task: BGP_10.10.10.10.2+53120
Announcement bits (2): 0-KRT 3-Resolve tree 1
AS path: I
Accepted Multipath
Localpref: 100
Router ID: 10.207.36.182
BGP Preference: 170/-101
Next hop type: Indirect
Address: 0x15b8ac0
Next-hop reference count: 1
Source: 20.20.20.2
Next hop: 20.20.20.2 via st0.1, selected
1153

Indirect next hop: 15c80e8 262143
State: <NotBest Int Ext>
Inactive reason: Not Best in its group - Update source
Local AS: 10 Peer AS: 10
Age: 1d 13:04:14 Metric2: 0
Task: BGP_10.20.20.20.2+50733
AS path: I
Accepted MultipathContrib
Localpref: 100
Router ID: 10.207.36.182
Comprobación de la instalación de la ruta en la tabla de reenvío
Purpose
Compruebe que las rutas a los radios se han instalado en la tabla de reenvío.
Intervención
En modo operativo, escriba el show route forwarding-table matching 60.60.60.0 comando.
user@host> show route forwarding-table matching 60.60.60.0

Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
60.60.60.0/24 user 0 ulst 262144 1
indr 262142 2
10.10.10.2 ucst 572 3 st0.0
indr 262143 2
20.20.20.2 ucst 573 3 st0.1
SEE ALSO

1154
Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de

seguridad activa
in this section
Aplicables | 1154
Automática | 1160
Comproba | 1185
En este ejemplo se muestra cómo configurar túneles VPN de IPsec de reserva y activos entre un
concentrador AutoVPN y radios. En este ejemplo se configura iBGP para reenviar el tráfico a través de
los túneles VPN.
Aplicables
• Dos dispositivos serie SRX compatibles como concentrador y periferia AutoVPN
Antes de empezar:

in this section
Topología | 1158
1155
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles
VPN de IPsec.
de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los
radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad
organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de
ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el
spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los
recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador
AutoVPN y los radios deben tener los mismos valores. Tabla 85 en la página 1155 muestra las opciones
utilizadas en este ejemplo.
Tabla 85: Opciones de las fases 1 y 2 para AutoVPN concentradores y radios iBGP configuraciones de
túnel de reserva activo
, Valor
ICR propuesta:
Directiva de ICR:
Propuesta de IPsec:
Protocolo SENSORIAL
1156
Tabla 85: Opciones de las fases 1 y 2 para AutoVPN concentradores y radios iBGP configuraciones de
túnel de reserva activo (Continued)
, Valor
Directiva IPsec:
Tabla 86 en la página 1156muestra las opciones configuradas en el concentrador y en los radios.
Tabla 86: AutoVPN IBGP configuración de túnel de reserva activa para concentradores y radios 1
Dirección IP hub-to-spoke-gw-1: Manera spoke-to-hub-gw-1: 1.1.1.1

remota
hub-to-spoke-gw-2: Manera spoke-to-hub-gw-2: 1.1.2.1
ID. de ICR remoto hub-to-spoke-gw-1: DN en el spoke-to-hub-gw-1: DN en el

certificado del spoke con la cadena SLT certificado del concentrador
en el campo UO
spoke-to-hub-gw-2: DN en el
hub-to-spoke-gw-2: DN en el certificado del concentrador
certificado del spoke con la cadena
SBU en el campo UO

1157
Tabla 86: AutoVPN IBGP configuración de túnel de reserva activa para concentradores y radios 1
(Continued)
Interfaz externa hub-to-spoke-gw-1: ge-0/0/1.0 spoke-to-hub-gw-1: fe-0/0/1.0
hub-to-spoke-gw-2: ge-0/0/2.0 spoke-to-hub-gw-2: fe-0/0/2.0
VIRTUALES
Enlazar interfaz hub-to-spoke-vpn-1: st0.0 spoke-to-hub-1: st0.0
hub-to-spoke-vpn-2: st0.1 spoke-to-hub-2: st0.1
Monitor de VPN hub-to-spoke-vpn-1: GE-0/0/1.0 spoke-to-hub-1: a. \ \ (dirección IP de

(interfaz de origen) destino)
hub-to-spoke-vpn-2: GE-0/0/2.0 spoke-to-hub-2: 1.1.2.1 (IP de destino)

(interfaz de origen)

1158
Topología
para AutoVPN.
1159
Figura 66: Implementación de AutoVPN con iBGP y túneles de copia de seguridad activos
En este ejemplo, se establecen dos túneles VPN de IPsec entre el concentrador y los radios 1. La
información de enrutamiento se intercambiará a través de sesiones iBGP en cada túnel. La coincidencia
del prefijo más larga para la ruta a 60.60.60.0/24 es a través de la interfaz St 0.0 del concentrador. Por lo
1160
tanto, el túnel principal para la ruta se realiza a través de las interfaces St 0.0 del concentrador y de los
radios 1. La ruta predeterminada se realiza a través del túnel de copia de seguridad en las interfaces St
0.1 del concentrador y los radios 1.
El control de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por
ejemplo, la puerta de enlace de túnel remoto no es accesible), el estado del túnel cambia a desactivado y
los datos destinados al 60.60.60.0/24 se redirigen a través del túnel de copia de seguridad.
Automática
in this section

[edit]
user@host# commit

1161

domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject
DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
1162
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
Fingerprint:
Auto-re-enrollment:
Status: Disabled

Serial number: 505efdf900000000259a
Issuer:
Subject:
Locality: Bangalore, Common name: hub_backup, Domain component:
example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SBU, CN=hub_backup
Alternate subject: "hub_backup@example.net", example.net, 1.1.2.1
Validity:
Not before: 11- 9-2012 10:55
Not after: 11- 9-2013 11:05
30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a
4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db
44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0
95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7
2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0
29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0
e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01
Distribution CRL:
1163
Fingerprint:
98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1)
c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5)
Auto-re-enrollment:
Status: Disabled
[edit]
user@host# commit
user@host> rrequest security pki generate-key-pair certificate-id Local1

<password>
1164
domain-name example.net email spoke1_backup@example.net ip-address 3.3.3.1 subject

DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled

1165

Serial number: 506c3d0600000000259b
Issuer:
Subject:
Locality: Mysore, Common name: spoke1_backup, Domain component:
example.net
Subject string:
C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Alternate subject: "spoke1_backup@example.net", example.net, 3.3.3.1
Validity:
Not before: 11- 9-2012 11:09
Not after: 11- 9-2013 11:19
30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27
8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e
31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c
cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08
4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2
54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74
1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01
Distribution CRL:
Fingerprint:
d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1)
76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5)
Auto-re-enrollment:
Status: Disabled
La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las
configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.
1166

1167

set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT
set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU
set security ipsec vpn-monitor-options interval 5
set security ipsec vpn-monitor-options threshold 2
set security ipsec vpn hub-to-spoke-vpn-1 vpn-monitor source-interface ge-0/0/1.0
set security ipsec vpn hub-to-spoke-vpn-2 vpn-monitor source-interface ge-0/0/2.0
1168
[edit interfaces]
1169

user@host# set dynamic distinguished-name wildcard OU=SBU
[edit security ipsec vpn-monitor]

user@host# set options interval 5
user@host# set options threshold 2
1170

user@host# set vpn-monitor source-interface ge-0/0/1.0
user@host# set vpn-monitor source-interface ge-0/0/2.0


[edit security pki]

1171
Resultados

[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
1172
}
}
[edit]
then accept;
}
[edit]
bgp {
group ibgp-1 {
type internal;
export lan_nw;
cluster 1.2.3.4;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
export lan_nw;
cluster 1.2.3.5;
allow 20.20.20.0/24;
}
}
[edit]
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
[edit]
dh-group group2;
}
1173
mode main;
certificate {
}
}
mode main;
certificate {
}
}
dynamic {
wildcard OU=SLT;
}
}
}
dynamic {
wildcard OU=SBU;
}
}
}
[edit]
vpn-monitor-options {
interval 5;
threshold 2;
}
protocol esp;
1174
}
policy vpn-policy {
keys group14;
}
}
vpn-monitor {
source-interface ge-0/0/1.0;
}
ike {
}
}
vpn-monitor {
source-interface ge-0/0/2.0;
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
1175
ge-0/0/2.0;
st0.1;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
1176

set policy-options policy-statement default_route from protocol static
set policy-options policy-statement default_route from route-filter 0.0.0.0/0 exact
set policy-options policy-statement default_route then accept
set protocols bgp group ibgp-2 export default_route
1177

set security ipsec vpn-monitor-options interval 5
set security ipsec vpn-monitor-options threshold 2
set security ipsec vpn spoke-to-hub-1 vpn-monitor destination-ip 1.1.1.1
set security ipsec vpn spoke-to-hub-2 vpn-monitor destination-ip 1.1.2.1
1178
[edit interfaces]
user@host# set policy-statement default_route from protocol static
user@host# set policy-statement default_route from route-filter 0.0.0.0/0 exact
user@host# set policy-statement default_route then accept
user@host# set group ibgp-2 export default_route

1179

[edit security ipsec vpn-monitor]

user@host# set options interval 5
user@host# set options threshold 2
user@host# set vpn-monitor destination-ip 1.1.1.1
1180

user@host# set vpn-monitor destination-ip 1.1.2.1


[edit security pki]

Resultados

1181
[edit]
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
policy-statement default_route {
from {
1182
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
then accept;
}
[edit]
bgp {
group ibgp-1 {
type internal;
export lan_nw;
}
group ibgp-2 {
type internal;
export default_route;
}
}
[edit]
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
}
[edit]
dh-group group2;
}
mode main;
1183
certificate {
}
}
mode main;
certificate {
}
}
address 1.1.1.1;
}
address 1.1.2.1;
}
[edit]
interval 5;
threshold 2;
}
protocol esp;
}
policy vpn-policy {
keys group14;
}
}
1184
vpn-monitor {
destination-ip 1.1.1.1;
}
ike {
}
}
vpn-monitor {
destination-ip 1.1.2.1;
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
fe-0/0/2.0;
st0.1;
}
}
system-services {
1185
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
Comproba
in this section
Verificación de ICR estado de la fase 1 (ambos túneles están en funcionamiento) | 1186
Comprobación del estado de la fase 2 de IPsec (ambos túneles están en funcionamiento) | 1187
Verificación de los túneles IPsec de próximo salto (ambos túneles están en funcionamiento) | 1187
Verificación de BGP (ambos túneles están en la misma) | 1188
Comprobación de rutas aprendidas (ambos túneles están en funcionamiento) | 1188
Comprobando ICR estado de la fase 1 (el túnel primario está inactivo) | 1189
1186
Comprobando el estado de la fase 2 de IPsec (el túnel primario está inactivo) | 1190
Comprobación de los túneles IPsec de próximo salto (el túnel primario está inactivo) | 1190
Comprobando BGP (el túnel primario está inactivo) | 1191
Comprobando rutas aprendidas (el túnel primario está fuera de la actividad) | 1192
Verificación de ICR estado de la fase 1 (ambos túneles están en funcionamiento)
Purpose
Compruebe que el estado ICR la fase 1 cuando ambos túneles VPN de IPSec están en funcionamiento.
Intervención

Address
3733075 UP d4f51c28c0a82101 05b125993a864d3c Main
3.3.3.1
3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 2.2.2.1
Efectos
1187
Comprobación del estado de la fase 2 de IPsec (ambos túneles están en funcionamiento)
Purpose
Compruebe el estado de la fase 2 de IPsec cuando ambos túneles VPN de IPsec estén en
funcionamiento.
Intervención

<268173316 ESP:des/ md5 3cd96946 3555/ unlim U root 500 2.2.2.1
>268173316 ESP:des/ md5 1c09b9b 3555/ unlim U root 500 2.2.2.1
<268173313 ESP:des/ md5 7c6ffca3 3340/ unlim U root 500 3.3.3.1
>268173313 ESP:des/ md5 33bf6f2f 3340/ unlim U root 500 3.3.3.1
Efectos
Verificación de los túneles IPsec de próximo salto (ambos túneles están en funcionamiento)
Purpose
Intervención

ID XAUTH username
1188

Efectos
Verificación de BGP (ambos túneles están en la misma)
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando
ambos túneles VPN de IPsec están en el mismo puesto.
Intervención

inet.0 2 2 0 0 0 0
10.10.10.2 10 5 6 0 0 54
1/1/1/0 0/0/0/0
20.20.20.2 10 13 16 0 0 4:29
1/1/1/0 0/0/0/0
Comprobación de rutas aprendidas (ambos túneles están en funcionamiento)
Purpose
Compruebe que las rutas a los radios se han aprendido cuando ambos túneles están en la red. La ruta a
60.60.60.0/24 es a través de la interfaz St 0.0 y la ruta predeterminada se realiza a través de la interfaz
St 0.1.
1189
Intervención

60.60.60.0/24 *[BGP/170] 00:01:11, localpref 100

AS path: I
> to 10.10.10.2 via st0.0

0.0.0.0/0 *[BGP/170] 00:04:55, localpref 100

AS path: I
> to 20.20.20.2 via st0.1
Comprobando ICR estado de la fase 1 (el túnel primario está inactivo)
Purpose
Compruebe que el estado de la fase 1 ICR cuando el túnel principal está inactivo.
Intervención

Address
3733075 UP d4f51c28c0a82101 05b125993a864d3c Main
3.3.3.1
3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 2.2.2.1
1190
Efectos
Comprobando el estado de la fase 2 de IPsec (el túnel primario está inactivo)
Purpose
Compruebe el estado de la fase 2 de IPsec cuando el túnel principal esté inactivo.
Intervención

<268173313 ESP:des/ md5 7c6ffca3 3156/ unlim U root 500 3.3.3.1
>268173313 ESP:des/ md5 33bf6f2f 3156/ unlim U root 500 3.3.3.1
Efectos
Comprobación de los túneles IPsec de próximo salto (el túnel primario está inactivo)
Purpose
Compruebe el túnel de próximo salto IPsec.

1191
Intervención

ID XAUTH username
Efectos
siguiente salto debe asociarse con el nombre VPN de IPsec correcto, en este caso el túnel de VPN de
copia de seguridad.
Comprobando BGP (el túnel primario está inactivo)
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando el
túnel primario está inactivo.
Intervención

inet.0 1 1 0 0 0 0
20.20.20.2 10 20 24 0 0 7:24
1/1/1/0 0/0/0/0
1192
Comprobando rutas aprendidas (el túnel primario está fuera de la actividad)
Purpose
Compruebe que las rutas a los radios se han aprendido cuando el túnel principal está inactivo. Tanto la
ruta a 60.60.60.0/24 como la ruta predeterminada se realiza a través de la interfaz St 0.1.
Intervención

0.0.0.0/0 *[BGP/170] 00:07:41, localpref 100

AS path: I
> to 20.20.20.2 via st0.1

0.0.0.0/0 *[BGP/170] 00:07:47, localpref 100

AS path: I
> to 20.20.20.2 via st0.1
SEE ALSO

1193
Ejemplo Configuración de AutoVPN básicos con OSPF
in this section
Aplicables | 1193
Automática | 1197
Comproba | 1223
sitios remotos. En este ejemplo, se configura OSPF para reenviar paquetes a través de los túneles VPN.
Aplicables
• Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes
Antes de empezar:

in this section
Topología | 1197

1194
Tabla 87: Opciones de las fases 1 y 2 de AutoVPN las configuraciones básicas de OSPF Hub y spoke
, Valor
ICR propuesta:
Directiva de ICR:
Propuesta de IPsec:
Protocolo SENSORIAL

1195
Tabla 87: Opciones de las fases 1 y 2 de AutoVPN las configuraciones básicas de OSPF Hub y spoke
(Continued)
, Valor
Directiva IPsec:
Tabla 88: Configuración de OSPF básica de AutoVPN para concentrador y todos los radios
Dirección IP remota Manera 1.1.1.1

certificado del radio con la cadena en
el campo SLT unidad organizacional
(UO)
Interfaz externa ge-0/0/1.0 Radios 1: fe-0/0/1.0
VIRTUALES

1196
Tabla 88: Configuración de OSPF básica de AutoVPN para concentrador y todos los radios (Continued)

Tabla 89: Comparación entre las configuraciones básicas del OSPF radios
, Radios 1 Radios 2
interfaz St 0.0 10.10.10.2/24 10.10.10.3/24
Interfaz a la red interna fe-0.0/4.0: 60.60.60.1/24 fe-0.0/4.0: 70.70.70.1/24
Interfaz a Internet fe-0/0/1.0: 2.2.2.1/30 ge-0/0/1.0: 3.3.3.1/30
1197
Topología
para AutoVPN.
Figura 67: Implementación de AutoVPN básica con OSPF
Automática
in this section

1198

[edit]
user@host# commit

1199

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
Fingerprint:
Auto-re-enrollment:
Status: Disabled
[edit]
1200

user@host# commit
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
1201

30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled
[edit]
user@host# commit

1202
<password>

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 10:02
Not after: 11- 6-2013 10:12
77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46
7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11
58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01
Distribution CRL:
1203
Fingerprint:
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled

set protocols ospf area 0.0.0.0 interface ge-0/0/3.0
set security ike gateway hub-to-spoke-gw ike-policy ike-policy1
set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT
set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id
set security ike gateway hub-to-spoke-gw local-identity distinguished-name
1204
set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0

set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0
set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw
set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1
[edit interfaces]

1205


[edit security ike gateway hub-to-spoke-gw]

[edit security ipsec vpn hub-to-spoke-vpn]
user@host# set ike gateway hub-to-spoke-gw
1206


[edit security pki]

Resultados

[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
1207
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
ospf {
area 0.0.0.0 {
interface st0.0 {
dynamic-neighbors;
}
}
}
[edit]
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
[edit]
dh-group group2;
}
1208
mode main;
certificate {
}
}
gateway hub-to-spoke-gw {
dynamic {
wildcard OU=SLT;
}
}
}
[edit]
traceoptions {
flag all;
}
protocol esp;
}
keys group14;
}
}
vpn hub-to-spoke-vpn {
ike {
gateway hub-to-spoke-gw;
}
}
[edit]
1209
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
1210

set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1
set protocols ospf area 0.0.0.0 interface fe-0/0/4.0
set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0
1211

[edit interfaces]

user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1
user@host# set area 0.0.0.0 interface fe-0/0/4.0
1212



1213


[edit security pki]

Resultados

[edit]
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
1214
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
ospf {
area 0.0.0.0 {
interface st0.0 {
}
interface fe-0/0/4.0;
}
}
[edit]
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
[edit]
dh-group group2;
}
mode main;
certificate {
}
}
1215
address 1.1.1.1;
}
[edit]
protocol esp;
}
keys group14;
}
}
vpn spoke-to-hub {
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
1216
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
1217

set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1
set protocols ospf area 0.0.0.0 interface fe-0/0/4.0
set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0
1218

[edit interfaces]

user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1
user@host# set area 0.0.0.0 interface fe-0/0/4.0

1219




1220
[edit security pki]

Resultados

[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
1221
ospf {
area 0.0.0.0 {
interface st0.0 {
}
interface fe-0/0/4.0;
}
}
[edit]
static {
route 1.1.1.1/32 next-hop 3.3.3.2;
}
[edit]
dh-group group2;
}
mode main;
certificate {
}
}
address 1.1.1.1;
}
[edit]
protocol esp;
}
1222
keys group14;
}
}
vpn spoke-to-hub {
ike {
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
1223
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
}
revocation-check {
disable;
}
}
Comproba
in this section
Comprobando OSPF | 1225
Purpose

1224
Intervención

Address
5480159 UP 22432fb6f7fbc389 412b751f79b45099 Main
2.2.2.1
5480161 UP d455050707bc3eaf b3dde111232270d2 Main
3.3.3.1
Efectos
Purpose
Intervención

<268173400 ESP:des/ md5 f38eea12 2954/ unlim - root 500 2.2.2.1
>268173400 ESP:des/ md5 bb48d228 2954/ unlim - root 500 2.2.2.1
<268173401 ESP:des/ md5 bcd1390b 3530/ unlim - root 500 3.3.3.1
>268173401 ESP:des/ md5 77fcf6e2 3530/ unlim - root 500 3.3.3.1
1225
Efectos
parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
Purpose
Intervención

ID XAUTH username
DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Efectos
Comprobando OSPF
Purpose
Compruebe que OSPF hace referencia a las direcciones IP st0 de las interfaces de los radios.
1226
Intervención
En modo operativo, escriba el show ospf neighbor comando.

10.10.10.3 st0.0 Full 10.255.226.179 128 32
10.10.10.2 st0.0 Full 10.207.36.182 128 38
Purpose
Intervención

60.60.60.0/24 *[OSPF/10] 00:51:13, metric 2

> to 10.10.10.2 via st0.0

70.70.70.0/24 *[OSPF/10] 00:51:48, metric 2

> to 10.10.10.3 via st0.0
SEE ALSO

1227
Ejemplo Configurando AutoVPN con OSPFv3 para el tráfico de IPv6
in this section
Aplicables | 1227
Automática | 1232
Comproba | 1261
sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el OSPFv3
para reenviar paquetes a través de los túneles VPN.
Aplicables
Antes de empezar:

in this section
Topología | 1231
1228
Este ejemplo muestra la configuración de una AutoVPN con el protocolo de enrutamiento OSPFv3 en el
concentrador y las configuraciones posteriores de dos radios.
Tabla 90: Opciones de fase 1 y fase 2 para AutoVPN Hub y Spoke OSPFv3 configuraciones básicas
, Valor
ICR propuesta:
Directiva de ICR:
Propuesta de IPsec:
Protocolo SENSORIAL

1229
Tabla 90: Opciones de fase 1 y fase 2 para AutoVPN Hub y Spoke OSPFv3 configuraciones básicas
(Continued)
, Valor
Directiva IPsec:
Tabla 91: AutoVPN OSPFv3 configuración para concentrador y todos los radios

certificado del radio con la cadena
en el campo SLT unidad
organizacional (UO)
ID. de ICR local DN en el certificado del DN en el certificado del spoke

concentrador
Interfaz externa ge-0/0/0 Radios 1: ge-0/0/0.0
VIRTUALES
1230
Tabla 91: AutoVPN OSPFv3 configuración para concentrador y todos los radios (Continued)

Tabla 92: Comparación entre las configuraciones de radios OSPFv3
, Radios 1 Radios 2
interfaz St 0.1 2001:db8:7000::2/64 2001:db8:7000::3/64
1231
Topología
para AutoVPN.
Figura 68: Implementación básica de AutoVPN con OSPFv3

1232
Automática
in this section

[edit]
mscep/mscep.dll
user@host# commit

1233

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:39
Not after: 11- 6-2013 09:49
30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Distribution CRL:
1234
Fingerprint:
Auto-re-enrollment:
Status: Disabled
[edit]
mscep/mscep.dll
user@host# commit
<password>
1235

Issuer:
Subject:
Subject string:
Validity:
Not before: 11- 6-2012 09:40
Not after: 11- 6-2013 09:50
30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db
90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2
4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64
e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01
Distribution CRL:
Fingerprint:
31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5)
Auto-re-enrollment:
Status: Disabled
1236
[edit]
mscep/mscep.dll
user@host# commit
<password>

Issuer:
1237

Subject:
Subject string:
Validity:
Not before: 11- 6-2012 10:02
Not after: 11- 6-2013 10:12
77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46
7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11
58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01
Distribution CRL:
Fingerprint:
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled
1238

set security ike gateway IKE_GWA_1 external-interface ge-0/0/0
1239

set protocols ospf3 traceoptions file ospf
set protocols ospf3 traceoptions flag all
set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit
[edit interfaces]

user@host# set traceoptions file ospf
1240



1241



[edit security pki]

mscep.dll
user@host# set pki ca-profile ROOT-CA revocation-check disable
Resultados

1242
[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::1/64;
}
}
}
[edit]
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
demand-circuit;
dynamic-neighbors;
}
}
}
1243
[edit]
rib inet6.0 {
static {
route 2001:db8:3000::/64 next-hop 2001:db8::2;
route 2001:db8:5000::/64 next-hop 2001:db8::2;
}
}
[edit]
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
wildcard OU=SLT;
}
}
always-send;
interval 10;
threshold 3;
}
version v1-only;
1244
}
[edit]
protocol esp;
authentication-algorithm aes-256-gcm;
set lifetime-seconds 3000;
}
policy IPSEC_POL {
keys group19;
}
}
vpn IPSEC_VPNA_1 {
ike {
gateway IKE_GWA_1;
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
system-services {
all;
}
protocols {
1245
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1246

1247

[edit interfaces]


1248


1249


[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
1250
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
demand-circuit;
dynamic-neighbors;
}
}
}
[edit]
rib inet6.0 {
static {
}
}
[edit]
1251

traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
}
}
ike-policy IKE_POL;
address 2001:db8:2000::1;
always-send;
interval 10;
threshold 3;
}
version v1-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
}
1252
}
ike {
}
}
[edit]
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
1253
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}

1254

1255
[edit interfaces]


1256



1257

[edit security pki]

mscep.dll
Resultados

[edit]
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
1258
unit 1 {
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
demand-circuit;
dynamic-neighbors;
}
}
}
[edit]
rib inet6.0 {
static {
}
}
[edit]
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
dh-group group19;
}
policy IKE_POL {
1259
mode main;
proposals IKE_PROP;
certificate {
}
}
ike-policy IKE_POL;
address 2001:db8:2000::1;
always-send;
interval 10;
threshold 3;
}
version v1-only;
}
[edit]
protocol esp;
}
policy IPSEC_POL {
keys group19;
}
}
ike {
}
establish-tunnels on-traffic;
}
[edit]
1260
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
default-policy {
permit-all;
}
[edit]
enrollment {
retry 5;
retry-interval 0;
}
revocation-check {
disable;
1261
}
}
Comproba
in this section
Comprobando OSPFv3 | 1263
Purpose
Intervención

Address
493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main

2001:db8:3000::2
493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main

2001:db8:5000::2
1262
Efectos
Purpose
Intervención

>67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500
2001:db8:3000::2
>67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500
2001:db8:3000::2
>67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500
2001:db8:5000::2
>67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500
2001:db8:5000::2
Efectos
1263
Purpose
Intervención

ID XAUTH username


2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US,

2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US,

Efectos
Comprobando OSPFv3
Purpose
Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
En modo operativo, escriba el show ospf3 neighbor detail comando.

1264
Navegación
user@host> show ospf3 neighbor detail

2001:db8:128.221.129.22 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:18a1
Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2
DR-ID 0.0.0.0, BDR-ID 0.0.0.0
Up 00:01:35, adjacent 00:01:31 Hello suppressed 00:01:31 ago
2001:db8:128.221.129.124 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:163c
DR-ID 0.0.0.0, BDR-ID 0.0.0.0
Radios 1:

2001:db8:128.221.130.33 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:1946
DR-ID 0.0.0.0, BDR-ID 0.0.0.0
Radios 2:

2001:db8:128.221.130.33 st0.1 Full 128 -
Neighbor-address 2001:db8::5668:ad10:fcd8:1946
DR-ID 0.0.0.0, BDR-ID 0.0.0.0
SEE ALSO

1265
Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores

de tráfico
in this section
Aplicables | 1265
Automática | 1270
Comproba | 1283
En este ejemplo se muestra cómo configurar los selectores de tráfico, en lugar de los protocolos de
enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación
AutoVPN. Cuando se configuran los selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en
el modo punto a punto. Los selectores de tráfico se configuran tanto en los dispositivos radiales como en
los concentrados.
Aplicables
• Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es
el concentrador AutoVPN.
• Un dispositivo serie SRX configurado como radio de AutoVPN.
• Junos OS versión 12.3 X48-D10 o posterior.
• Certificados digitales inscritos en el concentrador y los dispositivos radiales que permiten que los
dispositivos se autentiquen entre sí.
Antes de empezar:

• Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
1266
in this section
Topología | 1269
En este ejemplo, los selectores de tráfico se configuran en el concentrador y los radios de AutoVPN. Solo
el tráfico que se ajusta al selector de tráfico configurado se reenvía a través del túnel. En el
concentrador, el selector de tráfico está configurado con la dirección IP local 192.0.0.0/8 y con la
dirección IP remota 172.0.0.0/8. En los radios, el selector de tráfico se configura con la dirección IP local
172.0.0.0/8 y con la dirección IP remota 192.0.0.0/8.
Las direcciones IP del selector de tráfico configuradas en los radios pueden ser un subconjunto de las
direcciones IP del selector de tráfico configuradas en el concentrador. Esto se conoce como el selector
de tráfico coincidencia flexible.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores y radios de
AutoVPN deben tener los mismos valores. Tabla 93 en la página 1266 muestra los valores utilizados en
este ejemplo:
Tabla 93: Opciones de fase 1 y fase 2 para AutoVPN concentradores y radios con selectores de tráfico
, Valor
ICR propuesta:
Algoritmo de autenticación sha-1
Directiva de ICR:
1267
(Continued)
, Valor
Medio principalmente
Manera comodín de nombre distintivo de DC =

Common_component
Tipo de usuario ICR ID. de ICR de grupo
Identidad local nombre completo
Versi v1-only
Propuesta de IPsec:
Protocolo sensorial
Cesiones 3600 segundos
150.000 kilobytes
Directiva IPsec:
1268
(Continued)
, Valor
Grupo de confidencialidad directa perfecta group5

(PFS)
1269
Topología
Figura 69: AutoVPN con los selectores de tráfico

1270
Automática
in this section
Configuración de radios | 1277

set security ike proposal prop_ike authentication-method rsa-signatures
set security ike proposal prop_ike dh-group group5
set security ike proposal prop_ike authentication-algorithm sha1
set security ike proposal prop_ike encryption-algorithm aes-256-cbc
set security ike policy ikepol1 mode main
set security ike policy ikepol1 proposals prop_ike
set security ike policy ikepol1 certificate local-certificate Hub_ID
set security ike gateway HUB_GW ike-policy ikepol1
set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Domain_component
set security ike gateway HUB_GW dynamic ike-user-type group-ike-id
1271
set security ike gateway HUB_GW local-identity distinguished-name

set security ike gateway HUB_GW external-interface reth1
set security ike gateway HUB_GW version v1-only
set security ipsec proposal prop_ipsec protocol esp
set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96
set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc
set security ipsec proposal prop_ipsec lifetime-seconds 3600
set security ipsec proposal prop_ipsec lifetime-kilobytes 150000
set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5
set security ipsec policy ipsecpol1 proposals prop_ipsec
set security ipsec vpn HUB_VPN bind-interface st0.1
set security ipsec vpn HUB_VPN ike gateway HUB_GW
set security ipsec vpn HUB_VPN ike ipsec-policy ipsecpol1
set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 192.0.0.0/8
set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 172.0.0.0/8
set security pki ca-profile rsa ca-identity rsa
set security pki ca-profile rsa revocation-check disable
set security zones security-zone untrust interfaces lo0.0
A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-connection

de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía [] para conservar una
sesión de túnel existente y rechazar las solicitudes de negociación para un nuevo túnel con el mismo ID
ICR. De forma predeterminada, un túnel existente se desgarrará cuando se establezca un nuevo túnel
con el mismo ID de ICR. Esta reject-duplicate-connection opción solo es compatible cuando ike-user-
type group-ike-id o ike-user-type shared-ike-id está configurada para la puerta de enlace de ICR; la aaa
access-profile profile-name configuración no es compatible con esta opción.
Utilice la opción reject-duplicate-connection de CLI únicamente cuando esté seguro de que

reestablishment de un nuevo túnel con el mismo ID de ICR debe ser rechazado.
1272
[edit interfaces]
[edit security ike proposal prop_ike]

[edit security ike policy ikepol1]
user@host# set proposals prop_ike
user@host# set certificate local-certificate Hub_ID
[edit security ike gateway HUB_GW]
user@host# set ike-policy ikepol1
user@host# set dynamic distinguished-name wildcard DC=Domain_component
1273

[edit security ipsec proposal prop_ipsec]

user@host# set lifetime-kilobytes 150000
[edit security ipsec policy ipsecpol1]
user@host# set proposals prop_ipsec
[edit security ipsec HUB_VPN]
user@host# set ike gateway HUB_GW
user@host# set ike ipsec-policy ipsecpol1
user@host# set traffic-selector ts1 local-ip 192.0.0.0/8
user@host# set traffic-selector ts1 remote-ip 172.0.0.0/8
[edit security pki]

user@host# set ca-profile rsa ca-identity rsa
user@host# set ca-profile rsa revocation-check disable
5. Configurar zonas de seguridad.

user@host# set interfaces lo0.0
1274

Resultados
ikeescriba show security ipseclos show security pkicomandos show security zones,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo
para corregir la configuración.
[edit]
ge-0/0/2 {
gigether-options {
}
}
ge-0/0/3 {
gigether-options {
}
}
lo0 {
unit 0 {
family inet {
address 10.100.1.100/24;
}
}
redundancy-group 1;
}
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.81.1/8;
}
1275
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
proposal prop_ike {
dh-group group5;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Hub_ID;
}
}
gateway HUB_GW {
ike-policy ikepol1;
dynamic distinguished-name wildcard DC=Domain_component;
dynamic ike-user-type group-ike-id;
version v1-only;
}
[edit]
proposal prop_ipsec {
1276
protocol esp;
}
policy ipsecpol1 {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
ike {
gateway HUB_GW;
ipsec-policy ipsecpol1;
}
traffic-selector ts1 {
local-ip 192.0.0.0/8;
remote-ip 172.0.0.0/8;
}
}
[edit]
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
1277
st0.1;
reth0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
default-policy {
permit-all;
}
Configuración de radios

1278

set security ike policy ikepol1 mode main
set security ike policy ikepol1 proposals prop_ike
set security ike policy ikepol1 certificate local-certificate Spoke1_ID
set security ike gateway SPOKE_GW ike-policy ikepol1
set security ike gateway SPOKE_GW address 10.2.2.1
set security ike gateway SPOKE_GW local-identity distinguished-name
set security ike gateway SPOKE_GW remote-identity distinguished-name container DC=Domain_component
set security ike gateway SPOKE_GW external-interface ge-0/0/3.0
set security ike gateway SPOKE_GW version v1-only
set security ipsec proposal prop_ipsec lifetime-seconds 3600
set security ipsec proposal prop_ipsec lifetime-kilobytes 150000
set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5
set security ipsec policy ipsecpol1 proposals prop_ipsec
set security ipsec vpn SPOKE_VPN bind-interface st0.1
set security ipsec vpn SPOKE_VPN ike gateway SPOKE_GW
set security ipsec vpn SPOKE_VPN ike ipsec-policy ipsecpol1
set security ipsec vpn SPOKE_VPN traffic-selector ts1 local-ip 172.0.0.0/8
set security ipsec vpn SPOKE_VPN traffic-selector ts1 remote-ip 192.0.0.0/8
set security ipsec vpn SPOKE_VPN establish-tunnels immediately
set security pki ca-profile rsa ca-identity rsa
set security pki ca-profile rsa revocation-check disable
1279
[edit interfaces]

[edit security ike policy ikepol1]
user@host# set certificate local-certificate Spoke1_ID
[edit security ike gateway SPOKE_GW]
user@host# set ike-policy ikepol1
user@host# set remote-identity distinguished-name container DC=Domain_component

user@host# set lifetime-kilobytes 150000
[edit security ipsec policy ipsecpol1]
1280
[edit security ipsec SPOKE_VPN]

user@host# set ike gateway SPOKE_GW
user@host# set ike ipsec-policy ipsecpol1
[edit security pki]

user@host# set ca-profile rsa ca-identity rsa
user@host# set ca-profile rsa revocation-check disable

Resultados
ikeescriba show security ipseclos show security pkicomandos show security zones,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo
para corregir la configuración.
[edit]
ge-0/0/1 {
1281
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.2.2.253/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
proposal prop_ike {
dh-group group5;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Spoke1_ID;
}
}
gateway SPOKE_GW {
ike-policy ikepol1;
address 10.2.2.1;
remote-identity distinguished-name container DC=Domain_component;
version v1-only;
}
[edit]
1282
protocol esp;
}
policy ipsecpol1 {
keys group5;
}
}
vpn SPOKE_VPN {
ike {
gateway SPOKE_GW;
ipsec-policy ipsecpol1;
}
local-ip 172.0.0.0/8;
remote-ip 192.0.0.0/8;
}
}
[edit]
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
1283
}
interfaces {
st0.1;
ge-0/0/3.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
default-policy {
permit-all;
}
Comproba
in this section
Comprobación de túneles | 1284

1284
Comprobación de túneles
Purpose
Compruebe que los túneles se establecen entre el concentrador y los radios de AutoVPN.
Intervención
security-associations comandos y en el concentrador.

node0:
--------------------------------------------------------------------------
Address
1350248074 UP d195bce6ccfcf9af 8f1569c6592c8408 Main
10.2.2.253

node0:
--------------------------------------------------------------------------
<77594650 ESP:aes-cbc-192/sha1 ac97cb1 2799/ 150000 - root 500
10.2.2.253
>77594650 ESP:aes-cbc-192/sha1 828dc013 2798/ 150000 - root 500
10.2.2.253

node0:
--------------------------------------------------------------------------
ID: 77594650 Virtual-system: root, VPN Name: HUB_VPN

Traffic Selector Name: ts1
Version: IKEv1
Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x24608b29
Tunnel events:
1285
Tue Dec 30 2014 11:30:21 -0800: IPSec SA negotiation successfully completed

(1 times)
Tue Dec 30 2014 11:30:20 -0800: Tunnel is ready. Waiting for trigger event
Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (3
times)
Direction: inbound, SPI: ac97cb1, AUX-SPI: 0
Direction: outbound, SPI: 828dc013, AUX-SPI: 0
security-associations comandos y en el radio.

Address
276505646 UP d195bce6ccfcf9af 8f1569c6592c8408 Main
10.2.2.1

<69206018 ESP:aes-cbc-192/sha1 828dc013 2993/ 150000 - root 500
10.2.2.1
>69206018 ESP:aes-cbc-192/sha1 ac97cb1 2993/ 150000 - root 500
10.2.2.1

ID: 69206018 Virtual-system: root, VPN Name: SPOKE_VPN
1286

Version: IKEv1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29
Tunnel events:
Tue Dec 30 2014 11:30:20 -0800: IPSec SA negotiation successfully completed
(1 times)
Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (1
times)
Tue Dec 30 2014 11:26:11 -0800: Tunnel is ready. Waiting for trigger event
Direction: inbound, SPI: 828dc013, AUX-SPI: 0
Direction: outbound, SPI: ac97cb1, AUX-SPI: 0
Efectos
concentrador muestra un túnel activo hacia las radios mientras que el radio muestra un túnel activo
hacia el concentrador.
1287
Purpose
Compruebe los selectores de tráfico.
Intervención
Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando
en el concentrador.
user@host> show security ipsec traffic-selector interface-name st0.1

node0:
--------------------------------------------------------------------------
Source IP Destination IP Interface
Tunnel-id IKE-ID
192.0.0.0-192.255.255.255 172.0.0.0-172.255.255.255
st0.1 77594650 DC=Domain_component, CN=Spoke1_ID, OU=Sales, O=XYZ,
L=Sunnyvale, ST=CA, C=US
Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando
en el radio.

Tunnel-id IKE-ID
172.0.0.0-172.255.255.255 192.0.0.0-192.255.255.255
st0.1 69206018 DC=Domain_component, CN=Hub_ID, OU=Sales, O=XYZ,
L=Sunnyvale, ST=CA, C=US
Efectos
si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico
que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el
iniciador y el respondedor (el concentrador serie SRX).
1288
SEE ALSO
Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y

los selectores de tráfico
in this section
Aplicables | 1288
Automática | 1292
Comproba | 1313
Georedundancia es la implementación de varios sitios geográficamente distantes para que el tráfico

pueda seguir fluyendo a través de una red de proveedores incluso si se produce una interrupción del
suministro eléctrico, un desastre natural o cualquier otro evento catastrófico que afecte a un sitio. En un
red de proveedor móvil, se pueden conectar varios dispositivos del nodo B (eNodeB) que se hayan
evolucionado a la red central a través de puertas de enlace VPN georedundantes en dispositivos serie
SRX. Las rutas alternativas a los dispositivos eNodeB se distribuyen a la red central mediante un
protocolo de enrutamiento dinámico.
En este ejemplo, se configuran concentradores de AutoVPN con varios selectores de tráfico en serie SRX
dispositivos para garantizar que existen puertas de enlace de VPN IPsec georedundantes para los
dispositivos de eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar rutas
automáticamente hacia los dispositivos eNodeB en las tablas de encaminamiento de los concentradores.
Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.
Aplicables
• Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es
AutoVPN del concentrador A.
• Un dispositivo serie SRX configurado como concentrador AutoVPN B.
• Junos OS versión 12.3 X48-D10 o posterior.

1289
• dispositivos eNodeB que pueden establecer túneles VPN de IPsec con concentradores de AutoVPN.
los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con
concentradores AutoVPN.
• Certificados digitales inscritos en los concentradores y los dispositivos de eNodeB que permiten que
los dispositivos se autentiquen entre sí.
Antes de empezar:

• Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
En este ejemplo se utiliza el protocolo de enrutamiento dinámico BGP para anunciar rutas hacia los
dispositivos eNodeB a la red central.
in this section
Topología | 1292
En este ejemplo, dos concentradores de AutoVPN se configuran con varios selectores de tráfico en serie
SRX dispositivos para proporcionar puertas de enlace de VPN IPsec georedundantes a los dispositivos
de eNodeB. ARI inserta rutas automáticamente a los dispositivos eNodeB en las tablas de enrutamiento
de los concentradores. Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores AutoVPN y
eNodeB deben tener los mismos valores. Tabla 94 en la página 1289 muestra los valores utilizados en
este ejemplo:
Tabla 94: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes
, Valor
ICR propuesta:
1290
Tabla 94: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes (Continued)
, Valor
Algoritmo de autenticación sha-1
Directiva de ICR:
Manera comodín de nombre distintivo de DC =

Common_component
Tipo de usuario ICR ID. de ICR de grupo
Detección de pares de tráfico muerto sonda-inactivo-túnel
Identidad local nombre completo
Versi v2-only
Propuesta de IPsec:
Protocolo sensorial
1291
Tabla 94: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes (Continued)
, Valor
Directiva IPsec:
producción. Consulte Introducción a las políticas de seguridad. Para simplificar, la configuración en el
serie SRX dispositivos permite todo tipo de tráfico entrante; Esta configuración no es recomendable
para las implementaciones de producción.
1292
Topología
Figura 70: Puertas de enlace interredundantes IPSec VPN para dispositivos eNodeB
Automática
in this section
Configuración del concentrador A | 1292
Configurando el concentrador B | 1303
Configuración del eNodeB (configuración de ejemplo) | 1312
Configuración del concentrador A
1293

set security ike policy ph1_ike_policy proposals prop_ike
set security ike policy ph1_ike_policy certificate local-certificate HubA_certificate
set security ike gateway HUB_GW ike-policy ph1_ike_policy
set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component
set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel
set security ike gateway HUB_GW external-interface reth1
set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5
set security ipsec policy ph2_ipsec_policy proposals prop_ipsec
set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy
set protocols bgp group internal-peers type internal
1294
set protocols bgp group internal-peers local-address 172.168.2.1

set protocols bgp group internal-peers export inject_ts1_routes
set protocols bgp group internal-peers export inject_up_routes
set protocols bgp group internal-peers neighbor 172.168.2.4
set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static
set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 30.1.2.0/24 orlonger
set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self
set policy-options policy-statement inject_ts1_routes term cp_allow then accept
set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static
set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 50.1.1.0/24 orlonger
set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 50.1.2.0/24
orlonger
set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self
set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept
set policy-options policy-statement inject_up_routes term up_allow from protocol static
set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.168.1.0/24
orlonger
orlonger
set policy-options policy-statement inject_up_routes term up_allow then next-hop self
set policy-options policy-statement inject_up_routes term up_allow then accept
set security pki ca-profile csa ca-identity csa
set security pki ca-profile csa revocation-check disable
1295
Para configurar el concentrador A:
[edit interfaces]

[edit security ike policy ph1_ike_policy]
user@host# set certificate local-certificate HubA_certificate
user@host# set ike-policy ph1_ike_policy
user@host# set dynamic distinguished-name wildcard DC=Common_component
user@host# set dead-peer-detection probe-idle-tunnel
1296

[edit security ipsec policy ph2_ipsec_policy]
[edit security ipsec vpn HUB_VPN]
user@host# set ike ipsec-policy ph2_ipsec_policy
4. Configure el protocolo de enrutamiento BGP.
[edit protocols bgp group internal-peers]

user@host# set type internal
user@host# set export inject_ts1_routes
user@host# set export inject_up_routes
user@host# set neighbor 172.168.2.4
[edit policy-options policy-statement inject_ts1_routes]

user@host# set term cp_allow from protocol static
user@host# set term cp_allow from route-filter 30.1.2.0/24 orlonger
user@host# set term cp_allow then next-hop self
user@host# set term cp_allow then accept
user@host# set term mp_allow from protocol static
user@host# set term mp_allow from route-filter 50.1.1.0/24 orlonger
1297

user@host# set term mp_allow then next-hop self
user@host# set term mp_allow then accept
[edit policy-options policy-statement inject_up_routes]
user@host# set term up_allow from protocol static
user@host# set term up_allow from route-filter 172.168.1.0/24 orlonger
user@host# set term up_allow then next-hop self
user@host# set term up_allow then accept
[edit security pki]

user@host# set ca-profile csa ca-identity csa
user@host# set ca-profile csa revocation-check disable

Resultados
Desde el modo de configuración, especifique los show interfaces show security ikeshow security
ipseccomandos,, show protocols bgpshow policy-optionsshow security pkishow security zones,, y y
1298
show security policies , para confirmar la configuración. Si el resultado no muestra la configuración

deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
ge-0/0/2 {
gigether-options {
}
}
ge-0/0/3 {
gigether-options {
}
}
ge-8/0/2 {
gigether-options {
}
}
ge-8/0/3 {
gigether-options {
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.100/24;
}
}
redundancy-group 1;
}
}
reth0 {
redundancy-group 1;
}
unit 0 {
family inet {
address 172.168.2.1/16;
1299
}
}
}
reth1 {
redundancy-group 1;
}
unit 0 {
family inet {
address 2.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
proposal prop_ike {
dh-group group5;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubA_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
wildcard DC=Common_component;
}
}
probe-idle-tunnel;
}
1300
version v2-only;
}
[edit]
protocol esp;
}
policy ph2_ipsec_policy {
keys group5;
}
}
vpn HUB_VPN {
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.168.2.4;
}
[edit]
policy-statement inject_ts1_routes {
1301
term cp_allow {
from {
protocol static;
route-filter 30.1.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
term mp_allow {
from {
protocol static;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
}
then {
next-hop self;
accept;
}
}
}
[edit]
ca-profile csa {
ca-identity csa;
revocation-check {
1302
disable;
}
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
default-policy {
permit-all;
}

1303
Configurando el concentrador B

set security ike policy ph1_ike_policy proposals prop_ike
set security ike policy ph1_ike_policy certificate local-certificate HubB_certificate
set security ike gateway HUB_GW ike-policy ph1_ike_policy
set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component
set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel
set security ike gateway HUB_GW external-interface ge-0/0/1
set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5
set security ipsec policy ph2_ipsec_policy proposals prop_ipsec
set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy
set protocols bgp group internal-peers type internal
set protocols bgp group internal-peers local-address 172.169.1.1
1304

set protocols bgp group internal-peers export inject_up_routes
set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static
set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self
set policy-options policy-statement inject_ts1_routes term cp_allow then accept
set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static
set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 50.1.1.0/24 orlonger
set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 50.1.2.0/24
orlonger
set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self
set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept
set policy-options policy-statement inject_up_routes term up_allow from protocol static
orlonger
orlonger
set policy-options policy-statement inject_up_routes term up_allow then next-hop self
set policy-options policy-statement inject_up_routes term up_allow then accept
set security pki ca-profile csa ca-identity csa
set security pki ca-profile csa revocation-check disable
Para configurar el concentrador B:

1305
[edit interfaces]

[edit security ike policy ph1_ike_policy]
user@host# set certificate local-certificate HubB_certificate
user@host# set ike-policy ph1_ike_policy
user@host# set dynamic distinguished-name wildcard DC=Common_component
user@host# set dead-peer-detection probe-idle-tunnel

[edit security ipsec policy ph2_ipsec_policy]
[edit security ipsec vpn HUB_VPN]
1306
user@host# set ike ipsec-policy ph2_ipsec_policy

4. Configure el protocolo de enrutamiento BGP.
[edit protocols bgp group internal-peers]

user@host# set type internal
user@host# set export inject_up_routes
user@host# set neighbor 172.169.1.2

user@host# set term cp_allow from protocol static
user@host# set term cp_allow then next-hop self
user@host# set term cp_allow then accept
user@host# set term mp_allow from protocol static
user@host# set term mp_allow then next-hop self
user@host# set term mp_allow then accept
[edit policy-options policy-statement inject_up_routes]
user@host# set term up_allow from protocol static
user@host# set term up_allow then next-hop self
user@host# set term up_allow then accept
1307
[edit security pki]

user@host# set ca-profile csa ca-identity csa
user@host# set ca-profile csa revocation-check disable

Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces show security ike,
show security ipsecescriba show protocols bgplos show security pkicomandos show security zones,,
este ejemplo para corregir la configuración.
[edit]
ge-0/0/1 {
unit 0 {
family inet {
address 4.4.4.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
1308
family inet {
address 172.169.1.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.101/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
proposal prop_ike {
dh-group group5;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubB_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
wildcard DC=Common_component;
}
}
probe-idle-tunnel;
}
1309
version v2-only;
}
[edit]
protocol esp;
}
policy ph2_ipsec_policy {
keys group5;
}
}
vpn HUB_VPN {
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.169.1.2;
}
term cp_allow {
from {
1310
protocol static;
}
then {
next-hop self;
accept;
}
}
}
term mp_allow {
from {
protocol static;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
}
then {
next-hop self;
accept;
}
}
}
[edit]
ca-profile csa {
ca-identity csa;
revocation-check {
disable;
}
1311
}
[edit]
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/2.0;
}
}
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
lo0.0;
}
}
[edit]
default-policy {
permit-all;
}

1312
Configuración del eNodeB (configuración de ejemplo)
1. La configuración eNodeB de este ejemplo se proporciona como referencia. La información detallada

de la configuración eNodeB queda fuera del alcance de este documento. La configuración de eNodeB
debe incluir la siguiente información:
• Certificado local (X. 509v3) e información de identidad del ICR
• serie SRX ICR información de identidad y dirección IP pública
• Propuestas de las fases 1 y 2 que coincidan con las configuraciones de los concentradores de
serie SRX
Resultados
Los dispositivos eNodeB de este ejemplo utilizan strongSwan software de código abierto para
conexiones VPN basadas en IPsec:
config setup
plutostart=yes
plutodebug=all
charondebug="ike 4, cfg 4, chd 4, enc 1"
charonstart=yes #ikev2 deamon"
nat_traversal=yes #<======= need to enable even no nat_t
conn %default
ikelifetime=60m
keylife=45m
rekeymargin=2m
keyingtries=4
mobike=no
conn Hub_A
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes256-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # left subnet
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City,
1313
ST=CA, C=US " # self id

right=2.2.2.1 # peer if
rightsubnet=80.1.1.0/24 # peer net for proxy id
rightid="DC=Domain_component, CN=HubA_certificate, OU=Dept, O=Company,
L=City, ST=CA, C=US " # peer id
auto=add
leftfirewall=yes
dpdaction=restart
dpddelay=10
dpdtimeout=120
rekeyfuzz=10%
reauth=no
conn Hub_B
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes192-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # self net for proxy id
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City,
ST=CA, C=US " # self id
right=4.4.4.1 # peer if
rightsubnet=80.1.1.0/24 # peer net for proxy id
rightid="DC=Domain_component, CN=HubB_certificate, OU=Dept, O=Company,
L=City, ST=CA, C=US " # peer id
auto=add
leftfirewall=yes
dpdaction=restart
dpddelay=10
dpdtimeout=120
rekeyfuzz=10%
reauth=no
Comproba
in this section
Verificación de los túneles en los concentradores de AutoVPN | 1314

1314
Verificación de rutas ARI | 1316
Verificación de los túneles en los concentradores de AutoVPN
Purpose
Compruebe que se han establecido los túneles entre el concentrador AutoVPN y los dispositivos
eNodeB.
Intervención
security-associations comandos y en el concentrador.

node0:
--------------------------------------------------------------------------
Address
276505706 UP 16d6e53f0866b5cc ccd8ca944da7b63e IKEv2
5.5.5.1
1350247532 UP d5f0cb3a3b18cb92 91269f05527217a0 IKEv2
1.1.1.1

node0:
--------------------------------------------------------------------------
<77594626 ESP:aes-cbc-192/sha1 a82bbc3 3600/ 64 - root 500 1.1.1.1
>77594626 ESP:aes-cbc-192/sha1 c930a858 3600/ 64 - root 500 1.1.1.1
<69206018 ESP:aes-cbc-192/sha1 2b437fc 3600/ 64 - root 500 5.5.5.1
>69206018 ESP:aes-cbc-192/sha1 c6e02755 3600/ 64 - root 500 5.5.5.1
1315
Efectos
concentrador muestra dos túneles activos, uno a cada dispositivo de eNodeB.
configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los
dispositivos eNodeB.
configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos concentrador
y eNodeB.
Purpose
Compruebe los selectores de tráfico.
Intervención
En modo operativo, escriba el show security ipsec traffic-selector interface-name st0.1 comando.

node0:
--------------------------------------------------------------------------
Tunnel-id IKE-ID
80.1.1.0-80.1.1.255 30.1.1.0-30.1.1.255 st0.1
69206018 DC=Common_component, CN=enodebA, OU=Dept, O=Company, L=City, ST=CA,
C=US
80.1.1.0-80.1.1.255 50.1.1.0-50.1.1.255 st0.1
77594626 DC=Common_component, CN=enodebB, OU=Dept, O=Company, L=City, ST=CA,
C=US
1316
Efectos
si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico
que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el
iniciador y el respondedor (el concentrador serie SRX).
Verificación de rutas ARI
Purpose
Compruebe que las rutas ARI se agregan a la tabla de enrutamiento.
Intervención

1.1.0.0/16 *[Static/5] 02:57:57

> to 2.2.2.253 via reth1.0
2.2.2.0/24 *[Direct/0] 02:58:43
> via reth1.0
2.2.2.1/32 *[Local/0] 02:59:25
Local via reth1.0
5.5.0.0/16 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
10.0.0.0/8 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 21:54:52
> via fxp0.0
10.157.75.117/32 *[Local/0] 21:54:52
Local via fxp0.0
10.254.75.117/32 *[Direct/0] 21:54:52
> via lo0.0
30.1.1.0/24 *[Static/5] 02:28:10 [ARI route added based on TSi]
> via st0.1
50.1.1.0/24 *[Static/5] 02:28:26
> via st0.1
1317
66.129.230.0/24 *[Static/5] 21:54:52

> to 10.157.64.1 via fxp0.0
66.129.236.0/24 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
80.0.0.0/8 *[Direct/0] 02:57:57
> via reth0.0
80.1.1.1/32 *[Local/0] 02:57:57
Local via reth0.0
100.100.1.0/24 *[Direct/0] 02:57:57
> via lo0.0
100.100.1.100/32 *[Local/0] 02:57:57
Local via lo0.0
102.100.1.0/24 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
104.100.1.0/24 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
172.16.0.0/12 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
207.17.137.227/32 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
Efectos
La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y
los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota
configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota
configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está
enlazada a la VPN.
Las rutas estáticas de los eNodeB destinos 30.1.1.0/24 y 50.1.1.0/24 se agregan a la tabla de
enrutamiento del concentrador serie SRX. Estas rutas se pueden alcanzar a través de la interfaz St 0.1.
SEE ALSO

1318
release-history

in release-
history
17.4R1 A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.
17.4R1 A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel
seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para
los interlocutores ICR.
15.1X49-D120 A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-
connection de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía []
para conservar una sesión de túnel existente y rechazar las solicitudes de negociación para un
nuevo túnel con el mismo ID ICR.

13
VPN de acceso remoto
VPN de acceso remoto con cliente de acceso remoto NCP exclusivo | 1320
VPN dinámicas con clientes de pulsos seguros | 1347
Juniper Secure Connect | 1406

1320
VPN de acceso remoto con cliente de acceso remoto

NCP exclusivo
in this section
Descripción de VPN de IPsec con cliente de acceso remoto NCP exclusivo | 1320
Ejemplo Configuración del dispositivo de serie SRX para clientes de acceso remoto NCP y exclusivos | 1329
El cliente de acceso remoto NCP exclusivo es parte de la solución de acceso remoto NCP en modo
exclusivo para las puertas de enlace de Juniper serie SRX. El cliente VPN solo está disponible con la
administración de acceso remoto NCP exclusiva. Utilice el cliente exclusivo NCP para establecer
vínculos de datos seguros basados en IPsec desde cualquier ubicación cuando se conecte con puertas de
enlace de serie SRX.
Descripción de VPN de IPsec con cliente de acceso remoto NCP

exclusivo
in this section
Cliente de acceso remoto NCP de modo exclusivo | 1321
Licencias | 1321
AutoVPN | 1321
Autenticación de cliente de acceso remoto NCP exclusivo | 1322
Atributo de cliente de acceso remoto y asignación de direcciones IP | 1323
ADVERTENCIAS | 1325
1321
En esta sección se describe la compatibilidad con VPN de IPsec en dispositivos serie SRX para software
cliente NCP de acceso remoto exclusivo.
Cliente de acceso remoto NCP de modo exclusivo
Los usuarios que ejecuten software cliente de acceso remoto NCP exclusivo en dispositivos con
Windows y MAC OS pueden establecer conexiones IKEv1 o VPN de IPsec para IKEv2 con dispositivos
de serie SRX. El software de cliente de acceso remoto exclusivo de NCP se puede descargar desde los
Productos NCP.
Licencias
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Para
otros usuarios, es necesario disponer de una licencia. Póngase en contacto con Juniper Networks
representante de su red para obtener todas las licencias de acceso remoto.
La licencia se basa en el número de usuarios. Por ejemplo, si el número de licencias instaladas es para
100 usuarios, entonces 100 usuarios distintos pueden establecer conexiones VPN. Debido a los
selectores de tráfico, cada usuario puede establecer varios túneles. Cuando un usuario se desconecta, su
licencia se libera un minuto después de que el ICR y las asociaciones de seguridad (SA) de IPsec expiren.
La aplicación de licencias solo se comprueba después de que se haya completado la negociación de la

fase 2. Esto significa que un usuario de acceso remoto puede conectarse al dispositivo serie SRX y se
pueden establecer SA ICR e IPsec, pero si el usuario supera el límite de usuarios con licencia, el usuario
quedará desconectado.
Las licencias de las instancias de vSRX se basan en la suscripción: los usuarios de acceso remoto
conectados no se desconectarán inmediatamente cuando expire una licencia instalada. Cuando un
usuario de acceso remoto se desconecta, y el ICR correspondiente y las SA de IPsec caducan, la
posterior conexión del usuario depende de si la licencia instalada actualmente ha caducado o no.
AutoVPN
El cliente de acceso remoto NCP y exclusivo es compatible con AutoVPN en el modo de interfaz de
túnel seguro punto a punto. AutoVPN sólo se admite en VPN de IPsec basadas en rutas en el dispositivo
serie SRX.
Los selectores de tráfico configurados en el dispositivo de serie SRX y el cliente de NCP determinan el
tráfico de cliente que se envía a través del túnel VPN de IPsec. El tráfico entrante y saliente del túnel
solo se permite para los selectores de tráfico negociados. Si la búsqueda de ruta para la dirección de
destino de un paquete apunta a una interfaz st0 (en la cual están configurados los selectores de tráfico) y
1322
el selector de tráfico del paquete no coincide con el selector de tráfico negociado, el paquete se
descarta. Con el cliente de acceso remoto exclusivo NCP se admiten las SA de IPsec de varias fases y la
inserción de ruta automática (ARI). No se admite el selector de tráfico coincidencia flexible con puerto y
protocolos. Para esta característica, la dirección remota del selector de tráfico debe ser 0.0.0.0/0.
En muchos casos, todo el tráfico procedente de los clientes de acceso remoto se envía a través de
túneles VPN. La dirección local configurada en el selector de tráfico puede ser 0.0.0.0/0 o una dirección
específica, como se explica en las secciones siguientes.
Para las conexiones cliente de acceso remoto NCP exclusivas se admite la configuración de un selector
de tráfico en el dispositivo de serie SRX con dirección remota 0.0.0.0/0. Una vez completada la
negociación VPN, se espera que la dirección remota del selector de tráfico sea una sola dirección IP (la
dirección del cliente de acceso remoto asignada por un servidor RADIUS o el conjunto de direcciones
locales).
Túnel dividido
La tunelización dividida utiliza un prefijo más corto que 0.0.0.0/0 como dirección del recurso protegido
para la dirección local en un selector de tráfico configurado en el dispositivo serie SRX. Se puede
configurar el correspondiente selector de tráfico en el cliente de acceso remoto. El dispositivo serie SRX
permite el tráfico en el túnel VPN que coincide con los resultados de la coincidencia flexible de ambos
selectores de tráfico. Si el selector de tráfico configurado en el cliente de acceso remoto no puede hacer
coincidir con el selector de tráfico configurado en el dispositivo de serie SRX, la negociación de túnel
fracasará. Para IKEv1, las direcciones locales y remotas de la configuración del selector de tráfico del
cliente deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector
de tráfico configurado en el dispositivo serie SRX.
Varias subredes
En el dispositivo de serie SRX, puede configurarse un único selector de tráfico para cada subred
protegida. Las subredes no se pueden superponer. En el cliente de acceso remoto NCP en modo
exclusivo, debe configurarse un selector de tráfico para cada selector de tráfico configurado en el
dispositivo de serie SRX. Las direcciones que se configuran en la ventana de túnel dividido del cliente de
acceso remoto NCP exclusivo se utilizan como el selector de tráfico remoto del cliente; Estas direcciones
deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector de
tráfico configurado en el dispositivo serie SRX. Se crea un par de SA IPsec para cada selector de tráfico.
Autenticación de cliente de acceso remoto NCP exclusivo
Existen dos formas de autenticación extendida del cliente de acceso remoto NCP exclusivo en función
de la versión ICR del cliente:
1323
• Servidor NCP IKEv1 autenticación exclusiva de cliente de acceso remoto es compatible con XAuth
mediante el uso de RADIUS Server o un perfil de acceso local. En el caso de las conexiones de acceso
remoto IKEv1, las claves previamente compartidas se utilizan para la autenticación ICR la fase 1.
Autenticación extendida (XAuth) se utiliza para autenticar el usuario de acceso remoto. El dispositivo
serie SRX debe configurarse para ICR el modo de borrado intenso.
Para el cliente de acceso remoto exclusivo NCP IKEv1, se admite la autenticación de clave
previamente compartida con AutoVPN. Para las implementaciones AutoVPN que no utilizan
autenticación basada en usuario, solo se admite la autenticación de certificados.
• La autenticación de cliente de acceso remoto exclusivo NCP IKEv2 requiere un servidor RADIUS que
admita EAP. El dispositivo serie SRX actúa como autenticador de paso a través para retransmitir
mensajes EAP entre el cliente de acceso remoto NCP exclusivo y el servidor RADIUS. Se admiten los
siguientes tipos de autenticación de EAP:
• EAP-MSCHAPv2
El servidor de RADIUS debe generar una clave de sesión principal para EAP-MSCHAPv2.
• EAP-MD5
• EAP-TLS
Para el cliente NCP de acceso remoto exclusivo de IKEv2, se utiliza un certificado digital para
autenticar el dispositivo serie SRX. Para autenticar el cliente de acceso remoto se utiliza el protocolo
de autenticación extensible (EAP).
Atributo de cliente de acceso remoto y asignación de direcciones IP
Asignación de atributos
Para clientes de acceso remoto IKEv1 o IKEv2, los atributos se pueden asignar a través de un servidor
RADIUS o a través de la configuración de los atributos de red locales. Si se utiliza un servidor RADIUS
para la autenticación pero no se asigna ningún atributo de red, los atributos de red (incluidas las
direcciones IP) pueden configurarse localmente si es necesario.
Los siguientes atributos de cliente se basan en RFC 2865, Identificador de redes privadas virtuales y se
admiten con cliente de acceso remoto exclusivo IKEv1 e IKEv2 NCP:
• Dirección IP entramada
• Máscara de la m de IP con trama
Se admiten los siguientes atributos específicos de proveedor de Juniper (VSA) con IKEv1 y el cliente de
acceso remoto exclusivo NCP de IKEv2:
• Juniper-principal-DNS
1324
• Juniper-principal-WINS
• DNS Juniper-secundario (solo disponible con IKEv2)
• Juniper-secundaria-WINS (solo disponible con IKEv2)
No se admite VSA Juniper-local-Group-Name.
Asignación de direcciones IP
Si se asigna una dirección IP desde el conjunto de direcciones locales y por un servidor RADIUS,
prevalecerá la dirección IP asignada por el servidor RADIUS. Si el servidor RADIUS no devuelve una
dirección IP y hay un grupo de direcciones locales configurado por el usuario, se asigna una dirección IP
al cliente remoto desde el grupo local.
El número de direcciones del grupo de direcciones locales o RADIUS conjunto de direcciones de

servidor debe ser mayor que el número de usuarios clientes de acceso remoto. Esto se debe a que
cuando un usuario se desconecta, puede tardar hasta un minuto en cerrarse la sesión del usuario.
Cuando se asigna una dirección IP desde un servidor de RADIUS externo o un conjunto de direcciones
locales, se pasa una dirección IP con una máscara de 32 bits al cliente de acceso remoto NCP exclusivo.
Después de establecer el túnel, la inserción automática de ruta (ARI) inserta automáticamente una ruta
estática a la dirección IP del cliente remoto para que el tráfico desde detrás del dispositivo de la serie
SRX se pueda enviar al túnel VPN a la dirección IP del cliente.
Es posible que los selectores de tráfico configurados no cubran las direcciones IP asignadas por el
servidor RADIUS o un conjunto de direcciones locales. En este caso, es posible que un cliente remoto no
pueda alcanzar una dirección IP para otro cliente remoto de la subred a través de un túnel VPN. Un
selector de tráfico debe configurarse de forma explícita que coincida con la dirección IP asignada al otro
cliente remoto por el servidor RADIUS o el conjunto de direcciones locales.
Las siguientes características son compatibles con el dispositivo de serie SRX con el cliente de acceso
remoto exclusivo NCP:
• Inicio del tráfico desde el dispositivo de serie SRX, así como el cliente de acceso remoto exclusivo
NCP
• Clientes de acceso remoto que se encuentran detrás de un dispositivo TDR (TDR-T)
• Detección de pares de tráfico muerto
• Configuración del clúster del chasis del dispositivo serie SRX

1325
ADVERTENCIAS
Las siguientes características no son compatibles con el dispositivo de serie SRX con el cliente de acceso
remoto exclusivo NCP:
• Protocolos de enrutamiento
• AutoVPN con la interfaz st0 en modo punto a multipunto
• VPN de detección automática (ADVPN)
• EAP IKEv2 con claves previamente compartidas
El cliente de acceso remoto exclusivo NCP IKEv2 debe usar certificados para autenticar el dispositivo
serie SRX.
• Tráfico IPv6
• Enlace de túnel de próximo salto (NHTB), tanto automático como manual
• Varios selectores de tráfico en la negociación
• Los selectores de tráfico recibidos del cliente de acceso remoto exclusivo NCP en el mismo enrutador
virtual no deben contener direcciones IP superpuestas
SEE ALSO
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto

NCP exclusivo
in this section
Ventajas de las VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1326
Cliente de acceso remoto NCP de modo exclusivo | 1326

1326
Licencias | 1327
Funcionamiento | 1327
ADVERTENCIAS | 1328
En muchos entornos de zona activa pública, el tráfico UDP se bloquea mientras que las conexiones TCP
a través del puerto 443 se permiten normalmente. Para estos entornos, serie SRX dispositivos pueden
admitir VPN de acceso remoto mediante la encapsulación de mensajes IPsec en una conexión TCP. Esta
implementación es compatible con el cliente de acceso remoto NCP de otro fabricante. En esta sección
se describe la compatibilidad de clientes de acceso remoto NCP exclusivo en dispositivos serie SRX.
Ventajas de las VPN de acceso remoto SSL con cliente de acceso remoto NCP
exclusivo
• El acceso remoto seguro se garantiza incluso cuando un dispositivo entre el cliente y la puerta de
enlace se bloquea Intercambio de claves por red (ICR) (puerto UDP 500).
• Los usuarios conservan un acceso seguro a las aplicaciones y recursos empresariales en todos los
entornos de trabajo.
Cliente de acceso remoto NCP de modo exclusivo
Los usuarios que ejecutan software cliente NCP de acceso remoto exclusivo en Windows, macOS, Apple
iOS y dispositivos Android pueden establecer conexiones TCP a través del puerto 443 con dispositivos
serie SRX para intercambiar el tráfico IPsec encapsulado.
El cliente de acceso remoto NCP en modo exclusivo se ejecuta en cualquiera de los dos modos
siguientes:
• El buscador de rutas NCP v1, que admite mensajes IPsec encapsulados en una conexión TCP a través
del puerto 443
• El buscador de rutas NCP V2, que admite mensajes IPsec con una conexión SSL/TLS (NCP path
Finder V2 utiliza TLSv 1.0).
El protocolo de enlace SSL correcto se realiza con certificados RSA. Los mensajes IPsec se cifran con las
claves intercambiadas durante el protocolo de enlace SSL. Esto da como resultado un doble cifrado, una
para el túnel SSL y otra para el túnel IPsec.
1327
Para la compatibilidad con el buscador de rutas NCP V2, los certificados de RSA deben cargarse en el
dispositivo de serie SRX y un perfil de terminación SSL que haga referencia al certificado que debe
configurarse.
El cliente de acceso remoto NCP en modo exclusivo proporciona un mecanismo de reserva en caso de
que se produzcan errores en intentos de conexión IPsec regulares debido a que los servidores proxy o
firewall bloquean el tráfico IPsec. El modo de buscador de rutas de NCP V2 es una mejora que ofrece
una comunicación TLS completa, que no quedará bloqueada por servidores de seguridad o proxies de
nivel de aplicación muy restrictivos. Si no se puede establecer una conexión IPsec normal, el cliente de
acceso remoto NCP exclusivo cambiará automáticamente al modo de buscador de rutas de NCP v1. Si el
cliente sigue sin poder conectarse a la puerta de enlace, NCP habilitará el modo de buscador de rutas de
NCP V2 mediante la negociación TLS completa.
Licencias
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una
licencia debe comprarse e instalarse para usuarios simultáneos adicionales.
Funcionamiento
En un dispositivo serie SRX, un Perfil de encapsulación TCP define la operación de encapsulado de datos
para los clientes de acceso remoto. Se pueden configurar varios perfiles de encapsulación TCP para que
controlen distintos conjuntos de clientes. Para cada perfil, se configura la siguiente información:
• Nombre del perfil.
• Registro opcional de conexiones de clientes de acceso remoto.
• Opciones de seguimiento.
• Perfil de terminación SSL para conexiones SSL.
Las conexiones TCP de cliente de acceso remoto exclusivo NCP se aceptan en el puerto 443 del
dispositivo serie SRX.
El perfil de encapsulación TCP está configurado con tcp-encap la instrucción en eledit securitynivel de
jerarquía []. A continuación, el perfil de encapsulación se tcp-encap-profile especifica con la
instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía []. Incluye el perfil de
encapsulación TCP en la configuración de puerta de enlace de ICR. Por ejemplo:
user@host# set security tcp-encap profile ncp

user@host# set security tcp-encap profile ncp ssl-profile RemoteAccess
user@host# set security ike gateway RA tcp-encap-profile ncp
user@host# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic
1328
system-services ike
user@host# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic
system-services tcp-encap
Las siguientes características son compatibles con un dispositivo de serie SRX con un cliente de acceso
remoto NCP exclusivo:
• AutoVPN en modo punto a punto con túneles IPsec basados en los selectores de tráfico
• Inicio del tráfico desde dispositivos detrás de la puerta de enlace en un dispositivo serie SRX
• Detección de pares de tráfico muerto
• Configuración del clúster del chasis de un dispositivo serie SRX
ADVERTENCIAS
Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en
dispositivos serie SRX. El puerto de administración de J-web Device Management debe cambiarse del
puerto predeterminado 443, TCP-encap debe estar configurado para los servicios del sistema de entrada
de host. Utilice el set security zones security-zone zone host-inbound-traffic system-services tcp-encap
comando. (También debe configurarse el ICR para servicios del sistema de entrada de set security zones
security-zone zone host-inbound-traffic system-services ike host mediante el comando.)
Es posible que los túneles que utilizan conexiones TCP no sobrevivan la emisión si el tiempo de espera
de la detección de pares inactivos (DPD) no es suficientemente grande. Para sobrevivir a la emisión,
aumente el tiempo de espera DPD a un valor superior a 120 segundos. El tiempo de espera DPD es un
producto del intervalo DPD y del umbral configurados. Por ejemplo, si el intervalo DPD es 32 y el umbral
es 4, el tiempo de espera es 128.
La configuración predeterminada de DPD en el cliente de acceso remoto NCP en modo exclusivo

especifica el envío de mensajes a intervalos de 20 segundos durante un máximo de ocho veces. Cuando
se produce una conmutación por error del clúster del chasis, los dispositivos serie SRX podrían no
recuperarse dentro de los parámetros especificados por la configuración DPD y el túnel deja de
funcionar. En este caso, aumente el intervalo DPD en el cliente de acceso remoto exclusivo NCP a 60
segundos.
TDR-T se deshabilita durante la negociación con clientes en los que la configuración usa TCP-encap,
puesto que TDR-T no es necesario para estos túneles.
Las siguientes características no se admiten en un dispositivo serie SRX con clientes de acceso remoto
NCP exclusivos:
1329
• Protocolos de enrutamiento
• AutoVPN con la interfaz st0 en modo punto a multipunto
• VPN de detección automática (ADVPN)
• Tráfico IPv6
• Enlace de túnel de próximo salto (NHTB), tanto automático como manual
SEE ALSO
TCP-encap | 1713
Ejemplo Configuración del dispositivo de serie SRX para clientes de

acceso remoto NCP y exclusivos
in this section
Aplicables | 1329
Automática | 1333
Comproba | 1344
En este ejemplo se muestra cómo configurar un dispositivo serie SRX o una instancia de vSRX para
admitir conexiones VPN de IPsec IKEv2 desde clientes de acceso remoto exclusivo NCP. La
configuración también admite el tráfico encapsulado TCP de clientes de acceso remoto exclusivos NCP.
Aplicables
• Dispositivo serie SRX compatible o instancia vSRX que se ejecuta Junos OS Release 15.1-D80 o
posterior.
1330
• El software cliente NCP de acceso remoto exclusivo debe descargarse en los dispositivos de usuario
compatibles.
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una
licencia debe comprarse e instalarse para usuarios adicionales. Comuníquese con su Juniper Networks
representante para obtener todas las licencias de acceso remoto
Antes de empezar:
• En el dispositivo serie SRX:
• Configure las interfaces de red.
Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en
dispositivos serie SRX. La administración de dispositivos en las conexiones TCP, como J-Web, puede
usar el puerto 443 en dispositivos serie SRX. El servicio del sistema de encapsulación TCP debe
configurarse para el tráfico de entrada de host en la zona en la que se reciben conexiones de cliente
de acceso remoto exclusivo NCP (la zona de no confianza en este ejemplo). Si J-Web se utiliza en el
puerto 443, el servicio de sistema de administración de Web debe configurarse para el tráfico de
entrada de host en la zona requerida.
• Configure el cliente de acceso remoto NCP exclusivo. Consulte la documentación del cliente de
acceso remoto NCP exclusivo para obtener información sobre cómo hacerlo.
La configuración del perfil de cliente NCP de acceso remoto único debe coincidir con la configuración
VPN del dispositivo de serie SRX.
• En este ejemplo, un servidor de RADIUS externo (como un servidor de Active Directory) autentica a
los usuarios del cliente de acceso remoto IKEv2 exclusivo mediante el protocolo EAP-TLS. En este
ejemplo, el servidor RADIUS está configurado con la dirección IP 192.0.2.12. Consulte la
documentación del servidor de RADIUS para obtener información sobre cómo configurar la
autenticación de usuario.
in this section
Topología | 1332
En este ejemplo, los usuarios del cliente de acceso remoto IKEv2 exclusivo se autentican con un servidor
de RADIUS externo mediante EAP-TLS. A un cliente autenticado se le asigna una dirección IP y un
servidor DNS principal de un conjunto de direcciones locales configurado en el dispositivo de serie SRX.
1331
El selector de tráfico se configura con 0.0.0.0/0 para las direcciones locales y remotas, lo que significa
que se permite cualquier tráfico en el túnel.
La encapsulación TCP y los ICR servicios del sistema de entrada de host se han configurado en la zona
de seguridad de no confianza. Si J-Web se utiliza en el puerto 443, también debe configurarse el servicio
de sistema de entrada de host HTTPS.
En este ejemplo, las políticas de seguridad permiten todo el tráfico. Deben configurarse políticas de
seguridad más restrictivas para los entornos de producción.
Tabla 95 en la página 1331muestra los valores ICR e IPSec configurados en el dispositivo serie SRX para
admitir conexiones de cliente de acceso remoto NCP exclusivo en este ejemplo.
Tabla 95: Opciones de ICR e IPSec en el dispositivo serie SRX para conexiones cliente de acceso
remoto NCP exclusivas
, Valor
ICR propuesta:
Algoritmo de cifrado aes-256-gcm
Directiva de ICR:
Manera usuario a nombre de host
Versi v2-only
1332
Tabla 95: Opciones de ICR e IPSec en el dispositivo serie SRX para conexiones cliente de acceso
remoto NCP exclusivas (Continued)
, Valor
Propuesta de IPsec:
Protocolo sensorial
Algoritmo de cifrado aes-256-gcm
Directiva IPsec:
Topología
Figura 71 en la página 1332muestra las conexiones de red en este ejemplo.
Figura 71: Conexión de cliente remoto NCP exclusivo a la puerta de enlace VPN de serie SRX
1333
Automática
in this section
Inscribir certificados en el dispositivo serie SRX | 1333
Configurar el dispositivo serie SRX para clientes remotos | 1334
Inscribir certificados en el dispositivo serie SRX
En este ejemplo, el primer paso es inscribir un certificado de una entidad de certificación (CA) y un
certificado local en el dispositivo serie SRX. El certificado local se utiliza para autenticar el dispositivo de
serie SRX a los clientes remotos que utilizan una entidad emisora de certificados de Microsoft. De lo
contrario, la dirección URL siguiente será diferente. Tenga en cuenta que el ejemplo siguiente requiere
que el servidor de la entidad emisora de certificados admita SCEP.
La configuración del perfil de la entidad emisora depende del servidor de la entidad emisora de
certificados utilizado. En este ejemplo, la CRL se utiliza para comprobar la revocación de certificados.
Utilice las direcciones URL de inscripción y CRL adecuadas para su entorno.
[edit]
user@host# set security pki ca-profile CA_Server ca-identity CA_Server
user@host# set security pki ca-profile CA_Server enrollment url http://192.0.2.12/certsrv/mscep/
mscep.dll
user@host# set security pki ca-profile CA_Server revocation-check crl url http://192.0.2.12/crl
user@host$ commit
Para poder continuar, debe confirmarse la configuración del perfil de la entidad emisora.
user@host> request security pki ca-certificate enroll ca-profile CA_Server
Escriba yes en el indicador para cargar el AC certificado, si el valor es de confianza.

1334
3. Compruebe el certificado de la entidad emisora comprobando su estado de revocación.
user@host> request security pki ca-certificate verify ca-profile CA_Server
4. Generar un par de claves para el certificado local.
user@host> request security pki generate-key-pair certificate-id RemoteAccessNCP size 2048 bytes
type rsa
5. Inscriba el certificado local. En este ejemplo, el certificado se inscribe con el protocolo de inscripción
de certificados simple (SCEP).
user@host> request security pki local-certificate enroll scep ca-profile CA_Server certificate-id
RemoteAccessNCP domain-name example.net subject
DC=example.net,L=Sunnyvale,O=example,OU=example challenge-password <password>
6. Compruebe el certificado local comprobando su estado de revocación.
user@host> request security pki local-certificate verify certificate-id RemoteAccessNCP
Configurar el dispositivo serie SRX para clientes remotos
set access address-assignment pool RA_LOCAL-IP-POOL family inet network 198.51.100.0/24

set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS low
198.51.100.10
set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS high
198.51.100.254
set access address-assignment pool RA_LOCAL-IP-POOL family inet xauth-attributes primary-dns
192.0.2.12/32
set access profile RA_EXTERNAL-AUTH authentication-order radius
1335
set access profile RA_EXTERNAL-AUTH address-assignment pool RA_LOCAL-IP-POOL

set access profile RA_EXTERNAL-AUTH radius-server 192.0.2.12 secret "$ABC123"
set security tcp-encap profile NCP
set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP
set security tcp-encap profile NCP ssl-profile RemoteAccess
set security ike proposal CERT-DH19-AES256GCM authentication-method rsa-signatures
set security ike proposal CERT-DH19-AES256GCM dh-group group19
set security ike proposal CERT-DH19-AES256GCM encryption-algorithm aes-256-gcm
set security ike policy RA_IKEv2_EXT-AUTH proposals CERT-DH19-AES256GCM
set security ike policy RA_IKEv2_EXT-AUTH certificate local-certificate RemoteAccessNCP
set security ike gateway RA_IKEv2_EXT-AUTH ike-policy RA_IKEv2_EXT-AUTH
set security ike gateway RA_IKEv2_EXT-AUTH dynamic user-at-hostname "remoteuser@example.net"
set security ike gateway RA_IKEv2_EXT-AUTH dynamic ike-user-type group-ike-id
set security ike gateway RA_IKEv2_EXT-AUTH external-interface ge-0/0/1.0
set security ike gateway RA_IKEv2_EXT-AUTH aaa access-profile RA_EXTERNAL-AUTH
set security ike gateway RA_IKEv2_EXT-AUTH version v2-only
set security ike gateway RA_IKEv2_EXT-AUTH tcp-encap-profile NCP
set security ipsec proposal ESP-AES256GCM protocol esp
set security ipsec proposal ESP-AES256GCM encryption-algorithm aes-256-gcm
set security ipsec policy RemoteAccess perfect-forward-secrecy keys group19
set security ipsec policy RemoteAccess proposals ESP-AES256GCM
set security ipsec vpn RA_IKEv2_EXT-AUTH bind-interface st0.0
set security ipsec vpn RA_IKEv2_EXT-AUTH ike gateway RA_IKEv2_EXT-AUTH
set security ipsec vpn RA_IKEv2_EXT-AUTH ike ipsec-policy RemoteAccess
set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT local-ip 0.0.0.0/0
set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT remote-ip 0.0.0.0/0
set security zones security-zone Untrust interfaces ge-0/0/1.0
set security zones security-zone Untrust host-inbound-traffic system-services ike
set security zones security-zone Untrust host-inbound-traffic system-services tcp-encap
set security zones security-zone Trust interfaces ge-0/0/2.0
set security address-book global address RemoteAccessNetworks 198.51.100.0/24
set security policies from-zone VPN to-zone Trust policy 1 match source-address RemoteAccessNetworks
set security policies from-zone VPN to-zone Trust policy 1 match destination-address any
set security policies from-zone VPN to-zone Trust policy 1 match application any
set security policies from-zone VPN to-zone Trust policy 1 then permit
set security policies from-zone VPN to-zone Trust policy 1 then log session-init
1336
set security policies from-zone VPN to-zone Trust policy 1 then log session-close
set security policies from-zone Trust to-zone VPN policy 1 match source-address any
set security policies from-zone Trust to-zone VPN policy 1 match destination-address
RemoteAccessNetworks
set security policies from-zone Trust to-zone VPN policy 1 match application any
set security policies from-zone Trust to-zone VPN policy 1 then permit
set security policies from-zone Trust to-zone VPN policy 1 then log session-init
set security policies from-zone Trust to-zone VPN policy 1 then log session-close
Para configurar el dispositivo serie SRX de manera que admita los clientes de acceso remoto NCP
exclusivo:
1. Configure el grupo de direcciones locales.
[edit access address-assignment pool RA_LOCAL-IP-POOL]

user@host# set family inet network 198.51.100.0/24
user@host# set family inet range REMOTEACCESS low 198.51.100.10
user@host# set family inet range REMOTEACCESS high 198.51.100.254
user@host# set family inet xauth-attributes primary-dns 192.0.2.12/32
2. Configure el perfil de acceso local.
[edit access profile RA_EXTERNAL-AUTH]

user@host# set authentication-order radius
user@host# set address-assignment pool RA_LOCAL-IP-POOL
user@host# set radius-server 192.0.2.12 secret “$ABC123”
3. Configure el perfil de encapsulación TCP.
[edit]
user@host# set security tcp-encap profile NCP
1337
4. Crear Perfil de terminación SSL.
[edit]
user@host# set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP
Cuando el perfil de finalización SSL no está configurado, el único modo de buscador de rutas NCP
V1 es compatible. La compatibilidad con NCP path Finder V2 requiere una terminación SSL perfil
configurado. El buscador de rutas NCP v1 se admite cuando el perfil de terminación SSL está
configurado.
5. Adjunte el perfil SSL al perfil TCP-encap.
[edit]
user@host# set security tcp-encap profile NCP ssl-profile RemoteAccess
[edit interfaces]
user@host# set interfaces st0 unit 0 family inet
7. Configure las ICR propuesta, Directiva y puertas de enlace.
[edit security ike proposal CERT-DH19-AES256GCM]

[edit security ike policy RA_IKEv2_EXT-AUTH]

user@host# set proposals CERT-DH19-AES256_SHA256
user@host# set certificate local-certificate RemoteAccessNCP
[edit security ike gateway RA_IKEv2_EXT-AUTH]

user@host# set ike-policy RA_IKEv2_EXT-AUTH
user@host# set dynamic user-at-hostname "remoteuser@example.com"
user@host# set aaa access-profile RA_EXTERNAL-AUTH
1338

user@host# set tcp-encap-profile NCP
8. Configure la propuesta, Directiva y VPN de IPsec.
[edit security ipsec proposal ESP-AES256GCM]

[edit security ipsec policy RemoteAccess]

user@host# set proposals ESP-AES256GCM
[edit security ipsec vpn RA_IKEv2_EXT-AUTH]

user@host# set ike gateway RA_IKEv2_EXT-AUTH
user@host# set ike ipsec-policy RemoteAccess
user@host# set traffic-selector NO-SPLIT local-ip 0.0.0.0/0
user@host# set traffic-selector NO-SPLIT remote-ip 0.0.0.0/0
[edit security zones security-zone Untrust]

user@host# set host-inbound-traffic system-services tcp-encap
[edit security zones security-zone Trust]


10. Configure una libreta de direcciones para las direcciones IP asignadas a los usuarios de acceso
remoto.
[edit security address-book global]

user@host# set address RemoteAccessNetworks 198.51.100.0/24
1339
11. Configurar políticas de seguridad.
[edit security policies from-zone VPN to-zone Trust]

user@host# set policy 1 match source-address RemoteAccessNetworks
user@host# set policy 1 then log session-close
[edit security policies from-zone Trust to-zone VPN]

user@host# set policy 1 match destination-address RemoteAccessNetworks
user@host# set policy 1 then log session-close
Resultados
Desde el modo de configuración, escriba los show access comandos y show security para confirmar la
user@host# show access

profile RA_EXTERNAL-AUTH {
radius-server {
198.51.100.169 {
port 1812;
secret 192.0.2.12 secret "$ABC123"; ## SECRET-DATA
}
}
}
address-assignment {
pool RA_LOCAL-IP-POOL {
family inet {
network 198.51.100.0/24;
xauth-attributes {
primary-dns 192.0.2.12/32;
1340
}
}
}
}
firewall-authentication {
web-authentication {
default-profile xauth-users;
}
}
pki {
ca-profile root-ca {
ca-identity root-ca;
revocation-check {
disable;
}
}
ca-profile CA_Server {
ca-identity CA_Server;
enrollment {
url http://192.0.2.12/certsrv/mscep/mscep.dll;
}
revocation-check {
crl {
url http://192.0.2.12/crl;
}
}
}
traceoptions {
flag all;
}
}
ike {
traceoptions {
file size 100m;
flag all;
level 15;
}
proposal CERT-DH19-AES256GCM {
dh-group group19;
1341
}
policy RA_IKEv2_EXT-AUTH {
proposals CERT-DH19-AES256GCM;
certificate {
local-certificate RemoteAccessNCP;
}
}
gateway RA_IKEv2_EXT-AUTH {
ike-policy RA_IKEv2_EXT-AUTH;
dynamic {
user-at-hostname "remoteuser@example.net";
}
always-send;
interval 60;
threshold 5;
}
aaa {
access-profile RA_EXTERNAL-AUTH;
}
version v2-only;
tcp-encap-profile NCP;
}
}
ipsec {
proposal ESP-AES256GCM {
protocol esp;
}
policy RemoteAccess {
keys group19;
}
proposals ESP-AES256GCM;
}
vpn RA_IKEv2_EXT-AUTH {
ike {
gateway RA_IKEv2_EXT-AUTH;
ipsec-policy RemoteAccess;
1342
}
traffic-selector NO-SPLIT {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
address-book {
global {
address RemoteAccessNetworks 198.51.100.0/24;
}
}
flow {
traceoptions {
file flowd size 1g files 2;
flag all;
trace-level {
detail;
}
}
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
tcp-session {
maximum-window 1M;
}
}
policies {
from-zone VPN to-zone Trust {
policy 1 {
match {
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
1343
}
}
from-zone Trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address RemoteAccessNetworks;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
}
tcp-encap {
traceoptions {
file tcp-encap-log;
level verbose;
flag all;
}
profile NCP {
ssl-profile RemoteAccess;
}
}
traceoptions {
file ipsec size 10m;
flag all;
}
zones {
security-zone Untrust {
system-services {
ike;
tcp-encap;
}
}
interfaces {
ge-0/0/1.0;
1344
}
}
security-zone Trust {
interfaces {
ge-0/0/2.0;
}
}
security-zone VPN {
interfaces {
st0.0;
}
}
}
Comproba
in this section
Comprobación de que se han establecido ICR SA | 1344
Verificación de usuarios remotos y sus conexiones IP | 1346
Comprobación de las sesiones de encapsulación TCP | 1346
Comprobación de que se han establecido ICR SA
Purpose
Muestra información acerca de ICR SA.
Intervención

1345
Address
2203522 UP c31358637e7a8e0d ac2aba751adeea8a IKEv2 198.51.100.200
En modo operativo, escriba el show security ike security-associations detail comando.

IKE peer 172.16.12.200, Index 2203522, Gateway Name: RA_IKEv2_EXT-AUTH
Initiator cookie: c31358637e7a8e0d, Responder cookie: ac2aba751adeea8a
Local: 192.0.1:500, Remote: 192.51.100.200:10952
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Exclusive Client
Peer ike-id: remoteuser@example.net
Algorithms:
Encryption : aes256-gcm
Traffic statistics:
Input bytes : 3384
Output bytes : 4923
Input packets: 9
Output packets: 13

Local: 192.51.100:500, Remote: 192.51.100.200:10952
Remote identity: remoteuser@example.net
1346
Verificación de usuarios remotos y sus conexiones IP
Purpose
Mostrar la lista de usuarios activos conectados con detalles sobre las direcciones del mismo nivel y los
puertos que están usando.
Intervención
En modo operativo, escriba el show security ike active-peer comando.
user@host> show security ike active-peer

Remote Address Port Peer IKE-ID
AAA username Assigned IP
192.51.100.200 56789
remoteuser@example.net bob
192.51.100.23
En modo operativo, escriba el show security ike active-peer detail comando.
user@host> show security ike active-peer detail

Peer address: 192.0.2.200, Port: 56789,
Peer IKE-ID : remoteuser@example.net
AAA username: bob
Assigned network attributes:
IP Address : 192.0.2.23 , netmask : 233.252.0.0
DNS Address : 192.0.2.12 , DNS2 Address : 0.0.0.0
WINS Address : 0.0.0.0 , WINS2 Address : 0.0.0.0
Previous Peer address : 0.0.0.0, Port : 0

Active IKE SA indexes : 42203522
IKE SA negotiated : 1
IPSec tunnels active : 1, IPSec Tunnel IDs : 67108891
Comprobación de las sesiones de encapsulación TCP
Purpose
Mostrar información acerca de las sesiones de encapsulación TCP.

1347
Intervención
En modo operativo, escriba el show security tcp-encap connections comando.
user@host> show security tcp-encap connections

Location: FPC: 0, PIC: 0, PIC-NAME: fpc0
Total active connections: 1

Session-Id Client Gateway
2 NCP-Pathfinder-v2 203.0.113.0
En modo operativo, escriba el show security tcp-encap statistics comando.
user@host> show security tcp-encap statistics

Location: FPC: 0, PIC: 0, PIC-NAME: fpc0
TCP encapsulation statistics:
Policy Matched: 4
TCP sessions: 4
SEE ALSO
VPN dinámicas con clientes de pulsos seguros
in this section
Ejemplo Configuración de VPN dinámico | 1358

1348
Ejemplo Configurar autenticación local y conjunto de direcciones | 1374
Ejemplo Configuración de identificadores de ICR individuales para varios usuarios | 1388
La VPN dinámica permite a los clientes de pulsos seguros establecer túneles VPN de IPsec con puertas
de enlace de servicios SRX sin tener que configurar manualmente las conexiones VPN en sus equipos. La
autenticación de usuario se admite a través de un servidor RADIUS o un conjunto local de direcciones
IP.
Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en
https://www.Juniper.net/support/downloads/?p=Pulse#sw.
Introducción a VPN dinámico
in this section
Descripción de la compatibilidad con túneles de VPN dinámicos | 1350
Descripción del acceso de clientes remotos a la VPN | 1351
Conjuntos de propuestas de VPN dinámicas | 1352
Introducción a la configuración dinámica de VPN | 1353
Descripción de la autenticación local y la asignación de direcciones | 1356
Descripción de los identificadores de ICR agrupados y compartidos | 1356
Un túnel VPN permite a los usuarios tener acceso de forma segura a activos como servidores de correo
electrónico y servidores de aplicaciones que residen detrás de un servidor de seguridad. Los túneles
VPN de extremo a sitio son particularmente útiles para los usuarios remotos, como los teletrabajanos, ya
que un solo túnel permite el acceso a todos los recursos de una red: los usuarios no necesitan configurar
1349
la configuración de acceso individual para cada aplicación y servidor. Consulte Figura 72 en la página
1349la.
Figura 72: Uso de un túnel VPN para permitir el acceso remoto a una red corporativa
La característica VPN dinámica también se conoce como VPN de acceso remoto o cliente VPN de IPSec.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Software de cliente seguro a pulsos se utiliza para acceso a VPN. La autenticación de usuario se puede
realizar a través de un servidor de RADIUS externo o un conjunto de direcciones IP local configurado en
la puerta de enlace SRX. El cliente de acceso remoto de capa 3 utiliza la configuración del lado cliente
que recibe de la puerta de enlace de serie SRX para crear y administrar un túnel VPN de extremo a sitio
seguro a la puerta de enlace.
Si se requieren más de dos conexiones simultáneas de usuario, debe instalarse una licencia dinámica de
VPN en la puerta de enlace de serie SRX. Consulte la Guía de instalación y actualización del software
para obtener información sobre la instalación y administración de licencias. El número máximo de
conexiones de usuario que se admite depende del dispositivo de serie SRX.
La característica VPN dinámica está deshabilitada de forma predeterminada en el dispositivo. Para

habilitar VPN dinámico, debe configurar la característica mediante la dynamic-vpn instrucción de
configuración en el niveledit securityde jerarquía [].
1350
Descripción de la compatibilidad con túneles de VPN dinámicos
Los túneles VPN dinámicos se configuran del mismo modo que los túneles VPN tradicionales. Sin
embargo, no se admiten todas las opciones de IPsec VPN. Esta característica es compatible con SRX100,
SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550, SRX550HM y
dispositivos de SRX650.
En la lista siguiente se describen los requisitos y las opciones compatibles al configurar túneles VPN
dinámicos:
• Solo se admiten VPN basadas en Directiva. Las VPN basadas en la ruta no son compatibles con
túneles VPN dinámicos. No se admiten protocolos de enrutamiento.
• Solo se admite IKEv1. No se admite IKEv2.
• Solo se admite el tráfico IPv4 y los túneles IPv4 en IPv4. No se admite el tráfico IPv6 ni los túneles.
• Solo se admiten claves previamente compartidas para la autenticación. PKI no es compatible.
• El modo agresivo se admite para intercambios ICR fase 1. No se admite el modo principal.
• El tráfico VPN sólo puede iniciarse desde el cliente remoto. No se admite el tráfico VPN iniciado
desde la puerta de enlace SRX.
• Se admite la detección de pares de inactivos (DPD). No se admite la supervisión de VPN.
• Se admite la autenticación extendida (XAuth) con la configuración de modo.
• Se admite la autenticación desde un perfil local. Los atributos se pueden proporcionar desde un
conjunto local de direcciones. La autenticación y los atributos se pueden proporcionar desde un
servidor RADIUS.
• Se admiten clústeres de chasis.
• TDR-T es compatible.
• Se admite ICR en enrutadores virtuales o en instancias de enrutamiento y reenvío virtuales.
• No se admite AutoVPN.
• No se admite la inserción automática de rutas (ARI).
• Se requieren derechos de administrador para instalar software cliente de pulsos, se requieren

derechos de administrador.
• Es necesario volver a autenticar a los usuarios durante ICR reclaves de la fase 1. El tiempo de
regeneración de claves es configurable.
1351
Los identificadores de ICR de grupo o compartidos se pueden utilizar para configurar una sola VPN
compartida por todos los clientes remotos. Cuando se comparte una sola VPN, el número total de
conexiones simultáneas a la puerta de enlace o Gateway no puede ser mayor que el número de licencias
de VPN dinámicas instaladas. Cuando configure una puerta de enlace de ID ICR de grupo o compartida,
puede configurar el número máximo de conexiones que serán mayores que el número de licencias de
VPN dinámicas instaladas. Sin embargo, si una conexión nueva supera el número de conexiones con
licencia, se rechazará la conexión. Puede ver la información de licencias de VPN dinámicas con el show
system license usage comando.
Descripción del acceso de clientes remotos a la VPN
Una implementación de VPN dinámica común consiste en proporcionar acceso VPN a los clientes
remotos conectados a través de una red pública, como Internet. El acceso a IPsec se proporciona a
través de una puerta de enlace en el dispositivo Juniper Networks. Software de cliente seguro a pulsos
se utiliza para acceso a VPN. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y
dispositivos de SRX550HM.
Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en
https://www.Juniper.net/support/downloads/?p=Pulse#sw.
A continuación, se describe el proceso de un cliente remoto seguro a pulsos para acceder a la VPN:
Para obtener instrucciones detalladas acerca de cómo conectar el programa cliente remoto al dispositivo
de serie SRX, consulte KB17641. Consulte también la documentación segura de pulsos para obtener
información del cliente actual.
1. El usuario descarga e instala el software cliente seguro de pulsos en el dispositivo.
2. El usuario inicia el programa cliente remoto de pulsos seguros.
En el programa cliente remoto seguro por pulsos, el usuario hace lo siguiente:
1. Haga Add connectionclic en.
2. En Tipo, seleccione Firewall (SRX) .
3. Escriba el nombre de host de la puerta de enlace SRX.
En el dispositivo serie SRX, este nombre de host está configurado set security ike gateway
gateway-name dynamic hostname hostname con el comando. El administrador SRX debe
proporcionar el nombre de host a los usuarios remotos.
4. En nombre de dirección URL del servidor, escriba la dirección IP de la puerta de enlace SRX.
En el dispositivo de serie SRX, esta dirección IP es la dirección IP de external-interface la

configurada con el set security ike gateway gateway-name comando. El administrador SRX debe
proporcionar la dirección IP a los usuarios remotos.
1352
3. Haga clic Add en y, a continuación, en Connect . El programa cliente remoto de pulsos seguros se
conecta con el serie SRX mediante HTTPS.
4. Escriba su nombre de usuario y contraseña cuando se le solicite. La información de configuración se

descarga desde el dispositivo de serie SRX al cliente remoto para permitir que el cliente establezca
una asociación ICR SA con el dispositivo serie SRX.
5. Si está accediendo a una VPN dinámica por primera vez, vuelva a especificar sus credenciales de
usuario para establecer una asociación de IPsec. Se asigna una dirección IP al cliente remoto desde
un conjunto de direcciones locales o desde un servidor de RADIUS externo.
Las credenciales de usuario que se introducen en el paso 4 se utilizan para descargar la configuración
en el cliente remoto y establecer una SA ICR entre el cliente y el dispositivo serie SRX. Las
credenciales de usuario que se escriben en este paso se utilizan para establecer una asociación de
IPsec. Las credenciales de usuario pueden ser iguales o diferentes, en función de la configuración del
dispositivo de serie SRX.
6. Después de una autenticación y una asignación de direcciones correctas, se establece un túnel.
Conjuntos de propuestas de VPN dinámicas
La configuración de propuestas de Intercambio de claves por red personalizadas (ICR) y seguridad IP
(IPsec) para las políticas ICR e IPsec puede resultar tediosa y tarda mucho tiempo si hay muchos clientes
VPN dinámicos . El administrador puede seleccionar conjuntos de propuestas básicas, compatibles o
estándar para clientes VPN dinámicos. Cada conjunto de propuestas consta de dos o más propuestas
predefinidas. El servidor selecciona una propuesta predefinida del conjunto y la inserta en el cliente en la
configuración del cliente. El cliente utiliza esta propuesta en las negociaciones con el servidor para
establecer la conexión.
Los valores predeterminados para el tiempo de regeneración de claves de ICR e IPsec de Asociación de
seguridad (SA) son los siguientes:
• Para ICR SAs, el tiempo de regeneración de claves es de 28.800 segundos.
• Para las SA de IPsec, el tiempo de regenerar claves es de 3600 segundos.
Dado que la configuración del conjunto de propuestas no permite la configuración del tiempo de espera
de la regeneración de claves, estos valores se incluyen en la configuración del cliente que se envía al
cliente en el momento de la descarga del cliente.
Los casos de uso básicos de las propuestas son los siguientes:
• Tanto ICR como IPsec utilizan conjuntos de propuestas.
El servidor selecciona una propuesta predefinida del conjunto de propuestas y lo envía al cliente,
junto con el valor predeterminado de tiempo de espera de regeneración de claves.
1353
• ICR usa un conjunto de propuestas e IPsec utiliza una propuesta personalizada.
El servidor envía una propuesta ICR predefinida desde el conjunto de propuestas configuradas ICR al
cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Para IPsec,
el servidor envía la configuración configurada en la propuesta de IPsec.
• ICR usa una propuesta personalizada e IPsec utiliza un conjunto de propuestas.
El servidor envía una propuesta IPsec predefinida desde el conjunto de propuestas IPsec configurado
al cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Por ICR,
el servidor envía la configuración configurada en la propuesta de ICR.
Si IPsec utiliza un conjunto de propuestas estándar y la confidencialidad directa perfecta (PFS) no se

configura, la confidencialidad directa perfecta (PFS) predeterminada es grupo2. Para otros conjuntos de
propuestas, no se establecerá PFS, ya que no se configura. Asimismo, para el conjunto de propuestas
IPsec, group la configuración de la perfect-forward-secrecy keys directiva IPSec reemplaza a la
configuración del grupo DIFFIE-Hellman (DH) de los conjuntos de propuestas.
Dado que el cliente acepta solo una propuesta para negociar el establecimiento del túnel con el servidor,
el servidor selecciona internamente una propuesta de la propuesta establecida para enviarla al cliente.
La propuesta seleccionada para cada conjunto aparece de la siguiente manera:
Para obtener ICR
• Básico de nivel de la SEC: clave previamente compartida, G1, des, SHA1
• Compatible con el nivel de sec: clave previamente compartida, G2, 3DES, SHA1
• Estándar de nivel de la SEC: clave previamente compartida, G2, AES128, SHA1
Para IPsec
• Básico de nivel de la SEC: esp, no pfs (si no está configurado) o grupox (si está configurado), des, sha1
• Compatible con el nivel de sec: esp, no pfs (si no está configurado) o grupox (si está configurado),
3des, sha1
• Estándar de nivel de la SEC: esp, g2 (si no está configurado) o grupox (si está configurado), aes128,
sha1
Introducción a la configuración dinámica de VPN
La VPN dinámica le permite proporcionar acceso a IPsec para usuarios remotos a una puerta de enlace o
Gateway en un dispositivo Juniper Networks. Esta característica es compatible con SRX300, SRX320,
SRX340, SRX345 y dispositivos de SRX550HM.
Existen dos casos a tener en cuenta a la hora de configurar VPN dinámico:

1354
• Cuando los usuarios se configuran localmente, se configuran en el nivel de jerarquía [edit access
profile profile-name client client-name] y se client-group organizan en grupos de usuarios mediante
la opción de configuración.
• Los usuarios se pueden configurar en un servidor de autenticación externo, como un servidor

RADIUS. Los usuarios configurados en un servidor de autenticación externo no tienen que
configurarse en el nivel de jerarquía [edit access profile profile-name].
Para los usuarios configurados localmente, es necesario especificar el grupo de usuarios en la

configuración VPN dinámica para que se pueda asociar un usuario con una configuración de cliente.
Puede especificar un grupo de usuarios con user-groups la opción en eledit security dynamic-vpn
clients configuration-namenivel de jerarquía [].
Cuando se autentica un usuario, el grupo de usuarios se incluye en la respuesta de autenticación. Esta

información se extrae y se buscan grupos de usuariosedit security dynamic-vpn clients configuration-
nameconfigurados en el nivel de jerarquía [] para determinar qué configuración de cliente se debe
recuperar y devolver al cliente para el establecimiento del túnel.
Si un usuario está asociado a más de un grupo de usuarios, se utilizará la primera configuración

coincidente del grupo de usuarios. Si un usuario crea una segunda conexión, se utilizará la siguiente
configuración de grupo de usuarios coincidente. Las siguientes conexiones de usuario usan la siguiente
configuración de grupo de usuarios coincidente hasta que no haya más configuraciones coincidentes.
El siguiente procedimiento enumera las tareas para configurar una VPN dinámica.
1. Configure la autenticación y la asignación de direcciones para los clientes remotos:
1. Configure un perfil XAuth para autenticar a los usuarios y asignar direcciones. Puede utilizarse
tanto la autenticación local como un servidor de RADIUS externo. Utilice la profile instrucción de
configuración en eledit accessnivel de jerarquía [] para configurar el perfil xauth.
2. Asignar direcciones IP desde un conjunto de direcciones locales si se utiliza autenticación local.

Utilice la address-assignment pool instrucción de configuración en eledit accessnivel de jerarquía
[]. Se puede especificar una subred o un rango de direcciones IP. También pueden especificarse
direcciones IP para servidores DNS y WINS.
2. Configure el túnel VPN:
1. Configure la Directiva de ICR. El modo debe ser agresivo. Se pueden usar conjuntos de propuestas
básicos, compatibles o estándar. Solo se admiten claves previamente compartidas para la
autenticación por fase 1. Utilice la policy instrucción de configuración en eledit security ikenivel
de jerarquía [].
2. Configure la puerta de enlace de ICR. Pueden utilizarse identificadores compartidos o de ICR de

grupo. Puede configurar el número máximo de conexiones simultáneas con la puerta de enlace.
Utilice la gateway instrucción de configuración en eledit security ikenivel de jerarquía [].
1355
3. Configure la VPN de IPsec. Se pueden especificar conjuntos de propuestas básico, compatible o

estándar con la policy instrucción de configuración en eledit security ipsecnivel de jerarquía [].
Utilice la vpn instrucción de configuración en eledit security ipsecnivel de jerarquía [] para
configurar la puerta de enlace IPSec y la Directiva.
Puede realizarse una comprobación de configuración para comprobar que todos los parámetros de
ICR e IPsec necesarios para la VPN dinámica se han configurado correctamente. Si la
configuración no es válida para ICR o IPsec, se mostrará un mensaje de error. Puede activar la
comprobación de configuración con set security dynamic-vpn config-check el comando.
4. Configure una directiva de seguridad para permitir el tráfico desde los clientes remotos hacia la
puerta de enlace de ICR. Utilice la policy instrucción de configuración en eledit security policies
from-zone zone to-zone zonenivel de jerarquía [].
Configure la Directiva de seguridad con los source-address anycriterios destination-address

anyde coincidencia application any , y con permit tunnel ipsec-vpn la acción con el nombre del
túnel de VPN dinámico. Coloque esta directiva al final de la lista de directivas.
5. Configure el tráfico de entrada de host para permitir que el tráfico específico llegue al dispositivo
desde sistemas conectados a sus interfaces. Por ejemplo, debe permitirse el tráfico de ICR y
HTTPS. Consulte Descripción de cómo controlar el tráfico entrante basándose en los tipos de
tráfico.
6. Adicional Si el grupo de direcciones del cliente pertenece a una subred que está conectada
directamente al dispositivo, sería necesario que el dispositivo respondiera a las solicitudes ARP de
direcciones del grupo de otros dispositivos de la misma zona. Utilice la proxy-arp instrucción de
configuración en eledit security natnivel de jerarquía []. Especifique la interfaz que conecta
directamente la subred al dispositivo y las direcciones del grupo.
3. Asocie la VPN dinámica a los clientes remotos:
1. Especifique el perfil de acceso para usar con VPN dinámico. Utilice la access-profile instrucción de
configuración en eledit security dynamic-vpnnivel de jerarquía [].
2. Configure los clientes que pueden usar la VPN dinámica. Especifique los recursos protegidos (el
tráfico hacia el recurso protegido viaja por el túnel de VPN dinámico especificado y, por lo tanto,
está protegido por las políticas de seguridad del firewall) o las excepciones a la lista de recursos
protegidos (tráfico que no viaja por el túnel de VPN dinámico y se envía con texto sin formato).
Estas opciones controlan las rutas que se envían al cliente cuando el túnel está activo,
controlando por lo tanto el tráfico que se envía a través del túnel. Utilice la clients instrucción de
configuración en eledit security dynamic-vpnnivel de jerarquía [].
4. Para registrar mensajes VPN dinámicos, configure la traceoptions instrucción enedit security
dynamic-vpnel nivel de jerarquía [].
1356
Descripción de la autenticación local y la asignación de direcciones
Una aplicación cliente puede solicitar una dirección IP en nombre de un cliente. Esta solicitud se realiza
al mismo tiempo que la solicitud de autenticación del cliente. Una vez realizada correctamente la
autenticación del cliente, puede asignarse una dirección IP al cliente desde un grupo de direcciones
predefinida o asignar una dirección IP específica. También se pueden proporcionar al cliente otros
atributos, como direcciones IP del servidor WINS o DNS.
Las agrupaciones de direcciones se pool definen con la instrucción deedit access address-
assignmentconfiguración en el nivel de jerarquía []. Una definición de conjunto de direcciones contiene
la información de red (dirección IP con máscara opcional), definiciones de rango opcionales y atributos
DHCP o XAuth que pueden devolverse al cliente. Si se asignan todas las direcciones de un grupo, se
producirá un error en una nueva solicitud de dirección del cliente incluso si el cliente se autentica
correctamente.
Los perfiles de acceso se definen profile con la instrucción de configuraciónedit accessen la jerarquía [].
Se puede hacer referencia a un grupo de direcciones definido en una configuración de Perfil de acceso.
También puede enlazar una dirección IP específica con un cliente de un perfil de acceso con xauth ip-
address address la opción. La dirección IP debe encontrarse en el intervalo de direcciones especificado
en el conjunto de direcciones. También debe ser diferente de la dirección IP especificada con la host
instrucción de configuración en el niveledit access profile address-assignment pool pool-name family
inetde jerarquía []. Para cualquier aplicación, si se le ha asignado una dirección IP, no se volverá a asignar
de nuevo hasta que no se libere.
Descripción de los identificadores de ICR agrupados y compartidos
Con VPN dinámico, se utiliza un identificador de Intercambio de claves por red (ICR) único para cada
conexión de usuario. Cuando hay un gran número de usuarios que necesitan tener acceso a la red
privada virtual, la configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de
seguridad para cada usuario puede ser engorroso. Las funciones ID del ICR de grupo e ID compartidos
de ICR permiten a varios usuarios compartir una configuración ICR puerta de enlace, con lo que se
reduce el número de configuraciones VPN necesarias.
Le recomendamos que configure los identificadores de ICR de grupo para las implementaciones de VPN
dinámicas, ya que los identificadores de ICR de grupo proporcionan una clave compartida única e ID ICR
para cada usuario.

1357
ID de ICR de grupo
Cuando se configuran identificadores de ICR de grupo, el identificador de ICR de cada usuario es una
concatenación de un elemento específico del usuario y una parte común a todos los usuarios del grupo
ICR ID. Por ejemplo, es posible que Bob utilice "Bob.example.net" como su ID de ICR completo, donde
".example.net" es común a todos los usuarios. El ID de ICR completo se utiliza para identificar de forma
exclusiva cada conexión de usuario.
Aunque los identificadores de ICR de grupo no requieren XAuth, la VPN dinámica requiere XAuth para
recuperar los atributos de red, como las direcciones IP de cliente. Aparece una advertencia si XAuth no
está configurado para una VPN dinámica que utilice identificadores de ICR de grupo.
Es recomendable que los usuarios usen las mismas credenciales para la autenticación webauth y XAuth
al configurar los identificadores de ICR de grupo.
Varios usuarios pueden utilizar el mismo ID. de ICR de grupo, pero un único usuario no puede utilizar el
mismo ID ICR de grupo para distintas conexiones. Si un usuario necesita tener conexiones de distintos
clientes remotos, deben tener configurados distintos identificadores de ICR de grupo, uno para cada
conexión. Si un usuario solo tiene configurado un grupo ICR ID e intenta una segunda conexión desde
otro PC, la primera conexión se terminará para permitir que la segunda conexión pase.
Para configurar un grupo ICR ID.:
• Configure ike-user-type group-ike-id en eledit security ike gateway gateway-name dynamicnivel []

de la jerarquía.
• Configure hostname la instrucción de configuración enedit security ike gateway gateway-name

dynamicel nivel de jerarquía []. Esta configuración es la parte común del ID ICR completo para todos
los usuarios.
• Configure pre-shared-key la instrucción de configuración enedit security ike policy policy-nameel

nivel de jerarquía []. La clave previamente compartida configurada se utiliza para generar la clave
previamente compartida real.
Identificadores compartidos de ICR
Cuando se configura un ID de ICR compartido, todos los usuarios comparten un único ID de ICR y una
sola clave previamente compartida ICR. Cada usuario se autentica a través de la fase de XAuth
obligatoria, donde las credenciales de usuarios individuales se comprueban con un servidor de RADIUS
externo o con una base de datos de acceso local. XAuth es necesario para los identificadores
compartidos de ICR.
El nombre de usuario XAuth junto con el identificador de ICR compartido configurado se utiliza para
distinguir entre las distintas conexiones de usuario. Dado que el nombre de usuario se utiliza para
identificar cada conexión de usuario, tanto el nombre de usuario de webauth como el nombre de usuario
XAuth deben ser idénticos.
1358
Varios usuarios pueden usar el mismo ID. de ICR compartido, pero un único usuario no puede utilizar el
mismo ID. de ICR compartido para distintas conexiones. Si un usuario necesita tener conexiones de
distintos clientes remotos, deben tener configurados distintos identificadores de ICR, uno para cada
conexión. Si un usuario solo tiene configurado un identificador de ICR compartido e intenta una segunda
conexión desde otro cliente, la primera conexión se terminará para permitir que la segunda conexión
pase. Además, dado que el nombre de usuario es necesario para identificar cada conexión de usuario
junto con el ID ICR, el usuario debe usar las mismas credenciales para la autenticación webauth y XAuth.
Para configurar un ID ICR compartido:
• Configure ike-user-type shared-ike-id en eledit security ike gateway gateway-name dynamicnivel []

de la jerarquía.
• Configure hostname la instrucción de configuración enedit security ike gateway gateway-name

dynamicel nivel de jerarquía []. Todos los usuarios configurados en el perfil de acceso de VPN
dinámico comparten el nombre de host configurado.
• Configure pre-shared-key la instrucción de configuración enedit security ike policy policy-nameel

nivel de jerarquía []. La clave previamente compartida configurada la comparten todos los usuarios
configurados en el perfil de acceso de VPN dinámico.
Ejemplo Configuración de VPN dinámico
in this section
Aplicables | 1358
Automática | 1363
Comproba | 1371
En este ejemplo se muestra cómo configurar una VPN dinámica en un dispositivo Juniper Networks para
proporcionar acceso VPN a los clientes remotos. Esta característica es compatible con SRX300, SRX320,
Aplicables
Antes de empezar:
1359
1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
dispositivos de seguridad.
2. Crear zonas de seguridad y asignarles interfaces. Consulte "Descripción de zonas de seguridad" en la

página 111.
3. Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
dispositivo. Consulte la Guía de instalación y actualización del software.
Un escenario de implementación común para VPN dinámica es proporcionar acceso VPN a los clientes
remotos que se conectan a través de una red pública, como Internet. Se asigna una dirección IP pública a
una de las interfaces de la puerta de enlace; esta interfaz normalmente forma parte de la zona de no
confianza. Después de instalar el software cliente, el usuario remoto puede tener acceso a la VPN
iniciando sesión en el portal web o iniciando directamente el cliente. En cualquier caso, el cliente remoto
se autentica con el dispositivo de serie SRX y descarga la configuración más reciente disponible.
1360
Figura 73 en la página 1360ilustra esta topología de implementación. La interfaz GE-0/0/15.0 del

dispositivo serie SRX es el punto de terminación del túnel de VPN dinámico. Los clientes remotos de la
zona de no confianza tienen acceso a la interfaz GE-0/0/15.0 a través de un cliente seguro de pulsos.
Figura 73: Topología de implementación de VPN dinámica
En este ejemplo, la autenticación de cliente XAuth se realiza localmente y se asignan direcciones IP de

cliente de una agrupación de direcciones configuradas en el dispositivo de serie SRX. Consulte Tabla 96
en la página 1361la.
A continuación, se utilizan conjuntos de propuestas estándar para las negociaciones de ICR e IPsec. Para
túneles de VPN dinámicos, se debe configurar el modo agresivo y solo se admiten claves previamente
compartidas para la autenticación por fase 1. Se utiliza un identificador de ICR de grupo y el número
máximo de conexiones se establece en 10. Dado que las VPN dinámicas deben ser VPN basadas en
políticas, debe configurarse una directiva de seguridad para reenviar el tráfico al túnel. Se debe permitir
el tráfico de ICR y HTTPS para el tráfico entrante del host.Consulte Tabla 97 en la página 1361la.
Por último, se especifica el perfil XAuth configurado para clientes remotos para la VPN dinámica. Los
usuarios remotos se asocian con la VPN de IPsec configurada. También se configuran los recursos
protegidos de forma remota (las direcciones de destino del tráfico que se envía siempre a través del
1361
túnel) y las excepciones remotas (las direcciones de destino del tráfico que se envía en texto sin cifrar y
no a través del túnel). Consulte Tabla 98 en la página 1363la.
Tabla 96: Configuración de asignación de direcciones y autenticación de clientes remotos
Grupo de conjunto de • Corrige 10.10.10.0/24

direcciones IP direcciones-VPN de
Dyn • Dirección del servidor DNS: 192.0.2.1/32.
Perfil XAuth Perfil de acceso de • Nombre de usuario del cliente remoto: ' cliente1 ' con
DIN-VPN contraseña $ABC 123
• Nombre de usuario del cliente remoto: ' cliente2 ' con

contraseña $ABC 456
• Referencia de conjunto de direcciones IP: conjunto de

direcciones-VPN de Dyn
• Este perfil es el perfil predeterminado para la

autenticación Web.
Tabla 97: Parámetros de configuración de túnel VPN
Política de ICR (fase 1) IKE-DIN-VPN- • Medio ambiciosa

Policy
• Propuesta: nivel
• Clave previamente compartida: (ASCII) $ABC 789

1362
Tabla 97: Parámetros de configuración de túnel VPN (Continued)
Puerta de enlace de DIN-VPN-local- • Referencia de políticas ICR: IKE-DIN-VPN-Policy

ICR (fase 1) GW
• Nombre de host dinámico: dynvpn
• Tipo de usuario ICR: ID. de ICR de grupo
• Número máximo de conexiones simultáneas: 10
• Referencia del perfil de acceso: Perfil de acceso de

DIN-VPN
Directiva IPsec (fase 2) IPSec-DIN- Propuesta: nivel

VPN-Policy
IPsec VPN (fase 2) DIN-VPN • Referencia de puerta de enlace ICR: DIN-VPN-local-

GW
• Referencia de directiva IPsec: IPSec-DIN-VPN-Policy
Directiva de seguridad Directiva de • Criterios de coincidencia:

(permite el tráfico VPN-DIN
desde la zona de no • Dirección de origen cualquiera
confianza a la zona de
• Dirección de destino cualquiera
confianza)
• Acción de permiso: túnel IPSec: VPN DIN-VPN

1363
Tabla 97: Parámetros de configuración de túnel VPN (Continued)
Tráfico entrante del Permita los siguientes tipos de tráfico para la interfaz
host GE-0/0/15.0 en la zona que no es de confianza:
• ICR
• PROTOCOLOS
• haciendo
Tabla 98: Configuración de VPN dinámica para clientes remotos
Perfil de acceso para Referencia del perfil de acceso: Perfil de acceso de DIN-VPN
clientes remotos
Clientes remotos resto • Referencia de VPN de IPsec: DIN-VPN
• Referencia de nombre de usuario: cliente1 y cliente2
• Recursos protegidos remotos: 10.0.0.0/8
• Excepciones remotas: 0.0.0.0/0
Automática
in this section
Configuración de la autenticación de usuarios remotos y la asignación de direcciones | 1364
Configurando el túnel VPN | 1366
Asociar la VPN dinámica con clientes remotos | 1370

1364
Configuración de la autenticación de usuarios remotos y la asignación de direcciones
set access profile dyn-vpn-access-profile client client1 firewall-user password "$ABC123"

set access profile dyn-vpn-access-profile client client2 firewall-user password "$ABC456"
set access profile dyn-vpn-access-profile address-assignment pool dyn-vpn-address-pool
set access address-assignment pool dyn-vpn-address-pool family inet network 10.10.10.0/24
set access address-assignment pool dyn-vpn-address-pool family inet xauth-attributes primary-dns
192.0.2.1/32
set access firewall-authentication web-authentication default-profile dyn-vpn-access-profile
Para configurar la autenticación de usuarios remotos y la asignación de direcciones:
1. Cree el grupo de asignación de direcciones.
[edit access address-assignment]

user@host# set pool dyn-vpn-address-pool family inet network 10.10.10.0/24
user@host# set pool dyn-vpn-address-pool family inet xauth-attributes primary-dns 192.0.2.1/32
2. Configure el perfil XAuth.
[edit access]
user@host# set profile dyn-vpn-access-profile client client1 firewall-user password "$ABC123"
user@host# set profile dyn-vpn-access-profile client client2 firewall-user password "$ABC456"
user@host# set profile dyn-vpn-access-profile address-assignment pool dyn-vpn-address-pool
1365
3. Configure la autenticación Web mediante el perfil XAuth.
[edit access firewall-authentication]

user@host# set web-authentication default-profile dyn-vpn-access-profile
Resultados
Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el
resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo
para corregirlo.
[edit]
profile dyn-vpn-access-profile {
client client1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client client2 {
firewall-user {
}
}
pool dyn-vpn-address-pool;
}
}
pool dyn-vpn-address-pool {
family inet {
network 10.10.10.0/24;
xauth-attributes {
primary-dns 192.02.1/32;
}
}
}
}
1366
default-profile dyn-vpn-access-profile;
}
}
Configurando el túnel VPN
[edit]
set security ike policy ike-dyn-vpn-policy mode aggressive
set security ike policy ike-dyn-vpn-policy proposal-set standard
set security ike policy ike-dyn-vpn-policy pre-shared-key ascii-text "$ABC789"
set security ike gateway dyn-vpn-local-gw ike-policy ike-dyn-vpn-policy
set security ike gateway dyn-vpn-local-gw dynamic hostname dynvpn
set security ike gateway dyn-vpn-local-gw dynamic connections-limit 10
set security ike gateway dyn-vpn-local-gw dynamic ike-user-type group-ike-id
set security ike gateway dyn-vpn-local-gw external-interface ge-0/0/15.0
set security ike gateway dyn-vpn-local-gw aaa access-profile dyn-vpn-access-profile
set security ipsec policy ipsec-dyn-vpn-policy proposal-set standard
set security ipsec vpn dyn-vpn ike gateway dyn-vpn-local-gw
set security ipsec vpn dyn-vpn ike ipsec-policy ipsec-dyn-vpn-policy
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match application any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy then permit tunnel ipsec-vpn dyn-
vpn
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services ping
1367
Para configurar el túnel VPN:
1. Configure la Directiva de ICR.
[edit security ike]

user@host# set policy ike-dyn-vpn-policy mode aggressive
user@host# set policy ike-dyn-vpn-policy proposal-set standard
user@host# set policy ike-dyn-vpn-policy pre-shared-key ascii-text "$ABC789"
2. Configure la puerta de enlace de ICR.
[edit security ike]

user@host# set gateway dyn-vpn-local-gw ike-policy ike-dyn-vpn-policy
user@host# set gateway dyn-vpn-local-gw dynamic hostname dynvpn
user@host# set gateway dyn-vpn-local-gw dynamic ike-user-type group-ike-id
user@host# set gateway dyn-vpn-local-gw dynamic connections-limit 10
user@host# set gateway dyn-vpn-local-gw external-interface ge-0/0/15.0
user@host# set gateway dyn-vpn-local-gw aaa access-profile dyn-vpn-access-profile
3. Configure IPsec.

user@host# set policy ipsec-dyn-vpn-policy proposal-set standard
user@host# set vpn dyn-vpn ike gateway dyn-vpn-local-gw
user@host# set vpn dyn-vpn ike ipsec-policy ipsec-dyn-vpn-policy

user@host# set policy dyn-vpn-policy match source-address any destination-address any application
any
user@host# set policy dyn-vpn-policy then permit tunnel ipsec-vpn dyn-vpn
1368
5. Configure el tráfico entrante del host.
[edit security zones security-zone untrust interfaces ge-0/0/15.0]

user@host# set host-inbound-traffic system-services https
Resultados
Desde el modo de configuración, para confirmar la configuración show security ike, show security
ipsecescriba show security policieslos comandos show security zones ,, y. Si el resultado no muestra la
[edit]
policy ike-dyn-vpn-policy {
mode aggressive;
}
gateway dyn-vpn-local-gw {
ike-policy ike-dyn-vpn-policy;
dynamic {
hostname dynvpn;
connections-limit 10;
}
aaa access-profile dyn-vpn-access-profile;
}
[edit]
policy ipsec-dyn-vpn-policy {
}
vpn dyn-vpn {
ike {
gateway dyn-vpn-local-gw;
1369
ipsec-policy ipsec-dyn-vpn-policy;
}
}
[edit]
policy dyn-vpn-policy {
match {
source-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn dyn-vpn;
}
}
}
}
[edit]
interfaces {
ge-0/0/15.0 {
system-services {
ike;
https;
ping;
}
}
}
}
}

1370
Asociar la VPN dinámica con clientes remotos
set security dynamic-vpn access-profile dyn-vpn-access-profile

set security dynamic-vpn clients all remote-protected-resources 10.0.0.0/8
set security dynamic-vpn clients all remote-exceptions 0.0.0.0/0
set security dynamic-vpn clients all ipsec-vpn dyn-vpn
set security dynamic-vpn clients all user client1
set security dynamic-vpn clients all user client2
Para asociar la red privada virtual (VPN) dinámica con clientes remotos:
1. Especifique el perfil de acceso que se usará con la VPN dinámica.
[edit security dynamic-vpn]

user@host# set access-profile dyn-vpn-access-profile
2. Configure los clientes que pueden usar la VPN dinámica.

user@host# set clients all ipsec-vpn dyn-vpn
user@host# set clients all user client1
user@host# set clients all user client2
user@host# set clients all remote-protected-resources 10.0.0.0/8
user@host# set clients all remote-exceptions 0.0.0.0/0
1371
Resultados
Desde el modo de configuración, escriba el show security dynamic-vpn comando para confirmar la
[edit]
user@host# show security dynamic-vpn
access-profile dyn-vpn-access-profile;
clients {
all {
remote-protected-resources {
10.0.0.0/8;
}
remote-exceptions {
0.0.0.0/0;
}
ipsec-vpn dyn-vpn;
user {
client1;
client2;
}
}
}
Comproba
in this section
Comprobación de clientes conectados y direcciones asignadas | 1372
Comprobación de las conexiones simultáneas y los parámetros de cada usuario | 1373

1372
Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para
supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona
correctamente, realice estas tareas:
Purpose
Compruebe el estado ICR fase 1 de las asociaciones de seguridad.
Intervención

18 172.19.100.99 UP 37b45aa1469e488b 7d4454404002e2e6 Aggressive
Comprobación de clientes conectados y direcciones asignadas
Purpose
Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.
Intervención

Remote Address Port Peer IKE-ID XAUTH username
Assigned IP
172.19.100.99 500 testdynvpn test
10.10.10.2
1373
Purpose
Compruebe el estado de IPsec Phase 2 de las asociaciones de seguridad.
Intervención

<133955586 172.19.100.99 500 ESP:aes-128/sha1 9c23b7a9 2862/ 449996 - root
>133955586 172.19.100.99 500 ESP:aes-128/sha1 c72c8f88 2862/ 449996 - root
Comprobación de las conexiones simultáneas y los parámetros de cada usuario
Purpose
Compruebe el número de conexiones simultáneas y los parámetros negociados de cada usuario.
Intervención
En modo operativo, escriba el show security dynamic-vpn users comando.
user@host> show security dynamic-vpn users

User: test , User group: group-one, Number of connections: 1
Remote IP: 172.19.100.99
IPSEC VPN: dyn-vpn
IKE gateway: dyn-vpn-local-gw
IKE ID : testdynvpn
IKE Lifetime: 28800
IPSEC Lifetime: 3600
Status: CONNECTED
1374
SEE ALSO
Introducción a VPN dinámico
Ejemplo Configurar autenticación local y conjunto de direcciones
in this section
Aplicables | 1374
Automática | 1375
Comproba | 1377
En este ejemplo se muestra cómo crear una agrupación de direcciones y cómo asignar direcciones IP de
cliente en un perfil de acceso. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345
y dispositivos de SRX550HM.
Aplicables
Antes de comenzar, configure los servidores DNS y WINS primarios y secundarios, y asígneles
direcciones IP.
En este ejemplo, se crea xauth1 una agrupación de direcciones que consta de las direcciones IP de la
subred 192.0.2.0/24. El xauth1 grupo también asigna direcciones IP para los servidores DNS y WINS
principales y secundarios.
El perfil dvpn-auth de acceso hace referencia al grupo de xauth1. El dvpn-auth Perfil de acceso
configura dos clientes:
• Jason La dirección IP 192.0.2.1 está enlazada a este cliente. Una vez realizada correctamente la
autenticación, al cliente se le asigna la dirección IP 192.0.2.1. Si el cliente vuelve a iniciar sesión antes
de cerrar la sesión, se asigna una dirección IP al cliente desde el grupo xauth1.
• jacky: Una vez realizada correctamente la autenticación, se asigna una dirección IP al cliente desde el
grupo xauth1.
1375
Además, el perfil dvpn-auth de acceso especifica que la autenticación de contraseña se utiliza para
comprobar clientes en el inicio de sesión. Se pueden especificar métodos de autenticación adicionales; el
software prueba los métodos de autenticación por orden, desde el primero al último, por cada intento de
inicio de sesión del cliente.
Automática
in this section
Modalidades | 1375
Modalidades
set access profile dvpn-auth authentication-order password

set access profile dvpn-auth client jacky firewall-user password "$ABC123"
set access profile dvpn-auth client jason xauth ip-address 192.0.2.1/32
set access profile dvpn-auth client jason firewall-user password "$ABC456"
set access profile dvpn-auth address-assignment pool xauth1
set access address-assignment pool xauth1 family inet network 192.0.2.0/24
set access address-assignment pool xauth1 family inet xauth-attributes primary-dns 192.0.2.250/32
set access address-assignment pool xauth1 family inet xauth-attributes secondary-dns 192.0.2.251/32
set access address-assignment pool xauth1 family inet xauth-attributes primary-wins 192.0.2.253/32
set access address-assignment pool xauth1 family inet xauth-attributes secondary-wins 192.0.2.254/32
Para configurar un conjunto de direcciones y un perfil de acceso que utiliza la agrupación de direcciones:
1376
1. Crear el conjunto de direcciones.
[edit access address-assignment]

user@host# set pool xauth1 family inet network 192.0.2.0/24 xauth-attributes primary-dns
192.0.2.250 secondary-dns 192.0.2.251 primary-wins 192.0.2.253 secondary-wins 192.0.2.254
2. Configure el perfil de acceso.
[edit access]
user@host# set profile dvpn-auth address-assignment pool xauth1
user@host# set profile dvpn-auth authentication-order password
user@host# set profile dvpn-auth client jason xauth ip-address 192.0.2.1
user@host# set profile dvpn-auth client jason firewall-user password jason
user@host# set profile dvpn-auth client jacky firewall-user password jacky
Resultados
para corregirlo.
[edit]
profile dvpn-auth {
authentication-order password;
client jacky {
firewall-user {
}
}
client jason {
xauth {
ip-address 192.0.2.1/32;
}
firewall-user {
}
}
1377
pool xauth1;
}
}
pool xauth1 {
family inet {
network 192.0.2.0/24;
xauth-attributes {
primary-dns 192.0.2.250/32;
secondary-dns 192.0.2.251/32;
primary-wins 192.0.2.253/32;
secondary-wins 192.0.2.254/32;
}
}
}
}
Comproba
in this section
Comprobación de la asignación de direcciones | 1377
Comprobación de la asignación de direcciones
Purpose
Compruebe la asignación de direcciones. Para XAuth, la dirección de hardware siempre se muestra como
NA. Si se asigna una dirección IP estática a un usuario específico, el nombre de usuario y el nombre del
perfil (con el formato user@profile) se mostrarán en la columna "host/usuario". Si a un cliente se le asigna
una dirección IP del grupo, se mostrará el nombre del usuario; Si el nombre de usuario no existe, se
muestra NA. Para otras aplicaciones (por ejemplo, DHCP), el nombre de host se muestra si está
configurado; Si el nombre de host no está configurado, se muestra NA.
1378
Intervención
En modo operativo, escriba el show network-access address-assignment pool comando.
user
user@host> show network-access address-assignment pool xauth1

IP address Hardware address Host/User Type
192.0.2.1 NA jason@dvpn-auth XAUTH
192.0.2.2 NA jacky XAUTH
Ejemplo Configuración de un ID ICR de grupo para varios usuarios
in this section
Aplicables | 1378
Automática | 1381
Comproba | 1387
En este ejemplo se muestra cómo configurar un grupo ICR identificador utilizado por varios usuarios.
Aplicables
Antes de empezar:
• Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
• Crear zonas de seguridad y asignarles interfaces. Consulte Understanding Security Zones.
• Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
1379
En este ejemplo, se configuran dos usuarios vpn dinámicos remotos que utilizan un id. de ICR único y
ICR clave previamente compartida (consulte Tabla 99 en la página 1379 y Tabla 100 en la página 1380 ).
Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla
101 en la página 1381los clientes (consulte).
Tabla 99: Parámetros de configuración de túnel VPN de grupo ICR ID
Política de ICR (fase 1) clientpol-grupo • Medio ambiciosa
• Propuesta: compatible
• Clave previamente compartida: (ASCII) para-todos-

en-acceso-perfil
Puerta de enlace de ICR groupgw • Referencia de políticas ICR: clientpol-grupo

(fase 1)
• Nombre de host dinámico: example.net
• Tipo de usuario ICR: ID. de ICR de grupo
• Número máximo de conexiones simultáneas: 50
• Referencia del perfil de acceso: RADIUS-Profile
Directiva IPsec (fase 2) client1vpnPol Propuesta: compatible
IPsec VPN (fase 2) groupvpn • Referencia de puerta de enlace ICR: groupgw
• Referencia de directiva IPsec: client1vpnPol

1380
Tabla 99: Parámetros de configuración de túnel VPN de grupo ICR ID (Continued)
Directiva de seguridad Grupo-sec- • Criterios de coincidencia:

(permite el tráfico Directiva
desde la zona de no • Dirección de origen cualquiera
confianza a la zona de
confianza)
• Acción de permiso: túnel IPSec-VPN groupvpn
Tráfico entrante del Permita los siguientes tipos de tráfico para la interfaz
host GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH
Tabla 100: ID ICR de grupo configuración dinámica de VPN para clientes remotos
Perfil de acceso para Referencia del perfil de acceso: RADIUS-Profile

clientes remotos
Clientes remotos groupcfg • Referencia de VPN de IPsec: groupvpn
• Referencia de nombre de usuario: Derek y Carlos
• Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

1381
Tabla 101: Autenticación de usuario del servidor RADIUS (ID. de ICR de grupo)
Perfil XAuth RADIUS- • RADIUS es el método de autenticación utilizado para comprobar

Profile las credenciales del usuario.
• La RADIUS IP del servidor es 10.100.100.250 y la contraseña es

"$ABC 123".
• Este perfil es el perfil predeterminado para la autenticación Web.
Automática
in this section
Modalidades | 1381
Modalidades
set access profile radius-profile authentication-order radius

set access profile radius-profile radius-server 10.100.100.250 secret "$ABC123"
set access firewall-authentication web-authentication default-profile radius-profile
set security ike policy clientpol-group mode aggressive
set security ike policy clientpol-group proposal-set compatible
set security ike policy clientpol-group pre-shared-key ascii-text "$ABC456"
set security ike gateway groupgw ike-policy clientpol-group
set security ike gateway groupgw dynamic hostname example.net
set security ike gateway groupgw dynamic connections-limit 50
set security ike gateway groupgw dynamic ike-user-type group-ike-id
1382
set security ike gateway groupgw external-interface ge-0/0/0.0

set security ike gateway groupgw aaa access-profile radius-profile
set security ipsec policy client1vpnPol proposal-set compatible
set security ipsec vpn groupvpn ike gateway groupgw
set security ipsec vpn groupvpn ike ipsec-policy client1vpnPol
set security policies from-zone untrust to-zone trust policy group-sec-policy match source-address any
set security policies from-zone untrust to-zone trust policy group-sec-policy match destination-address any
set security policies from-zone untrust to-zone trust policy group-sec-policy match application any
set security policies from-zone untrust to-zone trust policy group-sec-policy then permit tunnel ipsec-vpn
groupvpn
set security dynamic-vpn access-profile radius-profile
set security dynamic-vpn clients groupcfg remote-protected-resources 10.100.100.0/24
set security dynamic-vpn clients groupcfg remote-exceptions 0.0.0.0/0
set security dynamic-vpn clients groupcfg ipsec-vpn groupvpn
set security dynamic-vpn clients groupcfg user chris
set security dynamic-vpn clients groupcfg user derek
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
Para configurar un ICR de ID de grupo para varios usuarios:
1. Configure el perfil XAuth.
[edit access]
user@host# set profile radius-profile authentication-order radius
user@host# set profile radius-profile radius-server 10.100.100.250 secret “$ABC123”
user@host# set firewall-authentication web-authentication default-profile radius-profile
1383
[edit security ike]

user@host# set policy clientpol-group mode aggressive
user@host# set policy clientpol-group proposal-set compatible
user@host# set policy clientpol-group pre-shared-key ascii-text for-everyone-in-access-profile
[edit security ike]

user@host# set gateway groupgw ike-policy clientpol-group
user@host# set gateway groupgw dynamic hostname example.net
user@host# set gateway groupgw dynamic ike-user-type group-ike-id
user@host# set gateway groupgw dynamic connections-limit 50
user@host# set gateway groupgw external-interface ge-0/0/0.0
user@host# set gateway groupgw aaa access-profile radius-profile
4. Configure IPsec.

user@host# set policy client1vpnPol proposal-set compatible
user@host# set vpn groupvpn ike gateway groupgw
user@host# set vpn groupvpn ike ipsec-policy client1vpnPol

user@host# set policy group-sec-policy match source-address any destination-address any application
any
user@host# set policy group-sec-policy then permit tunnel ipsec-vpn groupvpn

1384


user@host# set access-profile radius-profile

user@host# set clients groupcfg ipsec-vpn groupvpn
user@host# set clients groupcfg user derek
user@host# set clients groupcfg user chris
user@host# set clients groupcfg remote-protected-resources 10.100.100.0/24
user@host# set clients groupcfg remote-exceptions 0.0.0.0/0
Resultados
Desde el modo de configuración show security ike, especifique los comandos, show security ipsec,
show security policiesshow security zones, y show security dynamic-vpn para confirmar la
[edit]
profile radius-profile {
radius-server {
10.100.100.250 secret "$ABC123"; ## SECRET-DATA
}
}
default-profile radius-profile;
}
}
1385
[edit]
ike {
policy clientpol-group {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text
"$ABC456"; ## SECRET-DATA
}
gateway groupgw {
ike-policy clientpol-group;
dynamic {
hostname example.net;
connections-limit 50;
}
aaa access-profile radius-profile;
}
}
[edit]
ipsec {
policy client1vpnPol {
}
vpn groupvpn {
ike {
gateway groupgw;
ipsec-policy client1vpnPol;
}
}
}
[edit]
policy group-sec-policy {
match {
source-address any;
application any;
}
then {
1386
permit {
tunnel {
ipsec-vpn groupvpn;
}
}
}
}
}
}
[edit]
interfaces {
ge-0/0/0.0 {
system-services {
ike;
https;
ping;
ssh;
}
}
}
}
}
[edit]
dynamic-vpn {
access-profile radius-profile;
clients {
groupcfg {
10.100.100.0/24;
}
remote-exceptions {
0.0.0.0/0;
192.0.2.1/24;
0.0.0.0/32;
}
ipsec-vpn groupvpn;
user {
chris;
derek;
1387
}
}
}
}
Comproba
in this section
Purpose
Intervención
Purpose
1388
Intervención
Purpose
Intervención
Purpose
Intervención
Ejemplo Configuración de identificadores de ICR individuales para varios

usuarios
in this section
Aplicables | 1389
Automática | 1393
Comproba | 1404
1389
En este ejemplo se muestra cómo configurar los identificadores de ICR individuales para varios usuarios.
Cuando hay un gran número de usuarios que necesitan tener acceso a la red privada virtual, la
configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de seguridad para
cada usuario puede ser engorroso. La función ID del ICR de grupo permite a varios usuarios compartir
una configuración de puerta de enlace ICR, lo que reduce el número de configuraciones VPN necesarias.
Aplicables
Antes de empezar:
• Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
• Crear zonas de seguridad y asignarles interfaces. Consulte Understanding Security Zones.
• Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
En el ejemplo siguiente se muestra la configuración de dos usuarios remotos de VPN dinámicos. Para
cada usuario, se debe configurar una directiva de ICR y puerta de enlace, así como la directiva IPsec y
VPN, Tabla 102 en la página 1389 y Tabla 103 en la página 1391una directiva de seguridad (consulte y).
Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla
104 en la página 1393los clientes (consulte).
Tabla 102: Parámetros de configuración de cliente 1
Política de ICR (fase 1) client1pol • Medio ambiciosa
• Clave previamente compartida: (ASCII) para-cliente1

1390
Tabla 102: Parámetros de configuración de cliente 1 (Continued)
Puerta de enlace de ICR client1gw • Referencia de políticas ICR: client1pol

(fase 1)
IPsec VPN (fase 2) client1vpn • Referencia de puerta de enlace ICR: client1gw
Directiva de seguridad client1-policy • Criterios de coincidencia:

(permite el tráfico desde
la zona de no confianza a • Dirección de origen cualquiera
la zona de confianza)
• Acción de permiso: túnel IPSec-VPN client1vpn
Tráfico entrante del host Permita los siguientes tipos de tráfico para la interfaz
GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH

clientes remotos
1391
Tabla 102: Parámetros de configuración de cliente 1 (Continued)
Clientes remotos cfg1 • Referencia de VPN de IPsec: client1vpn
• Referencia de nombre de usuario: Pedro
• Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24,

0.0.0.0/32
Tabla 103: Parámetros de configuración del cliente 2
Política de ICR (fase 1) client2pol • Medio ambiciosa
• Clave previamente compartida: (ASCII) para-cliente2
Puerta de enlace de ICR client2gw • Referencia de políticas ICR: client2pol

(fase 1)
IPsec VPN (fase 2) client2vpn • Referencia de puerta de enlace ICR: client2gw

1392
Tabla 103: Parámetros de configuración del cliente 2 (Continued)
Directiva de seguridad client2-policy • Criterios de coincidencia:

(permite el tráfico desde
la zona de no confianza a • Dirección de origen cualquiera
la zona de confianza)
• Acción de permiso: túnel IPSec-VPN client2vpn
Tráfico entrante del host Permita los siguientes tipos de tráfico para la interfaz
GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH

clientes remotos
Clientes remotos cfg2 • Referencia de VPN de IPsec: client2vpn
• Referencia de nombre de usuario: Cris
• Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24

1393
Tabla 104: Autenticación de usuario del servidor RADIUS (ID. individual de ICR)
Perfil XAuth RADIUS- • RADIUS es el método de autenticación utilizado para comprobar

Profile las credenciales del usuario.
• RADIUS dirección IP del servidor es 10.100.100.250 y la

contraseña es "$ABC 123".
• Este perfil es el perfil predeterminado para la autenticación Web.
Automática
in this section
Configuración del perfil de XAuth | 1393
Configurar el cliente 1 | 1395
Configurar el cliente 2 | 1399
Configuración del perfil de XAuth
set access profile radius-profile authentication-order radius

set access profile radius-profile radius-server 10.100.100.250 secret "$ABC123"
set access firewall-authentication web-authentication default-profile radius-profile
1394
Para configurar el perfil XAuth:
1. Configure el perfil de acceso.
[edit access]
user@host# set profile radius-profile authentication-order radius
user@host# set profile radius-profile radius-server 10.100.100.250 secret “$ABC123”
2. Configure la autenticación Web mediante el perfil XAuth.
[edit access]
user@host# set firewall-authentication web-authentication default-profile radius-profile
Resultados
para corregirlo.
[edit]
profile radius-profile {
radius-server {
10.100.100.250 secret "$ABC123"; ## SECRET-DATA
}
}
default-profile radius-profile;
}
}

1395
Configurar el cliente 1
set security ike policy client1pol mode aggressive

set security ike policy client1pol proposal-set compatible
set security ike policy client1pol pre-shared-key ascii-text "$ABC456"
set security ike gateway client1gw ike-policy client1pol
set security ike gateway client1gw dynamic hostname example.net
set security ike gateway client1gw external-interface ge-0/0/0.0
set security ike gateway client1gw aaa access-profile radius-profile
set security ipsec vpn client1vpn ike gateway client1gw
set security ipsec vpn client1vpn ike ipsec-policy client1vpnPol
set security policies from-zone untrust to-zone trust policy client1-sec-policy match source-address any
set security policies from-zone untrust to-zone trust policy client1-sec-policy match destination-address any
set security policies from-zone untrust to-zone trust policy client1-sec-policy match application any
set security policies from-zone untrust to-zone trust policy client1-sec-policy then permit tunnel ipsec-vpn
client1vpn
set security dynamic-vpn clients cfg1 remote-protected-resources 10.100.100.0/24
set security dynamic-vpn clients cfg1 remote-exceptions 0.0.0.0/0
set security dynamic-vpn clients cfg1 ipsec-vpn client1vpn
set security dynamic-vpn clients cfg1 user derek
1396
Para configurar una VPN dinámica para un solo usuario:
[edit security ike]

user@host# set policy client1pol mode aggressive
user@host# set policy client1pol proposal-set compatible
user@host# set policy client1pol pre-shared-key ascii-text for-client1
[edit security ike]

user@host# set gateway client1gw ike-policy client1pol
user@host# set gateway client1gw dynamic hostname example.net
user@host# set gateway client1gw external-interface ge-0/0/0.0
user@host# set gateway client1gw aaa access-profile radius-profile
3. Configure IPsec.

user@host# set vpn client1vpn ike gateway client1gw
user@host# set vpn client1vpn ike ipsec-policy client1vpnPol

user@host# set policy client1-sec-policy match source-address any destination-address any application
any
user@host# set policy client1-sec-policy then permit tunnel ipsec-vpn client1vpn
1397



user@host# set clients cfg1 ipsec-vpn client1vpn
user@host# set clients cfg1 user derek
user@host# set clients cfg1 remote-protected-resources 10.100.100.0/24
user@host# set clients cfg1 remote-exceptions 0.0.0.0/0
Resultados
[edit]
policy client1pol {
mode aggressive;
}
gateway client1gw {
1398
ike-policy client1pol;
dynamic hostname example.net;
}
{edit]
}
vpn client1vpn {
ike {
gateway client1gw;
}
}
{edit]
policy client1-sec-policy {
match {
source-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn client1vpn;
}
}
}
}
}
{edit]
interfaces {
ge-0/0/0.0 {
system-services {
ike;
https;
1399
ping;
ssh;
}
}
}
}
}
{edit]
clients {
cfg1 {
10.100.100.0/24;
}
remote-exceptions {
0.0.0.0/0;
192.0.2.1/24;
0.0.0.0/32;
}
user {
derek;
}
}
}
Configurar el cliente 2
set security ike policy client2pol mode aggressive

set security ike policy client2pol proposal-set compatible
set security ike policy client2pol pre-shared-key ascii-text "$ABC789"
1400
set security ike gateway client2gw ike-policy client2pol

set security ike gateway client2gw dynamic hostname example.net
set security ike gateway client2gw external-interface ge-0/0/0.0
set security ike gateway client2gw aaa access-profile radius-profile
set security ipsec vpn client2vpn ike gateway client2gw
set security ipsec vpn client2vpn ike ipsec-policy client2vpnPol
set security policies from-zone untrust to-zone trust policy client2-sec-policy match source-address any
set security policies from-zone untrust to-zone trust policy client2-sec-policy match destination-address any
set security policies from-zone untrust to-zone trust policy client2-sec-policy match application any
set security policies from-zone untrust to-zone trust policy client2-sec-policy then permit tunnel ipsec-vpn
client1vpn
set security dynamic-vpn clients cfg2 remote-protected-resources 10.100.100.0/24
set security dynamic-vpn clients cfg2 ipsec-vpn client2vpn
set security dynamic-vpn clients cfg2 user chris
Para configurar una VPN dinámica para un solo usuario:
[edit security ike]

user@host# set policy client2pol mode aggressive
user@host# set policy client2pol proposal-set compatible
user@host# set policy client2pol pre-shared-key ascii-text for-client2
1401
[edit security ike]

user@host# set gateway client2gw ike-policy client2pol
user@host# set gateway client2gw dynamic hostname example.net
user@host# set gateway client2gw external-interface ge-0/0/0.0
user@host# set gateway client2gw aaa access-profile radius-profile
3. Configure IPsec.

user@host# set vpn client2vpn ike gateway client2gw
user@host# set vpn client2vpn ike ipsec-policy client2vpnPol

user@host# set policy client2-sec-policy match source-address any destination-address any application
any
user@host# set policy client2-sec-policy then permit tunnel ipsec-vpn client2vpn


1402

user@host# set clients cfg2 ipsec-vpn client1vpn
user@host# set clients cfg2 user chris
user@host# set clients cfg2 remote-protected-resources 10.100.100.0/24
Resultados
[edit]
policy client2pol {
mode aggressive;
}
gateway client2gw {
ike-policy client2pol;
dynamic hostname example.net;
}
[edit]
}
vpn client2vpn {
ike {
gateway client2gw;
}
}
1403
[edit]
policy client2-sec-policy {
match {
source-address any;
application any;
}
then {
permit {
tunnel {
}
}
}
}
}
[edit]
interfaces {
ge-0/0/0.0 {
system-services {
ike;
https;
ping;
ssh;
}
}
}
}
}
[edit]
clients {
cfg2 {
10.100.100.0/24;
}
remote-exceptions {
1404
192.0.2.1/24;
0.0.0.0/32;
}
user {
chris;
}
}
}
Comproba
in this section
Purpose
Intervención

1405
Purpose
Intervención
Purpose
Intervención
Purpose
Intervención

1406
Juniper Secure Connect
in this section
Ventajas de las Juniper Secure Connect | 1408
What's Next | 1408
Lea este tema para obtener una descripción general sobre Juniper Secure Connect solución.
Juniper Secure Connect es una aplicación SSL-VPN basada en el cliente que le permite conectarse y
acceder de forma segura a recursos protegidos en su red. Esta aplicación cuando se combina con puertas
de enlace de servicios serie SRX ayuda a las organizaciones a lograr rápidamente una conectividad
dinámica, flexible y adaptable desde dispositivos de cualquier parte del mundo. Juniper Secure Connect
extiende la visibilidad y el cumplimiento del cliente a la nube mediante conexiones VPN seguras.
Juniper Secure Connect aplicación incluye:
• Firewall serie SRX: sirve como punto de entrada y salida para la comunicación entre los usuarios con
Juniper Secure Connect y los recursos protegidos en la red corporativa o en la nube.
• Juniper Secure Connect: protege la conectividad entre los clientes host que ejecutan Microsoft
Windows, Apple macOS y los sistemas operativos Google Android y los recursos protegidos. Juniper
Secure Connect aplicación se conecta a través de un túnel VPN al firewall serie SRX para obtener
acceso a los recursos protegidos de la red.
1407
Figura 74 en la página 1407 muestra la solución de Juniper Secure Connect de acceso remoto para
establecer una conectividad VPN segura para usuarios remotos en diferentes ubicaciones.
Figura 74: Juniper Secure Connect de acceso remoto Solución
Tabla 105: Funciones compatibles con Juniper Secure Connect
Función Descripción
Compatibilidad con varias Compatible con Windows, macOS y plataformas Android.

plataformas
Inicio de sesión anterior al Permite que los usuarios inicien sesión en el sistema Windows local
dominio de Windows mediante un túnel VPN ya establecido (mediante El inicio de sesión
previo a Windows), de manera que se autentificara en el dominio
central de Windows o Active Directory.
Compatibilidad con la Valida automáticamente que la política más actual está disponible
configuración antes de establecer la conexión.
Autenticación de usuario Permite al usuario proteger sus credenciales con la compatibilidad

bimétrica integrada de autenticación bimétrica del sistema operativo.
1408
Tabla 105: Funciones compatibles con Juniper Secure Connect (Continued)
Función Descripción
Autenticación multifactor Le permite usar autenticación de varios factores para extender la

(MFA) autenticación.
Juniper Secure Connect Las licencias están disponibles en modelos de suscripción de 1 año y
licencia 3 años.
Ventajas de las Juniper Secure Connect
• Acceso remoto seguro desde cualquier lugar con VPN
• Experiencia de usuario sencilla
• Administración sencilla de clientes remotos, políticas y eventos VPN desde una sola consola
(mediante J-Web)
WHAT'S NEXT
Recomendamos que utilice el asistente de J-Web para Juniper Secure Connect configuración. Para
obtener más información sobre cómo configurar Juniper Secure Connect, consulte Juniper Secure
Connect Administrator Guide.
Consulte Juniper Secure Connect del usuario para configurar dispositivos cliente con Juniper Secure
Connect aplicación.
Consulte estas CLI de configuración relacionadas con los Juniper Secure Connect en:
"perfil predeterminado," | 1560inicio de sesión en "windows," | 1749"certificado," |
1542traceopciones,"perfil," | 1668opciones "globales," | 1592"client-config" | 1547y "acceso
remoto." | 1689
1409
Migración de una VPN Junos OS dinámica a Juniper Secure Connect

Preparación de Juniper Secure Connect configuración
14
Supervisión de VPN
Supervisión de sesiones VPN IPsec | 1427

1411
Supervisión del tráfico VPN
in this section
Descripción de las alarmas y auditoría de VPN | 1411
Ejemplo Configuración de una alerta sonora como notificación de una alarma de seguridad | 1420
Ejemplo Generar alarmas de seguridad en respuesta a posibles violaciones | 1422
El monitorado VPN le permite determinar la posibilidad de acceso de los dispositivos del mismo nivel
mediante el envío de solicitudes ICMP (Protocolo de mensajes de control de Internet) a los
interlocutores.
Descripción de las alarmas y auditoría de VPN
Configure el siguiente comando para activar el registro de sucesos de seguridad durante la configuración
inicial del dispositivo. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM y dispositivos e instancias de SRX1500 vSRX.
set security log cache
Los administradores (Auditing, Cryptographic, IDS y Security) no pueden modificar la configuración del
registro de sucesos de seguridad si el comando anterior está configurado y cada rol de administrador
está configurado para tener un conjunto distinto y único de privilegios, aparte del resto funciones
administrativas.
Las alarmas se activan por un error de VPN. Una alarma de VPN se genera cuando el sistema supervisa
cualquiera de los siguientes eventos auditados:
• Authentication failures: puede configurar el dispositivo para que genere una alarma del sistema
cuando los errores de autenticación de paquetes alcancen un número especificado.
• Encryption and decryption failures: puede configurar el dispositivo para que genere una alarma del
sistema cuando los errores de cifrado o descifrado superen un número especificado.
1412
• IKE Phase 1 and IKE Phase 2 failures— Intercambio de claves por red (ICR) Se utilizan negociaciones
de fase 1 para establecer asociaciones ICR seguridad (AS). Estas SA protegen las ICR las
negociaciones de la fase 2. Puede configurar el dispositivo para generar una alarma del sistema
cuando ICR errores de fase 1 o ICR fase 2 superan un número especificado.
• Self-test failures: las pruebas automáticas son pruebas de que un dispositivo se ejecuta al encendido
o al reinicio para comprobar si el software de seguridad está implementado correctamente en su
dispositivo.
Las pruebas automáticas garantizan la corrección de los algoritmos criptográficos. La imagen Junos-
FIPS realiza pruebas automáticas automáticamente durante el encendido y continuamente para la
generación de pares de claves. En las imágenes nacionales o FIPS, las pruebas automáticas pueden
configurarse para que se realice según una programación definida, a pedido o inmediatamente
después de la generación de la clave.
Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un fallo
de autocomprobación.
• IDP flow policy attacks: una política de detección y prevención de intrusiones (DPI) le permite aplicar
varias técnicas de detección y prevención de ataques en el tráfico de red. Puede configurar el
dispositivo para que genere una alarma de sistema cuando se produzcan infracciones de políticas de
flujo de IDP.
• Replay attacks: un ataque de reproducción es un ataque de red en el que una transmisión de datos
válida se vuelve a repetir o retrasar de forma maliciosa o fraudulenta. Puede configurar el dispositivo
para que genere una alarma de sistema cuando se produzca un ataque de reproducción.
Los mensajes de syslog se incluyen en los siguientes casos:
• Generación de claves simétricas fallidas
• No se pudo generar la clave asimétrica
• Fallo de distribución de clave manual
• Se produjo un error de distribución de clave automatizada
• Fallo en la destrucción de la clave
• Fallo de manejo y almacenamiento de claves
• Error de cifrado o descifrado de datos
• Firma fallida
• Acuerdo clave con errores
• Hash criptográfico no superado

1413
• Error de ICR
• No se pudo autenticar los paquetes recibidos
• Error de descifrado debido a un contenido no válido de relleno
• No coinciden en la longitud especificada en el campo de sujeto alternativo del certificado recibido de

un dispositivo VPN peer remoto.
Las alarmas se generan según los mensajes syslog. Todos los fallos se registran, pero sólo se genera una
alarma cuando se alcanza un umbral.
Para ver la información de la alarma, show security alarms ejecute el comando. El recuento de
infracciones y la alarma no persisten entre los reinicios del sistema. Después de un reinicio, el recuento
de infracciones se restablece en cero y la alarma se borra de la cola de alarma.
Después de haber tomado las medidas adecuadas, puede borrar la alarma. La alarma permanece en la
cola hasta que la borre (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security
alarms comando.
SEE ALSO

Topologías VPN de IPsec en dispositivos serie SRX
Descripción de la supervisión VPN
in this section
Descripción de la comprobación de la ruta de acceso de IPsec | 1414
Descripción de las características de supervisión de global SPI y VPN | 1415
Descripción de la supervisión y DPD de VPN | 1416
Descripción de la detección de pares inactivos | 1417
La supervisión de VPN utiliza solicitudes de eco ICMP (o pings) para determinar si un túnel VPN está
activo. Cuando la supervisión de VPN está habilitada, el dispositivo de seguridad envía pings a través del
túnel VPN a la puerta de enlace del mismo nivel o a un destino especificado en el otro extremo del túnel.
1414
Los pings se envían de forma predeterminada a intervalos de 10 segundos durante 10 veces

consecutivas. Si no se recibe respuesta después de 10 pings consecutivos, la VPN se considera que está
inactiva y se borra la Asociación de seguridad IPsec (SA).
La supervisión de VPN está habilitada para una VPN especificada vpn-monitor configurando laedit
security ipsec vpn vpn-nameopción en el nivel de jerarquía []. La dirección IP de la puerta de enlace par
es el destino predeterminado; sin embargo, puede especificar una dirección IP de destino diferente
(como un servidor) en el otro extremo del túnel. El extremo de túnel local es la interfaz de origen
predeterminada, pero puede especificar un nombre de interfaz diferente.
La supervisión de VPN de un dispositivo conectado externamente (como un PC) no se admite en

dispositivos SRX5400, SRX5600 y SRX5800. El destino de la supervisión VPN debe ser una interfaz
local en el dispositivo SRX5400, SRX5600 o SRX5800.
La opción de optimized supervisión de VPN sólo envía pings cuando hay tráfico saliente y no entra en el
túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de seguridad considera que el
túnel está activo y no envía pings a los interlocutores. La configuración optimized de la opción puede
ahorrar recursos en el dispositivo de seguridad, ya que los pings solo se envían cuando es necesario
determinar liveliness del mismo nivel. El envío de pings puede activar también vínculos de copia de
seguridad costosos que, de lo contrario, no se utilizarían.
Puede configurar el intervalo en el que se envían los pings y el número de pings consecutivos que se
envían sin respuesta antes de que se considere que la VPN está desactivada. Estos se configuran
interval con threshold las opciones y, respectivamente, enedit security ipsec vpn-monitor-optionsel
nivel de jerarquía [].
La supervisión de VPN puede ocasionar flapping de túnel en algunos entornos VPN si el par no acepta
paquetes ping en función de la dirección IP de origen o destino del paquete.
Descripción de la comprobación de la ruta de acceso de IPsec
De forma predeterminada, el estado de las interfaces de túnel seguro (st0) configuradas en el modo
punto a punto en las VPN basadas en rutas se basa en el estado del túnel VPN. Poco después de
establecer la Asociación de IPsec, las rutas asociadas con la interfaz st0 se instalan en la tabla de reenvío
Junos OS. En ciertas topologías de red, como cuando un firewall de tránsito se encuentra entre los
extremos del túnel VPN, el Firewall de tránsito puede bloquear el tráfico de datos IPsec que usa rutas
activas para un túnel VPN establecido en la interfaz st0. Esto puede ocasionar la pérdida del tráfico.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la interfaz st0 no se abre ni activa
hasta que se comprueba la ruta de acceso. La comprobación se configura con la set security ipsec vpn
vpn-name vpn-monitor verify-path instrucción para túneles VPN de extremo dinámico, sitio a sitio y
basado en la ruta.
1415
Si hay una TDR dispositivo delante del extremo del túnel del mismo nivel, la dirección IP del extremo del
túnel del mismo nivel se traducirá a la dirección IP del dispositivo TDR. Para que la solicitud ICMP del
monitor VPN alcance el extremo del túnel del mismo nivel, debe especificar explícitamente la dirección
IP original no traducida del extremo del túnel del mismo nivel detrás del dispositivo de TDR. Se
configura con la set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip configuración.
A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza
para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz.
Utilice la set security ipsec vpn vpn-name vpn-monitor verify-path packet-size configuración. El tamaño
del paquete configurable oscila entre 64 y 1350 bytes; el valor predeterminado es 64 bytes.
ADVERTENCIAS
La interfaz de origen y las direcciones IP de destino que se pueden configurar para el funcionamiento del
monitor de VPN no afectan a la comprobación de la ruta de acceso de los IPsec. El origen de las
solicitudes ICMP en la comprobación de la ruta de acceso de IPsec es el extremo del túnel local.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la supervisión de VPN se activa

automáticamente y se utiliza después de que se abre la interfaz st0. Le recomendamos que configure la
opción optimizado de monitor set security ipsec vpn vpn-name vpn-monitor optimized de VPN con el
comando siempre que habilite la comprobación de la ruta de acceso de IPSec.
Si se produce una conmutación por error del clúster del chasis durante la comprobación de la ruta de la
variable de IPsec, el nuevo nodo activo vuelve a iniciar la comprobación. La interfaz st0 no se activa
hasta que la comprobación se realiza correctamente.
No se realiza ninguna comprobación de la ruta de acceso a IPsec para las claves de IPsec SA, ya que el
estado de la interfaz st0 no cambia para las claves.
La comprobación de la ruta de acceso de IPsec no se admite en las interfaces st0 configuradas en el

modo punto a multipunto que se utilizan con AutoVPN, VPN de detección automática y varios
selectores de tráfico. La supervisión de VPN y la comprobación de rutas de acceso de IPsec no admiten
direcciones IPv6, por lo que la comprobación de la ruta de acceso de IPsec no puede utilizarse con
túneles de IPv6.
Descripción de las características de supervisión de global SPI y VPN
Puede supervisar y mantener el funcionamiento eficiente de su VPN con las siguientes características de
VPN globales:
• SPI: los pares de una asociación de seguridad (SA) pueden quedar sin sincronización cuando uno de
los pares falla. Por ejemplo, si uno de los interlocutores se reinicia, podría enviar un índice incorrecto
de parámetros de seguridad (SPI). Puede habilitar el dispositivo para detectar un evento de este tipo
y volver a sincronizar los elementos del mismo nivel mediante la configuración de la característica de
respuesta SPI dañados.
1416
• Supervisión de VPN: puede utilizar la función global de supervisión de VPN para enviar
periódicamente solicitudes del Protocolo de mensajes de control de Internet (ICMP) al par para
determinar si el par es accesible.
Descripción de la supervisión y DPD de VPN
La supervisión de VPN y de pares de inactivos (DPD) son características disponibles en los dispositivos
serie SRX para comprobar la disponibilidad de los dispositivos VPN del mismo nivel. En esta sección se
comparan el funcionamiento y la configuración de estas características.
El dispositivo serie SRX responde a DPD mensajes enviados por homólogos VPN, incluso si DPD no está
configurado en el dispositivo. Puede configurar el dispositivo serie SRX para que inicie mensajes DPD a
los homólogos VPN. También puede configurar la supervisión de DPD y VPN para que funcionen
simultáneamente en el mismo dispositivo serie SRX, aunque se reduzca el número de interlocutores que
se pueden supervisar con cualquiera de los dos métodos.
La supervisión de VPN es un mecanismo de Junos OS que supervisa únicamente las asociaciones de

seguridad (SA) de la fase 2. La supervisión de VPN se habilita en cada VPN con la vpn-monitor
instrucción en el nivel deedit security ipsec vpn vpn-namejerarquía []. Se debe especificar la dirección IP
y la interfaz de origen de destino. Esta optimized opción permite que el dispositivo utilice patrones de
tráfico como evidencia del liveliness del homólogo (peer). Las solicitudes ICMP se suprimen.
Las opciones de supervisión de VPN se vpn-monitor-options configuran conedit security ipsecla

instrucción en el nivel de jerarquía []. Estas opciones se aplican a todas las VPN para las que está
habilitada la supervisión de VPN. Las opciones que puede configurar incluyen el intervalo en el que se
envían las solicitudes ICMP al interlocutor (el valor predeterminado es 10 segundos) y el número de
solicitudes consecutivas de ICMP enviadas sin recibir una respuesta antes de que el interlocutor se
considere no accesible (el valor predeterminado es 10 solicitudes consecutivas).
DPD es una implementación de RFC 3706, un método basado en tráfico para detectar pares Intercambio
de claves por red muertos (ICR). Funciona en el nivel ICR y supervisa al sistema del mismo nivel
basándose en las actividades de tráfico de IPsec y ICR.
DPD se configura en una puerta de enlace ICR individual dead-peer-detection con la instrucción enedit
security ike gateway gateway-nameel nivel de jerarquía []. Puede configurar modos de operación DPD.
El modo predeterminado (optimizado) envía mensajes DPD al interlocutor si no hay tráfico entrante ICR
o IPsec dentro de un intervalo configurado después de que el dispositivo local envíe paquetes salientes
al mismo nivel. Otras opciones configurables incluyen el intervalo con el que se envían mensajes DPD al
sistema del mismo nivel (el valor predeterminado es 10 segundos) y el número de mensajes DPD
consecutivos enviados sin recibir una respuesta antes de que el interlocutor se considere no disponible
(el valor predeterminado es cinco solicitudes consecutivas).
1417
Descripción de la detección de pares inactivos
La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para
comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.
Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN
individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de
ICR individual.
Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1
cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-
ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido
tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-
Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo
nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes
R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-
entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto.
Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo
quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.
Los siguientes modos de DPD son compatibles con los dispositivos serie SRX:
• Optimizado: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec entrante dentro de
un intervalo configurado después de que el dispositivo envíe paquetes de salida al par. Este es el
modo predeterminado.
• Túnel de inactividad del sondeo: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec
entrante o saliente dentro de un intervalo configurado. R-U: se envían periódicamente mensajes a los
interlocutores hasta que se produce la actividad de tráfico. Este modo ayuda en la detección
temprana de un sistema del mismo nivel hacia abajo y hace que el túnel esté disponible para el tráfico
de datos.
Cuando se configuran varios selectores de tráfico para una red privada virtual (VPN), se pueden
establecer varios túneles para el mismo ICR SA. En este escenario, el modo de túnel inactivo de
sondeo activa R-U: se enviarán mensajes si algún túnel asociado con el ICR SA pasa a estar inactivo,
aunque haya tráfico en otro túnel para el mismo ICR SA.
• Siempre enviar: los mensajes R-U-THERE se envían a intervalos configurados independientemente de

la actividad de tráfico entre los pares.
Recomendamos que se utilice el modo de túnel inactivo del sondeo always-send en lugar del modo.
Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El
comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.
Puede configurar los siguientes parámetros de DPD:

1418
• El parámetro Interval especifica la cantidad de tiempo (expresada en segundos) que esperará el

dispositivo a que el tráfico proviene de su interlocutor antes de enviar un mensaje R-U-allí. El
intervalo predeterminado es de 10 segundos. A partir de Junos OS Release 15.1 X49-D130, el rango
de parámetros de intervalo permitido en el que se envían los mensajes R-U-at al dispositivo del
mismo nivel se reduce de 10 a 60 segundos a 2 segundos mediante 60 segundos. El parámetro de
umbral mínimo debe ser 3 cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
• El parámetro Threshold especifica el número máximo de veces que se envía el mensaje R-U-in sin
respuesta del interlocutor antes de considerar que el homólogo está muerto. El número
predeterminado de transmisiones es cinco veces, con una gama permitida de 1 a 5 reintentos.
Tenga en cuenta las consideraciones siguientes antes de configurar DPD:
• Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los
mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.
• Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos,
R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.
• Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold,
se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.
• Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para
establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1.
Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al
mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero
la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA
de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse
una asociación de la fase 1.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP de par y DPD, pero DPD falla
con la dirección IP del par actual, lasAS de fase 1 y fase 2 se borrarán y se activará una conmutación
por error a la dirección IP del par siguiente.
• Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones
simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se
reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la
fase 1 y la SA asociada de la fase 2 (solo para IKEv2).
SEE ALSO
Verify-path | 1737
1419

un dispositivo TDR | 629
Descripción de los eventos de túnel
Cuando se produce un problema de red relacionado con una VPN, después de que el túnel sólo llega el
estado de túnel, se realiza un seguimiento de él. Muchos problemas se pueden producir antes de que se
produzca el túnel. Por lo tanto, en lugar de realizar el seguimiento únicamente del estado del túnel,
problemas de túnel o errores de negociación, ahora se realiza el seguimiento de eventos de éxito tales
como negociaciones de SA de IPsec satisfactorias, regeneración de claves IPsec y reICR regeneraciones
de SA. Estos eventos se denominan eventos de túnel.
Para la fase 1 y fase 2, se realiza un seguimiento de los eventos de negociación de un túnel dado, junto
con los eventos que se producen en daemons externos, como AUTHd o PKID. Cuando un evento de
túnel aparece varias veces, solo se mantiene una entrada con la hora actualizada y el número de veces
que se produjo el evento.
En general, se realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la
fase 2. Algunos eventos pueden reproducirse y llenar la memoria de eventos, lo que provoca que se
quiten eventos importantes. Para evitar sobrescribir, un suceso no se almacena a menos que un túnel no
esté presionado.
Los siguientes eventos especiales se clasifican en esta categoría:
• La duración de la SA de IPsec en kilobytes expiró
• Duración dura de la SA de IPsec expirada
• Carga de eliminación de SA de IPsec recibida del interlocutor, asociaciones de SA de IPsec borradas
• Se borrar pares de SA IPsec de backup redundantes no utilizados
• Las SA de IPsec se borraron según corresponda ICR SA eliminadas
Los túneles AutoVPN se crean y eliminan dinámicamente y, por lo tanto, los eventos de túnel
correspondientes a estos túneles son de corta duración. A veces estos eventos de túnel no se pueden
asociar con ningún túnel, por lo que el registro del sistema se utiliza para depuración.
SEE ALSO

1420
Ejemplo Configuración de una alerta sonora como notificación de una

alarma de seguridad
in this section
Aplicables | 1420
Automática | 1420
Comproba | 1421
En este ejemplo se muestra cómo configurar un dispositivo para generar un pitido de alerta del sistema
cuando se produce un nuevo evento de seguridad. De forma predeterminada, las alarmas no son
audibles. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y
dispositivos e instancias de SRX1500 vSRX.
Aplicables
En este ejemplo, puede establecer que se genere un pitido audible en respuesta a una alarma de
seguridad.
Automática
in this section
Modalidades | 1421
1421
Modalidades
Para establecer una alarma audible:
1. Activar alarmas de seguridad.
[edit]
user@host# edit security alarms
2. Especifique que desea recibir notificaciones de alarmas de seguridad con un pitido audible.
[edit security alarms]

user@host# set audible
[edit security alarms]

user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security alarms detail
comando.
SEE ALSO

1422
Ejemplo Generar alarmas de seguridad en respuesta a posibles

violaciones
in this section
Aplicables | 1422
Automática | 1423
Comproba | 1426
En este ejemplo se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando
se produce una infracción potencial. De forma predeterminada, no se produce ninguna alarma cuando se
produce una infracción potencial. Esta característica es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.
Aplicables
En este ejemplo, puede configurar una alarma para que se genere cuando:
• El número de errores de autenticación es superior a 6.
• La prueba automática criptográfica produce un error.
• La prueba automática no criptográfica produce errores.
• Se produce un error en la prueba automática de generación de claves.
• El número de errores de cifrado es superior a 10.
• El número de errores de descifrado supera 1.
• El número de fallos de ICR fase 1 supera el 10.
• El número de ICR error de la fase 2 supera 1.
• Se produce un ataque de reproducción.

1423
Automática
in this section
Modalidades | 1423
Modalidades
set security alarms potential-violation authentication 6

set security alarms potential-violation cryptographic-self-test
set security alarms potential-violation non-cryptographic-self-test
set security alarms potential-violation key-generation-self-test
set security alarms potential-violation encryption-failures threshold 10
set security alarms potential-violation decryption-failures threshold 1
set security alarms potential-violation ike-phase1-failures threshold 10
set security alarms potential-violation ike-phase2-failures threshold 1
set security alarms potential-violation replay-attacks
Para configurar alarmas en respuesta a posibles violaciones:
1. Activar alarmas de seguridad.
[edit]
user@host# edit security alarms
1424
2. Especifica que debe producirse una alarma cuando se produzca un fallo de autenticación.
[edit security alarms potential-violation]

user@host# set authentication 6
3. Especifica que debe producirse una alarma cuando se produce un error de prueba automática
criptográfica.

user@host# set cryptographic-self-test
4. Especifica que debe producirse una alarma cuando se produce un fallo de prueba automática no
cifrada.

user@host# set non-cryptographic-self-test
5. Especifica que debe producirse una alarma cuando se produce un error de la autoprueba de
generación de claves.

user@host# set key-generation-self-test
6. Especifica que debe producirse una alarma cuando se produce un fallo de cifrado.

user@host# set encryption-failures threshold 10
7. Especifica que se debe generar una alarma cuando se produzca un fallo de descifrado.

user@host# set decryption-failures threshold 1
1425
8. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 1.

user@host# set ike-phase1-failures threshold 10
9. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 2.

user@host# set ike-phase2-failures threshold 1
10. Especifica que debe producirse una alarma cuando se produzca un ataque de reproducción.

user@host# set replay-attacks
Resultados
Desde el modo de configuración, escriba el show security alarms comando para confirmar la
potential-violation {
authentication 6;
cryptographic-self-test;
decryption-failures {
threshold 1;
}
encryption-failures {
threshold 10;
}
ike-phase1-failures {
threshold 10;
}
threshold 1;
}
key-generation-self-test;
non-cryptographic-self-test;
1426
replay-attacks;
}
Comproba
Para confirmar que la configuración funciona correctamente, desde el modo de funcionamiento, escriba
show security alarms el comando.
SEE ALSO
Compatibilidad de VPN para insertar tarjetas de procesamiento de servicios
release-history

in release-
history
15.1X49-D130 A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido
en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60
segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3
cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
15.1X49-D120 A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se
utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en
marcha la interfaz.

1427
Supervisión de sesiones VPN IPsec
in this section
Descripción de la supervisión VPN
in this section
Descripción de la comprobación de la ruta de acceso de IPsec | 1428
Descripción de las características de supervisión de global SPI y VPN | 1429
Descripción de la supervisión y DPD de VPN | 1429
Descripción de la detección de pares inactivos | 1430
La supervisión de VPN utiliza solicitudes de eco ICMP (o pings) para determinar si un túnel VPN está
activo. Cuando la supervisión de VPN está habilitada, el dispositivo de seguridad envía pings a través del
túnel VPN a la puerta de enlace del mismo nivel o a un destino especificado en el otro extremo del túnel.
Los pings se envían de forma predeterminada a intervalos de 10 segundos durante 10 veces
consecutivas. Si no se recibe respuesta después de 10 pings consecutivos, la VPN se considera que está
inactiva y se borra la Asociación de seguridad IPsec (SA).
La supervisión de VPN está habilitada para una VPN especificada vpn-monitor configurando laedit
security ipsec vpn vpn-nameopción en el nivel de jerarquía []. La dirección IP de la puerta de enlace par
es el destino predeterminado; sin embargo, puede especificar una dirección IP de destino diferente
(como un servidor) en el otro extremo del túnel. El extremo de túnel local es la interfaz de origen
predeterminada, pero puede especificar un nombre de interfaz diferente.
La supervisión de VPN de un dispositivo conectado externamente (como un PC) no se admite en

dispositivos SRX5400, SRX5600 y SRX5800. El destino de la supervisión VPN debe ser una interfaz
local en el dispositivo SRX5400, SRX5600 o SRX5800.
1428
La opción de optimized supervisión de VPN sólo envía pings cuando hay tráfico saliente y no entra en el
túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de seguridad considera que el
túnel está activo y no envía pings a los interlocutores. La configuración optimized de la opción puede
ahorrar recursos en el dispositivo de seguridad, ya que los pings solo se envían cuando es necesario
determinar liveliness del mismo nivel. El envío de pings puede activar también vínculos de copia de
seguridad costosos que, de lo contrario, no se utilizarían.
Puede configurar el intervalo en el que se envían los pings y el número de pings consecutivos que se
envían sin respuesta antes de que se considere que la VPN está desactivada. Estos se configuran
interval con threshold las opciones y, respectivamente, enedit security ipsec vpn-monitor-optionsel
nivel de jerarquía [].
La supervisión de VPN puede ocasionar flapping de túnel en algunos entornos VPN si el par no acepta
paquetes ping en función de la dirección IP de origen o destino del paquete.
Descripción de la comprobación de la ruta de acceso de IPsec
De forma predeterminada, el estado de las interfaces de túnel seguro (st0) configuradas en el modo
punto a punto en las VPN basadas en rutas se basa en el estado del túnel VPN. Poco después de
establecer la Asociación de IPsec, las rutas asociadas con la interfaz st0 se instalan en la tabla de reenvío
Junos OS. En ciertas topologías de red, como cuando un firewall de tránsito se encuentra entre los
extremos del túnel VPN, el Firewall de tránsito puede bloquear el tráfico de datos IPsec que usa rutas
activas para un túnel VPN establecido en la interfaz st0. Esto puede ocasionar la pérdida del tráfico.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la interfaz st0 no se abre ni activa
hasta que se comprueba la ruta de acceso. La comprobación se configura con la set security ipsec vpn
vpn-name vpn-monitor verify-path instrucción para túneles VPN de extremo dinámico, sitio a sitio y
basado en la ruta.
Si hay una TDR dispositivo delante del extremo del túnel del mismo nivel, la dirección IP del extremo del
túnel del mismo nivel se traducirá a la dirección IP del dispositivo TDR. Para que la solicitud ICMP del
monitor VPN alcance el extremo del túnel del mismo nivel, debe especificar explícitamente la dirección
IP original no traducida del extremo del túnel del mismo nivel detrás del dispositivo de TDR. Se
configura con la set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip configuración.
A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza
para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz.
Utilice la set security ipsec vpn vpn-name vpn-monitor verify-path packet-size configuración. El tamaño
del paquete configurable oscila entre 64 y 1350 bytes; el valor predeterminado es 64 bytes.
1429
ADVERTENCIAS
La interfaz de origen y las direcciones IP de destino que se pueden configurar para el funcionamiento del
monitor de VPN no afectan a la comprobación de la ruta de acceso de los IPsec. El origen de las
solicitudes ICMP en la comprobación de la ruta de acceso de IPsec es el extremo del túnel local.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la supervisión de VPN se activa

automáticamente y se utiliza después de que se abre la interfaz st0. Le recomendamos que configure la
opción optimizado de monitor set security ipsec vpn vpn-name vpn-monitor optimized de VPN con el
comando siempre que habilite la comprobación de la ruta de acceso de IPSec.
Si se produce una conmutación por error del clúster del chasis durante la comprobación de la ruta de la
variable de IPsec, el nuevo nodo activo vuelve a iniciar la comprobación. La interfaz st0 no se activa
hasta que la comprobación se realiza correctamente.
No se realiza ninguna comprobación de la ruta de acceso a IPsec para las claves de IPsec SA, ya que el
estado de la interfaz st0 no cambia para las claves.
La comprobación de la ruta de acceso de IPsec no se admite en las interfaces st0 configuradas en el

modo punto a multipunto que se utilizan con AutoVPN, VPN de detección automática y varios
selectores de tráfico. La supervisión de VPN y la comprobación de rutas de acceso de IPsec no admiten
direcciones IPv6, por lo que la comprobación de la ruta de acceso de IPsec no puede utilizarse con
túneles de IPv6.
Descripción de las características de supervisión de global SPI y VPN
Puede supervisar y mantener el funcionamiento eficiente de su VPN con las siguientes características de
VPN globales:
• SPI: los pares de una asociación de seguridad (SA) pueden quedar sin sincronización cuando uno de
los pares falla. Por ejemplo, si uno de los interlocutores se reinicia, podría enviar un índice incorrecto
de parámetros de seguridad (SPI). Puede habilitar el dispositivo para detectar un evento de este tipo
y volver a sincronizar los elementos del mismo nivel mediante la configuración de la característica de
respuesta SPI dañados.
• Supervisión de VPN: puede utilizar la función global de supervisión de VPN para enviar
periódicamente solicitudes del Protocolo de mensajes de control de Internet (ICMP) al par para
determinar si el par es accesible.
Descripción de la supervisión y DPD de VPN
La supervisión de VPN y de pares de inactivos (DPD) son características disponibles en los dispositivos
serie SRX para comprobar la disponibilidad de los dispositivos VPN del mismo nivel. En esta sección se
comparan el funcionamiento y la configuración de estas características.
1430
El dispositivo serie SRX responde a DPD mensajes enviados por homólogos VPN, incluso si DPD no está
configurado en el dispositivo. Puede configurar el dispositivo serie SRX para que inicie mensajes DPD a
los homólogos VPN. También puede configurar la supervisión de DPD y VPN para que funcionen
simultáneamente en el mismo dispositivo serie SRX, aunque se reduzca el número de interlocutores que
se pueden supervisar con cualquiera de los dos métodos.
La supervisión de VPN es un mecanismo de Junos OS que supervisa únicamente las asociaciones de

seguridad (SA) de la fase 2. La supervisión de VPN se habilita en cada VPN con la vpn-monitor
instrucción en el nivel deedit security ipsec vpn vpn-namejerarquía []. Se debe especificar la dirección IP
y la interfaz de origen de destino. Esta optimized opción permite que el dispositivo utilice patrones de
tráfico como evidencia del liveliness del homólogo (peer). Las solicitudes ICMP se suprimen.
Las opciones de supervisión de VPN se vpn-monitor-options configuran conedit security ipsecla

instrucción en el nivel de jerarquía []. Estas opciones se aplican a todas las VPN para las que está
habilitada la supervisión de VPN. Las opciones que puede configurar incluyen el intervalo en el que se
envían las solicitudes ICMP al interlocutor (el valor predeterminado es 10 segundos) y el número de
solicitudes consecutivas de ICMP enviadas sin recibir una respuesta antes de que el interlocutor se
considere no accesible (el valor predeterminado es 10 solicitudes consecutivas).
DPD es una implementación de RFC 3706, un método basado en tráfico para detectar pares Intercambio
de claves por red muertos (ICR). Funciona en el nivel ICR y supervisa al sistema del mismo nivel
basándose en las actividades de tráfico de IPsec y ICR.
DPD se configura en una puerta de enlace ICR individual dead-peer-detection con la instrucción enedit
security ike gateway gateway-nameel nivel de jerarquía []. Puede configurar modos de operación DPD.
El modo predeterminado (optimizado) envía mensajes DPD al interlocutor si no hay tráfico entrante ICR
o IPsec dentro de un intervalo configurado después de que el dispositivo local envíe paquetes salientes
al mismo nivel. Otras opciones configurables incluyen el intervalo con el que se envían mensajes DPD al
sistema del mismo nivel (el valor predeterminado es 10 segundos) y el número de mensajes DPD
consecutivos enviados sin recibir una respuesta antes de que el interlocutor se considere no disponible
(el valor predeterminado es cinco solicitudes consecutivas).
Descripción de la detección de pares inactivos
La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para
comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.
Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN
individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de
ICR individual.
Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1
cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-
ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido
tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-
1431
Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo
nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes
R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-
entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto.
Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo
quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.
Los siguientes modos de DPD son compatibles con los dispositivos serie SRX:
• Optimizado: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec entrante dentro de
un intervalo configurado después de que el dispositivo envíe paquetes de salida al par. Este es el
modo predeterminado.
• Túnel de inactividad del sondeo: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec
entrante o saliente dentro de un intervalo configurado. R-U: se envían periódicamente mensajes a los
interlocutores hasta que se produce la actividad de tráfico. Este modo ayuda en la detección
temprana de un sistema del mismo nivel hacia abajo y hace que el túnel esté disponible para el tráfico
de datos.
Cuando se configuran varios selectores de tráfico para una red privada virtual (VPN), se pueden
establecer varios túneles para el mismo ICR SA. En este escenario, el modo de túnel inactivo de
sondeo activa R-U: se enviarán mensajes si algún túnel asociado con el ICR SA pasa a estar inactivo,
aunque haya tráfico en otro túnel para el mismo ICR SA.
• Siempre enviar: los mensajes R-U-THERE se envían a intervalos configurados independientemente de

la actividad de tráfico entre los pares.
Recomendamos que se utilice el modo de túnel inactivo del sondeo always-send en lugar del modo.
Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El
comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.
Puede configurar los siguientes parámetros de DPD:
• El parámetro Interval especifica la cantidad de tiempo (expresada en segundos) que esperará el

dispositivo a que el tráfico proviene de su interlocutor antes de enviar un mensaje R-U-allí. El
intervalo predeterminado es de 10 segundos. A partir de Junos OS Release 15.1 X49-D130, el rango
de parámetros de intervalo permitido en el que se envían los mensajes R-U-at al dispositivo del
mismo nivel se reduce de 10 a 60 segundos a 2 segundos mediante 60 segundos. El parámetro de
umbral mínimo debe ser 3 cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
• El parámetro Threshold especifica el número máximo de veces que se envía el mensaje R-U-in sin
respuesta del interlocutor antes de considerar que el homólogo está muerto. El número
predeterminado de transmisiones es cinco veces, con una gama permitida de 1 a 5 reintentos.
Tenga en cuenta las consideraciones siguientes antes de configurar DPD:

1432
• Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los
mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.
• Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos,
R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.
• Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold,
se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.
• Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para
establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1.
Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al
mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero
la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA
de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse
una asociación de la fase 1.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP de par y DPD, pero DPD falla
con la dirección IP del par actual, lasAS de fase 1 y fase 2 se borrarán y se activará una conmutación
por error a la dirección IP del par siguiente.
• Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones
simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se
reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la
fase 1 y la SA asociada de la fase 2 (solo para IKEv2).
SEE ALSO
Verify-path | 1737
un dispositivo TDR | 629
Descripción de los eventos de túnel
Cuando se produce un problema de red relacionado con una VPN, después de que el túnel sólo llega el
estado de túnel, se realiza un seguimiento de él. Muchos problemas se pueden producir antes de que se
produzca el túnel. Por lo tanto, en lugar de realizar el seguimiento únicamente del estado del túnel,
problemas de túnel o errores de negociación, ahora se realiza el seguimiento de eventos de éxito tales
1433
como negociaciones de SA de IPsec satisfactorias, regeneración de claves IPsec y reICR regeneraciones

de SA. Estos eventos se denominan eventos de túnel.
Para la fase 1 y fase 2, se realiza un seguimiento de los eventos de negociación de un túnel dado, junto
con los eventos que se producen en daemons externos, como AUTHd o PKID. Cuando un evento de
túnel aparece varias veces, solo se mantiene una entrada con la hora actualizada y el número de veces
que se produjo el evento.
En general, se realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la
fase 2. Algunos eventos pueden reproducirse y llenar la memoria de eventos, lo que provoca que se
quiten eventos importantes. Para evitar sobrescribir, un suceso no se almacena a menos que un túnel no
esté presionado.
Los siguientes eventos especiales se clasifican en esta categoría:
• La duración de la SA de IPsec en kilobytes expiró
• Duración dura de la SA de IPsec expirada
• Carga de eliminación de SA de IPsec recibida del interlocutor, asociaciones de SA de IPsec borradas
• Se borrar pares de SA IPsec de backup redundantes no utilizados
• Las SA de IPsec se borraron según corresponda ICR SA eliminadas
Los túneles AutoVPN se crean y eliminan dinámicamente y, por lo tanto, los eventos de túnel
correspondientes a estos túneles son de corta duración. A veces estos eventos de túnel no se pueden
asociar con ningún túnel, por lo que el registro del sistema se utiliza para depuración.
SEE ALSO
release-history

in release-
history
15.1X49-D130 A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido
en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60
segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3
cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
1434
15.1X49-D120 A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se
utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en
marcha la interfaz.
15
Afinación del rendimiento
PowerMode IPSec | 1476

1436
Afinidad de sesión VPN
in this section
Descripción de la afinidad de sesión VPN | 1436
Habilitar afinidad de sesión VPN | 1438
Aceleración del rendimiento de tráfico VPN de IPsec | 1441
Perfil de distribución IPsec | 1442
Ejemplo Configuración de un clasificador de agregado de comportamiento en PMI para instancias de

vSRX | 1455
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en PMI | 1462
Ejemplo Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en PMI | 1469
El rendimiento del tráfico VPN de IPsec para minimizar la sobrecarga de reenvío de paquetes puede
optimizarse habilitando la afinidad de las sesiones VPN y la aceleración del rendimiento.
Descripción de la afinidad de sesión VPN
La afinidad de las sesiones VPN se produce cuando una sesión de texto no cifrado se encuentra en una
unidad de procesamiento de servicios (SPU) que es diferente de la SPU en la que se encuentra la sesión
de túnel IPsec. El objetivo de la afinidad de sesión VPN es localizar la sesión de descifrado e IPsec en la
misma SPU. Esta característica solo se admite en dispositivos SRX5400, SRX5600 y SRX5800.
Sin la afinidad de sesión VPN, una sesión de texto creado por un flujo podría encontrarse en una SPU y
la sesión de túnel creada por IPsec podría encontrarse en otra SPU. Es necesario que la SPU sea directa
o de contratransmisión para enrutar paquetes de texto no cifrado al túnel IPsec.
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en serie SRX dispositivos.
Cuando se habilita la afinidad de sesión VPN, se coloca una nueva sesión de CLEARTEXT en la misma
SPU que la sesión de túnel IPsec. Las sesiones de texto no se verán afectadas.
1437
Junos OS versión 15.1 X49-D10 presenta el SRX5K-MPC3-100G10G (IOC3) y el SRX5K-

MPC3-40G10G (IOC3) para dispositivos SRX5400, SRX5600 y SRX5800.
SRX5K-MPC (IOC2) y IOC3 admiten afinidad de sesión VPN a través de módulos de flujo mejorados y
caché de sesión. Con IOCs, el módulo de flujo crea sesiones para el tráfico basado en el túnel IPsec
antes del cifrado y después del descifrado en su SPU en el túnel de delimitadores e instala la caché de
sesión para las sesiones, de forma que IOC pueda redirigir los paquetes a la misma SPU para minimizar el
paquete sobrecarga de reenvío. El tráfico de la ruta Express (anteriormente conocida como descarga de
servicios) y el tráfico de la caché NP comparten la misma tabla de caché de sesión en el IOCs.
Para mostrar sesiones de túnel activo en SPUs, utilice show security ipsec security-association el
comando y especifique las ranuras del concentrador de PIC flexible (FPC) y la tarjeta de interfaz física
(PIC) que contienen la SPU. Por ejemplo:
user@host> show security ipsec security-association fpc 3 pic 0

<131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11
>131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Es necesario evaluar la distribución de túnel y los patrones de tráfico de la red para determinar si se
debe habilitar la afinidad de sesión VPN.
A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS Release 17.3
R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400, SRX5600 y SRX5800, la
sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y algoritmos de autenticación en la
unidad de procesamiento de servicios Premium (SPU). Si el cifrado o autenticación cambia, la sobrecarga
de túnel se actualiza en el delimitador SPU cuando se establece una nueva asociación de seguridad
IPsec.
Las limitaciones de afinidad de la sesión VPN son las siguientes:
• No se admite el tráfico a través de los sistemas lógicos.
• Si se produce un cambio de ruta, las sesiones de texto no cifradas permanecen en la SPU y, si es

posible, el tráfico se vuelve a enrutar. Las sesiones creadas después del cambio de ruta se pueden
configurar en una SPU diferente.
• La afinidad de sesión VPN solo afecta al tráfico autónomo que termina en el dispositivo (lo que
también se conoce como tráfico entrante del host); el tráfico que se origina en el dispositivo (también
conocido como tráfico saliente de host) no se ve afectado.
• El rendimiento de la replicación de multidifusión y el reenvío no se ve afectado.

1438
SEE ALSO
Descripción del procesamiento del tráfico en los dispositivos de línea de SRX5000

Descripción de la caché de sesión
Introducción a la ruta Express
Ejemplo Habilitar la ruta de acceso Express en políticas de seguridad
Ruta exprés
Habilitar afinidad de sesión VPN
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en serie SRX dispositivos. Al
habilitar la afinidad de sesión VPN, se puede mejorar el rendimiento de VPN en ciertas condiciones. Esta
característica solo se admite en dispositivos SRX5400, SRX5600 y SRX5800. En esta sección se describe
cómo usar la CLI para habilitar la afinidad de sesión VPN.
Determine si las sesiones de texto simple se reenvían a las sesiones de túnel IPsec en una SPU diferente.
Utilice el show security flow session comando para mostrar información de sesión acerca de las
sesiones de texto sin cifrar.
user@host> show security flow session

Flow Sessions on FPC3 PIC0:
Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid

In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0,
Bytes: 0

In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid

In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386,
Bytes: 12026528
Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462,
Bytes: 12105912
Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid

In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0
Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0
Total sessions: 4
1439


Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid

In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44,
Bytes: 2399
Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes:
2449
Total sessions: 3
En el ejemplo, hay una sesión de túnel de FPC 3, PIC 0 y una sesión de texto simple en FPC 6, PIC 0.
Una sesión de reenvío (ID. de sesión 60017354) está configurada en FPC 3, PIC 0.
Junos OS Release 15.1 X49-D10 presenta la compatibilidad con la afinidad de sesión en IOCs (SRX5K-
MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] y SRX5K-MPC3-40G10G [IOC3]) y Junos OS versión 12.3
X48-D30 incluye compatibilidad con afinidad de sesión en IOC2. Puede habilitar la afinidad de sesión
para la sesión de túnel IPsec en el FPCs de IOC. Para habilitar la afinidad de VPN de IPsec, debe habilitar
también la caché de sesión en IOCs mediante set chassis fpc fpc-slot np-cache el comando.
Para habilitar la afinidad de sesión VPN:
1. En el modo de configuración, set use el comando para habilitar la afinidad de sesión VPN.
[edit]
user@host# set security flow load-distribution session-affinity ipsec
2. Compruebe los cambios en la configuración antes de comprometerse.
[edit]
user@host# commit check
3. Confirme la configuración.
[edit]
user@host# commit
1440
Después de habilitar la afinidad de sesión VPN, show security flow session utilice el comando para
mostrar información de sesión acerca de las sesiones de texto sin cifrar.
user@host> show security flow session


In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0,
Bytes: 0

Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid

In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425,
Bytes: 12031144
Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503,
Bytes: 12110680
Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid

In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10,
Bytes: 610
Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes:
602
Total sessions: 4


Total sessions: 2
Después de habilitar la afinidad de sesión VPN, la sesión de texto no cifrado siempre se encuentra en la
red de 3, PIC 0.
SEE ALSO
Descripción de la caché de sesión

1441
Introducción a la ruta Express
Aceleración del rendimiento de tráfico VPN de IPsec
Puede acelerar el rendimiento de IPsec VPN si configura el parámetro de aceleración de rendimiento. De

forma predeterminada, la aceleración de rendimiento de VPN está deshabilitada en serie SRX
dispositivos. La habilitación de la aceleración de rendimiento VPN puede mejorar el rendimiento de la
VPN con la afinidad de sesión VPN habilitada. Esta característica solo se admite en dispositivos
SRX5400, SRX5600 y SRX5800.
En este tema se describe cómo utilizar la CLI para habilitar la aceleración del rendimiento de VPN.
Para activar la aceleración del rendimiento, debe asegurarse de que las sesiones de texto no cifrado y las
sesiones de túnel IPsec se establecen en la misma unidad de procesamiento de servicios (SPU). A partir
de Junos OS versión 17.4 R1, el rendimiento de VPN de IPsec se optimiza cuando se habilitan las
características de afinidad de sesión VPN y aceleración de rendimiento. Para obtener más información
sobre cómo habilitar la afinidad de sesión, consulte Understanding VPN Session Affinity.
Para habilitar la aceleración del rendimiento de VPN de IPsec:
1. Habilite la afinidad de sesión VPN.
[edit]
2. Habilitar la aceleración de rendimiento de IPsec.
[edit]
user@host# set security flow ipsec-performance-acceleration
3. Compruebe los cambios en la configuración antes de comprometerse.
[edit]
user@host# commit check
4. Confirme la configuración.
[edit]
user@host# commit
1442
Después de habilitar la aceleración de rendimiento de show security flow status VPN, utilice el comando
para mostrar el estado de flujo.
Flow forwarding mode:

Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
SEE ALSO
IPSec-performance-Acceleration (flujo de seguridad)

Mostrar estado de flujo de seguridad
Perfil de distribución IPsec
A partir de Junos OS versión 19.2 R1, puede configurar uno o más perfiles de distribución IPsec para las
asociaciones de seguridad IPsec (SA). Los túneles se distribuyen de manera uniforme a través de todos
los recursos (SPC) especificados en el perfil de distribución configurado. Solo se admite en SPC3 y en
modo mixto (SPC3 + SPC2), no se admite en sistemas SPC1 y SPC2. Con el perfil de distribución IPsec,
use set security ipsec vpn vpn-name distribution-profile distribution-profile-name el comando para
asociar túneles a un especificado:
• Espacio
• RECOGER
De manera alternativa, puede utilizar los perfiles de distribución IPsec predeterminados:
• default-spc2-profile : use este perfil predeterminado predefinido para asociar túneles IPsec a todas
las tarjetas SPC2 disponibles.
1443
• default-spc3-profile : use este perfil predeterminado predefinido para asociar túneles IPsec a todas
las tarjetas SPC3 disponibles.
Ahora puede asignar un perfil a un objeto VPN específico, en el que todos los túneles asociados se
distribuirán en función de este perfil. Si no hay ningún perfil asignado al objeto VPN, el serie SRX
dispositivo distribuye automáticamente estos túneles uniformemente en todos los recursos.
Puede asociar un objeto de VPN a un perfil definido por el usuario o a uno predefinido (predeterminado).
A partir Junos OS versión 20.2R2, los IDs de subprocesos no válidos configurados para el perfil de
distribución se omiten sin mensaje de error de confirmación. El túnel IPsec se ancla según el perfil de
distribución configurado, ignorando los IPD de subprocesos no válidos si los hay para ese perfil.
En el siguiente ejemplo, todos los túneles asociados con el perfil ABC se distribuirán en la FPC 0, PIC 0.
userhost# show security {

distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Mejorar el rendimiento de IPsec con PowerMode IPsec
in this section
Ventajas de PowerMode IPsec | 1448
Configurando PMI de flujo de seguridad | 1448
PowerMode IPsec (PMI) es un nuevo modo de funcionamiento que proporciona mejoras de rendimiento
de IPSec mediante el procesamiento de paquetes vectoriales y las instrucciones de Intel AES-ni. PMI
utiliza un pequeño bloque de software dentro de la motor de reenvío de paquetes que omite el
procesamiento de flujo y utiliza el conjunto de instrucciones AES-NI para obtener un rendimiento
optimizado del procesamiento de IPsec y se activa cuando PMI está habilitado.
El procesamiento de PMI se habilita mediante set security flow power-mode-ipsec el comando modo de
configuración.
1444
Para deshabilitar el procesamiento de PMI delete security flow power-mode-ipsec , utilice el comando
modo de configuración para eliminar la instrucción de la configuración.
En el caso de los dispositivos SRX4100, SRX4200 que ejecutan Junos OS versión 18.4R1, dispositivos
SRX4600 que ejecutan Junos OS versión 20.4R1 y vSRX que ejecutan Junos OS versión 18.3R1 después
de activar o deshabilitar la PMI, debe reiniciar el dispositivo para que la configuración suba a efecto. Sin
embargo, para los dispositivos de línea de SRX5000 y vSRX instancias que se ejecutan Junos OS la
versión 19.2 R1, no es necesario reiniciar el reinicio.
La tarjeta de servicios MX-SPC3 no admite np-cache ni afinidad de sesión IPsec.
Puede comprobar el estado de la PMI y del túnel fat mediante el comando de modo show security flow
status operativo.
Puede comprobar las estadísticas de PMI con el show security flow pmi statistics operational mode
comando.
Una sesión de túnel puede ser PMI o no PMI. Si una sesión está configurada con cualquiera de las
funciones no compatibles enumeradas en, la sesión se marca como no PMI y el túnel pasará al modo no
Tabla 106 en la página 1444Tabla 107 en la página 1446 PMI. Una vez que el túnel entra en el modo no
PMI, no volverá al modo PMI.
Tabla 106 en la página 1444resume las funciones de PMI compatibles y no compatibles en dispositivos
serie SRX.
Tabla 106: Resumen de las funciones compatibles con IPsec de PowerMode en dispositivos de la serie
SRX
Características compatibles en PowerMode IPsec Características no compatibles de

PowerMode IPsec
Funcionalidad Intercambio de claves por red (ICR) Túneles IPSEC en IPsec
AutoVPN con los selectores de tráfico Capa 4-7 aplicaciones: Firewall y

AppSecure de aplicaciones
Alta disponibilidad Protocolo de túnel GPRS (GTP) y

servidores de seguridad de protocolo de
transmisión de control de transmisión
(SCTP)
IPv6 Tráfico de host

1445
SRX (Continued)

PowerMode IPsec
Cortafuegos de estado Destinatario
interfaz st0 Túneles anidados
Selectores de tráfico Opciones de pantalla
TDR-T Algoritmo de cifrado DES-CBC
Escenario GTP-U con distribución TEID y solución de túnel Algoritmo de cifrado 3DES-CBC
FAT asimétrico
Calidad de servicio (QoS) Capa de aplicación de enlace de red

(ALG)
Primera ruta de acceso y procesamiento rápido de la ruta

para el control de fragmentos y el cifrado unificado.
TDR
Algoritmo de cifrado AES-GCM -128 y AES-GCM-256.

Recomendamos que utilice el algoritmo de cifrado AES-
GSM para un rendimiento óptimo.
AES-CBC -128, AES-CBC-192 y AES-CBC-256 con

algoritmo de cifrado SHA1
AES-CBC -128, AES-CBC-192 y AES-CBC-256 con

algoritmo de cifrado SHA2
1446
SRX (Continued)

PowerMode IPsec
Algoritmo de cifrado NULL
Tabla 107 en la página 1446 resume las funciones de PMI compatibles y no compatibles en la tarjeta de
servicios MX-SPC3.
Tabla 107: Resumen de las funciones compatibles con PowerMode IPsec en la tarjeta de servicios MX-
SPC3
Características compatibles en PowerMode IPsec Características no compatibles

de PowerMode IPsec
Funcionalidad Intercambio de claves por red (ICR) Capa 4-7 aplicaciones: firewall de
aplicaciones, AppSecure y ALG
AutoVPN con selectores de tráfico, ADVPN Destinatario
Alta disponibilidad Túneles anidados
IPv6 Opciones de pantalla
Cortafuegos de estado Capa de aplicación de enlace de

red (ALG)
interfaz st0
Detección de punto muerto (DPD)

1447
Tabla 107: Resumen de las funciones compatibles con PowerMode IPsec en la tarjeta de servicios MX-
SPC3 (Continued)
Características compatibles en PowerMode IPsec Características no compatibles

de PowerMode IPsec
Comprobación contra la reproducción
TDR
Post/Pre fragmento
fragmentos de texto sin formato y fragmentos ESP entrantes
Algoritmo de cifrado AES-GCM-128 y AES-GCM-256.

Recomendamos que utilice el algoritmo de cifrado AES-GSM para
un rendimiento óptimo.
AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de

cifrado SHA1
AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de

cifrado SHA2
Algoritmo de cifrado NULL
Tenga en cuenta las consideraciones de uso siguientes con la PMI:
• El tamaño de la ventana Antireplay es de 64 paquetes de forma predeterminada. Si configura el túnel

de grasa, se recomienda aumentar el tamaño de la ventana Antireplay a mayor o igual que 512
paquetes.
• PMI realiza una comprobación previa a la fragmentación y posterior a la fragmentación. Si la PMI

detecta paquetes previos y de fragmentación, no se permiten los paquetes a través del modo PMI.
Los paquetes volverán a modo no PMI.
• Cualquier fragmento recibido en una interfaz no pasará por PMI.

1448
• La PMI se admite en el grupo de agregación de vínculos (LAG) y en las interfaces Ethernet

redundantes (reth).
• La PMI para TDR-T sólo es compatible con SRX5400, SRX5600 SRX5800 dispositivos equipados con
SRX5K-SPC3 Services Process Card (SPC) o vSRX.
A partir de la Junos OS de la versión 19.1 R1, clase de servicio (CoS) admite la configuración de las
funciones de clasificador de agregado de comportamiento de (BA), clasificador multicampo (MF) y regla
de reescritura en PMI en las tarjetas de la tarjeta de procesamiento de servicios de SRX5K SPC3 (SPC).
A partir de Junos OS Release 19.2 R1, PowerMode IPsec (PMI) admite el escenario GTP-U con la
distribución TEID y la solución de túnel FAT asimétrico.
A partir de Junos OS versión 19.3 R1, GTP-U, con distribución TEID y solución de túnel de grasa
asimétrica y software, en vSRX y vSRX 3,0.
Junos OS versión 19.3 R1 admite opciones AES-128-CBC, AES-192-CBC y AES-256-CBC en SRX4100,

SRX4200 vSRX y el modo de IPsec para mejorar el rendimiento de IPsec, junto con la compatibilidad
existente en modo normal.
A partir de Junos OS Release 19.4 R1, vSRX las instancias compatibles con
• Funciones de CoS por flujo para el tráfico de GTP-U en el modo PowerMode IPsec (PMI).
• Características de clase de servicio (CoS) en el modo PowerMode IPsec (PMI). Las siguientes
funciones CoS se admiten en el modo PMI:
• Hará
• Funciones de la regla de reescritura
• Cola
• Formación
• Programaremos
Ventajas de PowerMode IPsec
• Mejora el rendimiento de IPsec.
Configurando PMI de flujo de seguridad
En la sección siguiente se describe cómo configurar la PMI de flujo de seguridad.
Para configurar el flujo de seguridad PowerMode IPsec, es muy posible habilitar la caché de sesión en
IOCs y la afinidad de sesión:
1449
1. Habilitar la caché de sesión en IOCs (IOC2 y IOC3)
user@host# set chassis fpc <fpc-slot> np-cache
2. Habilitar afinidad de sesión VPN
3. Crear un flujo de seguridad en PMI.
user@host#set security flow power-mode-ipsec
4. Confirme su configuración introduciendo el show security comando.

flow {
power-mode-ipsec;
}
SEE ALSO

Funciones CoS basadas en flujo de PMI para GTP-U
Mostrar estadísticas de PMI de flujo de seguridad
Ejemplo Configurar clasificador de acumulación de comportamiento en

PMI
in this section
Aplicables | 1450

1450
Automática | 1451
Comproba | 1454
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para
un dispositivo SRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec (PMI).
Aplicables
• Serie SRX dispositivo.
Antes de empezar:
• Determine la clase de reenvío y PLP que se asignan de forma predeterminada a cada DSCP conocido
que desea configurar para el clasificador de agregados de comportamiento.
Configure los clasificadores agregados de comportamiento para clasificar los paquetes que contienen
puntos DSCP válidos en las colas adecuadas. Una vez configurado, aplica el clasificador de agregado de
comportamiento a las interfaces correctas. Para reemplazar el clasificador de precedencia de IP
predeterminado, puede definir un clasificador y aplicarlo a una interfaz lógica. Para definir nuevos
clasificadores para todos los tipos de punto de código classifiers , incluya la [edit class-of-service]
instrucción en el nivel jerárquico.
En este ejemplo, establezca el comportamiento de DSCP agrega un clasificador ba-classifier como el

mapa de DSCP predeterminado. Establezca una clase de reenvío de mejor esfuerzo be-classcomo una
clase de reenvío acelerado ef-classcomo, una clase de reenvío af-classasegurada como y una clase de
reenvío nc-classde control de red como. Por último, aplique el comportamiento clasificador de agregado
a la interfaz GE-0/0/0.
La tabla 2 muestra cómo el comportamiento agrega un clasificador que asigna prioridades de pérdida, a
paquetes entrantes en las cuatro clases de reenvío.
1451
Tabla 108: Ejemplo de asignación de prioridad de pérdida de clasificador de BA
Clase de reenvío MF- Para el tipo de tráfico CoS asignaciones de clasificador de BA

Classifier
be-class Tráfico de mejor esfuerzo Punto de código de alta prioridad: 000001
ef-class Agilizar el reenvío de tráfico Punto de código de alta prioridad: 101111
af-class Asegurar el tráfico de reenvío Punto de código de alta prioridad: 001100
nc-class Tráfico de control de red Punto de código de alta prioridad: 110001
Automática
in this section
Configuración rápida de CLI | 1451
Modalidades | 1452
Resultados | 1453

set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points
000001
101111
001100
1452
set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points
110001
Modalidades
en Junos OS CLI usuario.
Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:
1. Configure la clase de servicio.
[edit]
user@host# edit class-of-service
2. Configure los clasificadores agregados de comportamiento para los co de servicios diferenciados

(DiffServ).

user@host# set forwarding-class be-class loss-priority high code-points 000001
4. Configure un clasificador de clase de reenvío acelerado.

1453
5. Configure un clasificador de clase de reenvío asegurado.

6. Configure un clasificador de clase de reenvío de control de red.

user@host# set forwarding-class nc-class loss-priority high code-points 110001
7. Aplica el comportamiento clasificador de agregado a una interfaz.
[edit]
user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados

[edit]
classifiers {
import default;
forwarding-class be-class {
}
}
}
forwarding-class nc-class {
}
1454
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Comproba
in this section
Comprobando que el clasificador se aplica a las interfaces | 1454
Comprobando que el clasificador se aplica a las interfaces
Purpose
Asegúrese de que el clasificador se aplica a las interfaces correctas.
Intervención
Desde el modo operativo, escriba el show class-of-service interface ge-0/0/0 comando.
user@host> show class-of-service interface ge-0/0/0

Physical interface: ge-0/0/0, Index: 144
Queues supported: 8, Queues in use: 4
Scheduled map: <default>, Index:2
Congestion-notification: Disabled
LOgical interface: ge-1/0/3, Index: 333

1455
Object Name Type Index

Classifier v4-ba-classifier dscp 10755
Efectos
Las interfaces se configuran según lo esperado.
Ejemplo Configuración de un clasificador de agregado de

comportamiento en PMI para instancias de vSRX
in this section
Aplicables | 1455
Automática | 1456
Comproba | 1461
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para
una instancia de vSRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec
(PMI).
Aplicables
• Una instancia vSRX.
• Junos OS versión 19.4 R1 y posterior.
Antes de empezar:
• Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma
predeterminada a cada DSCP conocido que desea configurar para el clasificador de agregados de
comportamiento.
1456


Classifier
Automática
in this section
Modalidades | 1457
Resultados | 1459
1457
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be

set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef
set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41
set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21
set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6
set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50
set class-of-service forwarding-classes queue 0 be
set class-of-service forwarding-classes queue 1 ef
set class-of-service forwarding-classes queue 2 low_delay
set class-of-service forwarding-classes queue 3 low_loss
set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k
set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
set class-of-service schedulers voice buffer-size temporal 5k
set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Modalidades

1458
[edit]

(DiffServ).

user@host# set forwarding-class be loss-priority low code-points be

user@host# set forwarding-class ef-class loss-priority low code-points ef
user@host# set forwarding-class ef-class loss-priority high code-points af41
user@host# set forwarding-class low_delay loss-priority low code-points af21
user@host# set forwarding-class low_loss loss-priority low code-points cs6
5. Configure los perfiles de colocación.
[edit class-of-service drop-profiles]

user@host# set drop_profile fill-level 20 drop-probability 50
6. Configure las colas de las clases de reenvío.
[edit class-of-service forwarding-classes ]

user@host# set queue 0 be
1459
user@host# set queue 1 ef

user@host# set queue 2 low_delay
user@host# set 3 low_loss
7. Aplique el clasificador a las interfaces.
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
8. Configure los programadores.
user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
user@host# set schedulers voice buffer-size temporal 5k
user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile
drop_profile
Resultados

[edit]
classifiers {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
1460
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
}
}
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile
drop_profile;
1461
}
}
Comproba
in this section
Purpose
Compruebe que el clasificador esté configurado correctamente y confirme que las clases de reenvío
están configuradas correctamente.
Intervención
Desde el modo operativo, escriba el show class-of-service forwarding-class comando.
user@host> show class-of-service forwarding-class

Forwarding class ID Queue Restricted queue Fabric
priority Policing priority SPU priority
be 0 0 0
low normal low
ef 1 1 1
low normal low
low_delay 2 2 2
low normal low
low_loss 3 3 3
low normal low
1462
Efectos
El resultado muestra la configuración personalizada del clasificador configurada.
Ejemplo Configuración y aplicación de un filtro de Firewall para un

clasificador multicampo en PMI
in this section
Aplicables | 1462
Automática | 1463
Comproba | 1468
En este ejemplo se muestra cómo configurar un filtro de Firewall para clasificar el tráfico en una clase de
reenvío diferente utilizando el valor DSCP y el clasificador multicampo (MF) en PowerMode IPsec (PMI).
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan en una
interfaz. Los clasificadores MF se utilizan cuando un clasificador de agregado de comportamiento simple
(BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen
bits CoS marcados o el marcado del enrutador de emparejamiento no es de confianza.
Aplicables
Antes de empezar:
• Determine la clase de reenvío que se asigna de forma predeterminada a cada DSCP conocido que
desea configurar para el clasificador MF. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
En este ejemplo se explica cómo configurar el filtro mf-classifierFirewall. Para configurar el clasificador
MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, defina la condición de
1463
coincidencia y, a continuación, especifique la dirección de destino como 192.168.44.55. Cree la clase de

reenvío para asegurar el reenvío del af-class tráfico Diffserv como y establezca la prioridad de pérdida en
baja.
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la
condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de
destino como 192.168.66.77. Cree la clase de reenvío para el tráfico DiffServ de reenvío ef-class rápido
como y establezca la policíaría ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red
y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase nc-class de tráfico de control
de red como y asigne a la clase de reenvío el nombre de la clase de tráfico "Best-Effort" be-class. Por
último, aplique el filtro de Firewall de clasificadores multicampo como filtro de entrada y salida en cada
uno de los clientes o a los que el cliente necesite el filtro. En este ejemplo, la interfaz para el filtro de
entrada es GE-0/0/2 y la interfaz para el filtro de salida es GE-0/0/4.
Automática
in this section
Modalidades | 1464
Resultados | 1466
set firewall filter mf-classifier interface-specific

set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55
set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class
set firewall filter mf-classifier term assured-forwarding then loss-priority low
set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77
set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class
set firewall filter mf-classifier term expedited-forwarding then policer ef-policer
set firewall filter mf-classifier term network-control from precedence net-control
1464
set firewall filter mf-classifier term network-control then forwarding-class nc-class

set firewall filter mf-classifier term best-effort then forwarding-class be-class
set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Modalidades
Para configurar un filtro de Firewall para un clasificador multicampo para un dispositivo en PMI:
1. Cree y asigne un nombre al filtro de clasificador multicampo.
[edit]
user@host# edit firewall filter mf-classifier
user@host# set interface-specific
2. Cree y asigne un nombre al término para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier]

user@host# edit term assured-forwarding
3. Especifique la dirección de destino para asegurar el reenvío del tráfico.
[edit firewall filter mf-classifier term assured-forwarding]

user@host# set from destination-address 192.168.44.55
4. Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío
asegurado.

user@host# set then forwarding-class af-class
user@host# set then loss-priority low
1465
5. Cree y asigne un nombre al término para la clase de tráfico de reenvío acelerado.
[edit]
user@host# edit term expedited-forwarding
6. Especifique la dirección de destino para el tráfico de reenvío acelerado.
[edit firewall filter mf-classifier term expedited-forwarding]

7. Cree la clase de reenvío y aplique la policía para la clase de tráfico de reenvío acelerado.

user@host# set then forwarding-class ef-class
user@host# set then policer ef-policer
8. Cree y asigne un nombre al término para la clase de tráfico de control de red.
[edit]
user@host# edit term network-control
9. Cree la condición de coincidencia para la clase de tráfico de control de red.
[edit firewall filter mf-classifier term network-control]

user@host# set from precedence net-control
10. Cree y asigne un nombre a la clase de enrutamiento para la clase de tráfico de control de red.

user@host# set then forwarding-class nc-class
1466
11. Cree y asigne un nombre al término para la clase de tráfico "Best-Effort".
[edit]
user@host# edit term best-effort
12. Cree y asigne un nombre a la clase de transferencia de la clase de tráfico "Best-Effort".
[edit firewall filter mf-classifier term best-effort]

user@host# set then forwarding-class be-class
13. Aplique el filtro de cortafuegos de clasificador multicampo como filtro de entrada.
[edit]
user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
14. Aplique el filtro de cortafuegos de clasificador multicampo como filtro de salida.
[edit]
user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, escriba el show firewall filter mf-classifier comando para confirmar la
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
192.168.44.55/32;
}
}
then {
1467
loss-priority low;
}
}
term expedited-forwarding {
from {
192.168.66.77/32;
}
}
then {
policer ef-policer;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, escriba el show interfaces comando para confirmar la configuración. Si
el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
1468
family inet {
filter {
output mf-classifier;
}
}
}
}
Comproba
in this section
Verificación de un filtro de cortafuegos para una configuración de clasificador multicampo | 1468
Verificación de un filtro de cortafuegos para una configuración de clasificador multicampo
Purpose
Compruebe que hay un filtro de Firewall para un clasificador multicampo configurado correctamente en
un dispositivo y confirme que las clases de reenvío se han configurado correctamente.
Intervención
En el modo de configuración, show class-of-service forwarding-class escriba el comando.

BE-data 0 0 0
low normal low
Premium-data 1 1 1
low normal low
Voice 2 2 2
low normal low
1469
NC 3 3 3
low normal low
Efectos
Ejemplo Configuración y aplicación de reglas de reescritura en un

dispositivo de seguridad en PMI
in this section
Aplicables | 1469
Automática | 1470
Comproba | 1473
En este ejemplo, se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en
PowerMode IPsec (PMI).
Aplicables
Antes de empezar:
• Crear y configurar las clases de reenvío. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Este ejemplo explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en
paquetes recibidos del cliente o host con los valores esperados por otros dispositivos SRX. No es
necesario que configure las reglas de reescritura si los paquetes recibidos ya contienen valores CoS
válidos. Reglas de reescritura aplican la información de clase de reenvío y la prioridad de pérdida de
1470
paquetes que utiliza internamente el dispositivo para establecer el valor de la CES en los paquetes
salientes. Una vez configuradas las reglas de reescritura, aplíquelos a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para la rewrite-dscpsCES Diffserv como. Especifique la
clase de reenvío Best-Effort be-classcomo una clase de reenvío acelerado como ef-class, una clase de
transferencia af-classasegurada como, y una clase nc-classde control de red como. Por último, aplique la
regla de reescritura a la interfaz GE-0/0/0.
Automática
in this section
Modalidades | 1471
Resultados | 1472
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point
000000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point
000001
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point
101110
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point
101111
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point
001010
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point
001100
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point
110000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point
1471
110001
set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Modalidades
Para configurar y aplicar reglas de reescritura para un dispositivo en PMI:
1. Configure reglas de reescritura para CoS DiffServ.
[edit]
user@host# edit rewrite-rules dscp rewrite-dscps
2. Configure reglas de reescritura de clase de reenvío de mejor esfuerzo.
[edit class-of-service rewrite-rules dscp rewrite-dscps]

user@host# set forwarding-class be-class loss-priority low code-point 000000
user@host# set forwarding-class be-class loss-priority high code-point 000001
3. Configure reglas de reescritura de clase de envío acelerado.

user@host# set forwarding-class ef-class loss-priority low code-point 101110
user@host# set forwarding-class ef-class loss-priority high code-point 101111
4. Configure una regla de reescritura de clase de reenvío asegurado.

user@host# set forwarding-class af-class loss-priority low code-point 001010
user@host# set forwarding-class af-class loss-priority high code-point 001100
1472
5. Configure una regla de reescritura de clase de control de red.

user@host# set forwarding-class nc-class loss-priority low code-point 110000
user@host# set forwarding-class nc-class loss-priority high code-point 110001
6. Aplicar reglas de reescritura a una interfaz.
user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados

[edit]
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
}
1473

}
}
}
}
Comproba
in this section
Comprobando configuración de reglas de reescritura | 1473
Comprobando configuración de reglas de reescritura
Purpose
Compruebe que las reglas de reescritura están configuradas correctamente.
Intervención
Desde el modo operativo, escriba el show class-of-service comando.
user@host> show class-of-service

Maximum usable queues: 8, Queues in use: 4
LOgical interface: ge0/0/0, Index: 71

1474

Classifier ipprec-compatibility ip 13
Efectos
Las reglas de reescritura se configuran en la interfaz GE-0/0/0 como se esperaba.
Configure el modo de solo autenticación ESP de IPsec en PMI
La IPsec PowerMode (PMI) introdujo una nueva ruta de datos para lograr un rendimiento alto de
rendimiento de IPsec. A partir de Junos OS versión 19.4 R1, en dispositivos de la serie SRX5000 con
tarjeta SRX5K-SPC3, puede usar el modo solo de autenticación carga de seguridad de encapsulación
(ESP) en modo PMI, que proporciona autenticación, comprobación de integridad y protección de
reproducción sin cifrando los paquetes de datos.
Antes de empezar:
• Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN.
Para configurar el modo sólo de autenticación ESP:
1. Configure la propuesta y la directiva IPsec.
user@host# set security ipsec proposal IPSEC_PROP protocol esp

user@host# set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128
user@host# set security ipsec policy IPSEC_POL proposals IPSEC_PROP
2. Confirme su configuración introduciendo el show security ipsec comando.

protocol esp;
}
policy IPSEC_POL {
}

1475
SEE ALSO
Descripción de la interfaz de bucle invertido para una VPN de alta

disponibilidad
En una configuración de túnel VPN de IPsec, debe especificarse una interfaz externa para comunicarse
con la puerta de enlace de ICR del mismo nivel. Especificar una interfaz de bucle de retroceso para la
interfaz externa de una VPN es una buena práctica cuando hay varias interfaces físicas que se pueden
usar para alcanzar una puerta de enlace del mismo nivel. Al delimitar un túnel VPN en la interfaz de
bucle invertido se elimina la dependencia de una interfaz física para que el enrutamiento sea correcto.
El uso de una interfaz de bucle invertido para túneles VPN se admite en dispositivos serie SRX
independientes, así como en dispositivos serie SRX en los clústeres del chasis. En un clúster de chasis de
implementación activa-pasiva, puede crear una interfaz lógica de bucle invertido y convertirla en
miembro de un grupo de redundancia para que pueda usarse para anclar túneles VPN. La interfaz de
bucle invertido se puede configurar en cualquier grupo de redundancia y se asigna como la interfaz
externa para la puerta de enlace de ICR. Los paquetes VPN se procesan en el nodo donde el grupo de
redundancia está activo.
En los dispositivos SRX5400, SRX5600 y SRX5800, si la interfaz de bucle de retroceso se utiliza como
interfaz externa de puerta de enlace de ICR, debe configurarse en un grupo de redundancia distinto de
RG0.
En una instalación del clúster del chasis, el nodo en el que está activa la interfaz externa Selecciona una
SPU para anclar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, una
interfaz externa activa determina el anclaje de la SPU.
Puede utilizar el show chassis cluster interfaces comando para ver información acerca de la
pseudointerface redundante.
SEE ALSO
Mostrar interfaces de clúster de chasis

1476
release-history

in release-
history
12.3X48-D50 A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS
Release 17.3 R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400,
SRX5600 y SRX5800, la sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y
algoritmos de autenticación en la unidad de procesamiento de servicios Premium (SPU).
17.4R1 A partir de Junos OS versión 17.4 R1, el rendimiento de VPN de IPsec se optimiza cuando se
habilitan las características de afinidad de sesión VPN y aceleración de rendimiento.
Junos OS Release A partir Junos OS versión 20.2R2, los IDs de subprocesos no válidos configurados para el perfil
20.2R de distribución se omiten sin mensaje de error de confirmación. El túnel IPsec se ancla según el
perfil de distribución configurado, ignorando los IPD de subprocesos no válidos si los hay para
ese perfil.

PowerMode IPSec
in this section
Ejemplo Configuración de un clasificador de agregado de comportamiento en PMI para instancias de

vSRX | 1482
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en PMI | 1489
Ejemplo Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en PMI | 1496
1477
Ejemplo Configurar clasificador de acumulación de comportamiento en

PMI
in this section
Aplicables | 1477
Automática | 1478
Comproba | 1481
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para
un dispositivo SRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec (PMI).
Aplicables
Antes de empezar:
• Determine la clase de reenvío y PLP que se asignan de forma predeterminada a cada DSCP conocido
que desea configurar para el clasificador de agregados de comportamiento.

1478

Classifier
Automática
in this section
Modalidades | 1479
Resultados | 1480

set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points
000001
1479
101111
001100
set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points
110001
Modalidades
[edit]

(DiffServ).

user@host# set forwarding-class be-class loss-priority high code-points 000001

1480
5. Configure un clasificador de clase de reenvío asegurado.

6. Configure un clasificador de clase de reenvío de control de red.

user@host# set forwarding-class nc-class loss-priority high code-points 110001
7. Aplica el comportamiento clasificador de agregado a una interfaz.
[edit]
user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados

[edit]
classifiers {
import default;
}
}
}
}
1481
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Comproba
in this section
Purpose
Asegúrese de que el clasificador se aplica a las interfaces correctas.
Intervención
Desde el modo operativo, escriba el show class-of-service interface ge-0/0/0 comando.
user@host> show class-of-service interface ge-0/0/0

Queues supported: 8, Queues in use: 4
LOgical interface: ge-1/0/3, Index: 333

1482

Classifier v4-ba-classifier dscp 10755
Efectos
Las interfaces se configuran según lo esperado.
Ejemplo Configuración de un clasificador de agregado de

comportamiento en PMI para instancias de vSRX
in this section
Aplicables | 1482
Automática | 1483
Comproba | 1488
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para
una instancia de vSRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec
(PMI).
Aplicables
• Una instancia vSRX.
• Junos OS versión 19.4 R1 y posterior.
Antes de empezar:
• Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma
predeterminada a cada DSCP conocido que desea configurar para el clasificador de agregados de
comportamiento.
1483


Classifier
Automática
in this section
Modalidades | 1484
Resultados | 1486
1484
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be

set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef
set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21
set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6
set class-of-service forwarding-classes queue 0 be
set class-of-service forwarding-classes queue 1 ef
set class-of-service forwarding-classes queue 2 low_delay
set class-of-service forwarding-classes queue 3 low_loss
set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k
set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
set class-of-service schedulers voice buffer-size temporal 5k
set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Modalidades

1485
[edit]

(DiffServ).

user@host# set forwarding-class be loss-priority low code-points be

user@host# set forwarding-class ef-class loss-priority low code-points ef
user@host# set forwarding-class low_delay loss-priority low code-points af21
user@host# set forwarding-class low_loss loss-priority low code-points cs6
5. Configure los perfiles de colocación.
[edit class-of-service drop-profiles]

6. Configure las colas de las clases de reenvío.
[edit class-of-service forwarding-classes ]

user@host# set queue 0 be
1486
user@host# set queue 1 ef

user@host# set queue 2 low_delay
user@host# set 3 low_loss
7. Aplique el clasificador a las interfaces.
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
8. Configure los programadores.
user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
user@host# set schedulers voice buffer-size temporal 5k
user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile
drop_profile
Resultados

[edit]
classifiers {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
1487
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
}
}
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile
drop_profile;
1488
}
}
Comproba
in this section
Purpose
Compruebe que el clasificador esté configurado correctamente y confirme que las clases de reenvío
están configuradas correctamente.
Intervención
Desde el modo operativo, escriba el show class-of-service forwarding-class comando.

be 0 0 0
low normal low
ef 1 1 1
low normal low
low_delay 2 2 2
low normal low
low_loss 3 3 3
low normal low
1489
Efectos
Ejemplo Configuración y aplicación de un filtro de Firewall para un

clasificador multicampo en PMI
in this section
Aplicables | 1489
Automática | 1490
Comproba | 1495
En este ejemplo se muestra cómo configurar un filtro de Firewall para clasificar el tráfico en una clase de
reenvío diferente utilizando el valor DSCP y el clasificador multicampo (MF) en PowerMode IPsec (PMI).
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan en una
interfaz. Los clasificadores MF se utilizan cuando un clasificador de agregado de comportamiento simple
(BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen
bits CoS marcados o el marcado del enrutador de emparejamiento no es de confianza.
Aplicables
Antes de empezar:
• Determine la clase de reenvío que se asigna de forma predeterminada a cada DSCP conocido que
desea configurar para el clasificador MF. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
En este ejemplo se explica cómo configurar el filtro mf-classifierFirewall. Para configurar el clasificador
MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, defina la condición de
1490
coincidencia y, a continuación, especifique la dirección de destino como 192.168.44.55. Cree la clase de

reenvío para asegurar el reenvío del af-class tráfico Diffserv como y establezca la prioridad de pérdida en
baja.
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la
condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de
destino como 192.168.66.77. Cree la clase de reenvío para el tráfico DiffServ de reenvío ef-class rápido
como y establezca la policíaría ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red
y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase nc-class de tráfico de control
de red como y asigne a la clase de reenvío el nombre de la clase de tráfico "Best-Effort" be-class. Por
último, aplique el filtro de Firewall de clasificadores multicampo como filtro de entrada y salida en cada
uno de los clientes o a los que el cliente necesite el filtro. En este ejemplo, la interfaz para el filtro de
entrada es GE-0/0/2 y la interfaz para el filtro de salida es GE-0/0/4.
Automática
in this section
Modalidades | 1491
Resultados | 1493
set firewall filter mf-classifier interface-specific

set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55
set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class
set firewall filter mf-classifier term assured-forwarding then loss-priority low
set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77
set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class
set firewall filter mf-classifier term expedited-forwarding then policer ef-policer
set firewall filter mf-classifier term network-control from precedence net-control
1491
set firewall filter mf-classifier term network-control then forwarding-class nc-class

set firewall filter mf-classifier term best-effort then forwarding-class be-class
set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Modalidades
Para configurar un filtro de Firewall para un clasificador multicampo para un dispositivo en PMI:
1. Cree y asigne un nombre al filtro de clasificador multicampo.
[edit]
user@host# set interface-specific
2. Cree y asigne un nombre al término para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier]

user@host# edit term assured-forwarding
3. Especifique la dirección de destino para asegurar el reenvío del tráfico.

4. Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío
asegurado.

user@host# set then forwarding-class af-class
user@host# set then loss-priority low
1492
5. Cree y asigne un nombre al término para la clase de tráfico de reenvío acelerado.
[edit]
user@host# edit term expedited-forwarding
6. Especifique la dirección de destino para el tráfico de reenvío acelerado.

7. Cree la clase de reenvío y aplique la policía para la clase de tráfico de reenvío acelerado.

user@host# set then forwarding-class ef-class
user@host# set then policer ef-policer
8. Cree y asigne un nombre al término para la clase de tráfico de control de red.
[edit]
user@host# edit term network-control
9. Cree la condición de coincidencia para la clase de tráfico de control de red.

user@host# set from precedence net-control
10. Cree y asigne un nombre a la clase de enrutamiento para la clase de tráfico de control de red.

user@host# set then forwarding-class nc-class
1493
11. Cree y asigne un nombre al término para la clase de tráfico "Best-Effort".
[edit]
user@host# edit term best-effort
12. Cree y asigne un nombre a la clase de transferencia de la clase de tráfico "Best-Effort".
[edit firewall filter mf-classifier term best-effort]

user@host# set then forwarding-class be-class
13. Aplique el filtro de cortafuegos de clasificador multicampo como filtro de entrada.
[edit]
user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
14. Aplique el filtro de cortafuegos de clasificador multicampo como filtro de salida.
[edit]
user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, escriba el show firewall filter mf-classifier comando para confirmar la
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
192.168.44.55/32;
}
}
then {
1494
loss-priority low;
}
}
term expedited-forwarding {
from {
192.168.66.77/32;
}
}
then {
policer ef-policer;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, escriba el show interfaces comando para confirmar la configuración. Si
el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
1495
family inet {
filter {
output mf-classifier;
}
}
}
}
Comproba
in this section
Verificación de un filtro de cortafuegos para una configuración de clasificador multicampo | 1495
Verificación de un filtro de cortafuegos para una configuración de clasificador multicampo
Purpose
Compruebe que hay un filtro de Firewall para un clasificador multicampo configurado correctamente en
un dispositivo y confirme que las clases de reenvío se han configurado correctamente.
Intervención
En el modo de configuración, show class-of-service forwarding-class escriba el comando.

BE-data 0 0 0
low normal low
Premium-data 1 1 1
low normal low
Voice 2 2 2
low normal low
1496
NC 3 3 3
low normal low
Efectos
Ejemplo Configuración y aplicación de reglas de reescritura en un

dispositivo de seguridad en PMI
in this section
Aplicables | 1496
Automática | 1497
Comproba | 1500
En este ejemplo, se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en
PowerMode IPsec (PMI).
Aplicables
Antes de empezar:
• Crear y configurar las clases de reenvío. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Este ejemplo explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en
paquetes recibidos del cliente o host con los valores esperados por otros dispositivos SRX. No es
necesario que configure las reglas de reescritura si los paquetes recibidos ya contienen valores CoS
válidos. Reglas de reescritura aplican la información de clase de reenvío y la prioridad de pérdida de
1497
paquetes que utiliza internamente el dispositivo para establecer el valor de la CES en los paquetes
salientes. Una vez configuradas las reglas de reescritura, aplíquelos a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para la rewrite-dscpsCES Diffserv como. Especifique la
clase de reenvío Best-Effort be-classcomo una clase de reenvío acelerado como ef-class, una clase de
transferencia af-classasegurada como, y una clase nc-classde control de red como. Por último, aplique la
regla de reescritura a la interfaz GE-0/0/0.
Automática
in this section
Modalidades | 1498
Resultados | 1499
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point
000000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point
000001
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point
101110
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point
101111
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point
001010
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point
001100
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point
110000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point
1498
110001
set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Modalidades
Para configurar y aplicar reglas de reescritura para un dispositivo en PMI:
1. Configure reglas de reescritura para CoS DiffServ.
[edit]
user@host# edit rewrite-rules dscp rewrite-dscps
2. Configure reglas de reescritura de clase de reenvío de mejor esfuerzo.

user@host# set forwarding-class be-class loss-priority low code-point 000000
user@host# set forwarding-class be-class loss-priority high code-point 000001
3. Configure reglas de reescritura de clase de envío acelerado.

user@host# set forwarding-class ef-class loss-priority low code-point 101110
user@host# set forwarding-class ef-class loss-priority high code-point 101111
4. Configure una regla de reescritura de clase de reenvío asegurado.

user@host# set forwarding-class af-class loss-priority low code-point 001010
user@host# set forwarding-class af-class loss-priority high code-point 001100
1499
5. Configure una regla de reescritura de clase de control de red.

user@host# set forwarding-class nc-class loss-priority low code-point 110000
user@host# set forwarding-class nc-class loss-priority high code-point 110001
6. Aplicar reglas de reescritura a una interfaz.
user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados

[edit]
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
}
}
1500

}
}
}
}
Comproba
in this section
Comprobando configuración de reglas de reescritura | 1500
Comprobando configuración de reglas de reescritura
Purpose
Compruebe que las reglas de reescritura están configuradas correctamente.
Intervención
Desde el modo operativo, escriba el show class-of-service comando.
user@host> show class-of-service

Maximum usable queues: 8, Queues in use: 4
LOgical interface: ge0/0/0, Index: 71

1501

Classifier ipprec-compatibility ip 13
Efectos
Las reglas de reescritura se configuran en la interfaz GE-0/0/0 como se esperaba.
Configure el modo de solo autenticación ESP de IPsec en PMI
La IPsec PowerMode (PMI) introdujo una nueva ruta de datos para lograr un rendimiento alto de
rendimiento de IPsec. A partir de Junos OS versión 19.4 R1, en dispositivos de la serie SRX5000 con
tarjeta SRX5K-SPC3, puede usar el modo solo de autenticación carga de seguridad de encapsulación
(ESP) en modo PMI, que proporciona autenticación, comprobación de integridad y protección de
reproducción sin cifrando los paquetes de datos.
Antes de empezar:
• Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN.
Para configurar el modo sólo de autenticación ESP:
1. Configure la propuesta y la directiva IPsec.
user@host# set security ipsec proposal IPSEC_PROP protocol esp

user@host# set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128
user@host# set security ipsec policy IPSEC_POL proposals IPSEC_PROP
2. Confirme su configuración introduciendo el show security ipsec comando.

protocol esp;
}
policy IPSEC_POL {
}

1502
SEE ALSO
Descripción de la interfaz de bucle invertido para una VPN de alta

disponibilidad
En una configuración de túnel VPN de IPsec, debe especificarse una interfaz externa para comunicarse
con la puerta de enlace de ICR del mismo nivel. Especificar una interfaz de bucle de retroceso para la
interfaz externa de una VPN es una buena práctica cuando hay varias interfaces físicas que se pueden
usar para alcanzar una puerta de enlace del mismo nivel. Al delimitar un túnel VPN en la interfaz de
bucle invertido se elimina la dependencia de una interfaz física para que el enrutamiento sea correcto.
El uso de una interfaz de bucle invertido para túneles VPN se admite en dispositivos serie SRX
independientes, así como en dispositivos serie SRX en los clústeres del chasis. En un clúster de chasis de
implementación activa-pasiva, puede crear una interfaz lógica de bucle invertido y convertirla en
miembro de un grupo de redundancia para que pueda usarse para anclar túneles VPN. La interfaz de
bucle invertido se puede configurar en cualquier grupo de redundancia y se asigna como la interfaz
externa para la puerta de enlace de ICR. Los paquetes VPN se procesan en el nodo donde el grupo de
redundancia está activo.
En los dispositivos SRX5400, SRX5600 y SRX5800, si la interfaz de bucle de retroceso se utiliza como
interfaz externa de puerta de enlace de ICR, debe configurarse en un grupo de redundancia distinto de
RG0.
En una instalación del clúster del chasis, el nodo en el que está activa la interfaz externa Selecciona una
SPU para anclar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, una
interfaz externa activa determina el anclaje de la SPU.
Puede utilizar el show chassis cluster interfaces comando para ver información acerca de la
pseudointerface redundante.
SEE ALSO
Mostrar interfaces de clúster de chasis

16
Solución de problemas
Solución de problemas de un túnel VPN de flapping | 1504
Solución de problemas de una VPN que está en servicio pero no pasa tráfico |
1507
Solución de problemas de un túnel VPN que no está disponible | 1512
Cómo analizar los mensajes ICR de estado de VPN de fase 2 | 1514

1504
Solución de problemas de un túnel VPN de flapping
in this section
Relacionado | 1504
Diagnóstico | 1504
Relacionado
Descripción
Túnel VPN de sitio a sitio o flapping de túnel VPN IPsec remoto (es decir, subir y bajar en rápida
sucesión).
Diagnóstico
1. ¿El problema solo afecta a una VPN?
• Así Compruebe los registros del sistema y continúe con el paso 2. Utilice el show log messages
comando para ver los registros. Debe habilitar el registro a nivel de información para que los
mensajes se informen correctamente.
user@host # set system syslog file messages any info
A continuación, se muestran ejemplos de registros del sistema que informan sobre un túnel VPN
de flapping:
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2

is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local
IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable,
VR id: 4
Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2
1505
is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
VR id: 4
Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2
is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
VR id: 4
Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2
is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4,

Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0),
Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI:
0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI:
0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
1506
• Campo Si el problema se encuentra en todas las VPN configuradas, investigue los errores
asociados con la conexión a Internet, así como en las interfaces del dispositivo y del conmutador
de la serie SRX. Para comprobar si hay errores en la interfaz de dispositivo de la serie SRX, ejecute
el show interfaces extensive comando.
2. Compruebe que la supervisión VPN está habilitada para esta VPN mediante el show configuration
security ipsec vpn vpn-name comando.
¿Está habilitada la supervisión de VPN?
• Así Continúe con el paso 3.
• Campo Continúe con el paso 5.
3. Desactive la supervisión VPN y compruebe la VPN.
user@host# deactivate security ipsec vpn vpn-name vpn-monitor

user@host# commit
¿La VPN es estable?
• Así La inseguridad está relacionada con la configuración del monitor VPN. Continúe con el paso 4.
4. ¿Está configurada la conexión VPN remota para bloquear las solicitudes de echo ICMP?
• Así Volver a configurar y volver a configurar el monitor VPN para usar las opciones de IP de
destino y interfaz de origen. Consulte KB10119.
5. ¿Es el dispositivo remoto que está conectado al dispositivo de la serie SRX un dispositivo que no
Juniper dispositivo?
• Así Verifique el valor del id de proxy en el dispositivo de la serie SRX y el dispositivo VPN par.
6. ¿La VPN estaba estable durante un período de tiempo y luego comenzó a subir y bajar?
• Así Investigar si hay cambios en la red o en los dispositivos, o si se ha agregado algún equipo de
red nuevo al entorno.
• Campo Recopile los registros de sitio a sitio desde los dispositivos VPN en ambos extremos y abra
un caso con su representante de soporte técnico. Consulte Recopilación de datos para el soporte
al cliente.
1507
Solución de problemas de una VPN que está en

servicio pero no pasa tráfico
in this section
Relacionado | 1507
Solución | 1507
Relacionado
Descripción
La VPN está en servicio, pero no pasa tráfico en una o en ambas direcciones.
Este tema ayuda a solucionar los problemas que podrían impedir que el tráfico pase por un túnel VPN
activo.
Environment
VIRTUALES
Solución
1. Compruebe si la asociación de seguridad de VPN (SA) está activa: show security ipsec security-
associations
user@CORPORATE> show security ipsec security-associations

<32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0
>32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
1508
Si la puerta de enlace VPN se muestra, el túnel se establece y está en servicio. El resultado muestra
dos líneas para cada túnel VPN que muestran la información SPI para cada dirección de tráfico.
El campo lo utiliza la supervisión de VPN para mostrar el estado del túnel y MON tiene uno de los
siguientes valores:
• - (guión): El túnel VPN está activo y la función opcional del monitor VPN no está configurada.
• U (hacia arriba): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está
activo.
• D (abajo): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está caído.
• Yes: El estado de SA de IPsec está activo o activo. Continúe con el paso "2" en la página 1508 .
• No: El estado de SA de IPsec no está disponible. Consulte Cómo solucionar problemas de un

túnel VPN que está o no activo.
2. Compruebe si la VPN usa la interfaz de circuito cerrado lo0 como interfaz externa: show
configuration security ike
root> show configuration security ike

policy ike_pol {
pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2";
}
gateway gate1 {
ike-policy ike_pol;
address 10.10.10.2;
external-interface lo0.0;
}
• Yes: La VPN usa la interfaz de circuito cerrado lo0 como interfaz externa. Continúe con el paso
"3" en la página 1508 .
• No: La VPN no usa la interfaz de circuito cerrado lo0 como interfaz externa. Continúe con el
paso "4" en la página 1509 .
3. Compruebe si la interfaz de salida (interfaz física) y la lo0 utilizada como interfaz externa VPN se
encuentran en la misma zona de seguridad.
• Yes: Continúe con el paso "4" en la página 1509 .
• No: Actualice las asignaciones de zonas de seguridad para que tanto la interfaz externa VPN
como la interfaz de salida física se encuentran en la misma zona de seguridad. Consulte Pérdida
de tráfico cuando VPN IPSec termina en la interfaz de circuito cerrado.
1509
4. Si su VPN es una VPN basada en rutas, continúe con el paso "5" en la página 1509 . Continúe con el
"8" en la página 1510 paso si es una VPN basada en políticas. Consulte ¿Cuál es la diferencia entre
una VPN basada en políticas y una VPN basada en rutas?
5. Compruebe si se asigna una ruta a la red remota a través de la interfaz st0: show route remote
network
root@siteA > show route 192.168.20.10

192.168.2.0/24 *[Static/5] 00:00:53
> via st0.0 <----------
• No: Asigne una ruta a la red remota mediante la interfaz st0. Consulte VPN basada en rutas está
para arriba, pero no para pasar tráfico. ¿Falta una ruta? .
NOTA: Si usa un protocolo de enrutamiento dinámico, como BGP o OSPF, compruebe el

protocolo de enrutamiento.
6. En función de la ruta asignada a la red remota en el paso , compruebe si la VPN apunta a "5" en la
página 1509 la interfaz st0 correcta: show security ike y show security ipsec
1. En primer lugar, compruebe ICR puerta de enlace con el show security ike comando.
root@siteA # show security ike

...
gateway gw-siteB { <---------
address 2.2.2.2;
}
2. Compruebe la VPN IPsec para esa puerta ICR de enlace mediante el comando y en el show
security ipsec resultado compruebe si está bind-interface apuntando a la st0 interfaz.
1510
En este ejemplo, la VPN ike-vpn-siteB está señalando a la st0.0 interfaz.
root@siteA # show security ipsec

...
vpn ike-vpn-siteB {
ike {
gateway gw-siteB; <---------
proxy-identity {
local 192.168.2.0/24;
remote 192.168.1.0/24;
service any;
}
}
}
• No: La VPN no apunta a la interfaz st0 correcta. Elimine la ruta actual y agregue la ruta a la
interfaz st0 correcta. Consulte VPN basada en rutas está para arriba, pero no para pasar tráfico.
¿Falta una ruta? .
7. Compruebe si hay una política de seguridad que permita el tráfico desde la zona interna a la zona
de seguridad st0: show security policies
• No: Cree la política de seguridad adecuada y vuelva a probar la VPN. Consulte Cómo configurar
una política para una VPN basada en rutas.
8. Compruebe si existe una política de seguridad de túnel VPN para permitir el tráfico: show security
policies
root@siteA# show security policies

...
policy vpn_egress {
match {
destination-address remote-net;
application any;
1511
}
then {
permit {
tunnel { <----------
ipsec-vpn ike-vpn-siteC; <----------
}
}
}
}
}

policy vpn_ingress {
match {
source-address remote-net;
application any;
}
then {
permit {
tunnel { <----------
ipsec-vpn ike-vpn-siteC; <----------
}
}
}
}
}
• No: Compruebe la configuración de VPN basada en políticas. Consulte VPN de sitio a sitio
basada en políticas.
9. Compruebe si el tráfico coincide en las políticas identificadas en paso "7" en la página 1510 o "8" en
la página 1510 paso: show security flow session source prefix source address destination prefix
destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24

destination-prefix 192.168.1.0/24
Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid

In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts:
59878, Bytes: 4602292
1512
Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505,

Bytes: 4189289
• No: Verifique el orden de las políticas de seguridad: show security match policies. Consulte
Descripción del orden de las políticas de seguridad.
Si el orden es correcto, consulte Cómo solucionar un problema con una política de seguridad
que no pasa datos.
NOTA: Si solo se incrementa el contador en la dirección de salida de la sesión, valide con

el par pkts VPN que el tráfico se está recibiendo.
Esto es comprobar los contadores de paquetes en el par VPN con el que se forma este
túnel para ver si el otro extremo está recibiendo los paquetes.
10. Recopile registros y opciones de seguimiento de flujo y abra un caso con el Juniper Networks de
soporte técnico:
• Consulte las secciones VPN basada en políticas o basadas en rutas de IPsec en Lista de
verificación de recopilación de datos: registros/datospara recopilar para la solución de
problemas.
• Para obtener más información acerca de las opciones de seguimiento de flujo, consulte Cómo
usar 'flow traceoptions' y 'security datapath-debug'.
• Para abrir un caso de JTAC con https://www.juniper.net/documentation/en_US/release-

independent/junos/topics/task/operational/data-collection-for-jtac.html el equipo de soporte
de Juniper Networks, consulte Recopilación de datos para el soporte al cliente para los datos
que debe recopilar para ayudar en la resolución de problemas antes de abrir un caso de JTAC.
Solución de problemas de un túnel VPN que no está

disponible
Relacionado La VPN IPsec no está activa y no pasa datos.
1. ¿Con qué tipo de túnel VPN tiene problemas?
• VPN de sitio a sitio (LAN a LAN):

1513
Continúe con el paso 2.
• VPN IPsec de acceso remoto o VPN de cliente a LAN:
Para la serie SRX de sucursales, consulte KB17220.
Para la serie SRX de gama alta, continúe con el paso 2.
2. ¿Está activa la SA (asociación de seguridad) para el túnel VPN?
Ejecute el show security ipsec security-associations comando y busque la dirección de puerta de

enlace de la VPN. Si no se muestra la puerta de enlace remota, la SA de VPN no está activa. Para
obtener más información acerca de SA, consulte KB10090.

<32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0
>32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
<32786 3.3.3.3 500 ESP:3des/sha1 5c13215d 28782/unlim U 0
>32786 3.3.3.3 500 ESP:3des/sha1 18f67b48 28782/unlim U 0
• Si SA no aparece en el resultado, continúe con el paso 3.
• Si la SA aparece en la lista (la fase 2 está en ejecución) y si el tráfico no pasa, consulte "Solución de
problemas de una VPN que está en servicio pero no pasa tráfico" en la página 1507 .
• Si la SA oscila entre los estados activo y inactivo, consulte "Solución de problemas de un túnel
VPN de flapping" en la página 1504 .
3. ¿Está ICR fase 1?
Ejecute el show security ike security-associations comando. Compruebe que la dirección remota de
la VPN aparece en la lista y que el valor del State campo es UP.

1 2.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main
2 3.3.3.3 UP 744a594d957dd513 1e1307db82f58387 Main
• Si la dirección remota no se muestra o si el valor del campo es, analice los mensajes de ICR fase 1
en el respondedor para StateDOWN obtener una solución. Consulte KB10101.
1514
• Si el estado es UP , analice los mensajes ICR fase 2 del respondedor para obtener una solución.
Consulte KB10101.
Si aún no se resuelve el problema, analice los registros de fase 1 o fase 2 para el túnel VPN en el
dispositivo VPN iniciador. Si no puede encontrar su solución en los registros del lado iniciador,
continúe con el paso 4.
4. Recopile registros, opciones de seguimiento de flujo ICR opciones de seguimiento y, luego, abra un
caso con su representante de soporte técnico. Para obtener más información sobre:
• Recopilación de registros, consulte Recopilación de datos para el soporte al cliente.
• Opciones de seguimiento de flujo, consulte KB16233.
• ICR opciones de seguimiento, consulte KB19943.
Cómo analizar los mensajes ICR de estado de VPN

de fase 2
in this section
Relacionado | 1514
Solución | 1515
Relacionado
Descripción
Revisar y analizar mensajes de estado de VPN relacionados con problemas causados por una ICR fase 2.
Síntomas
• ICR la fase 2 no está activa.
• El show security ipsec security-associations resultado del comando no enumera la dirección remota
de la VPN.
1515
Solución
La mejor forma de solucionar los problemas ICR fase 2 es revisando los mensajes de estado de VPN del
firewall de la respondedor.
El firewall de respondedor es el lado receptor de la VPN que recibe las solicitudes de configuración de
túnel. El firewall del iniciador es el lado del iniciador de la VPN que envía las solicitudes iniciales de
configuración de túnel.
1. Mediante el CLI, configure un archivo syslog, kmd-logs para los registros de estado de VPN en el
firewall del respondedor.
Consulte KB10097-Cómo configurar syslogpara mostrar mensajes de estado de VPN. A medida que
se trae el túnel VPN, los mensajes se capturan en ldm-logs .
2. Con el CLI, compruebe si hay mensajes de error de fase 2: show log kmd-logs
Mensajes de salida de prueba:
• Message:
Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer
proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip:
2.2.2.1, remote peer ip:2.2.2.2
• Significado: la identidad de proxy del dispositivo par no coincide con la identidad de proxy
local.
• Acción: el ID de proxy debe ser exactamente inverso al ID de proxy configurado del par.
Consulte KB10124: Cómo solucionar el error de fase 2: No se pudo hacer coincidir los ID de
proxy par.
• Message:
Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal
chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2]
Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick
mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2]
Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local
gateway: 4.4.4.4, Remote gateway: 3.3.3.2
• Significado: el dispositivo que Junos OS no aceptaba ninguna de las propuestas de ICR fase 2
que envió ICR par especificado.
1516
• Acción: compruebe los elementos de configuración de VPN de fase 2 local. Los elementos de
la propuesta de fase 2 incluyen lo siguiente:
• Algoritmo de autenticación
• Algoritmo de cifrado
• La duración de los kilobytes
• Segundos de duración
• Protocolo
• Confidencialidad directa perfecta
Puede cambiar la configuración local para aceptar al menos una de las propuestas de fase 2 del
par remoto, o comunicarse con el administrador del par remoto y organizar para las
configuraciones de ICR en ambos extremos del túnel para usar al menos una propuesta de fase 2
mutuamente aceptable.
• IPsec proposal mismatch
• Message:
Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal
chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local:
10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1,
Remote IKE-ID: 10.10.10.2, VR-ID: 0
NOTA: Si y se muestran como , entonces es un mensaje de error Local IKE-IDRemote

IKE-ID de fase Not-Available 1. Consulte KB30548 : ICR de estado de VPN fase 1 en
12.1X44 y versiones posteriores.
Acción: compruebe los elementos de configuración de VPN de fase 2 local. Los elementos de
la propuesta de fase 2 incluyen lo siguiente:
• Algoritmo de autenticación
• Algoritmo de cifrado
• La duración de los kilobytes
• Segundos de duración
1517
• Protocolo
• Confidencialidad directa perfecta
• Proxy-ID mismatch
• Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy
IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local
ip: 10.10.10.2, remote peer ip:10.10.10.1
• Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy
IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local
ip: 10.10.10.2, remote peer ip:10.10.10.1
Acción: el ID de proxy debe ser una coincidencia inversa exacta del ID de proxy configurado
del par. Consulte KB10124: Cómo solucionar el error de fase 2: No se pudo hacer coincidir los
ID de proxy par.
Si la conexión VPN se establece correctamente, puede ver los siguientes mensajes en el syslog:
• Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway:

10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,
[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,
[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0,
Mode: Tunnel, Type: dynamic
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway:
[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0,
Mode: Tunnel, Type: dynamic
Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from
10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name:
vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-
Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH
username: Not-Applicable, VR id: 0
• Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway:

1518

[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0,
Mode: Tunnel, Type: dynamic, Traffic-selector:
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway:
[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0,
Mode: Tunnel, Type: dynamic, Traffic-selector:
Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from
10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name:
vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-
Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH
username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector
local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector
remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec
Proposal mismatch
3. Si no pudo encontrar ningún mensaje de fase 2, continúe con el paso "4" en la página 1518 .
4. Mediante el CLI, revise las propuestas de fase 2 y confirme que la configuración coincide con las
propuestas de fase 2 configuradas por el par: show security ipsec
show security ipsec

protocol esp;
}
keys group2;
}
}
vpn ike-vpn-srx1 {
vpn-monitor;
ike {
gateway gw-srx1;
}
}
1519
5. Si el problema continúa, para abrir un caso de JTAC https://www.juniper.net/documentation/en_US/

release-independent/junos/topics/task/operational/data-collection-for-jtac.html con el equipo de
soporte de Juniper Networks, consulte Recopilación de datos para el soporte al cliente para los datos
que debe recopilar para ayudar en la resolución de problemas antes de abrir un caso de JTAC.
17
Instrucciones de configuración
AAA | 1524
asignación de direcciones (Access) | 1526
advpn | 1531
autenticación: orden (Perfil de acceso) | 1534
reinscripción automática (seguridad) | 1535
certificado (Juniper Secure Connect) | 1542
certificado | 1544
client-config (Juniper Secure Connect) | 1547
clientes (seguridad) | 1550
detección de pares de tráfico muerto | 1554
detección de elementos de mismo nivel (servidor VPN de grupo de seguridad) |

1556
descifrado: errores | 1558
perfil predeterminado (Juniper Secure Connect) | 1560
Grupo DH (ICR de seguridad) | 1561
nombre distintivo (seguridad) | 1564
Perfil de distribución | 1566
dinámica (seguridad) | 1569

VPN dinámico | 1572
algoritmo de cifrado (ICR de seguridad) | 1575
cifrado: errores | 1577
archiva | 1579
puerta de enlace (grupo de seguridad VPN miembro ICR) | 1581
puerta de enlace (ICR de seguridad) | 1586
opciones globales (Juniper Secure Connect) | 1592
VPN de grupo | 1596
IKE (miembro del grupo de seguridad VPN) | 1607
IKE (VPN de seguridad de IPsec) | 1613
interno (seguridad IPsec) | 1621
IPSec (seguridad) | 1627
IPSec (miembro de la VPN del grupo de seguridad) | 1630
IPSec-Directiva | 1635
IPSec-SA (grupo de seguridad VPN) | 1637
identidad local | 1639
manual (seguridad IPsec) | 1641
miembro (grupo de seguridad VPN) | 1645
Mode (VPN del grupo de seguridad) | 1647
varios SA | 1649
OCSP (PKI de seguridad) | 1652
pública | 1654

Directiva (seguridad IPsec) | 1661
modo de energía-IPSec | 1665
perfil (Juniper Secure Connect) | 1668
propuesta (grupo de seguridad VPN miembro ICR) | 1671
propuesta (grupo de seguridad ICR servidor VPN) | 1673
propuesta (IPsec de servidor VPN de grupo de seguridad) | 1676
propuesta: conjunto (ICR de seguridad) | 1686
acceso remoto (Juniper Secure Connect) | 1689
identidad remota | 1692
ataques de reproducción | 1694
Asociación de seguridad | 1699
servidor (VPN de grupo de seguridad) | 1702
clúster de servidores (servidor VPN de grupo de seguridad) | 1706
comunicación de miembro de servidor (servidor VPN de grupo de seguridad) |

1709
afinidad de sesión | 1711
TCP-encap | 1713
TraceOptions (grupo de seguridad VPN) | 1717
TraceOptions (ICR de seguridad) | 1721
TraceOptions (seguridad IPsec) | 1725
TraceOptions (PKI de seguridad) | 1727
TraceOptions (encapsulación TCP) | 1730
Selector de tráfico | 1734
Verify-path | 1737
inicio de sesión en windows (Juniper Secure Connect) | 1749
xauth-atributos | 1752
1524
AAA
in this section
Sintaxis | 1524
Nivel de jerarquía | 1524
Descripción | 1525
Opciones | 1525
Nivel de privilegios necesario | 1525
Información de versión | 1525
Sintaxis
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
Nivel de jerarquía
[edit security ike gateway gateway-name]

1525
Descripción
Especifica que la autenticación extendida se realizará además de ICR autenticación de la fase 1 para los
usuarios remotos que intenten tener acceso a un túnel VPN. Esta autenticación puede realizarse a través
de autenticación extendida (XAuth) o protocolo de autenticación extensible (EAP). Incluya un perfil de
acceso creado anteriormente, configurado con edit access profile la instrucción, para especificar el perfil
de acceso que se utilizará para la información de autenticación.
Opciones
access-profile Nombre del perfil de acceso creado anteriormente que se utilizará para la
profile-name autenticación extendida de los usuarios remotos que intentan tener acceso a una
VPN.
config-payload- Especifique la contraseña de cliente común para la carga de configuración IKEv2 con
password 1 a 128 caracteres.
client Especifique una AAA uername y contraseña de cliente para cada autenticador
configurado que tenga permiso para solicitar autenticaciones a los suplicantes.
• password: AAA contraseña de cliente con de 1 a 128 caracteres.
• username: AAA nombre de usuario del cliente con de 1 a 128 caracteres.
Nivel de privilegios necesario
seguridad: para ver esta instrucción en la configuración.
security-control: para agregar esta instrucción a la configuración.
Información de versión
Instrucción introducida en Junos OS versión 15.1 X49-D80.
config-payload-password que se introduce en Junos OS versión 20.1R1.

1526
asignación de direcciones (Access)
in this section
Sintaxis | 1526
Descripción | 1530
Opciones | 1530
Sintaxis
abated-utilization percentage;
abated-utilization-v6 percentage;
high-utilization percentage;
high-utilization-v6 percentage;
neighbor-discovery-router-advertisement ndra-name;
pool pool-name {
family {
inet {
dhcp-attributes {
boot-file boot-file-name;
boot-server boot-server-name;
domain-name domain-name;
grace-period seconds;
maximum-lease-time (seconds | infinite);
name-server ipv4-address;
netbios-node-type (b-node | h-node | m-node | p-node);
1527
next-server next-server-name;
option dhcp-option-identifier-code {
array {
byte [8-bit-value];
flag [ false| off |on |true];
integer [32-bit-numeric-values];
ip-address [ip-address];
short [signed-16-bit-numeric-value];
string [character string value];
unsigned-integer [unsigned-32-bit-numeric-value];
unsigned-short [16-bit-numeric-value];
}
byte 8-bit-value;
flag (false | off | on | true);
integer 32-bit-numeric-values;
ip-address ip-address;
short signed-16-bit-numeric-value;
string character string value;
unsigned-integer unsigned-32-bit-numeric-value;
unsigned-short 16-bit-numeric-value;
}
option-match {
option-82 {
circuit-id match-value {
range range-name;
}
remote-id match-value;
range range-name;
}
}
}
propagate-ppp-settings [interface-name];
propagate-settings interface-name;
router ipv4-address;
server-identifier ip-address;
sip-server {
ip-address ipv4-address;
name sip-server-name;
}
tftp-server server-name;
wins-server ipv4-address;
}
excluded-address;
1528
excluded-range range-name
high upper-limit;
low lower-limit;
}
range range-name {
high upper-limit;
low lower-limit;
}
host hostname {
hardware-address mac-address;
ip-address reserved-address;
user-name;
}
network network address;
xauth-attributes {
primary-dns ip-address;
primary-wins ip-address;
secondary-dns ip-address;
secondary-wins ip-address;
}
}
inet6 {
dhcp-attributes {
dns-server ipv6-address;
grace-period seconds;
maximum-lease-time (seconds | infinite);
option dhcp-option-identifier-code {
array {
byte [8-bit-value];
flag [ false| off |on |true];
integer [32-bit-numeric-values];
ip-address [ip-address];
short [signed-16-bit-numeric-value];
string [character string value];
unsigned-integer [unsigned-32-bit-numeric-value];
unsigned-short [16-bit-numeric-value];
}
byte 8-bit-value;
flag (false | off | on | true);
integer 32-bit-numeric-values;
ip-address ip-address;
short signed-16-bit-numeric-value;
string character string value;
1529
unsigned-integer unsigned-32-bit-numeric-value;
unsigned-short 16-bit-numeric-value;
}
propagate-ppp-settings [interface-name];
sip-server-address ipv6-address;
sip-server-domain-name domain-name;
}
excluded-address;
excluded-range range-name
high upper-limit;
low lower-limit;
}
host hostname {
hardware-address mac-address;
ip-address reserved-address;
user-name;
}
prefix ipv6-network-prefix;
range range-name {
high upper-limit;
low lower-limit;
prefix-length delegated-prefix-length;
}
xauth-attributes {
primary-dns-ipv6;
secondary-dns-ipv6;
}
}
link pool-name;
}
}
Nivel de jerarquía
[edit access]
1530
Descripción
La función de grupo de asignación de direcciones le permite crear distintos grupos con atributos
diferentes. Por ejemplo, varias aplicaciones cliente, como DHCPv4 o DHCPv6, pueden usar un grupo de
asignación de direcciones para proporcionar direcciones para clientes concretos.
Opciones
• host hostname: nombre por el cual se conoce un dispositivo conectado a la red en una red.
• hardware-address mac-address: especifique la dirección MAC del cliente. Esta es la dirección de

hardware que identifica al cliente en la red.
• ip-address reserved-address: permite especificar la dirección IP reservado.
• user-name: especifique un nombre de usuario ICR ID.
• xauth-attributes: especifique los atributos XAuth que se usarán en la autenticación XAuth.
• primary-dns-ipv6: especifique la dirección IPv6 de DNS principal.
• secondary-dns-ipv6: especifique la dirección IPv6 dns secundaria.
access: para ver esta instrucción en la configuración.
access-control: para agregar esta instrucción a la configuración.
Instrucción introducida en Junos OS versión 10.4 .
xauth-attributes en se inet6 introduce en la Junos OS versión 20.3R1.
user-name en se inet host host-name introduce en la Junos OS versión 20.3R1.
host en se inet6 introduce en la Junos OS versión 20.3R1.

1531
advpn
in this section
Sintaxis | 1531
Descripción | 1532
Opciones | 1532
Sintaxis
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
1532
Nivel de jerarquía
Descripción
Habilite el protocolo VPN de detección automática (ADVPN) en la puerta de enlace especificada.

ADVPN establece dinámicamente túneles VPN entre los radios para evitar que el tráfico de
enrutamiento se produzca a través del concentrador.
Opciones
sugerencia VPN peer que puede iniciar un intercambio de accesos directos para permitir a los socios
de acceso directo establecer asociaciones de seguridad dinámicas (SAs) entre sí. Especifica
disable que se deshabilite este rol en la puerta de enlace.
Los roles de sugerencias y socios están habilitados advpn si se configura sin configurar
suggester explícitamente ni partner palabras clave. No se admiten los roles suggest y
Partner en la misma puerta de enlace. Debe configurarlo disable de forma suggester
explícita partner con la palabra clave or para deshabilitar esa función concreta. No puede
deshabilitar los roles de sugeridos y asociados en la misma puerta de enlace.
exitosa VPN peer que puede recibir un intercambio de accesos directos sugerir que debe
establecer SA dinámicas con otro interlocutor. Especifica disable que se deshabilite este rol
en la puerta de enlace.
Se pueden configurar las siguientes opciones para el rol de socio comercial:
límite de Número máximo de túneles de accesos directos que se pueden crear con
conexión distintos socios de acceso directo que utilizan una puerta de enlace
determinada. El número máximo, que también es el valor predeterminado,
depende de la plataforma.
La reducción del connection-limit valor configurado hace que todos los

túneles de accesos directos activos se pongan a la baja. Por ejemplo, si
connection-limit está configurado como 100 y más tarde vuelve a
configurar el número a 80, todos los túneles de accesos directos activos se
1533
desactivan. Aumentar el valor connection-limit configurado no hace que

los túneles de acceso directo se queden abajo.
umbral de Velocidad, en paquetes por segundo, a partir de la cual se desconectó el

inactividad acceso directo.
• Varían 3 a 5.000 paquetes por segundo.
• Predeterminada 5 paquetes por segundo.
tiempo de Duración, en segundos, a partir de la cual se elimina el acceso directo si el

inactividad idle-threshold tráfico permanece por debajo del valor.
• Varían 60 segundos a 86.400 segundos.
• Predeterminada 300 segundos.
Instrucción que se introduce en Junos OS versión 12.3 X48-D10. Intervalo para la idle-threshold opción,
así como el intervalo y el valor predeterminado idle-time para la opción que se ha revisado en Junos os
versión 12.3 x48-D20.

1534
autenticación: orden (Perfil de acceso)
in this section
Sintaxis | 1534
Descripción | 1534
Opciones | 1535
Sintaxis
authentication-order [ldap | password | radius | securid];
Nivel de jerarquía
[edit access profile profile-name]
Descripción
Establezca el orden en el que el Junos OS prueba diferentes métodos de autenticación al comprobar que
un cliente puede tener acceso a los dispositivos. Para cada intento de inicio de sesión, el software
intenta los métodos de autenticación en orden, del primero al último.
1535
Opciones
• ldap: compruebe el cliente mediante LDAP.
• password: compruebe el cliente mediante la información configurada en el [edit access profile

profile-name client client-name] nivel de jerarquía.
• radius: permite comprobar el cliente mediante RADIUS de autenticación de red.
• securid: permite comprobar el cliente mediante los servicios de autenticación SecurID.
access: para ver esta instrucción en la configuración.
access-control: para agregar esta instrucción a la configuración.
Instrucción modificada en Junos OS versión 9.1.
Ejemplo Especificar conexiones RADIUS servidor en un dispositivo de seguridad

Guía del usuario de conmutación Ethernet
reinscripción automática (seguridad)
in this section
Sintaxis | 1536

1536
Descripción | 1537
Opciones | 1537
Sintaxis
auto-re-enrollment {
certificate-id name {
ca-profile-name ca-profile-name;
challenge-password challenge-password;
re-enroll-trigger-time-percentage re-enroll-trigger-time-percentage;
re-generate-keypair;
scep-digest-algorithm {
(md5 | sha1);
}
scep-encryption-algorithm {
(des | des3);
}
}
cmpv2 {
certificate-id certificate-id-name {
challenge-password password;
re-enroll-trigger-time-percentage percentage;
}
}
scep {
certificate-id certificate-id-name {
challenge-password password;
re-enroll-trigger-time-percentage percentage;
}
1537
}
}
Nivel de jerarquía
[edit security pki]
Descripción
Configure la reinscripción automática de un certificado local de extremo-entidad (EE). La reenlación

automática solicita que el servidor AC sustituya un certificado de dispositivo antes de su fecha de
vencimiento especificada.
Opciones
ID. de Configuración de inscripción automática para ID de certificado.

certificado
extensión Identificador de certificado que necesita la reenlación
automática.
CA-Profile-Name Especifique el nombre del perfil de la entidad de certificación

(CA) que se usará para la reinscripción automática. Para iniciar la
reinscripción, debe estar presente el certificado de CA.
Challenge-Password Especifique la contraseña utilizada por la entidad emisora de

certificados (CA) para la inscripción y revocación. Si la entidad
emisora no proporciona la contraseña de desafío, elija su propia
contraseña.
volver a inscribir: Especifique el desencadenante de la reenrollación del certificado

desencadenador- como un porcentaje de la duración del certificado de la entidad
tiempo-porcentaje
final (EE) que permanece antes de que se inicie la reenrollación
del certificado. Por ejemplo, si la solicitud de renovación se va a
enviar cuando el ciclo de vida restante del certificado sea del
1538
10%, re-enroll-trigger-time-percentage configure 10 como valor.

La hora a la que se inicia la reinscripción de certificados se basa
en la fecha de caducidad del certificado.
• Varían del 1 al 99
regenerar-par de bits Especifique la nueva generación de pares de claves para la

reenlación automática de certificados. Si esta instrucción no está
configurada, se utiliza el par de claves actual. Si el par de claves
no cambia, la entidad emisora no emitirá certificados nuevos.
Recomendamos que se genere un nuevo par de claves durante la
reinscripción, ya que proporciona mayor seguridad.
algoritmo de síntesis Algoritmo de síntesis SCEP.

de SCEP
• Valores
• md5: utilice MD5 como algoritmo de síntesis SCEP
• sha1: utilice SHA1 como algoritmo de síntesis SCEP
algoritmo de Algoritmo de cifrado SCEP.

encriptación de SCEP
• Valores
• des: utilice DES como algoritmo de cifrado SCEP
• des3: utilice DES3 como algoritmo de cifrado SCEP
cmpv2 Configure la reinscripción automática de un certificado local mediante CMPv2.
SCEP Configure la reinscripción automática de un certificado local usando el protocolo de


1539
Instrucción modificada en Junos OS versión 9.0. cmpv2 y scep opciones agregadas en Junos OS versión
15.1X49-D40.
CA-Profile (PKI de seguridad)
in this section
Sintaxis | 1539
Descripción | 1540
Opciones | 1540
Sintaxis
ca-profile ca-profile-name {
administrator {
e-mail-address e-mail-address;
}
ca-identity ca-identity ;
enrollment {
retry number;
retry-interval seconds;
url url-name;
}
1540
proxy-profile;
revocation-check;
routing-instance routing-instance-name ;
source-address ip-address;
}
Nivel de jerarquía
[edit security pki]
Descripción
Configurar el perfil de la entidad de certificación (CA). El AC perfil contiene el nombre y la dirección URL
de AC o AR, así como la configuración del temporizador de reintentos.
Opciones
CA-Profile-Name Nombre de una entidad de certificación de confianza.
dirección de Especifique una dirección de correo electrónico de administrador a la que enviar la

correo solicitud de certificado. De forma predeterminada, no hay ninguna dirección de
electrónico del
administrador correo electrónico preestablecida.
identidad de CA Especifique la identidad de la entidad de certificación (CA) para usarla en la solicitud

de certificados digitales. Este nombre suele ser el nombre de dominio de la entidad
emisora de certificados.
entrenamiento Especifique los parámetros de inscripción para una entidad de certificación (CA).
número de Número de intentos automatizados de volver a intentar inscribirse

reintento en línea en caso de que la respuesta de inscripción esté pendiente.
• Varían 0 a 1080
• Predeterminada 10
1541
intervalo de Intervalo de tiempo entre los reintentos de inscripción.

reintentos en
segundos • Varían 0 a 3600
• Predeterminada 900 segundos
url-name Dirección URL de inscripción en la que se envía la solicitud del

Protocolo simple de inscripción de certificados (SCEP) o CMPv2 a la
autoridad de certificación (AC) tal y como está configurado en este
perfil. Con SCEP, los certificados de CA se inscriben con el request
security pki ca-certificate enroll comando y se especifica el perfil de
CA. No hay ningún comando independiente para inscribir
certificados de CA con CMPv2. La dirección IP de la dirección URL
de inscripción puede ser una dirección IPv4 o IPv6.
proxy-Profile Usar el servidor proxy especificado. Si el perfil de proxy se configura en el perfil de

CA, el dispositivo se conecta al host proxy en lugar de al servidor de la CA, durante
la inscripción, comprobación o revocación de certificados. El host proxy se comunica
con el servidor de la entidad de certificación con las solicitudes del dispositivo y, a
continuación, retransmite la respuesta al dispositivo.
La infraestructura de claves públicas (PKI) utiliza el perfil de proxy configurado en el

nivel del sistema. El perfil de proxy que se utiliza en el perfil de CA debe
configurarse en la [edit services proxy] jerarquía. Puede haber más de un perfil de
proxy configurado en [edit services proxy] la jerarquía. A cada perfil de entidad
emisora se le hace referencia el perfil de proxy más uno. Puede configurar el host y
el puerto del perfil proxy en la [edit system services proxy] jerarquía.
comprobación de Especifique el método que utiliza el dispositivo para comprobar el estado de

la revocación revocación de los certificados digitales.
instancia de ruta Especifique la instancia de enrutamiento que se va a utilizar.
Dirección de Especifica una dirección IPv4 o IPv6 de origen que se utilizará en lugar de la
origen dirección IP de la interfaz de salida para las comunicaciones con servidores
externos. Los servidores externos se usan para la inscripción de certificados y la
reinscripción usando el protocolo de inscripción de certificados simple (SCEP) o el
protocolo de administración de certificados versión 2 (CMPv2), descargando listas
de revocación de certificados (CRL) mediante HTTP o LDAP, o comprobando Estado
de revocación de certificados con el protocolo de estado de certificados en línea
(OCSP). Si no se especifica esta opción, se utilizará como dirección de origen la
dirección IP de la interfaz de salida.
1542
Instrucción modificada en Junos OS versión 8,5. La opción ca-identity soporte para se agrega en Junos
OS versión 11,1. Soporte para ocsp y use-ocsp opciones agregadas en Junos os versión 12.1 x46-D20.
La opción proxy-profile soporte para se añade Junos os en la versión 18.2 R1.
La compatibilidad source-address con se introduce en Junos os versión 15.1 X49-D60.
certificado (Juniper Secure Connect)
in this section
Sintaxis | 1543
Descripción | 1543
Opciones | 1543

1543
Sintaxis
certificate {
no-expiry-warning;
no-pin-request-per-connection;
warn-before-expiry days;
}
Nivel de jerarquía
[edit security remote-access client-config]
Descripción
Defina parámetros de identificador de certificado para Juniper Secure Connect.
Opciones
advertencia de no Desactive la advertencia de vencimiento del certificado.

vencimiento
no-pin-request-per- Desactive la solicitud de pin de certificado por conexión.
connection
advertencia antes de la Active la advertencia de vencimiento del certificado en días anteriores a la
expiración fecha de vencimiento.
• Predeterminada 60 días
• Varían 1 a 90
1544
protección
Instrucción introducida en el Junos OS versión 20.3R1.
Juniper Secure Connect guía del administrador de red
certificado
in this section
Sintaxis | 1544
Descripción | 1545
Opciones | 1545
Sintaxis
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids oid;
trusted-ca {
1545
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
Nivel de jerarquía
[edit security ike policy policy-name]
Descripción
Especifique el uso de un certificado digital para autenticar el iniciador y el destinatario de la red privada
virtual (VPN).
Opciones
local-certificate certificate-id : especifique un certificado determinado cuando el dispositivo local tenga

varios certificados cargados. El dispositivo elimina las asociaciones de ICR e IPsec existentes cuando
actualiza la local-certificate configuración en la Directiva ICR. A partir de Junos os versión de 19.1 R1,
se agrega una comprobación de confirmación para evitar .que /el %usuario agregue,, y espacio en un
identificador de certificado mientras se genera un certificado local o remoto o un par de claves.
peer-certificate-type: especifique un tipo de certificado preferido (PPCS7 o X509).
• pkcs7— Estándar de criptografía de clave pública #7.
• x509-signature: el X509 es un estándar ITU-T para infraestructuras de clave pública. Este es el valor
predeterminado.
policy-oids oid: configure identificadores de objeto de política ( IDENTIFIER). Esta configuración es

opcional. OID de política contenida en un certificado de par o cadena de certificados. Se pueden
configurar hasta cinco OID de políticas. Cada OID puede tener hasta 63 bytes de longitud. Debe
asegurarse de que al menos una de las ID de la política configurada se incluya en un certificado o cadena
de certificados de un par. Tenga en cuenta policy-oids que el campo del certificado de un par es
opcional. Si configura los CADE de políticas en una política de ICR y la cadena de certificados del par no
contiene ninguna IA de política, se produce un error en la validación del certificado para el par.
1546
trusted-ca: especifique un nombre para el grupo de AC confianza. Un mínimo de un perfil de CA es

obligatorio para crear un grupo de CA de confianza y se permiten 20 CAs en un grupo de CA de
confianza. Cualquier entidad de certificación de un grupo determinado puede validar el certificado de
esa entidad concreta. Especifique la entidad de certificación (CA) preferida que se utilizará al solicitar un
certificado del interlocutor. Puede asociar una directiva de ICR a un perfil único de CA de confianza o a
un grupo de CA de confianza. Durante la validación de certificados, la Directiva de ICR se limitará al
grupo configurado de CA mientras se establece una conexión segura. Cualquier certificado emitido
distinto de la CA de confianza única o el grupo de CA de confianza no se valida.
• ca-profile ca-profile-name: especifique un nombre para los AC perfiles. Una entidad emisora de
certificados es una entidad que emite certificados digitales que ayudan a establecer una conexión
segura entre los interlocutores a través de la validación de certificados.
• trusted-ca-group trusted-ca-group-name: especifique un nombre para el grupo de AC confianza. Un

mínimo de un perfil de CA es obligatorio para crear un grupo de CA de confianza y se permiten 20
CAs en un grupo de CA de confianza. Cualquier entidad de certificación de un grupo determinado
puede validar el certificado de esa topología en particular.
Instrucción introducida en la Junos OS versión 8.5. policy-oids opción agregada en la Junos OS versión
12.3X48-D10. Soporte para trusted-ca la opción añadida en Junos os versión 18.1 R1.

1547
client-config (Juniper Secure Connect)
in this section
Sintaxis | 1547
Descripción | 1548
Opciones | 1548
Sintaxis
client-config name {
biometric-authentication;
certificate {
no-expiry-warning;
}
connection-mode (always | manual);
interval seconds;
threshold threshold;
}
no-dead-peer-detection;
no-eap-tls;
no-tcp-encap;
windows-logon {
auto-dialog-open;
disconnect-at-logoff;
domain domain;
eap-auth;
flush-credential-at-logoff;
lead-time-duration seconds;
1548
mode (automatic | manual);

}
}
Nivel de jerarquía
[edit security remote-access]
Descripción
Defina Juniper Secure Connect de configuración de cliente remoto. Los parámetros definen cómo
Juniper Secure Connect cliente establece un túnel VPN con su dispositivo de seguridad.
Opciones
extensión Nombre del nombre del objeto de configuración.
autenticación Habilite la autenticación bimétrica.

bimétrica
modo de conexión Establezca uno de los siguientes modo de conexión para los clientes:
• Valores
• siempre: conéctese a la VPN de forma automática cuando el usuario inicie

sesión en el dispositivo del cliente remoto. En el modo siempre, la primera
conexión VPN se estableció cuando el usuario hace clic en el botón
"Conectar". Después de eso, siempre que la conexión VPN se desconecta
sin intervención manual, el dispositivo cliente siempre intenta restablecer
la conexión de forma automática.
• manual: conéctese a la VPN de forma manual.
• Predeterminada manual
detección de pares Habilite la detección de pares muertos en el cliente.

muertos:
1549
Periodic Tiempo entre los mensajes del sondeo DPD en cuestión de

segundos.
tolerancia Número máximo de retransmisiones DPD.
detección de pares Desactive la detección de pares muertos en el cliente

sin muertos
no-eap-tls Deshabilitar el método IKEV2 de EAP-TLS.
no-tcp-encap Desactive la encapsulación tcp.
inicio de sesión en Especifique las opciones de inicio de sesión en Windows.

windows
Las sentencias restantes se explican por separado. Consulte el Explorador de CLI.
protección

1550
clientes (seguridad)
in this section
Sintaxis | 1550
Descripción | 1551
Opciones | 1551
Sintaxis
clients configuration-name {
ipsec-vpn vpn-name;
remote-exceptions ip-address/mask;
remote-protected-resources ip-address/mask;
user username;
user-groups user-group-name;
}
Nivel de jerarquía

1551
Descripción
Crear una configuración de cliente para la característica VPN dinámica. En la configuración, especifique
un nombre para la configuración, haga referencia a una configuración VPN estándar para utilizarla con
las negociaciones IPsec, especifique qué recursos proteger, defina las excepciones y enumere los
usuarios a los que se aplica la configuración VPN dinámica.
Opciones
Configuration-Name Nombre de la configuración del cliente.
IPSec-VPN Utilice esta instrucción para especificar qué configuración de VPN de IPsec debe
usar la característica VPN dinámica para proteger el tráfico.
excepciones remotas Utilice esta instrucción para especificar excepciones en la lista de recursos
protegidos remotos para la configuración VPN dinámica especificada. El tráfico
hacia la dirección IP especificada no pasará por el túnel VPN dinámico y, por lo
tanto, no estará protegido por las políticas de seguridad del firewall.
recursos protegidos Utilice esta instrucción para especificar qué recursos proteger mediante la
de forma remota característica VPN dinámica. El tráfico hacia el recurso protegido pasará por el
túnel de VPN dinámico especificado y, por lo tanto, estará protegido por las
políticas de seguridad del firewall.
usuario Especifique los usuarios que pueden tener acceso a la configuración de VPN
dinámica seleccionada.
Grupo de usuarios Especifique los usuarios que pueden tener acceso a la configuración de VPN
dinámica seleccionada.

1552
Instrucción introducida en Junos OS versión 9,5.
Instrucción user-groups introducida en Junos os versión 12.1 X44-D10.
CRL (seguridad)
in this section
Sintaxis | 1552
Descripción | 1553
Opciones | 1553
Sintaxis
crl {
disable {
on-download-failure;
}
refresh-interval hours;
url url-name;
}
1553
Nivel de jerarquía
[edit security pki ca-profile ca-profile-name revocation-check]
Descripción
Configure la lista de revocación de certificados (CRL). Una CRL es una lista con marcas de hora que
identifica certificados revocados, firmados por una entidad emisora y puestos a disposición de los
homólogos IPsec participantes periódicamente.
Opciones
desactivar al Adicional Invalide el comportamiento predeterminado y permita la comprobación de

descargar: fallo certificados incluso si la CRL no se descarga.
horas de Especifique la cantidad de intervalo de tiempo en horas entre actualizaciones de

intervalo de listas de revocación de certificados (CRL).
actualización
• Varían 0 a 8784 horas.
• Predeterminada Siguiente-tiempo de actualización en lista de revocación de

certificados, o 1 semana, si no se especifica ninguna hora de la siguiente
actualización.
url-name Nombre de la ubicación desde la que se va a recuperar la lista CRL a través de HTTP
o el Protocolo compacto de acceso a directorios (LADP). Puede especificar una
dirección URL para cada perfil de CA configurado. De forma predeterminada, no se
especifica ninguna ubicación. Utilice un nombre de dominio completo (FQDN) o una
dirección IP y, opcionalmente, un número de puerto. Si no se especifica ningún
número de puerto, el puerto 80 se utiliza para HTTP y el puerto 443 se utiliza para
LDAP.

1554
Instrucción introducida en Junos OS versión 8,5. disable la opción se introduce en Junos OS versión 9,0.

detección de pares de tráfico muerto
in this section
Sintaxis | 1554
Descripción | 1555
Opciones | 1555
Sintaxis
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
1555
Nivel de jerarquía
Descripción
Habilite el dispositivo para usar la detección de pares inactivos (DPD). DPD es un método que utilizan
los dispositivos para comprobar la existencia actual y disponibilidad de los homólogos de IPsec. Un
dispositivo realiza esta comprobación mediante el envío de cargas de notificación de ICR fase 1 cifradas
(mensajes R-U-at) a un interlocutor que espera las reconocimientos de DPD (mensajes R-U-in-ACK) del
interlocutor.
Opciones
Periodic Especifique la cantidad de tiempo que el interlocutor espera para el tráfico de su

interlocutor de destino antes de enviar un paquete de solicitud de detección de
elementos de mismo nivel (DPD).
• Varían 2 a 60 segundos
siempre- Indica al dispositivo que envíe solicitudes de detección de sistemas no respondes (DPD)
enviar con independencia de si hay tráfico IPsec saliente hacia el mismo nivel.
adecuada Enviar mensajes de detección de elementos de mismo nivel (DPD) si no hay ICR entrante
de tráfico de IPsec dentro del intervalo configurado después de enviar los paquetes
salientes al interlocutor. Este es el modo de DPD predeterminado.
sonda- Enviar mensajes de detección de elementos no enviados (DPD) durante el tiempo de

inactivo- inactividad entre los interlocutores.
túnel
tolerancia Especifique el número máximo de solicitudes de detección de pares inactivos (DPD) sin
éxito que se enviarán antes de que el interlocutor se considere no disponible.
• Varían 1 a 5
1556
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con las optimized opciones probe-idle-
tunnel y agregadas en Junos os versión 12.1 x46-D10.
Descripción de AutoVPN
detección de elementos de mismo nivel (servidor

VPN de grupo de seguridad)
in this section
Sintaxis | 1557
Descripción | 1557
Opciones | 1557

1557
Sintaxis
always-send;
interval seconds;
threshold number;
}
Nivel de jerarquía
[edit security group-vpn server ike gateway gateway-name]
Descripción
Habilite el dispositivo para usar la detección de pares inactivos (DPD). DPD es un método que utilizan
los dispositivos para comprobar la existencia actual y disponibilidad de los homólogos de IPsec. Un
dispositivo realiza esta comprobación mediante el envío de cargas de notificación de ICR fase 1 cifradas
(mensajes R-U-at) a un interlocutor que espera las reconocimientos de DPD (mensajes R-U-in-ACK) del
interlocutor.
Opciones
always-send: permite enviar sondeos periódicamente independientemente del tráfico de datos entrante
y saliente.
interval seconds: permite especificar el tiempo de intervalo en segundos entre los mensajes del sondeo
DPD.
• Varían de 10 a 60 segundos
threshold number: permite especificar la cantidad máxima de retransmisiones DPD.
• Varían 1 a 5
1558
La compatibilidad con el servidor VPN de grupo que se agregó en Junos OS versión 15.1 X49-D30 para
vSRX.

descifrado: errores
in this section
Sintaxis | 1559
Descripción | 1559
Predeterminada | 1559
Opciones | 1559

1559
Sintaxis
decryption-failures {
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores de descifrado.
Predeterminada
Varios errores de descifrado no provocan que se genere una alarma.
Opciones
failures: número de errores de descifrado hasta los cuales no se activa una alarma. Cuando se supera el
número configurado, se produce una alarma.
• Varían 1 a 1 mil millones.

1560

perfil predeterminado (Juniper Secure Connect)
in this section
Sintaxis | 1560
Descripción | 1561
Sintaxis
default-profile default-profile;
1561
Nivel de jerarquía
Descripción
Configure el perfil predeterminado. En su dispositivo de seguridad, debe especificar uno de los perfiles
de acceso remoto como perfil predeterminado.
protección
Instrucción introducida en la Junos OS versión 20.3R1
Grupo DH (ICR de seguridad)
in this section
Sintaxis | 1562
Descripción | 1562
1562
Opciones | 1562
Sintaxis
dh-group (group1 | group2 | group5 | group14 | group15 | group16 | group19 |

group20 | group21 | group24);
Nivel de jerarquía
[edit security ike proposal proposal-name]
Descripción
Especifique el grupo Diffie-Hellman ICR. El dispositivo no elimina las SA IPsec existentes cuando
actualiza la dh-group configuración en la propuesta de ICR.
Opciones
dh-group— Grupo Diffie-Hellman para establecimientos clave.
• group1— Algoritmo de exponencial modular (MODP) de 768 bits.
• group2— Algoritmo MODP de 1024 bits.
• group14— grupo MODP de 2048 bits.
• group15— algoritmo MODP de 3072 bits.

1563
• group19— Módulos de grupos de curva elíptica aleatorios de 256 bits un algoritmo prime (grupos
ECP).
• group20— Algoritmo de grupos ECP aleatorios de 384 bits.
• group21— Algoritmo de grupos ECP aleatorios de 521 bits.
• group24— Grupo MODP de 2048 bits con subgrupo de orden principal de 256 bits.
Recomendamos que utilice group14, Group15, group16, group19, group20 o group21 en lugar del
Grupo1, grupo2 o group5.
Soporte para la group14 opción agregada en Junos OS versión 11,1.
Soporte para group19, group20y group24 opciones agregadas en Junos os de la versión 12.1 x45-D10.
Compatibilidad con group19 las group20 opciones y agregadas en Junos os versión 15.1-D70 para
vSRX.
group15, group16 y las opciones group21 introducidas en Junos OS versión 19.1R1 dispositivos serie
SRX.
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones
NOT RECOMMENDEDgroup1group2 CLI, group5 y group14 .

1564
nombre distintivo (seguridad)
in this section
Sintaxis | 1564
Descripción | 1564
Opciones | 1565
Sintaxis
distinguished-name <container container-string> <wildcard wildcard-string>
Nivel de jerarquía
[edit security ike gateway gateway-name dynamic]
Descripción
Especifique un nombre completo como identificador de la puerta de enlace remota con una dirección IP
dinámica.
1565
Opciones
Container- Valor y campo DN con el que se va a hacer coincidir. Por ejemplo, cn= admin, ou= ENG,
String o= ejemplo, dc= net. Especifique uno o más campos de nombre distinguido (DN) y pares
de valores que deben coincidir con la DN en el certificado digital del par VPN. El orden
de los campos y sus valores deben coincidir exactamente con la DN en el certificado
digital del par.
Agregue un espacio entre cada par campo y valor. Por ejemplo, edit security ike gateway
jsr_gateway dynamic distinguished-name container o=example, dc=net.
cadena de Pares de campo DN y valor con el que se va a hacer coincidir. Por ejemplo, cn= admin,
caracteres ou= ENG, o= ejemplo, dc= net. Especifique uno o más campos de nombre distinguido
comodín
(DN) y pares de valores que deben coincidir con la DN en el certificado digital del par
VPN. El campo y el valor configurados deben coincidir con el DN en el certificado digital
del par, pero el orden de los campos en la DN no importa.
Agregue un espacio entre cada par campo y valor. Por ejemplo, edit security ike gateway
jsr_gateway dynamic distinguished-name wildcard o=example, dc=net.
A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo
DN dinámico entre container-string y wildcard-string en [edit security ike gateway
gateway_name dynamic distinguished-name] la jerarquía. Si intenta configurar el
segundo atributo después de configurar el primer atributo, el primero se sustituye por el
segundo atributo. Antes de actualizar el dispositivo, debe eliminar uno de los atributos si
ha configurado ambos atributos.

1566
Perfil de distribución
in this section
Sintaxis | 1566
Descripción | 1567
Opciones | 1568
Sintaxis
distribution-profile (fat-core | name) {

description description;
fpc fpc {
pic pic {
thread-id thread-id;
}
}
}
Nivel de jerarquía
[edit security]
1567
Descripción
La opción se introduce para darle al administrador una opción para definir un perfil para manejar
distribution-profile túneles asociados con un objeto VPN determinado. Si los perfiles predeterminados,
como default-spc3-profile o no están seleccionados, se puede crear un perfil nuevo default-spc2-profile
definido por el usuario. En un perfil, debe mencionar la ranura del concentrador de PIC flexible (FPC) y la
ranura PIC. Cuando este perfil se asocia con un objeto VPN, se distribuirán todos los túneles que
coincidan entre estas CPC. El thread-id es un valor opcional. Si especifica un ID de subproceso, el túnel
se distribuye en el hilo especificado.
A partir de la versión 20.2R1 de Junos OS, cuando se agrega, cambia o elimina el ID de subproceso del
perfil de distribución, todos los túneles que forman parte del perfil de distribución modificado anclado
en un miembro de SPU modificado del perfil de distribución se desmontan y se negocian de nuevo.
Consulte Tabla 112 en la página 1567 para ver si hay cambios catastróficos cuando cambie la
configuración del perfil de distribución.
Tabla 112: Perfil de distribución Cambio catastrófico
Cambio de perfil de distribución Cambio catastrófico
Agregue un perfil de distribución nuevo a la VPN. Todos los túneles que forman parte de este
nuevo perfil de distribución se bajan y se
negocian de nuevo.
Agregue información de SPU nueva a un perfil Sin impactos en ningún túnel.

que ya forma parte de la VPN.
Eliminar información de SPU de un perfil de Solo aquellos túneles que forman parte del perfil
distribución de la VPN. de distribución que se modifica y ancla a una SPU
eliminada se bajan y se negocian de nuevo.
Agregue el primer ID de subproceso a una parte Todos los túneles que forman parte de este perfil
de SPU del perfil de distribución. de distribución se bajan y se negocian de nuevo.
Agregue el siguiente conjunto de IDs de hilo a la Sin impactos en ningún túnel.

parte de SPU del perfil de distribución.
1568
Tabla 112: Perfil de distribución Cambio catastrófico (Continued)
Cambio de perfil de distribución Cambio catastrófico
Eliminar un ID de subproceso de una parte de Solo aquellos túneles que forman parte del perfil
SPU del perfil de distribución. de distribución modificado y anclados a la SPU
eliminada se bajan y se negocian de nuevo.
Eliminar el último ID de subproceso de la parte de Sin impactos en ningún túnel.

SPU del perfil de distribución.
Eliminar perfil de distribución de la VPN Sin impactos en ningún túnel.
Cambie el nombre del perfil de distribución de Todos los túneles que forman parte de este perfil
profileA a profileB en VPN. se bajan y se negocian de nuevo.
Opciones
descriptiva Descripción de texto del perfil de distribución.
FPC Número de ranura FPC.
recoger Ranura de la serie PIC.
id de hilo (Opcional) Número de ID de subproceso. Solo válido para SPC3.

1569
Declaración introducida en Junos OS versión 19.2 R1.
dinámica (seguridad)
in this section
Sintaxis | 1569
Descripción | 1570
Opciones | 1570
Sintaxis
dynamic {
connections-limit number;
container container-string;
wildcard wildcard-string
}
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
1570
Nivel de jerarquía
Descripción
Especifique el identificador para la puerta de enlace remota con una dirección IPv4 o IPv6 dinámica. Use
esta instrucción para configurar una VPN con una puerta de enlace que tenga una dirección IPv4 o IPv6
sin especificar.
Opciones
límite de Configure el número de conexiones simultáneas que admite el perfil de grupo. Cuando
conexiones se alcanza el número máximo de conexiones, ningún extremo de red privada virtual
(VPN) más marcado de los usuarios que intentan tener acceso a una VPN de IPsec
pueden comenzar las negociaciones de Intercambio de claves por red (ICR). Esta
configuración se aplica a SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500,
SRX4100, SRX4200, y SRX4600 dispositivos e instancias de vSRX, así como a SRX5400,
SRX5600 y los dispositivos de SRX5800 configurados para AutoVPN.
nombre Especifique un nombre completo como identificador de la puerta de enlace remota con
distinguido una dirección IP dinámica.
host Nombre por el que se conoce a un dispositivo conectado a la red en una red. Un nombre
de dominio completo (FQDN) o un FQDN parcial que se puede hacer coincidir con el
certificado de PKI X.509 de un par. Un FQDN parcial se hace coincidir con la parte
superior derecha del campo de asunto alternativo del certificado del dispositivo par. Por
ejemplo, el example.net parcial de FQDN puede coincidir con los dispositivos con
host1.example.net o host2.example.net en el campo de asunto alternativo de sus
certificados. Tenga en cuenta que el example.net parcial de FQDN no coincide con
host1.example.network.com o host2.net.com porque example.net no es el valor que se
encuentra más a la derecha en el campo de asunto alternativo. Para AutoVPN, puede
usar un FQDN parcial combinado con IKE-User-Type Group-IKE-ID para identificar un
usuario o par remoto específico cuando hay varios interlocutores que comparten un
nombre de dominio común.
1571
IKE-tipo de Configure el tipo de ICR usuario para una conexión de acceso remoto.
usuario
• Valores
• group-ike-id: dirección de correo electrónico o nombre de dominio completo

(FQDN) compartido por un grupo de usuarios de acceso remoto para que cada
usuario no tenga que configurar un perfil de ICR independiente. Cuando se
configuran identificadores de ICR de grupo, el identificador de ICR de cada
usuario es una concatenación de un elemento específico del usuario y una parte
común a todos los usuarios del grupo ICR ID. Por ejemplo, es posible que Bob
utilice "Bob.example.net" como su ID de ICR completo, donde ".example.net" es
común a todos los usuarios. El ID de ICR completo se utiliza para identificar de
forma exclusiva cada conexión de usuario. Los identificadores de ICR de grupo
requieren la generación de una clave previamente compartida única basada en el
nombre de usuario proporcionado durante la conexión VPN, show security ike
pre-shared-key que se puede ver con el comando.
• shared-ike-id: dirección de correo electrónico compartida por un gran número de

usuarios de acceso remoto para que cada usuario no tenga que configurar un
perfil de ICR separado. Cuando se configura un ID de ICR compartido, todos los
usuarios comparten un único ID de ICR y una sola clave previamente compartida
ICR. Cada usuario se autentica a través de la fase de XAuth obligatoria, donde las
credenciales de usuarios individuales se comprueban con un servidor de RADIUS
externo o con una base de datos de acceso local. XAuth es necesario para los
identificadores compartidos de ICR.
inet Utilice una dirección IPV4 para identificar el par dinámico.
inet6 Utilice una dirección IPV6 para identificar el par dinámico.
rechazar- Rechazar nueva conexión de ID. de ICR duplicada.

conexión-
duplicado
usuario a Utilice una dirección de correo electrónico.
nombre de
host

1572
Instrucción modificada en Junos OS versión 8,5. Soporte para la inet6 opción agregada en Junos OS
versión 11,1.
VPN dinámico
in this section
Sintaxis | 1572
Descripción | 1573
Opciones | 1573
Sintaxis
dynamic-vpn {
access-profile profile-name;
clients configuration-name {
ipsec-vpn vpn-name;
remote-exceptions ip-address/mask;
remote-protected-resources ip-address/mask;
user username;
user-groups user-group-name;
}
config-check;
1573
force-upgrade;
interface;
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable
| no-world-readable)>;
flag {
all;
}
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Nivel de jerarquía
[edit security]
Descripción
Configure la característica VPN dinámica. La característica VPN dinámica simplifica el acceso remoto ya
que permite a los usuarios crear túneles VPN de IPsec sin tener que configurar manualmente las
opciones en sus PC o equipos portátiles. Esta característica es compatible con SRX300, SRX320,
Opciones
Perfil de acceso Especifique el perfil de acceso que se utilizará para la autenticación extendida de los
usuarios remotos que intenten descargar el administrador de acceso. Esta
característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos
de SRX550HM.
clientes Crear una configuración de cliente para la característica VPN dinámica.

1574
config-check Habilite la comprobación de configuración de VPN dinámica adicional. Si incluye

esta instrucción en su configuración, ésta se habilitará automáticamente. Si la
instrucción no está presente en su configuración, la opción de comprobación de la
configuración no está activada. Esta característica es compatible con SRX300,
SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Forzar Forzar actualización. la VPN dinámica.

actualización
interfaz Especifique una lista de interfaces para establecer las interfaces que permiten tener
acceso a la VPN dinámica, separada por espacios. Esta característica es compatible
con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
traceoptions Configure las opciones dinámicas de seguimiento de VPN.
Declaración introducida en Junos OS versión 9,5.
config-checky interface las opciones introducidas en Junos os versión 12.1 X44-D10.

1575
algoritmo de cifrado (ICR de seguridad)
in this section
Sintaxis | 1575
Descripción | 1575
Opciones | 1576
Sintaxis
encryption-algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc |

aes-256-cbc | aes-256-gcm | des-cbc);
Nivel de jerarquía
[edit security ike proposal proposal-name]
Descripción
Configure un algoritmo de cifrado para una propuesta de ICR. El dispositivo no elimina las SA IPsec
existentes cuando actualiza la encryption-algorithm configuración en la propuesta de ICR.
1576
Opciones
3des-cbc Tiene un tamaño de bloque de 24 bytes; el tamaño de la clave es 192 bits de longitud.
aes-128-cbc Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
aes-128-gcm Algoritmo de cifrado autenticado AES 128 bits solo compatible con IKEv2. Cuando se
utiliza esta opción, aes-128-gcm debe configurarse en eledit security ipsec proposal
proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe
configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].
Cuando aes-128-gcm se aes-256-gcm configuran algoritmos de cifrado o de codificación

en la propuesta IPSec, no es obligatorio configurar el algoritmo de cifrado AES-GCM en
la propuesta de ICR correspondiente.
aes-192-cbc Algoritmo de cifrado de AES 192 bits.
aes-256-cbc Algoritmo de cifrado de AES 256 bits.
aes-256-gcm Algoritmo de cifrado autenticado AES 256 bits solo compatible con IKEv2. Cuando se
utiliza esta opción, aes-256-gcm debe configurarse en eledit security ipsec proposal
proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe
configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].
des-cbc Tiene un tamaño de bloque de 8 bytes; el tamaño de la clave es 48 bits de longitud.
Instrucción introducida en Junos OS versión 8,5.Soporte para aes-128-gcm y aes-256-gcm opciones

agregadas en Junos os Release 15.1 x49-D40.
A partir de Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las NOT
RECOMMENDED CLI opciones 3des-cbc y des-cbc .
1577

cifrado: errores
in this section
Sintaxis | 1577
Descripción | 1578
Opciones | 1578
Sintaxis
encryption-failures {
threshold value;
}
Nivel de jerarquía

1578
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores de cifrado.
Predeterminada
Varios errores de cifrado no provocan que se genere una alarma.
Opciones
failures: número de errores de cifrado hasta los cuales no se activa una alarma. Cuando se supera el

1579
archiva
in this section
Sintaxis | 1579
Descripción | 1579
Opciones | 1580
Sintaxis
file <filename> <files files> <match match> <size size> <(world-readable | no-
world-readable)>;
Nivel de jerarquía
[edit security dynamic-vpn traceoptions (Security Dynamic VPN)],
Descripción
Configure las opciones del archivo de seguimiento. Nombre del archivo que va a recibir el resultado de la
operación de seguimiento.
1580
Opciones
nombre Nombre del archivo en el que se va a escribir la información de seguimiento
archivos Número máximo de archivos de seguimiento
• Varían 2 a 1000
coincidencia Expresión regular para las líneas que se van a registrar
no legibles para el mundo No permitir que ningún usuario Lea el archivo de registro
cambiar Tamaño máximo del archivo de seguimiento
• Varían 10240 a 1073741824
legibles para el mundo Permitir que cualquier usuario Lea el archivo de registro
rastre

1581
puerta de enlace (grupo de seguridad VPN miembro

ICR)
in this section
Sintaxis | 1581
Descripción | 1582
Opciones | 1582
Sintaxis
gateway gateway-name {
ike-policy policy-name;
local address ip-address;
local-identity {
(hostname hostname | inet ip-address | inet6 ipv6-address | user-at-
hostname e-mail-address);
}
remote-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-address);
}
routing-instance routing-instance;
server-address ip-address;
}
1582
Nivel de jerarquía
Descripción
Configure ICR puerta de enlace para el miembro de grupo VPN. Una ICR de enlace inicia y termina las
conexiones de red entre un firewall y un dispositivo de seguridad.
Opciones
nombre de puerta de Nombre de la puerta de enlace.

enlace
nombre-política de ike- Nombre de la Directiva de ICR.
policy
dirección IP de dirección Configure la dirección IPv4 que usa el miembro al tener acceso al servidor de
local grupo.
identidad local-identidad Especifique la identidad de ICR local que desea enviar en el intercambio con
local el interlocutor de destino para establecer la comunicación.
identidad remota Especifique el nombre de una instancia de enrutamiento. Si no se especifica,

identidad remota se utilizará la instancia predeterminada de enrutamiento inet. 0.
instancia de Especifique el nombre de una instancia de enrutamiento. Si no se especifica,

enrutamiento instancia se utilizará la instancia predeterminada de enrutamiento inet. 0.
de enrutamiento
instancia de
enrutamiento
dirección IP de dirección Especifique la dirección IPv4 del servidor de grupo que este miembro registra
de servidor mediante un groupkey-pull intercambio. Pueden configurarse hasta cuatro
direcciones IP del servidor. El miembro del grupo intenta registrarse con el
primer servidor configurado. Si el registro con un servidor configurado no se
realiza correctamente, el miembro del grupo intenta registrarse en el
siguiente servidor configurado.
1583
Es recomendable que los miembros del grupo solo se registren en los

subservidors en un clúster de servidores y no en el servidor raíz.
Instrucción introducida en Junos OS versión 10,2. Soporte para la routing-instance opción agregada en
Junos os versión 15.1 a X49-D30 para vSRX.
puerta de enlace (servidor VPN de grupo de

seguridad ICR)
in this section
Sintaxis | 1584
Descripción | 1584
Opciones | 1585

1584
Sintaxis
address ip-address;
always-send;
interval seconds;
threshold number;
}
dynamic {
}
local-address ip-address;
local-identity {
}
remote-identity {
}
}
Nivel de jerarquía
Descripción
Configure ICR puerta de enlace para el servidor VPN del grupo.

1585
Opciones
gateway gateway-name : nombre de la puerta de enlace.
address ip-address : permite especificar la dirección IP del par.
dead-peer-detection : permite DPD entre servidores de clúster de servidores de grupo.
dynamic: especifique el identificador para la puerta de enlace remota con una dirección IPv4 dinámica.
Use esta instrucción para configurar una VPN con una puerta de enlace que tenga una dirección IPv4 no
especificada.
• hostname domain-name : especifique un nombre de dominio completo.
• inet ip-address : especifique una dirección IPv4 para identificar el par dinámico.
• user-at-hostname e-mail-address : especifique una dirección de correo electrónico.
No se admite la configuración para servidores VPN de grupo o miembros cuando la puerta de enlace
remota tiene una dirección dinámica y el método de autenticación es . — Especifique el nombre de mode
main la política ICR de pre-shared-keysike-policy policy-name acceso.
local-address ip-address : configure la dirección IP de origen que utiliza el servidor VPN del grupo
cuando se comunica con un miembro de grupo o un servidor raíz. Esta instrucción se utiliza
normalmente cuando hay varias direcciones IP enlazadas a una interfaz.
local-identity: especifique la identidad de ICR local que se debe enviar en el intercambio con el par de
destino para establecer una comunicación. Si no configura una identidad local, el dispositivo usará de
forma predeterminada el IPv4 correspondiente al extremo local.
• hostname hostname: permite especificar la identidad como un nombre de dominio completo

(FQDN).
• inet ip-address: permite especificar la identidad como dirección IPv4.
• user-at-hostname e-mail-address: permite especificar la identidad como dirección de correo

electrónico.
remote-identity: permite especificar la identidad ICR del par de destino. Si no configura una identidad
remota, el dispositivo usa, de forma predeterminada, la dirección IPv4 que corresponde al interlocutor
de destino.

(FQDN).

1586

electrónico.
routing-instance routing-instance: configure la instancia de enrutamiento que utiliza el servidor VPN de

grupo al comunicarse con un servidor de grupo. Esta instrucción se utiliza cuando la puerta de enlace de
ICR no está configurada en la instancia de enrutamiento predeterminada.
La compatibilidad con el servidor VPN de grupo que se agregó en Junos OS versión 15.1 X49-D30 para
vSRX.
puerta de enlace (ICR de seguridad)
in this section
Sintaxis | 1587
Descripción | 1589
Opciones | 1589
1587
Sintaxis
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-address-or-hostname];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
wildcard wildcard-string
}
1588
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-
address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-
string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id |
user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
Nivel de jerarquía
[edit security ike]

1589
Descripción
Configure una puerta de enlace de ICR.
Opciones
nombre de Nombre de la puerta de enlace.

puerta de enlace
domicilio Especifique la dirección IPv4 o IPv6 o el nombre de host de la puerta de enlace
Intercambio de claves por red (ICR) principal y hasta cuatro puertas de enlace de
copia de seguridad.
• Valores
• dirección: dirección IPv4 o IPv6 o nombre de host de una puerta ICR de

enlace.
AAA Especifica que la autenticación extendida se realizará además de ICR autenticación

de la fase 1 para los usuarios remotos que intenten tener acceso a un túnel VPN.
advpn Habilite el protocolo VPN de detección automática (ADVPN) en la puerta de enlace

especificada. ADVPN establece dinámicamente túneles VPN entre los radios para
evitar que el tráfico de enrutamiento se produzca a través del concentrador.
detección de Habilite el dispositivo para usar la detección de pares inactivos (DPD).

pares de tráfico
muerto
manera Especifique el identificador para la puerta de enlace remota con una dirección IPv4 o
IPv6 dinámica. Use esta instrucción para configurar una VPN con una puerta de
enlace que tenga una dirección IPv4 o IPv6 sin especificar.
External- Nombre de la interfaz que se va a usar para enviar tráfico al VPN de IPsec.
interface Especifique la interfaz de salida de ICR SA. Esta interfaz está asociada con una zona
que actúa como su operador, lo que proporciona seguridad de Firewall para ella.
fragmentación Deshabilite la fragmentación de paquetes IKEv2 y, si lo desea, configure el tamaño

máximo de un mensaje IKEv2 antes de dividir el mensaje en fragmentos que se
cifren y autentiquen individualmente.
deshabilite Deshabilita la fragmentación IKEv2. La fragmentación de IKEv2 está

habilitada de forma predeterminada.
1590
bytes de Tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo

tamaño en fragmentos. El tamaño se aplica a los mensajes de IPv4 e IPv6.
• Varían 500 a 1300 bytes
• Predeterminada 576 bytes para mensajes IPv4 y 1280 bytes

para mensajes IPv6
General-ikeid Aceptar el ID de ICR del mismo nivel en general.
IKE-Directiva Especifique la Directiva de ICR que se utilizará para la puerta de enlace.
dirección local Dirección IP local para las negociaciones de ICR. Especifique la dirección de la
puerta de enlace local. Se pueden configurar varias direcciones de la misma familia
de direcciones en una interfaz física externa a una VPN peer. Si es así, es
recomendable que local-address esté configurado. Si solo hay una dirección IPv4 y
otra IPv6 configuradas en una interfaz física externa local-address , la configuración
no es necesaria.
El local-address valor debe ser una dirección IP configurada en una interfaz del
dispositivo de serie SRX. Es recomendable que local-address pertenezca a la interfaz
externa de la puerta de enlace de ICR. Si local-Address no pertenece a la interfaz
externa de la puerta de enlace de ICR, la interfaz debe estar en la misma zona que la
interfaz externa de la puerta de enlace de ICR y debe configurarse una directiva de
seguridad intra-Zone para permitir el tráfico. El local-address valor y la dirección de
puerta de enlace de ICR remoto deben estar en la misma familia de direcciones, ya
sea IPv4 o IPv6.
identidad local Especifique la identidad de ICR local que desea enviar en el intercambio con el
interlocutor de destino para establecer la comunicación.
keepalive de Especifique el intervalo en el que TDR se pueden enviar los paquetes de KeepAlive
NAT (segundos) para que continúe TDR la traducción. El valor predeterminado cambió de
5 segundos a 20 segundos en Junos OS versión 12.1 X46-D10.
• Varían 1 a 300
no NAT- Deshabilite IPSec TDR exploración transversal. Deshabilita la encapsulación UDP de

transversal paquetes de carga de seguridad de encapsulación (ESP) de IPsec, lo que se conoce
también como Traducción de direcciones de red transversal (TDR-T). De forma
predeterminada, TDR-T está habilitado.
1591
encap TCP-perfil Especifique el perfil de encapsulación TCP que se utilizará para las conexiones TCP
de los clientes de acceso remoto.
versi Especifique la versión de ICR que se va a utilizar para iniciar la conexión.
• Valores
• Solo v1: la conexión se debe iniciar mediante ICR versión 1. Este es el valor
predeterminado.
• Solo v2: la conexión se debe iniciar mediante ICR versión 2
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con direcciones IPv6 agregadas en
Junos OS versión 11,1. La inet6 opción agregada en Junos OS versión 11,1. Compatibilidad con la advpn
opción agregada en Junos os versión 12.3 X48-D10.
La fragmentation opción se inducía en Junos OS versión 15.1X49-D80.

1592
opciones globales (Juniper Secure Connect)
in this section
Sintaxis | 1592
Descripción | 1592
Opciones | 1593
Sintaxis
global-options {
auth-token-valid-time seconds;
}
Nivel de jerarquía
Descripción
Defina parámetros globales para Juniper Secure Connect configuración de acceso remoto.
1593
Opciones
tiempo válido de autenticación-señal Tiempo válido del símbolo de autenticación (segundos).
• Varían 1 a 300
protección
Grupo (VPN de grupo de seguridad)
in this section
Sintaxis | 1594
Descripción | 1595
Opciones | 1595

1594
Sintaxis
group name {
anti-replay-time-window milliseconds;
group-id number;
ike-gateway gateway-name;
ipsec-sa name {
match-policy policy-name {
destination ip-address/netmask;
destination-port number;
protocol number;
source ip-address/netmask;
source-port number;
}
proposal proposal-name;
}
member-threshold number;
server-cluster {
retransmission-period seconds;
server-role (root-server | sub-server);
}
certificate certificate-id;
communication-type (unicast);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
number-of-retransmission number;
sig-hash-algorithm (sha-256 | sha-384);
}
}
Nivel de jerarquía
[edit security group-vpn server]

1595
Descripción
Configure la VPN del grupo en el servidor de grupo. Group VPNv2 es compatible con SRX300, SRX320,
SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de
vSRX.
Opciones
name: nombre del grupo.
• anti-replay-time-window milliseconds: permite configurar el tiempo de reproducción en

milisegundos. Especifique un valor entre 1 y 60.000.
Recomendamos que se configure NTP en dispositivos de VPNv2 de grupo para garantizar el correcto
funcionamiento del antireplay.
Los miembros del grupo que se ejecutan en vSRX instancias de una máquina host en la que el
hipervisor se está ejecutando bajo una carga pesada pueden experimentar problemas que pueden
anti-replay-time-window corregirse volviendo a configurar el valor. Si no se van a transferir los datos
que coinciden con la directiva IPsec en el miembro show security group-vpn member ipsec statistics
del grupo, compruebe el resultado en busca de errores D3P. Asegúrese de que el NTP funciona
correctamente. Si hay errores, ajuste el anti-replay-time-window valor.
• description description: descripción del grupo.
• group-id number: identificador para la VPN de este grupo. Especifique un valor entre 1 y
4.294.967.295.
• ike-gateway gateway-name: defina el miembro del grupo para la negociación de fase 1. Puede haber
varias instancias de esta opción configuradas. Cuando un miembro del grupo envía su solicitud de
registro al servidor, el servidor comprueba si el miembro está configurado para el grupo.
• ipsec-sa name: configure lasAS del grupo para que se descarguen a los miembros. Puede haber varias
SA de grupo descargadas a miembros del grupo.
• member-threshold number: especifique la cantidad máxima de miembros VPN de grupo que se

pueden aceptar en el grupo. Se debe member-threshold configurar el mismo valor en el servidor raíz
y en todos los subservidors de un clúster de servidores de grupo.
El número máximo que puede configurar para un grupo depende de la plataforma del servidor de
grupo. Además, la suma de los member-threshold números de todos los grupos configurados en el
servidor del grupo no debe superar la capacidad de la plataforma del servidor de grupo.
1596
• server-cluster: configure el clúster de controlador de grupo de dominio de interpretación (GDOI) del

servidor de claves (GCKS) para el grupo especificado. Todos los servidores de un clúster de servidor
VPN de grupo deben ser serie SRX dispositivos.
• server-member-communication: permite y configura la comunicación del servidor a miembro.

Cuando estas opciones se configuran, los miembros del Grupo reciben nuevas claves antes de que
caduquen las claves actuales.
Instrucción introducida en Junos OS versión 10.2
member-threshold que se introduce en Junos OS versión 15.1X49-D30 para vSRX.
VPN de grupo
in this section
Sintaxis | 1597
Descripción | 1598
Opciones | 1598
1597
Sintaxis
group-vpn {
member {
ike {
gateway gateway-name;
policy;
proposal;
traceoptions;
}
ipsec {
vpn vpn-name {
df-bit (clear | copy | set);
exclude rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
fail-open rule rule-name {
}
group id;
group-vpn-external-interface interface;
recovery-probe;
}
}
}
server {
group name {
group-id number;
1598
ipsec-sa;
server-cluster;
}
ike {
policy;
proposal;
}
ipsec {
}
traceoptions (Security Group VPN);
}
}
Nivel de jerarquía
[edit security]
Descripción
Configurar VPN de grupo en el grupo VPNv2. El grupo VPNv2 extiende la arquitectura IPsec para
admitir SA que comparten un grupo de dispositivos de seguridad. Con VPNv2 de grupo, la conectividad
de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino
en el encabezado exterior.
Opciones
pertenece Configure el miembro VPN del grupo.
protocolos Configure la VPN del grupo IPsec en el miembro del grupo.

1599
política Configure una directiva de ICR.
Propuesta Definir una propuesta de ICR. Puede configurar una o más ICR propuestas. Cada
propuesta es una lista de atributos ICR para proteger la ICR conexión entre el
host ICR y su par.
traceoptions Configure las opciones de seguimiento de VPN de grupo para ayudar a solucionar
problemas ICR problemas del servidor.
IPSec Configure IPsec para el intercambio de fase 2 en el miembro del grupo.
virtuales Configure VPN IPsec para el intercambio de fase 2 en el miembro del grupo.
servidor Configure el servidor VPN de grupo.
Agrupe Configure la VPN del grupo en el servidor de grupo.
período de tiempo Configure antireplay tiempo de espera en milisegundos. Especifique un valor

de reproducción entre 1 y 60.000. Cada paquete IPsec contiene una marca de hora. El miembro
del grupo comprueba si la marca de hora del paquete está dentro del valor anti-
replay-time-window configurado. Un paquete se descarta si la marca de hora
supera el valor.
descriptiva Descripción del grupo.
número de id de Identificador para esta VPN de grupo. Especifique un valor entre 1 y

grupo 4.294.967.295.
nombre de puerta Defina el miembro del grupo para la negociación de la fase 1. Puede haber varias
de enlace de ike- instancias de esta opción configuradas. Cuando un miembro del grupo envía su
gateway
solicitud de registro al servidor, el servidor comprueba si el miembro está
configurado para el grupo.
IPSec-SA Configure las SA del grupo para que se descarguen a los miembros. Puede haber
varias SA de grupo descargadas a miembros del grupo.
umbral de miembro Especifique el número máximo de miembros de VPN de grupo que se pueden
aceptar en el grupo. No hay un número predeterminado.
clúster de servidores Configure el clúster grupo de dominio de interpretación (GDOI) de controlador de

grupo/servidor de claves (GCKS) para el grupo especificado. Todos los servidores
de un clúster de servidor VPN de grupo deben ser serie SRX dispositivos.
1600
comunicación Habilitar y configurar la comunicación entre el servidor y el miembro. Cuando

servidor-miembro estas opciones se configuran, los miembros del Grupo reciben nuevas claves
antes de que caduquen las claves actuales.
ike (alta disponibilidad)
in this section
Sintaxis | 1601
Descripción | 1601
Opciones | 1602

1601
Sintaxis
ike {
gateway name {
}
policy name {
pre-shared-key (ascii-text ascii-text | hexadecimal hexadecimal);
proposals [ proposals ... ];
}
proposal name {
authentication-algorithm (md5 | sha-256 | sha-384 | sha-512 | sha1);
authentication-method (dsa-signatures | ecdsa-signatures-256 | ecdsa-
signatures-384 | ecdsa-signatures-521 | pre-shared-keys | rsa-signatures);
dh-group (group1 | group14 | group15 | group16 | group19 | group2 |
group20 | group21 | group24 | group5);
encryption-algorithm (aes-256-gcm);
}
}
Nivel de jerarquía
[edit security]
Descripción
Defina Intercambio de claves por red configuración de red (ICR) para la función de alta disponibilidad.
ICR es un protocolo de administración de claves que crea SLA dinámicos; negocia SA para IPsec. Una
ICR configuración define los algoritmos y claves que se utilizan para establecer una conexión segura con
una puerta de enlace de seguridad par.
1602
Opciones
nombre de Nombre de la puerta de enlace.

puerta de
enlace
IKE-Directiva Especifique la Directiva de ICR que se utilizará para la puerta de enlace.
versi Especifique la versión de ICR que se va a utilizar para iniciar la conexión.
• Valores
• Solo v2: la conexión se debe iniciar mediante ICR versión 2. Para la función
Multinodo de alta disponibilidad, debe configurar la versión ICR como v2-only .
Instrucción introducida en la Junos OS versión 20.4R1.

Chasis de alta disponibilidad
Multinodo de alta disponibilidad
grupo de redundancia de servicios
local-id
peer-id
traceoptions
1603

IKE (seguridad)
in this section
Sintaxis | 1603
Descripción | 1606
Opciones | 1606
Sintaxis
ike {
gateway (Security IKE) name {
( address | dynamic (Security) distinguished-name (Security) <
container> < wildcard> hostname inet inet6 user-at-hostname <connections-limit
connections-limit> <ike-user-type (group-ike-id | shared-ike-id)> <reject-
duplicate-connection>);
aaa {
access-profile;
client password password username username;
}
advpn {
partner {
connection-limit connection-limit;
1604
disable;
idle-threshold idle-threshold;
idle-time seconds;
}
suggester {
disable;
}
}
dead-peer-detection (always-send | optimized | probe-idle-tunnel);
external-interface external-interface;
fragmentation {
disable;
size size;
}
general-ikeid;
ike-policy;
local-address;
local-identity (distinguished-name | hostname identity-hostname | inet
identity-ipv4 | inet6 identity-ipv6 | key-id string-key-id | user-at-hostname
identity-user);
remote-identity distinguished-name <container container> <wildcard
wildcard>hostname identity-hostnameinet identity-ipv4inet6 identity-ipv6 key-id
string-key-id user-at-hostname identity-user;
tcp-encap-profile;
}
policy name {
certificate {
local-certificate (Security) local-certificate;
policy-oids policy-oids;
trusted-ca (ca-profile ca-profile | trusted-ca-group trusted-ca-
group );
}
mode (aggressive | main);
pre-shared-key (ascii-text ascii-text | hexadecimal hexadecimal);
proposal-set (Security IKE) (basic | compatible | prime-128 | prime-256
| standard | suiteb-gcm-128 | suiteb-gcm-256);
proposals [ proposals ... ];
reauth-frequency reauth-frequency;
}
proposal name {
1605
authentication-algorithm (md5 | sha-256 | sha-384 | sha-512 | sha1);

signatures-384 | ecdsa-signatures-521 | pre-shared-keys | rsa-signatures);
dh-group (group1 | group14 | group15 | group16 | group19 | group2 |
group20 | group21 | group24 | group5);
encryption-algorithm (Security IKE) (3des-cbc | aes-128-cbc | aes-128-
gcm | aes-192-cbc | aes-256-cbc | aes-256-gcm | des-cbc);
}
respond-bad-spi <max-responses>;
traceoptions {
file {
filename;
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
level (critical | error | terse | warning | detail);

flag flag (all | certificates | config | database | general | high-
availability | ike | next-hop-tunnels | parse | policy-manager | routing-socket
| thread | timer)reference/configuration-statement/security-edit-ike-security;
no-remote-trace;
rate-limit messages-per-second;
}
}
Nivel de jerarquía
[edit security]
1606
Descripción
Defina la configuración de Intercambio de claves por red (ICR). ICR es un protocolo de administración de
claves que crea SLA dinámicos; negocia SA para IPsec. Una ICR configuración define los algoritmos y
claves que se utilizan para establecer una conexión segura con una puerta de enlace de seguridad par.
Opciones
respond-bad-spi max-responses— (Opcional) Número de veces que se debe responder a valores SPI no
válidos por puerta de enlace. Habilitar respuesta a valores de índice de parámetros de seguridad (SPI) de
IPsec no válidos. Si las asociaciones de seguridad (SA) entre dos elementos del mismo nivel de una VPN
de IPsec dejan de estar sincronizadas, el dispositivo restablece el estado de un interlocutor para que los
dos del mismo nivel estén sincronizados.
• Varían 1 a 30
traceoptions: configure ICR opciones de seguimiento para ayudar a solucionar problemas ICR
problemas. Esto ayuda a solucionar problemas de una o varias negociaciones de la configuración
estándar de mejora. El seguimiento de ICR permite al usuario ver el intercambio detallado de paquetes y
la información de negociación en las fases 1 y 2. El seguimiento de ICR no está habilitado de forma
predeterminada. De forma predeterminada, todas las negociaciones de ICR o IPsec se registran
en/var/log/KMD. Sin embargo, el usuario también puede especificar un nombre de archivo
personalizado al configurar el ICR TraceOptions.
Instrucción modificada en Junos OS versión 8,5.

1607
Compatibilidad con direcciones IPv6 agregadas en Junos OS versión 11,1.
inet6opción agregada en Junos OS versión 11,1.
group15, group16 , y las opciones group21ecdsa-signatures-521sha-512 introducidas en la Junos OS

versión 19.1R1 dispositivos de la serie SRX.
level las opciones introducidas en Junos OS versión 21.1R1.

Información general sobre ALG
Descripción de los sistemas lógicos para las puertas de enlace de servicios serie SRX
IKE (miembro del grupo de seguridad VPN)
in this section
Sintaxis | 1607
Descripción | 1609
Opciones | 1609
Sintaxis
ike {
local address ip-address;
local-identity {
1608
(hostname hostname | inet ip-address | inet6 ipv6-address | user-at-

hostname e-mail-address);
}
remote-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
}
server-address ip-address;
}
policy policy-name {
pre-shared-key (ascii-text key | hexadecimal key);
proposals proposal-name;
}
proposal proposal-name {
authentication-algorithm (sha-256 | sha-384);
dh-group (group14 | group24);
}
traceoptions {
file {
filename;
files number;
}
| thread | timer);
gateway-filter {
remote-address ip-address;
}
no-remote-trace;
1609
}
}
Nivel de jerarquía
[edit security group-vpn member]
Descripción
Configure ICR VPN de grupo en el miembro del grupo. Un miembro del grupo cifra el tráfico y es
responsable del cifrado y descifrado real del tráfico de datos. Un miembro del grupo está configurado
con parámetros ICR fase 1 e información GC/KS.
Opciones
nombre de puerta de enlace Configure ICR puerta de enlace para el miembro de grupo VPN.
nombre de política Configure una directiva de ICR.
proposalproposal-name Definir una propuesta de ICR.
traceoptions Configure las opciones de seguimiento de VPN de grupo para ayudar a

solucionar los ICR problemas.

1610
IKE (servidor VPN de grupo de seguridad)
in this section
Sintaxis | 1610
Descripción | 1612
Opciones | 1612
Sintaxis
ike {
address ip-address;
always-send;
interval seconds;
threshold number;
}
dynamic {
address);
1611
}
local-identity {
address);
}
remote-identity {
address);
}
}
}
}
}
Nivel de jerarquía

1612
Descripción
Configure la Asociación de seguridad (SA) de fase 1 con un miembro en el servidor de grupo. La puerta
de enlace es el miembro del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
Opciones
nombre de puerta de enlace Configure ICR puerta de enlace para el servidor VPN del grupo.
proposal proposal-name Definir una propuesta de ICR.

1613
IKE (VPN de seguridad de IPsec)
in this section
Sintaxis | 1613
Descripción | 1614
Opciones | 1614
Sintaxis
ike {
anti-replay-window-size anti-replay-window-size;
idle-time seconds;
install-interval seconds;
ipsec-policy ipsec-policy-name;
no-anti-replay;
proxy-identity {
local ip-prefix;
remote ip-prefix;
service (any | service-name);
}
}
Nivel de jerarquía
[edit security ipsec vpn vpn-name]

1614
Descripción
Definir una VPN IPsec con clave de ICR.
Opciones
ventana anti- Para activar la anti-replay-window-size opción, primero debe configurar la opción
Replay-size para cada objeto VPN o en el nivel global. Puede configurar el tamaño de la ventana
anti-Replay en el rango de 64 a 8192 (potencia de 2). Si no se configura el tamaño de
la ventana anti-Replay, el tamaño de la ventana será de 64 de forma predeterminada.
Si anti-replay-window-size el comando se configura en los niveles de objeto global y
de VPN, la configuración del objeto VPN tiene prioridad sobre la configuración
global.
anti-replay-window-size solo se admite en dispositivos serie SRX 5000 con tarjeta

SRX5K-SPC3 instalada.
nombre de Nombre de la puerta de enlace de ICR remoto.

puerta de enlace
tiempo de Especifique la cantidad máxima de tiempo de inactividad para eliminar una
inactividad asociación de seguridad (SA).
• Predeterminada Para deshabilitar
• Varían 60 a 999.999 segundos
install-Interval Especifica el número máximo de segundos que se va a permitir para la instalación de

una asociación de seguridad (SA) saliente de clave en el dispositivo.
• Predeterminada 1 segundo
IPSec-Directiva Especifique el nombre de la directiva IPsec.
no-anti- Deshabilite la característica de comprobación de antireplay de IPsec. Antireplay es

reproducción una característica de IPsec que puede detectar cuándo un paquete es interceptado y
lo reproducen los intrusos. De forma predeterminada, la comprobación antireplay
está habilitada.
identidad de Opcionalmente, especifique el identificador de proxy IPsec que se va a usar en las

proxy negociaciones. El valor predeterminado es la identidad basada en la puerta de enlace
1615
de ICR. Si la puerta de enlace de ICR es IPv6 de sitio a sitio, el ID. de proxy

predeterminado es::/0. Si la puerta de enlace de ICR es IPv4 o un extremo dinámico
o puerta de enlace de acceso telefónico, el ID de proxy predeterminado es 0.0.0.0/0.
• local: especifique la dirección IPv4 o IPv6 local y la máscara de subred para la

identidad de proxy.
• remote: especifique la dirección IPv4 o IPv6 remota y la máscara de subred para

la identidad de proxy.
• service: permite especificar el servicio (combinación de puertos y protocolos) que

se debe proteger. El nombre del servicio se define con system-services las
letrasInterface Host-Inbound Traffic() system-services yZone Host-Inbound
Traffic().
Instrucción introducida en Junos OS versión 8,5. Apoyo.
La anti-replay-window-size instrucción se introduce en Junos os Release 19.2 R1.

1616
ike-phase1-failures
in this section
Sintaxis | 1616
Descripción | 1616
Opciones | 1617
Sintaxis
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores en la fase 1
Intercambio de claves por red (ICR).
1617
Predeterminada
Varios errores de la fase 1 de ICR no provocan que se genere una alarma.
Opciones
failures: número de ICR errores de fase 1 hasta los cuales no se activa una alarma. Cuando se supera el

1618
ike-phase2-failures
in this section
Sintaxis | 1618
Descripción | 1618
Opciones | 1619
Sintaxis
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de fallos de Intercambio
de claves por red (ICR) fase 2.
1619
Predeterminada
Varios errores de ICR fase 2 no provocan que se genere una alarma.
Opciones
failures: número de ICR de errores de fase 2 hasta los cuales no se activa una alarma. Cuando se supera
el número configurado, se produce una alarma.

1620
fpga-crypto en línea
in this section
Sintaxis | 1620
Descripción | 1620
Opciones | 1621
Sintaxis
inline-fpga-crypto (disabled | enabled);
Nivel de jerarquía
[edit security forwarding-process application-services (Security Forwarding

Process)]
Descripción
Utilice esta función para activar o deshabilitar el cifrado de FPGA en línea.

1621
Opciones
habilitar Deshabilitar cripto FPGA en línea
permitió Habilitar cripto FPGA en línea
protección
servicios de aplicaciones (proceso de reenvío de seguridad)
interno (seguridad IPsec)
in this section
Sintaxis | 1622
Descripción | 1622
Opciones | 1622

1622
Sintaxis
internal {
security-association {
manual {
encryption {
algorithm (3des-cbc | aes-128-cbc);
ike-ha-link-encryption enable;
key ascii-text;
}
}
}
}
Nivel de jerarquía
Descripción
Habilite el inicio de sesión seguro y evite que los atacantes obtengan acceso privilegiado a través de este
puerto de control mediante la configuración de la Asociación de seguridad (SA) interna de seguridad IP
(IPsec).
Cuando se configura el IPsec interno, el comando remoto rlogin y basado en IPsecrcmd() se aplican, por
lo que un atacante no puede obtener información no autorizada.
Opciones
Asociación de Especifique una SA de IPsec. Una SA es una conexión símplex que permite que
seguridad dos hosts se comuniquen entre sí de manera segura por medio de IPsec.
1623
cifrado manual Especifique una SA manual. Las SA manuales no requieren negociación; todos los
valores, incluidas las claves, son estáticos y se especifican en la configuración.
algoritmo 3des-cbc Especifique el algoritmo de cifrado para la configuración sa interna de IPsec de

motor de enrutamiento a motor de enrutamiento.
algoritmo Especifique el algoritmo de cifrado para el vínculo de cifrado de alta disponibilidad.

AES-128-CBC
cifrado iked-ha- Activar cifrado para mensajes internos.
link-encryption
• Valores
• enable: permite AD cifrado de vínculo ICR mensajes internos
clave de texto Especifique la clave de cifrado. Debe asegurarse de que la clave de cifrado manual
ASCII se encuentra en texto ASCII y de 24 caracteres de longitud; de lo contrario, la
configuración producirá un error de confirmación.
interfaz: para ver esta instrucción en la configuración.
control de interfaz — para agregar esta instrucción a la configuración.
Soporte técnico ike-ha-link-encryption para la opción agregada en Junos os versión 12.1 X47-D15.
Compatibilidad con iked_encryption opción agregada en el Junos OS versión 12.1X47-D10.
Soporte para aes-128-cbc la opción añadida en Junos os versión 19.1 R1.
Soporte para ike-ha-link-encryption la opción agregada vSRX en Junos os versión 19.4 R1
Ejemplo Configuración de un clúster de chasis activo/pasivo en dispositivos SRX5800

Mostrar seguridad interna-Asociación de seguridad
1624
ipsec (alta disponibilidad)
in this section
Sintaxis | 1624
Descripción | 1625
Opciones | 1625
Sintaxis
ipsec {
vpn vpn-name {
ha-link-encryption;
ike {
}
}
encryption-algorithm (aes-256-gcm);
protocol (esp);
}
}
}
1625
Nivel de jerarquía
[edit security]
Descripción
Defina la configuración de IPsec para la función de alta disponibilidad multinodo. Una conexión VPN
puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. El
tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos tales como enrutadores,
conmutadores y otros equipos de red que forman la WAN pública. Para proteger la comunicación VPN
se crea un túnel IPsec entre dos dispositivos participantes.
Opciones
nombre VPN Configure una VPN de IPsec. Una VPN proporciona un medio por el que los equipos
remotos se comunican de forma segura a través de una WAN pública, como Internet.
Debe mencionar el mismo nombre vpn para en vpn-profile la set chassis high-
availability peer-id peer-id vpn-profile profile-name configuración.
ha-link- Configure un túnel de vínculo de interchassis para garantizar una conexión AD flujo
encryption de tráfico entre los nodos. Solo se admiten túneles VPN IPsec de sitio a sitio para
túneles de vínculo de interchasis. Se admiten los métodos de autenticación PSK y
PKI.
nombre de Nombre de la puerta de enlace de ICR remoto.

puerta de enlace
ipsec-policy- Especifique el nombre de la directiva IPsec.
name
nombre de la Nombre de la propuesta IPsec. Una propuesta de IPsec enumera protocolos y
propuesta algoritmos (servicios de seguridad) que se negociarán con el par IPsec remoto.
descriptiva Descripción de texto de la propuesta de IPsec.
algoritmo de Defina un algoritmo de cifrado. El dispositivo elimina las asociaciones de IPsec

cifrado existentes cuando se actualiza encryption-algorithm la configuración en la propuesta
IPSec.
1626
Se genera un error de confirmación si hay un valor distinto aes-256-gcm al

configurado.
• Valores
• aes-256-gcm— Algoritmo de cifrado AES GCM de 256 bits.
Para una ICR propuesta, el algoritmo de cifrado autenticado de AES de 256

bits solo se admite con IKEv2. Cuando se utiliza esta opción, aes-256-gcm
debe configurarse en eledit security ipsec proposal proposal-namenivel de
jerarquía [], authentication-algorithm y la opción no debe configurarseedit
security ike proposal proposal-nameen el nivel de jerarquía [].
segundos de Duración en segundos.

vida útil
Protocolo Definir el protocolo IPsec para un manual o asociación de seguridad dinámica (SA).
Se genera un error de confirmación si hay un valor distinto esp al configurado.
• Valores
• esp: encabezado Carga de seguridad encapsulada
Policy-Name Definir una directiva IPsec. Una política de IPsec define una combinación de
parámetros de seguridad (propuestas de IPsec) utilizados durante la negociación de
IPsec. Define perfect forward secrecy (PFS) y las propuestas necesarias para la
conexión.
descriptiva Escriba texto descriptivo para una política IPsec.
nombre de la Especifique una o varias propuestas para una directiva IPsec.

propuesta

1627

Chasis de alta disponibilidad
Multinodo de alta disponibilidad
grupo de redundancia de servicios
local-id
peer-id
traceoptions
IPSec (seguridad)
in this section
Sintaxis | 1628
Descripción | 1628
Opciones | 1628

1628
Sintaxis
ipsec {
internal;
policy;
proposal
security-association sa-name;
traceoptions;
vpnvpn-name;
interval seconds;
threshold number;
}
}
Nivel de jerarquía
[edit security]
Descripción
Definir la configuración de IPsec. Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un
usuario de acceso telefónico remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través
de recursos compartidos tales como enrutadores, conmutadores y otros equipos de red que forman la
WAN pública. Para proteger la comunicación VPN se crea un túnel IPsec entre dos dispositivos
participantes.
Opciones
ventana anti- Tamaño de la ventana contra reproducción.

Replay-size
1629
• Varían de 64 a 8192 bytes
• Predeterminada 64 bytes
nivel Configure IPsec interna. Cuando se configura el IPsec interno, el comando remoto
rlogin y basado en IPsecrcmd() se aplican, por lo que un atacante no puede obtener
información no autorizada.
política Definir una directiva IPsec. Una política de IPsec define una combinación de
parámetros de seguridad (propuestas de IPsec) utilizados durante la negociación de
IPsec. Define perfect forward secrecy (PFS) y las propuestas necesarias para la
conexión.
Propuesta Nombre de la propuesta IPsec. Una propuesta de IPsec enumera protocolos y

algoritmos (servicios de seguridad) que se negociarán con el par IPsec remoto.
Asociación de Configure una asociación de seguridad IPsec (SA) manual para aplicarla a una interfaz
seguridad OSPF o OSPFv3 o a un vínculo virtual. IPsec puede proporcionar autenticación y
confidencialidad a OSPF o OSPFv3 paquetes de enrutamiento.
traceoptions Configurar las opciones de seguimiento de IPsec. Las operaciones de seguimiento

rastrean eventos IPsec y los registran en un archivo de registro en el directorio /var/
log.
vpn-name Configure una VPN de IPsec. Una VPN proporciona un medio mediante el cual los
equipos remotos se comunican de forma segura a través de una WAN pública, como
Internet
Opciones de Configure las opciones de supervisión de VPN

VPN-monitor-
segundos de intervalo Intervalo en el que se envían solicitudes ICMP al par.
número de Número de ping consecutivos sin éxito antes de que el par se declare
umbral inaccesible.
• Varían de 1 a 65.536 pings
• Predeterminada 10 pings
1630
group15, group16 y las opciones group21hmac-sha-512hmac-sha-384 introducidas en la Junos OS

versión 19.1R1 dispositivos serie SRX.
IPSec (miembro de la VPN del grupo de seguridad)
in this section
Sintaxis | 1631
Descripción | 1631
Opciones | 1632

1631
Sintaxis
ipsec {
vpn vpn-name {
}
}
group id;
recovery-probe;
}
t}
Nivel de jerarquía
[edit security group-vpn member]
Descripción
Configure IPsec para el intercambio de fase 2 en el miembro del grupo. Group VPNv2 es compatible con
SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
SRX4600 e instancias de vSRX.
1632
Opciones
vpn-name Nombre de la VPN.
DF-bit Especifica la anterior fragmentación y la posterior fragmentación del tráfico IPsec en el

miembro del grupo. Se puede configurar una de las siguientes opciones:
• clear: establece el bit de IP externa no fragmentación (DF) en 0. Cuando el tamaño

del paquete es mayor que la ruta unidad máxima de transmisión (ruta UMT), la
prefragmentación se lleva a cabo si el bit DF no está establecido en el paquete
interno y la postfragmentación se lleva a cabo si el bit DF está establecido en el
paquete interno. Este es el valor predeterminado.
• copy: copia el bit DF desde el encabezado interior hasta el encabezado exterior.

Cuando el tamaño del paquete es mayor que la PMTU, la prefragmentación se
realiza si no se establece el bit DF en el paquete interno. Si el bit DF se establece en
el paquete interior, el paquete se descarta y se devuelve un mensaje ICMP.
• set: establece el bit DF IP exterior en 1. Cuando el tamaño del paquete es mayor

que la ruta de UMT, la prefragmentación se lleva a cabo si el bit DF no está
establecido en el paquete interno. Si el bit DF se establece en el paquete interior, el
paquete se descarta y se devuelve un mensaje ICMP
regla de Especifica el tráfico que se excluirá del cifrado de VPN de grupo. Se puede configurar
exclusión un máximo de 10 reglas de exclusión. Las direcciones de origen y destino se deben
especificar en formato de dirección IP/máscara; no se admiten libretas de direcciones
ni conjuntos de direcciones. Se admiten aplicaciones predefinidas y definidas por el
usuario, pero no se admiten conjuntos de aplicaciones.
regla de error Especifica el tráfico que se enviará en modo de texto no cifrado si no hay ninguna clave
de apertura de SA válida disponible para proteger el tráfico. El tráfico no especificado por la regla
de error de apertura se bloquea si no hay ninguna clave de SA disponible para proteger
el tráfico. Puede configurarse un máximo de 10 reglas de error de apertura. Las
direcciones de origen y destino se deben especificar en formato de dirección IP/
máscara; no se admiten libretas de direcciones ni conjuntos de direcciones. Se admiten
aplicaciones predefinidas y definidas por el usuario, pero no se admiten conjuntos de
aplicaciones.
id de grupo Identificador configurado para el grupo VPN.
interfaz de Interfaz usada por el miembro del grupo para conectarse a los homólogos de VPN de
interfaz group- grupo. La interfaz debe pertenecer a la misma zona que to-zone la configuradaedit
vpn-external-
external security ipsec-policyen el nivel de jerarquía [] para el tráfico VPN del grupo.
1633
nombre de Nombre de la puerta de enlace de ICR para el grupo VPN.

puerta de
enlace de ike-
gateway
Recovery- Permite la iniciación de intercambios a intervalos específicos para actualizar la SA del
Probe miembro desde el servidor de grupo si se determina que el miembro del grupo no está
de sincronización con el servidor del grupo y otros miembros groupkey-pull del grupo.
Esta opción está deshabilitada de forma predeterminada.
Instrucción introducida en Junos OS versión 10,2. ,, y recovery-probe se han agregado las opciones
Junos os Release 15.1-D30 para vSRX. df-bitexclude rulefail-open rule
IPSec (servidor VPN de grupo de seguridad)
in this section
Sintaxis | 1634
Descripción | 1634
1634
Opciones | 1634
Sintaxis
ipsec {
authentication-algorithm (hmac-sha-256-128);
}
}
Nivel de jerarquía
Descripción
Configure la propuesta IPsec para el intercambio de fase 2 en el servidor de grupo. Group VPNv2 es
Opciones
proposal proposal-name: nombre de la propuesta. El nombre de la propuesta puede tener hasta 32

caracteres alfanuméricos.
1635
IPSec-Directiva
in this section
Sintaxis | 1636
Descripción | 1636
Opciones | 1636

1636
Sintaxis
ipsec-policy from-zone zone-name to-zone zone-name ipsec-group-vpn vpn-name;
Nivel de jerarquía
[edit security]
Descripción
Especifica que el tráfico coincidente se comprueba con las reglas asociadas con el grupo VPN
especificado. Las reglas Exclude y Open-FAIL se configuranedit security group-vpn member ipsec vpn
vpn-nameen el nivel de jerarquía [].
Opciones
nombre de zona Especifique la zona de entrada para el tráfico VPN del grupo.
desde una zona
nombre de zona a Especifique la zona de salida para el tráfico VPN del grupo.
zona
La to-zone zona debe incluir la interfaz configurada group-vpn-external-interface
con la opción enedit security group-vpn member ipsec vpn vpn-nameel nivel de
jerarquía [].
nombre vpn ipsec- Especifique la VPN de grupo a la que se aplica el tráfico. Solo se puede hacer
group-vpn referencia a una VPN de grupo mediante un par específico de zona/zona.

1637
Instrucción introducida en la Junos OS versión 15.1X49-D30.
IPSec-SA (grupo de seguridad VPN)
in this section
Sintaxis | 1637
Descripción | 1638
Opciones | 1638
Sintaxis
ipsec-sa name {
protocol number;
source-port number;
1638
}
}
Nivel de jerarquía
[edit security group-vpn server group name]
Descripción
Configure las SA del grupo para que se descarguen a los miembros. Puede haber varias SA de grupo
descargadas a miembros del grupo.
Opciones
ipsec-sa name: defina lasAS del grupo que se descargarán a los miembros.
• match-policy policy-name: configure la política de grupo con dirección de origen, puerto de origen,
dirección de destino, puerto de destino y protocolo.
• destination ip-address/netmask: permite especificar la dirección IP de destino que se va a

coincidir (0.0.0.0/0 para cualquiera).
• destination-port number: permite especificar el puerto de destino que se va a coincidir (0 para

cualquiera).
• protocol number: especifique el número de protocolo que se va a coincidir (0 para cualquiera).
• source ip-address/netmask: permite especificar la dirección IP de origen que se va a coincidir

(0.0.0.0/0 para cualquiera).
• source-port number: permite especificar el puerto de origen que se va a coincidir (0 para

cualquiera)
• proposal proposal-name: especifique el nombre de la propuesta de IPsec configurada con la proposal

instrucción de configuración en la jerarquía [ edit security group-vpn server ipsec ].
1639

identidad local
in this section
Sintaxis | 1640
Descripción | 1640
Opciones | 1640

1640
Sintaxis
local-identity (distinguished-name | hostname identity-hostname | inet identity-

ipv4 | inet6 identity-ipv6 | key-id | user-at-hostname identity-user);
Nivel de jerarquía
Descripción
Especifique la identidad de ICR local que desea enviar en el intercambio con el interlocutor de destino
para establecer la comunicación. Si no configura una identidad local, el dispositivo usa de forma
predeterminada la dirección IPv4 o IPv6 que corresponde al extremo local.
En el caso de Traducción de direcciones de red transversal (TDR-T), deben configurarse tanto la

identidad local como la remota.
Opciones
• distinguished-name distinguished name: especifique un nombre distinguido como identificador para

la puerta de enlace remota.

(FQDN).
• inet6 ip-address: permite especificar la identidad como dirección IPv6.

electrónico.
• key-id sring-key-id: especifique el ID de clave en la cadena ASCII.

1641
Instrucción introducida en Junos OS versión 8,5. La inet6 opción agregada en Junos OS versión 11,1.
manual (seguridad IPsec)
in this section
Sintaxis | 1641
Descripción | 1642
Opciones | 1642
Sintaxis
manual {
authentication {
algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96);
1642
key (ascii-text key | hexadecimal key );

}
encryption {
algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-256-
cbc | aes-256-gcm | des-cbc);
key (ascii-text key | hexadecimal key );
}
gateway ip-address;
protocol (ah | esp);
spi spi-value;
}
Nivel de jerarquía
Descripción
Defina una asociación de seguridad IPsec (SA) manual.
Opciones
algoritmo de Algoritmo hash que autentica los datos del paquete. Puede ser uno de los siguientes
autenticación
• hmac-md5-96: produce un resumen de 128 bits.
• hmac-sha-256-128: proporciona autenticación de origen de datos y protección de

la integridad. Esta versión del autenticador HMAC-SHA-256 produce un resumen
de 256 bits y especifica el truncamiento en los bits 128.
• hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce un
resumen de 160 bits. Para la autenticación, solo se utilizan 96 bits.
1643
• authentication key: tipo de clave de autenticación. Puede ser uno de los

siguientes:
• ascii-text key: clave de texto ASCII. En hmac-md5-96el caso de, la clave tiene
16 caracteres ASCII; en hmac-sha1-96el caso de, la clave tiene 20 caracteres
ASCII.
• hexadecimal key— Clave hexadecimal. En hmac-md5-96el caso de, la clave es

32 caracteres hexadecimales; en hmac-sha1-96el caso de, la clave es 40
caracteres hexadecimales.
algoritmo de Seleccione el algoritmo de cifrado para la configuración de Asociación de seguridad

cifrado (SA) IPsec del motor de enrutamiento interno. Puede ser uno de los siguientes:
• des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un

tamaño de clave de 48 bits.
• 3des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un

Para 3des-cbc, recomendamos que los primeros 8 bytes sean diferentes a los 8
segundos y que los segundos 8 coincidan con los de 8 bytes.
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado

(AES).
• aes-128-gcm— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado

(AES).
• aes-192-cbc: algoritmo de cifrado de 192 bits del estándar de cifrado avanzado

(AES).
• aes-256-cbc: algoritmo de cifrado de 256 bits del estándar de cifrado avanzado

(AES).
• aes-256-gcm: algoritmo de cifrado de 256 bits del estándar de cifrado avanzado

(AES).
• encryption key: tipo de clave de cifrado. Puede ser uno de los siguientes:
• ascii-text key: clave de texto ASCII. Para la des-cbc opción, la clave contiene 8
caracteres ASCII; para 3des-cbc, la clave contiene 24 caracteres ASCII.
• hexadecimal key— Clave hexadecimal. Para la des-cbc opción, la clave contiene

16 caracteres hexadecimales; para la 3des-cbc opción, la clave contiene 48
1644
External- Especificar la interfaz de salida para la Asociación de seguridad manual

interface
Gateway En el caso de una asociación de seguridad manual, especifique la dirección IPv4 o IPv6
del mismo nivel
Protocolo Definir un protocolo IPsec para la Asociación de seguridad manual
• Valores
• ah: protocolo de encabezado de autenticación
• esp: protocolo ESP (Para usar el protocolo ESP, también debe utilizar la
instrucción tunnel en el nivel de jerarquía [editar seguridad ipsec modo sa-
name] de la asociación de seguridad ipsec)
SPI Configure un índice de parámetros de seguridad (SPI) para una asociación de

seguridad (SA). Valor arbitrario que identifica de forma exclusiva la Asociación de
seguridad (SA) que se va a utilizar en el host receptor (la dirección de destino del
paquete).
• Varían 256 a 16.639
Instrucción modificada en Junos OS versión 8,5. Compatibilidad con direcciones IPv6 agregadas en
Junos OS versión 11,1.
Compatibilidad con hmac-sha-256-128 dispositivos agregados a SRX5400, SRX5600 y SRX5800 en

Junos os versión 12.1 X46-D20. Compatibilidad con algoritmos de autenticación (SHA1: hmac-sha1-96
y SHA2: hmac-sha-256-128) en el modo IPsec (PMI) de PowerMode se introduce para SRX4100,
SRX4200 y vSRX en la versión Junos OS 19.3R1. La compatibilidad con vSRX versión 3.0 se introduce
en el Junos OS versión 20.1R1.
1645
La compatibilidad con algoritmos de cifrado aes-128-cbc, aes-192-cbc y aes-256-cbc en el modo IPsec

de powermode (PMI) se introduce para SRX4100, SRX4200 y vSRX en Junos OS versión 19.3R1. La
compatibilidad con vSRX versión 3.0 se introduce en el Junos OS versión 20.1R1.

miembro (grupo de seguridad VPN)
in this section
Sintaxis | 1645
Descripción | 1646
Opciones | 1646
Sintaxis
member {
ike {
policy;
proposal;
traceoptions;
}
ipsec {
vpn vpn-name {
1646

}
}
group id;
recovery-probe;
}
}
}
Nivel de jerarquía
Descripción
Configure el miembro VPN del grupo. Un miembro del grupo cifra el tráfico y es responsable del cifrado
y descifrado real del tráfico de datos. Un miembro del grupo está configurado con parámetros ICR fase 1
e información GC/KS.
Opciones
nombre depuerta de enlace de Configure ICR puerta de enlace para el miembro de grupo VPN.
ike
1647
proposalproposal-name Definir una propuesta de ICR.

Mode (VPN del grupo de seguridad)
in this section
Sintaxis | 1648
Descripción | 1648
Opciones | 1648

1648
Sintaxis
Nivel de jerarquía
[edit security group-vpn member ike policy policy-name]

[edit security group-vpn server ike policy policy-name]
Descripción
Definir el modo utilizado para las negociaciones de Intercambio de claves por red (ICR) fase 1. Use el
modo de borrado solo cuando necesite iniciar un intercambio de claves ICR sin protección de ID, como
cuando una unidad del mismo nivel tiene asignada dinámicamente una dirección IP. (La main opción no
se admite en implementaciones de VPN dinámicas.) El grupo VPNv2 se admite en dispositivos SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, además de
instancias vSRX.
• El protocolo IKEv2 no negocia el uso de la configuración del modo.
• El dispositivo elimina las asociaciones de ICR e IPsec existentes cuando actualiza la mode
configuración en la Directiva ICR.
Opciones
• aggressive— Modo agresivo.
• main: modo principal. El modo principal es el método recomendado de intercambio de claves, ya que
oculta las identidades de las partes durante el intercambio de claves.
No mode main se admite la configuración de miembros o servidores VPN de grupo cuando la puerta
de enlace remota tiene una dirección dinámica y pre-shared-keysel método de autenticación es.
1649
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con group-vpn jerarquías agregadas en
Junos OS versión 10,2.

varios SA
in this section
Sintaxis | 1650
Descripción | 1650
Opciones | 1650

1650
Sintaxis
multi-sa {
forwarding-class expedited-forwarding | assured-forwarding | best-effort |
network-control;
}
Nivel de jerarquía
[edit security ipsec vpn]
Descripción
Negociar varias asociaciones de seguridad (SAs) en función de las opciones de configuración. Varias SA
negocian con el mismo selector de tráfico en el mismo ICR SA. Mediante la negociación de varias SA, las
puertas de enlace de los interlocutores tienen más ventanas de reproducción. Si las puertas de enlace
del mismo nivel crean varias SA separadas para las clases de reenvío (FC) configuradas, es posible que
haya una ventana de anti-reproducción independiente disponible para cada valor FC. Con esta
asignación, incluso si los co pueden reordenar los paquetes, la reordenación se realiza con una SA
múltiple determinada, evitando de este modo que los paquetes se descarten debido a las
comprobaciones de anti-reproducción.
Opciones
de clase Las clases de reenvío (FCs) permiten agrupar paquetes para transmisión y asignar paquetes a
de colas de salida.
reenvío
• Valores
1651
• expedited-forwarding: proporciona un servicio de extremo a extremo, de baja

pérdida, de baja latencia, de baja fluctuación, de ancho de banda asegurado y de
extremo a extremo.
• assured-forwarding: proporciona un grupo de valores que puede definir e incluye

cuatro subclases (AF1, AF2, AF3 y AF4), cada una con tres probabilidades de caída
(bajo, medio y alto).
• best-effort: no proporciona perfil de servicio. Para la clase de reenvío, la prioridad de

pérdida normalmente no se transporta en un valor de clase de servicio (CoS), y los
perfiles de eliminación aleatoria de detección temprana (rojo) son más agresivos.
• network-control: esta clase suele ser de alta prioridad, ya que admite el control de
protocolos.
protección
Declaración introducida en la salida Junos OS 18.2 R1.

1652
OCSP (PKI de seguridad)
in this section
Sintaxis | 1652
Descripción | 1652
Opciones | 1653
Sintaxis
ocsp {
connection-failure (disable | fallback-crl);
nonce-payload (enable | disable);
url ocsp-url;
}
Nivel de jerarquía
[edit security pki ca-profile ca-profile-name revocation-check]
Descripción
Configure el protocolo de estado de certificados en línea (OCSP) para comprobar el estado de

revocación de un certificado.
1653
Opciones
error de Adicional Especificar la acción que debe llevarse a cabo si se produce un error de
conexión conexión con el contestador de OCSP. Si esta opción no está configurada y no hay
respuesta del contestador de OCSP, se producirá un error en la validación del
certificado.
deshabilite Omitir la comprobación de revocación si no se puede obtener

acceso al contestador de OCSP.
CRL de reserva Utilice CRL para comprobar el estado de revocación del certificado.
Disable- Adicional Deshabilitar comprobación de revocación para el certificado de CA recibido

contestador- en una respuesta de OCSP. Generalmente, los certificados recibidos en una respuesta
revocación-
comprobación de OCSP tienen una duración más corta y una comprobación de revocación no son
necesarios.
nonce-payload Adicional Enviar una carga Nonce para evitar un ataque de reproducción. De forma
predeterminada, se envía una carga Nonce a menos que esté deshabilitada de forma
explícita. Si está habilitado, el dispositivo de serie SRX espera que las respuestas de
OCSP contengan una carga Nonce, de lo contrario, no se podrá llevar a cabo la
comprobación de revocación. Si los contestadores de OCSP no pueden responder
con una carga Nonce, deshabilite esta opción.
deshabilite Deshabilite explícitamente el envío de una carga Nonce.
Habilite Habilite el envío de una carga Nonce. Este es el valor predeterminado.
url ocsp-url Especifique direcciones HTTP para los contestadores de OCSP. Se puede configurar
un máximo de dos direcciones URL HTTP. Si no se pueden alcanzar las direcciones
URL configuradas o si no se configuran direcciones URL, se comprobará la dirección
URL del certificado que se está comprobando.

1654

pública
in this section
Sintaxis | 1654
Descripción | 1655
Opciones | 1655
Sintaxis
pki {
auto-re-enrollment;
traceoptions;
trusted-ca-group name {
ca-profiles ca-profiles;
}
}
1655
Nivel de jerarquía
[edit security]
Descripción
Configure un perfil IPsec para solicitar certificados digitales. La infraestructura de claves públicas (PKI)
proporciona una infraestructura para la administración de certificados digitales.
Opciones
reinscripción automática Configure la reinscripción automática de un certificado local de extremo-

entidad (EE).
ca-profile ca-profile-name Configurar el perfil de la entidad de certificación (CA).
traceoptions Configurar opciones de seguimiento de la infraestructura de clave pública

(PKI).
trusted-ca-group trusted- Configure el grupo de autoridad de certificación de confianza.

ca-group-name
CA: perfiles Nombre de los AC perfiles. Puede configurar un máximo de
20 AC perfiles.

1656
Directiva (VPN del grupo de seguridad ICR)
in this section
Sintaxis | 1656
Descripción | 1657
Opciones | 1657
Sintaxis
mode2 (aggressive | main);
}
1657
Nivel de jerarquía

Descripción
Configure una directiva de ICR. Una política ICR define una combinación de parámetros de seguridad
(ICR propuestas) que se usarán durante ICR negociación. Define una dirección par, la clave previamente
compartida para el par determinado y las propuestas necesarias para esa conexión. Durante la ICR, ICR
busca una política de ICR que sea la misma en ambos pares. El par que inicia la negociación envía todas
sus políticas al par remoto y el par remoto intenta encontrar una coincidencia.
Opciones
nombre de política Nombre de la Directiva de ICR. El nombre de la Directiva puede tener hasta 32
descripción Especifique texto descriptivo para una política ICR usuario.
medio Definir el modo utilizado para las negociaciones de Intercambio de claves por
red (ICR) fase 1.
clave previamente Definir una clave previamente compartida para una directiva de ICR.
compartida
proposals proposal- Especifique hasta cuatro propuestas de fase 1 para una directiva de ICR. Si
name incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las
propuestas.

1658
política (ICR de seguridad)
in this section
Sintaxis | 1658
Descripción | 1659
Opciones | 1659
Sintaxis
certificate {
local-certificate certificate-id;
policy-oids [ oid ];
trusted-ca {
trusted-ca-group trusted-ca-group-name;
}
}
1659

proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-
gcm-128 | suiteb-gcm-256);
reauth-frequency number;
}
Nivel de jerarquía
[edit security ike]
Descripción
ICR políticas definen una combinación de parámetros de seguridad (propuestas ICR de ICR) que se
usarán durante una negociación, incluida la dirección par, la clave previamente compartida para el par
determinado y las propuestas necesarias para esa conexión. Durante la ICR, ICR busca una política de
ICR que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par
remoto y el par remoto intenta encontrar una coincidencia.
ICR propuestas en la instrucción se evalúan en orden de lista, de arriba a abajo, por lo que al crear la
política, especifique primero la propuesta de prioridad más alta, seguida de la siguiente prioridad más
alta, y así policy sucesivamente.
Opciones
policy-name: nombre de la ICR política. El nombre de la Directiva puede tener hasta 32 caracteres
alfanuméricos.
certificate: permite especificar el uso de un certificado digital para autenticar al iniciador y al

destinatario de la red privada virtual (VPN).
description description: especifique la descripción de ICR política.
mode: permite definir el modo utilizado para Intercambio de claves por red (ICR) de fase 1. Use el modo
de borrado solo cuando necesite iniciar un intercambio de claves ICR sin protección de ID, como cuando
1660
una unidad del mismo nivel tiene asignada dinámicamente una dirección IP. El protocolo IKEv2 no
negocia el uso de la configuración del modo. El dispositivo elimina las asociaciones de ICR e IPsec
existentes cuando actualiza la mode configuración en la Directiva ICR.
• aggressive— Modo agresivo.
• main: modo principal. El modo principal es el método recomendado de intercambio de claves, ya que
oculta las identidades de las partes durante el intercambio de claves.
No mode main se admite la configuración de miembros o servidores VPN de grupo cuando la puerta
de enlace remota tiene una dirección dinámica y pre-shared-keysel método de autenticación es.
pre-shared-key: defina una clave previamente compartida para una política ICR común. Las claves
previamente compartidas se utilizan para fijar las SA de la fase 1 entre el servidor raíz y los subdominios,
y entre los subservidors y los miembros del grupo. Asegúrese de que las claves previamente compartidas
se utilizan con claves seguras. En los sub servidores, la clave previamente compartida configurada para
IKEpolicy RootSrv debe coincidir con la clave previamente compartida configurada en el servidor raíz y la
clave previamente compartida configurada para las GMs de la política de ICR debe coincidir con la clave
previamente compartida configurada en los miembros del grupo. El dispositivo elimina las asociaciones
de ICR e IPsec existentes cuando actualiza la pre-shared-key configuración en la Directiva ICR.
• ascii-text key: especifique una cadena de 1 a 255 caracteres de texto ASCII para la clave. @ +
Caracteres - o = no están permitidos. Para ( ) [ ] { incluir los } caracteres , especiales, escriba toda la
cadena de tecla o bien el carácter especial entre comillas ; ; por ejemplo “str)ng” , str”)”ngo. No se
permite el uso de comillas dentro de la cadena. Con des-cbc el cifrado, la clave contiene 8 caracteres
ASCII. Con 3des-cbc el cifrado, la clave contiene 24 caracteres ASCII.
• hexadecimal key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los
caracteres deben ser dígitos 0 hexadecimales 9a través a de f , A o Fletras a o through. Con des-cbc
el cifrado, la clave contiene 16 caracteres hexadecimales. Con 3des-cbc el cifrado, la clave contiene
48 caracteres hexadecimales.
proposal-set: especifique un conjunto de propuestas Intercambio de claves por red predeterminadas

(ICR).
proposals proposal-name: especifique hasta cuatro propuestas de fase 1 para una ICR política. Si incluye
varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.
reauth-frequency number: configure la frecuencia de reauteticación para activar una nueva

reauteticación IKEv2. La reautenticación crea una nueva SA ICR, crea nuevas SA secundarias en el ICR
SA y, a continuación, elimina la antigua ICR SA. Esta opción está deshabilitada de forma predeterminada.
umber de ICR de claves que se producen antes de que se produzca la reauauticación. Si reauth-
frequency es 1así, la nueva autenticación se ejecuta cada vez que se produce una regeneración de
claves de ICR. Si reauth-frequency es 2así, la nueva autenticación se produce en todos los demás ICR las
claves de regeneración. Si reauth-frequency es 3así, la nueva autenticación se produce cada tres ICR
regeneración de claves.
1661
• Predeterminada 0 (deshabilitar)
• Varían 0-100
Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10.
Compatibilidad con policy-oids la opción agregada en Junos os versión 12.3 X48-D10.
Soporte para trusted-ca la opción añadida en Junos os versión 18.1 R1.
Compatibilidad con reauth-frequency la opción agregada en Junos OS versión 15.1X49-D60.
Directiva (seguridad IPsec)
in this section
Sintaxis | 1662
Descripción | 1662
Opciones | 1662
1662
Sintaxis
perfect-forward-secrecy keys (group1 | group14 | group19 | group2 | group20
| group24 | group5 | group15 | group16 | group21);
}
Nivel de jerarquía
Descripción
Definir una directiva IPsec. Una política de IPsec define una combinación de parámetros de seguridad
(propuestas de IPsec) utilizados durante la negociación de IPsec. Define perfect forward secrecy (PFS) y
las propuestas necesarias para la conexión.
Opciones
extensión Nombre de la directiva IPsec.
descriptiva Escriba texto descriptivo para una política IPsec.

1663
claves de Especifique confidencialidad directa perfecta (PFS) como método que utiliza el
confidencialidad dispositivo para generar la clave de cifrado. PFS genera cada nueva clave de cifrado
directa perfectas
de forma independiente de la clave anterior. El dispositivo elimina las SA existentes
de IPsec cuando se actualiza perfect-forward-secrecy la configuración en la
directiva IPSec.
• Valores
• group1— Grupo Diffie-Hellman 1.
proposal-set Defina un conjunto de propuestas IPsec predeterminadas.
• Valores
• basic: conjunto de propuestas básico de IPsec. nopfs-esp-des-sha y nopfs-

esp-des-md5.
• compatible: proposal-set compatible con IPsec. nopfs-esp-3des-sha, nopfs-

esp-3des-md5, nopfs-esp-des-sha y nopfs-esp-des-md5.
• prime-128: proporciona el siguiente conjunto de propuestas:
• Protocolo ESP (carga de seguridad de encapsulación)
• Algoritmo de cifrado: modo Galois/Counter estándar de cifrado avanzado

(AES-GCM) de 128 bits
1664
• Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto

cifrado como autenticación)
Esta opción no se admite en VPNv2 de grupo.
• prime-256: proporciona el siguiente conjunto de propuestas:
• Protocolo ESP
• Algoritmo de cifrado: AES-GCM de 256 bits

• standard—g2-esp-3des-sha y g2-esp-aes128-sha
• suiteb-gcm-128: proporciona el siguiente conjunto de propuestas:
• Protocolo ESP

• suiteb-gcm-256: proporciona el siguiente conjunto de propuestas:
• Protocolo ESP

proposals Especifique hasta cuatro propuestas de fase 2 para una política IPsec. Si incluye
proposal-name varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.
Las propuestas se evalúan en el orden en que aparecen en la lista, de arriba abajo,

así que especifique la prioridad más alta primero, seguida de la siguiente prioridad
más alta, y así sucesivamente.
1665
La compatibilidad con el grupo 14 se agrega en Junos OS versión 11,1.
Compatibilidad con group14 las opciones agregadas en Junos OS versión 11,1.
Soporte para group19, group20y group24 opciones agregadas en Junos os de la versión 12.1 x45-D10.
group15, group16 y las opciones group21 introducidas en Junos OS versión 19.1R1 dispositivos serie
SRX.
Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10.
Soporte para prime-128 y prime-256 opciones agregadas en Junos os Release 15.1 x49-D40.
NOT RECOMMENDEDgroup1group2 CLI, group5 y group14 .
modo de energía-IPSec
in this section
Sintaxis | 1666
Descripción | 1666
1666
Sintaxis
power-mode-ipsec;
Nivel de jerarquía
[edit security flow (Security Flow)]
Descripción
Activar PowerMode IPsec. forma. PMI es un nuevo modo de funcionamiento que proporciona mejoras
de rendimiento de IPsec.
En el caso de los dispositivos SRX4100, SRX4200 que ejecutan Junos OS versión 18.4R1, dispositivos
SRX4600 que ejecutan Junos OS versión 20.4R1 y instancias vSRX que ejecutan Junos OS versión
18.3R1, puede habilitar o deshabilitar la PMI. A partir Junos OS versión 21.1R1, puede activar o
deshabilitar la PMI en la tarjeta de servicios MX-SPC3.
Si utiliza Junos OS versión 18.3R1, debe reiniciar el dispositivo para que la configuración suba a efecto.
Desde Junos OS versión 18.4R1 y posteriores, no es necesario reiniciar el dispositivo después de

habilitar o deshabilitar esta función.
Los paquetes no pueden pasar a través de la PMI cuando los servicios de seguridad avanzada o firewall
se combinan con IPsec. Por lo tanto, no se debe usar PMI cuando los servicios de seguridad avanzada o
firewall se combinan con IPsec.
1667
flujo-puntear
Declaración introducida en Junos OS versión 18.3 R1.
power-mode-ipsec-qat
in this section
Sintaxis | 1667
Descripción | 1668
Sintaxis
power-mode-ipsec-qat;
1668
Nivel de jerarquía
[edit security flow]
Descripción
Configure esta instrucción para hacer uso de QAT para hacer cifrado junto con AES-NI. De forma
predeterminada, AES-NI se usa para cifrar el paquete.
flujo-puntear

servicios de aplicaciones (proceso de reenvío de seguridad)
Mostrar estado de flujo de seguridad
perfil (Juniper Secure Connect)
in this section
Sintaxis | 1669
1669
Descripción | 1669
Opciones | 1670
Sintaxis
profile name {
access-profile access-profile;
client-config client-config;
ipsec-vpn ipsec-vpn;
}
Nivel de jerarquía
Descripción
Configure perfiles de conexión de usuario remoto para los Juniper Secure Connect remoto.
Los perfiles de acceso remoto le permiten implementar la configuración de conexión para los usuarios
remotos mediante la ejecución del archivo de configuración en los dispositivos cliente. Puede crear
varios perfiles y establecer uno de los perfiles como el perfil predeterminado.
Cada perfil de acceso remoto incluye una asignación de nombre a un dominio, configuración de
autenticación, configuración de VPN y configuraciones de cliente. Puede crear distintos perfiles de
acceso remoto para diferentes nombres o funciones.
1670
Ejemplo: puede crear un perfil de configuración para el departamento de ingeniería y otro para el grupo
financiero. El perfil del departamento de ingeniería se nola como perfil de ingeniería.
Cuando un usuario remoto de Juniper Secure connect selecciona un dominio como juniper.net/
engineering-profile, el dispositivo de la serie SRX recibe la solicitud de configuración y selecciona un
perfil de acceso remoto con el mismo nombre que el dominio( es decir, el perfil de ingeniería para
insertar la configuración en el dispositivo cliente).
Si un usuario de acceso remoto no ingresa ningún valor de dominio, el dispositivo selecciona el perfil de
acceso remoto predeterminado para insertar la configuración en el dispositivo cliente.
Opciones
extensión Identificador de perfil; el nombre del perfil.
Perfil de acceso Seleccione el perfil de acceso para la autenticación y la contabilidad de los clientes.
client-config Seleccione el objeto de configuración del cliente.
descriptiva Descripción de texto del perfil de acceso remoto.
IPSec-VPN Seleccione el objeto de política VPN IPsec usado para ICR propuestas de IPsec.
protección

1671
propuesta (grupo de seguridad VPN miembro ICR)
in this section
Sintaxis | 1671
Descripción | 1672
Opciones | 1672
Sintaxis
}
Nivel de jerarquía

1672
Descripción
Definir una propuesta de ICR. Puede configurar una o más ICR propuestas. Cada propuesta es una lista
de atributos ICR para proteger la ICR conexión entre el host ICR y su par.
Opciones
proposal proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32
authentication-algorithm: configure el algoritmo de Intercambio de claves por red (ICR) de seguridad.

Algoritmo hash que autentica los datos del paquete. Puede ser uno de los siguientes algoritmos:
• sha-256: produce un resumen de 256 bits. Este es el valor predeterminado.
• sha-384: produce un resumen de 384 bits.
authentication-method pre-shared-keys: especifique el método que usa el dispositivo para autenticar el

origen de Intercambio de claves por red (ICR). La opción se refiere a una clave previamente compartida,
que es una clave secreto compartida entre los dos pares, se utiliza durante la autenticación para
identificar los pares pre-shared-keys entre sí. Debe configurarse la misma clave para cada interlocutor.
Este es el método predeterminado.
description description: especifique un texto descriptivo para una ICR propuesta.
dh-group: especifique el ICR grupo Diffie-Hellman para un establecimiento clave.
• group14— grupo de 2048 bits. Este es el valor predeterminado.
• group24— subgrupo de 2048 bits y 256 bits. Compatibilidad con la group24 opción agregada en el
Junos OS versión 15.1X49-D30 para vSRX.
encryption-algorithm: configure un algoritmo de cifrado para una ICR propuesta.
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
• aes-192-cbc— Algoritmo de cifrado AES de 192 bits.
lifetime-seconds seconds: especifica la duración (en segundos) de una asociación de ICR o IPsec de
seguridad (SA) para la VPN de grupo. Cuando la SA caduca, se sustituye por una nueva SA, un índice de
parámetros de seguridad (SPI) o termina.

1673
El dispositivo no elimina SA de IPsec existentes cuando se actualiza la , y la configuración

authentication-algorithmauthentication-method en la ICR dh-groupencryption-algorithm propuesta.
propuesta (grupo de seguridad ICR servidor VPN)
in this section
Sintaxis | 1674
Descripción | 1674
Opciones | 1674

1674
Sintaxis
}
Nivel de jerarquía
Descripción
Defina una propuesta de ICR para el servidor VPN de grupo. Puede configurar una o más ICR
propuestas. Cada propuesta es una lista de atributos ICR para proteger la ICR conexión entre el host ICR
y su par.
Opciones
proposal proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32
authentication-algorithm: configure el algoritmo de Intercambio de claves por red (ICR) de seguridad.

Algoritmo hash que autentica los datos del paquete. Puede ser uno de los siguientes algoritmos:
• sha-256: produce un resumen de 256 bits. Este es el valor predeterminado.
authentication-method pre-shared-keys: especifique el método que usa el dispositivo para autenticar el

origen de Intercambio de claves por red (ICR). La opción se refiere a una clave previamente compartida,
que es una clave secreto compartida entre los dos pares, se utiliza durante la autenticación para
1675
identificar los pares pre-shared-keys entre sí. Debe configurarse la misma clave para cada interlocutor.
Este es el método predeterminado.
description description: especifique un texto descriptivo para una ICR propuesta.
dh-group: especifique el ICR grupo Diffie-Hellman para un establecimiento clave.
• group14— grupo de 2048 bits. Este es el valor predeterminado.
• group24— subgrupo de 2048 bits y 256 bits. Compatibilidad con la group24 opción agregada en el
Junos OS versión 15.1X49-D30 para vSRX.
El dispositivo no elimina SA de IPsec existentes cuando se actualiza la , y la configuración

authentication-algorithmauthentication-method en la ICR dh-groupencryption-algorithm propuesta.

1676
propuesta (IPsec de servidor VPN de grupo de

seguridad)
in this section
Sintaxis | 1676
Descripción | 1677
Opciones | 1677
Sintaxis
authentication-algorithm (hmac-sha-256-128);
}
Nivel de jerarquía
[edit security group-vpn server ipsec]

1677
Descripción
Definir una propuesta de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
Opciones
proposal-name:nombre de la propuesta de IPsec.
authentication-algorithm hmac-sha-256-128: configure el algoritmo de autenticación IPsec. Produce un

resumen 256 de bits, truncado a 128 bits. Este es el valor predeterminado.
description description: texto de la descripción de la propuesta de IPsec.
encryption-algorithm: configure un algoritmo de cifrado. El dispositivo elimina las asociaciones de IPsec

existentes cuando se actualiza encryption-algorithm la configuración en la propuesta IPSec.
• aes-256-cbc — Algoritmo de cifrado AES de 256 bits. Este es el valor predeterminado.
lifetime-seconds seconds: especifica la duración (en segundos) de una asociación de seguridad (SA)
IPsec para la VPN de grupo. Cuando la SA caduca, se sustituye por una nueva SA, un índice de
parámetros de seguridad (SPI) o termina. Especifique un valor de 180 a 86 400 segundos. El valor
predeterminado es 3600 segundos.

1678

propuesta (ICR de seguridad)
in this section
Sintaxis | 1678
Sintaxis | 1679
Descripción | 1679
Opciones | 1679
Sintaxis
authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512);
signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521);
dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 |
group15 | group16 | group21);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc |
des-cbc);
}
1679
Sintaxis
Para enrutadores MX, M y serie T inalámbricos
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 | sha-256);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
dh-group (group1 | group2 | group 5 | group14);
encryption-algorithm algorithm;
}
Nivel de jerarquía
[edit security ike]
Descripción
Definir una propuesta de ICR.
Opciones
proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32 caracteres
alfanuméricos.
authentication-algorithm: configure el algoritmo hash Intercambio de claves por red autenticación de

Intercambio de claves por red (ICR) que autentica los datos del paquete. Puede ser uno de los siguientes
algoritmos:
• md5: produce un resumen de 128 bits.

1680
• In Power Mode IPSec mode and in normal mode— sha1 : produce un resumen de 160 bits.
El dispositivo no elimina las SA IPsec existentes cuando actualiza la authentication-algorithm

configuración en la propuesta de ICR. El dispositivo elimina las asociaciones de IPsec existentes cuando
se actualiza authentication-algorithm la configuración en la propuesta IPSec.
authentication-method: especifique el método que usa el dispositivo para autenticar el origen de

Intercambio de claves por red (ICR). La pre-shared-keys opción hace referencia a una clave previamente
compartida, que es una clave para el cifrado y el descifrado que deben tener ambos participantes antes
de comenzar las negociaciones de túnel. Las otras opciones se refieren a los tipos de firmas digitales,
que son certificados que confirman la identidad del titular del certificado. El dispositivo no elimina las SA
IPsec existentes cuando actualiza la authentication-method configuración en la propuesta de ICR.
• dsa-signatures: especifique que se utiliza el algoritmo de firma digital (DSA).
• ecdsa-signatures-256: especifique que se utilice la DSA de curva elíptica (ECDSA) mediante la curva
elíptica de 256 bits secp256r1, tal como se especifica en el estándar de firma digital (DSS) del
Estándar federal de procesamiento de información (FIPS) 186-3.
• ecdsa-signatures-384: permite especificar que se utilice la ECDSA con la curva elíptica de 384 bits
secp384r1, tal como se especifica en el FIPS DSS 186-3.
• pre-shared-keys: permite especificar que durante la autenticación se utilice una clave previamente
compartida, que es una clave secreto compartida entre ambos pares, para identificar a los pares entre
sí. Debe configurarse la misma clave para cada interlocutor. Este es el método predeterminado.
• rsa-signatures: especifique que se utiliza un algoritmo de clave pública que admita el cifrado y las
firmas digitales.
• ecdsa-signatures-521: especifique que se usa la ECDSA con la curva elíptica de 521 bits secp521r1.
description description: puede texto la descripción ICR propuesta.
dh-group: especifique el ICR grupo Diffie-Hellman.
lifetime-seconds seconds: especifique la duración (en segundos) de una asociación ICR seguridad (SA).
Cuando la SA caduca, se sustituye por una nueva SA, un índice de parámetros de seguridad (SPI) o
termina.
• Predeterminada 28.800 segundos

1681
Compatibilidad con dh-group group 14 y dsa-signatures agregada en Junos os versión 11,1.
Soporte para sha-384, ecdsa-signatures-256, ecdsa-signatures-384, group19group20, y group24

opciones agregadas en Junos os de la versión 12.1 x45-D10.
sha-512, group15 , y las opciones group16group21ecdsa-signatures-521 introducidas en Junos OS

versión 19.R1 en dispositivos de la serie SRX.
Compatibilidad con el algoritmo de autenticación (SH1: HMAC-SHA1-96) en vSRX Junos OS versión

19.3 R1 para el modo de IPSec en modo de alimentación, junto con la compatibilidad existente en modo
normal.
Soporte para ecdsa-signatures-256 y ecdsa-signatures-384 opciones agregadas en Junos os versión

12.1 x45-D10.

protocolos
Configuración de una propuesta ICR para AN dinámicas
propuesta (seguridad IPsec)
in this section
Sintaxis | 1682
1682
Descripción | 1682
Opciones | 1683
Sintaxis
authentication-algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha-256-96 |
hmac-sha-384 | hmac-sha-512 | hmac-sha1-96);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc |
aes-192-gcm | aes-256-cbc | aes-256-gcm | des-cbc);
extended-sequence-number;
lifetime-kilobytes kilobytes;
}
Nivel de jerarquía
Descripción
Definir una propuesta de IPsec. Una propuesta de IPsec enumera protocolos y algoritmos (servicios de
seguridad) que se negociarán con el par IPsec remoto.
1683
Opciones
nombre de la Nombre de la propuesta IPsec.

propuesta
algoritmo de Configure el algoritmo de autenticación IPsec. El algoritmo de autenticación es el
autenticación algoritmo hash que autentica los datos del paquete. Puede ser uno de seis
algoritmos:
• Valores
El algoritmo hash para autenticar datos puede ser uno de los siguientes:
• hmac-md5-96: produce un resumen de 128 bits.
• hmac-sha-256-128: proporciona autenticación de origen de datos y

protección de la integridad. Esta versión del autenticador HMAC-SHA-256
produce un resumen de 256 bits y especifica el truncamiento en los bits 128.
• hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce
un resumen de 160 bits. Para la autenticación, solo se utilizan 96 bits.
• hmac-sha-512: produce un resumen de 512 bits.
• hmac-sha-384: produce un resumen de 384 bits.
• hmac-sha-256-96— Algoritmo de autenticación HMAC-SHA-256-96 (no

compatible con RFC)
descriptiva Descripción de texto de la propuesta de IPsec
algoritmo de Defina un algoritmo de cifrado. El dispositivo elimina las asociaciones de IPsec

cifrado existentes cuando se actualiza encryption-algorithm la configuración en la propuesta
IPSec.
• Valores
• 3des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y

un tamaño de clave de 192 bits.
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado

avanzado (AES).
1684
• aes-128-gcm— Algoritmo de cifrado de 128 bits en modo Galois/Modo

contador (GCM) AES.

Cuando , o algoritmos de cifrado se configuran en la propuesta de IPsec, no es

obligatorio configurar el algoritmo de cifrado aes-128-gcmaes-192-gcm AES-
GCM en la propuesta de aes-256-gcm ICR correspondiente.

• des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y

número de Utilice la extended-sequence-number opción para habilitar la compatibilidad con

secuencia ESN. ESN permite a IPsec utilizar números de secuencia de 64 bits para el número de
extendida
secuencia. Si ESN no está habilitado, se utilizará el número de secuencia de 32 bits
de forma predeterminada. Asegúrese de que ESN no está habilitado cuando la
opción anti-Replay está desactivada.
duración: Especifique la duración (en kilobytes) de una asociación de seguridad IPsec (SA). Si
kilobytes esta instrucción no está configurada, el número de kilobytes utilizados para la
vigencia de la SA es ilimitado.
• Varían 64 a 1.048.576 kilobytes
segundos de Duración en segundos.

vida útil
1685
Protocolo Definir el protocolo IPsec para un manual o asociación de seguridad dinámica (SA).
• Valores
• ah: encabezado de autenticación
• esp: encabezado Carga de seguridad encapsulada
Declaración presentada antes Junos OS versión 7,4.
extended-sequence-number que se introduce en la Junos OS versión 19.4R1.
NOT RECOMMENDEDhmac-md5-96hmac-sha1-96 CLI, 3des-cbc y des-cbc .
hmac-sha-512y hmac-sha-384 las opciones introducidas en Junos os versión 19.1 R1 en la línea de

SRX5000 de los dispositivos con SRX5K-SPC3 Card.
Compatibilidad con aes-128-gcmlas aes-192-gcmopciones, aes-256-gcm y, que se agregan en Junos os

versión 15.1-D70 para vSRX.
Soporte para aes-128-gcm, aes-192-gcmy aes-256-gcm opciones agregadas en Junos os de la versión

12.1 x45-D10.
Compatibilidad con hmac-sha-256-128 dispositivos agregados a SRX5400, SRX5600 y SRX5800 en

Junos os versión 12.1 X46-D20.
Configurar una propuesta de IPsec para una PIC ES

1686
propuesta: conjunto (ICR de seguridad)
in this section
Sintaxis | 1686
Descripción | 1686
Opciones | 1687
Sintaxis

Nivel de jerarquía
[edit security ike policy policy-name]
Descripción
Especificar un conjunto de propuestas predeterminadas de Intercambio de claves por red (ICR).

1687
Los prime-128 conjuntos prime-256 de propuestas y requieren autenticación basada en certificados y

IKEv2.
Opciones
• basic: incluye un conjunto básico de dos ICR propuestas:
• Propuesta 1: clave previamente compartida, cifrado de estándar de cifrado de datos (DES), y

autenticación del grupo Diffie-Hellman (DH) 1 y algoritmo de hash seguro 1 (SHA-1).
• Propuesta 2: clave previamente compartida, cifrado DES y autenticación del grupo DH 1 y síntesis
del mensaje 5 (MD5).
• compatible: incluye un conjunto de cuatro propuestas de uso ICR común:
• Propuesta 1: clave previamente compartida, cifrado triple DES (3DES) y autenticación Diffie-
Hellman (DH) 2 (grupo DH 2) y AUTENTICACIÓN SHA-1.
• Propuesta 2: clave previamente compartida, cifrado 3DES y autenticación de grupo DH 2 y MD5.
• Propuesta 3: clave previamente compartida, cifrado DES y autenticación de grupo DH 2 y SHA-1.
• Propuesta 4: clave previamente compartida, cifrado DES y autenticación de grupo DH 2 y MD5.
• prime-128: proporciona el siguiente conjunto de propuestas (esta opción no se admite en el grupo

VPNv2):
• Método de autenticación: firmas de 256 bits del algoritmo de firma digital de curva elíptica
(ECDSA).
• Grupo Diffie-Hellman: 19.
• Algoritmo de cifrado: modo Galois/Counter (GCM) del estándar de cifrado avanzado (AES) de 128
bits.
• Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación).
Cuando se utiliza esta opción, prime-128 también debe configurarse en eledit security ipsec policy
policy-name proposal-setnivel de jerarquía [].
• prime-256: proporciona el siguiente conjunto de propuestas (esta opción no se admite en el grupo

VPNv2):
• Método de autenticación: firmas ECDSA de 384 bits.
• Grupo Diffie-Hellman: 20.

1688
• Algoritmo de cifrado: GCM de 256 bits de AES.
• Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación).
Cuando se utiliza esta opción, prime-256 también debe configurarse en eledit security ipsec policy
policy-name proposal-setnivel de jerarquía [].
• standard: incluye un conjunto estándar de dos ICR propuestas:
• Propuesta 1: clave previamente compartida, cifrado 3DES y autenticación de grupo DH 2 y

SHA-1.
• Propuesta 2: clave previamente compartida, cifrado AES de 128 bits y autenticación de grupo DH
2 y SHA-1.
• suiteb-gcm-128: proporciona el siguiente conjunto de propuestas de conjunto B (esta opción no se

admite en el grupo VPNv2):
• Método de autenticación: firmas ECDSA de 256 bits
• Grupo Diffie-Hellman: 19
• Algoritmo de cifrado: encadenamiento de bloques de cifrado (CBC) de 128 bits del estándar de
cifrado avanzado (AES)
En lugar de GCM se utiliza el modo CBC.
• Algoritmo de autenticación: SHA-256
• suiteb-gcm-256: proporciona el siguiente conjunto de propuestas de conjunto B (esta opción no se

admite en el grupo VPNv2):
• Método de autenticación: firmas DE 384 bits ECDSA
• Grupo Diffie-Hellman: 20
• Algoritmo de cifrado: CBC de 256 bits de AES
En lugar de GCM se utiliza el modo CBC.
• Algoritmo de autenticación: SHA-384

1689
Instrucción introducida en Junos OS versión 8,5. Soporte para suiteb-gcm-128 y suiteb-gcm-256

opciones agregadas en Junos os versión 12.1 x45-D10. Soporte para prime-128 y prime-256 opciones
agregadas en Junos os Release 15.1 x49-D40.
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las NOT
RECOMMENDED opciones CLI basic y compatiblestandard .
acceso remoto (Juniper Secure Connect)
in this section
Sintaxis | 1689
Descripción | 1691
Opciones | 1691
Sintaxis
remote-access {
client-config name {
biometric-authentication;
certificate {
no-expiry-warning;
1690
}
connection-mode (always | manual);
interval seconds;
threshold threshold;
}
no-dead-peer-detection;
no-eap-tls;
no-tcp-encap;
windows-logon {
auto-dialog-open;
domain domain;
eap-auth;
}
}
default-profile default-profile;
global-options {
auth-token-valid-time seconds;
}
profile name {
access-profile access-profile;
client-config client-config;
ipsec-vpn ipsec-vpn;
}
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable
| no-world-readable)>;
flag name;
level (brief | detail | extensive | verbose);
no-remote-trace;
}
}
1691
Nivel de jerarquía
[edit security]
Descripción
Configure las opciones de acceso remoto.
Debe configurar la configuración del cliente remoto en un dispositivo de la serie SRX para facilitar la
configuración automática Juniper Secure Connect clientes remotos.
Cuando un cliente remoto descarga Juniper Secure Connect aplicación, la aplicación establece una
conexión HTTPS con el dispositivo de seguridad. Todos los clientes autenticados obtienen el archivo de
configuración del dispositivo de seguridad y establecen un túnel VPN. En este paso, se elimina la
necesidad de que los clientes remotos configuren parámetros para los parámetros del identificador de
certificado, la configuración del cliente de acceso remoto y los parámetros ICR e IPsec en su dispositivo
para establecer una conexión VPN.
Opciones
client-config Defina Juniper Secure Connect de configuración de cliente remoto.
perfil predeterminado Configure el perfil predeterminado. En su dispositivo de seguridad, debe

especificar uno de los perfiles de acceso remoto como perfil predeterminado.
opciones globales Defina parámetros globales para Juniper Secure Connect configuración de
acceso remoto.
Perfil Configure perfiles de conexión de usuario remoto para los Juniper Secure
Connect remoto.
traceoptions Configure las operaciones de seguimiento de acceso remoto para Juniper Secure
Connect.

1692
protección
identidad remota
in this section
Sintaxis | 1692
Descripción | 1693
Opciones | 1693
Sintaxis
remote-identity {
wildcard wildcard-string;
}
1693
hostname hostname;
inet ip-address;
inet6 ipv6-address;
key-id;
}
Nivel de jerarquía
Descripción
Especifique la identidad de ICR remota para intercambiar la comunicación con el interlocutor de destino.
Si no configura una identidad remota, el dispositivo usa la dirección IPv4 o IPv6 que corresponde al
extremo remoto de forma predeterminada.
En el caso de Traducción de direcciones de red transversal (TDR-T), deben configurarse tanto la

identidad remota como la local.
Opciones
• distinguished-name: especifique la identidad como el nombre distinguido (DN) del certificado. Si hay
más de un certificado security ike gateway gateway-name policy policy-name certificate local-
certificate certificate-iden el dispositivo, utilice el comando.
Se pueden especificar cadenas de contenedor y comodines opcionales:
• container container-string: permite especificar una cadena para el contenedor.
• wildcard wildcard-string: especifique una cadena para el comodín.

(FQDN).

1694
• inet6 ipv6-address: permite especificar la identidad como dirección IPv6.
• key-id string-key-id: especifique el ID de clave en sring ASCII.

electrónico.
ataques de reproducción
in this section
Sintaxis | 1695
Descripción | 1695
Opciones | 1695

1695
Sintaxis
replay-attacks {
threshold value;
}
Nivel de jerarquía
Descripción
Cuando el dispositivo detecte un ataque de reproducción, producirá una alarma de seguridad. Un ataque
de reproducción es una forma de ataque a la red en el que una transmisión de datos válida está repetida
o retrasada de forma malintencionada o fraudulenta.
Predeterminada
Los ataques de reproducción no provocan alarmas de seguridad.
Opciones
• threshold value: número de ataques de respuesta hasta los cuales no se activa una alarma. Cuando se
supera el número configurado, se produce una alarma.
• Varían 1 a 100, 00, 00000.
1696

revocación-comprobación (PKI de seguridad)
in this section
Sintaxis | 1696
Descripción | 1697
Opciones | 1697
Sintaxis
revocation-check {
crl:
1697
disable;
ocsp:
use-crl;
use-ocsp;
}
Nivel de jerarquía
[edit security pki ca-profile ca-profile-name]
Descripción
Especifique el método que utiliza el dispositivo para comprobar el estado de revocación de los
certificados digitales.
Opciones
listas Solo se admite la lista de revocación de certificados (CRL). Una CRL es una lista con marcas
de hora que identifica certificados revocados, firmados por una entidad emisora y puestos
a disposición de los homólogos IPsec participantes periódicamente.
También debe especificar la ubicación (URL) para recuperar la CRL (HTTP o LDAP). De
forma predeterminada, la dirección URL está vacía y utiliza la información de CDP
incrustada en el certificado de entidad emisora.
Por ejemplo: set security pki ca-profile ms-ca revocation-check crl url http://
labsrv1.labdomain.com/CertEnroll/LABDOMAIN.crl
La dirección URL puede incluir la información de puerto o nombre del servidor, como
ldap://<ip-o-fqdn>:<port>). Si falta el número de puerto, HTTP utiliza el puerto 80 o LDAP
usa el puerto 443. Actualmente, solo puede configurar una dirección URL. No somos
compatibles con la configuración de url de respaldo.
De forma predeterminada crl , está habilitada. Los certificados locales se están validando
con la lista de revocación de certificados (CRL) incluso aunque la comprobación de CRL
1698
esté deshabilitada. Esto puede detenerse deshabilitando la comprobación de CRL

mediante la configuración de la infraestructura de clave pública (PKI). Cuando la
comprobación de CRL está deshabilitada, la PKI no validará el certificado local contra la
CRL.
deshabilite Deshabilita la comprobación del estado de certificados digitales.
OSCP Configure el protocolo de estado de certificados en línea (OCSP) para comprobar el estado
de revocación de un certificado.
CRL de uso Especifique la CRL como método para comprobar el estado de revocación de un
certificado. CRL es el método predeterminado.
Cuando habilite esta opción, elija CRL como método para comprobar el estado de
revocación de certificados digitales.
Use-OCSP Especifique el protocolo de estado de certificados en línea (OCSP) como método para
comprobar el estado de revocación de un certificado. CRL es el método predeterminado.
Cuando habilite esta opción, elija OCSP como método para comprobar el estado de
revocación de certificados digitales.
Instrucción modificada en Junos OS versión 8,5. Compatibilidad con ocsp, use-crly use-ocsp con las
opciones que se agregan en Junos os versión 12.1 x46-D20.

1699
Asociación de seguridad
in this section
Sintaxis | 1699
Descripción | 1700
Opciones | 1700
Sintaxis
security-association sa-name {
manual {
direction bidirectional {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key {
ascii-text key;
hexadecimal key;
}
}
encryption {
algorithm (3des-cbc | des-cbc );
key {
ascii-text key;
hexadecimal key;
}
}
spi spi-value;
}
}
1700
mode transport;
}
Nivel de jerarquía
Descripción
Configure una asociación de seguridad IPsec (SA) manual para aplicarla a una interfaz OSPF o OSPFv3 o
a un vínculo virtual. IPsec puede proporcionar autenticación y confidencialidad a OSPF o OSPFv3
paquetes de enrutamiento.
Opciones
nombre-SA Nombre de la SA.
descriptiva Especifique una descripción de texto para la SA.
Dirección Dirección del manual SA. Para esta característica, la dirección debe ser bidirectional.
Descifrar y autenticar el tráfico entrante y saliente con el mismo algoritmo, claves o SPI
en ambas direcciones, a diferencia de las AS entrantes y salientes que utilizan atributos
diferentes en ambas direcciones.
• Valores algorithm: algoritmo hash que autentica los datos del paquete. Puede ser uno
de los siguientes:
• hmac-md5-96: produce un resumen de 128 bits. Este es el valor predeterminado.
• hmac-sha1-96: produce un resumen de 160 bits.
key: tipo de clave de autenticación. Puede ser uno de los siguientes:

1701
• ascii-text key: clave de texto ASCII. En hmac-md5-96el caso de, la clave tiene 16
caracteres ASCII; en hmac-sha1-96el caso de, la clave tiene 20 caracteres ASCII.
• hexadecimal key— Clave hexadecimal. En hmac-md5-96el caso de, la clave es 32

caracteres hexadecimales; en hmac-sha1-96el caso de, la clave es 40 caracteres
hexadecimales.
• Valores encryption: configure un algoritmo de cifrado y una clave para una asociación
de seguridad (SA) manual. Puede ser uno de los siguientes:
• algorithm: seleccione el algoritmo de cifrado para la configuración interna de la

asociación de seguridad IPsec (SA) del motor de enrutamiento a motor de
enrutamiento.
• des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un

• 3des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y

Para 3des-cbc, recomendamos que los primeros 8 bytes sean diferentes a los 8
segundos y que los segundos 8 coincidan con los de 8 bytes.
• key: tipo de clave de cifrado. Puede ser uno de los siguientes:
• ascii-text key: clave de texto ASCII. Para la des-cbc opción, la clave contiene 8
caracteres ASCII; para 3des-cbc, la clave contiene 24 caracteres ASCII.
• hexadecimal key— Clave hexadecimal. Para la des-cbc opción, la clave contiene

16 caracteres hexadecimales; para la 3des-cbc opción, la clave contiene 48
Protocolo Defina el protocolo IPsec para una asociación de seguridad manual (SA). El protocolo
puede ser uno de los siguientes:
• ah: protocolo de encabezado de autenticación.
• esp— Protocolo carga de seguridad encapsulante (ESP). Este es el valor

predeterminado.
spi spi-value Configure el índice de parámetros de seguridad (SPI) para una asociación de seguridad
(SA). Un valor arbitrario que identifica de forma exclusiva qué SA se va a utilizar en el host
de recepción (la dirección de destino del paquete).
• Varían 256 a 16.639
medio Modo SA. Para esta característica, el modo debe ser transport.
1702
nivel de vista: para ver esta instrucción en la configuración.
nivel de control: para agregar esta instrucción a la configuración.
servidor (VPN de grupo de seguridad)
in this section
Sintaxis | 1702
Descripción | 1705
Opciones | 1705
Sintaxis
server {
group name {
1703
group-id number;
ike-gateway [gateway-name];
ipsec-sa name {
protocol number;
source-port number;
}
}
server-cluster {
}
}
}
ike {
address ip-address ;
always-send;
interval seconds;
threshold number;
}
dynamic {
address);
}
1704
local-identity {
address);
}
remote-identity {
(hostname [hostname] | inet ip-address | user-at-hostname e-mail-
address);
}
}
description text;
proposals [proposal-name];
}
}
}
ipsec {
}
}
traceoptions {
file {
filename;
files number;
}
flag flag;
gateway-filter {
1705
}
no-remote-trace;
}
}
Nivel de jerarquía
Descripción
Configure el servidor VPN de grupo. Puede configurar lo siguiente en el servidor de grupo:
• Fase 1 ICR SA para los miembros del grupo
• Propuesta IPsec fase 2
• Identificador de grupo, miembros de grupo, comunicaciones de miembros de servidor y políticas de

grupo para descargarse en los miembros
• Opciones de seguimiento de VPN de grupo
Opciones
nombre de puerta de Configure ICR puerta de enlace para el servidor VPN del grupo.
enlace
protocolos Configure la Asociación de seguridad (SA) de fase 1 con un miembro en el
servidor de grupo.
IPSec Configure una propuesta de IPsec para el intercambio de fase 2 en el servidor de

grupo.
1706

clúster de servidores (servidor VPN de grupo de

seguridad)
in this section
Sintaxis | 1707
Descripción | 1707
Opciones | 1707

1707
Sintaxis
server-cluster {
}
Nivel de jerarquía
Descripción
Configure el clúster grupo de dominio de interpretación (GDOI) de controlador de grupo/servidor de

claves (GCKS) para el grupo especificado. Todos los servidores de un clúster de servidor VPN de grupo
deben ser serie SRX dispositivos.
Opciones
nombre de puerta Necesaria Especifique el nombre de la puerta de enlace de ICR para el dispositivo
de enlace de ike- local en el clúster de servidor del grupo. ICR puertas de enlace se configuranedit
gateway
security group-vpn server ikeen el nivel de jerarquía [].
Si el dispositivo local es un servidor raíz, el nombre de la puerta de enlace de ICR

debe ser un subservidor del clúster; es posible especificar hasta cuatro puertas de
enlace ICR sub-servidor.
Si el dispositivo local es un subservidor, el nombre de la puerta de enlace de ICR

debe ser el servidor raíz.
segundos de Adicional Especifique la hora a partir de la cual el servidor raíz retransmitirá un

período de cluster-update mensaje si no ha recibido una confirmación de un subservidor.
retransmisión
1708
• Varían 2 a 60 segundos.
• Predeterminada 10 segundos.
Server-role Necesaria Asigne la función del dispositivo local en el clúster de servidor del grupo,
root-server ya sub-serversea o. Solo se puede configurar un dispositivo del clúster
como servidor raíz. Puede configurar hasta otros cuatro dispositivos como
subservidor en un clúster de servidor de grupo.
Debe asegurarse de que sólo hay un servidor raíz en cualquier momento para un
clúster de servidor VPN de grupo.
Instrucción introducida en la Junos OS versión 15.1X49-D30.

1709
comunicación de miembro de servidor (servidor VPN

de grupo de seguridad)
in this section
Sintaxis | 1709
Descripción | 1710
Opciones | 1710
Sintaxis
communication-type (unicast);
}
Nivel de jerarquía

1710
Descripción
Habilitar y configurar la comunicación entre el servidor y el miembro. Cuando estas opciones se

configuran, los miembros del Grupo reciben nuevas claves antes de que caduquen las claves actuales. A
partir de Junos OS Release 15.1 X49-D80, el valor mínimo que puede configurar para la lifetime-
seconds opción es de 300 segundos en lugar de 180 segundos.
Opciones
• certificate certificate-id: permite especificar la identificación del certificado. Solo se admiten claves
RSA.
• communication-type: permite unicast configurar (el valor predeterminado).
• encryption-algorithm: el cifrado se usa para las comunicaciones entre el servidor del grupo y el
miembro del grupo. Especifique aes-128-cbc, aes-192-cbco aes-256-cbc.
• lifetime-seconds seconds— Duración, en segundos, de la clave de cifrado de clave (KEK). Especifique

un valor entre 300 y 86.400. El valor predeterminado es 3600 segundos.
• number-of-retransmission number: en el caso de las comunicaciones de unidifusión, la cantidad de

veces que el servidor del grupo retransmite mensajes a un miembro del grupo cuando no hay
respuesta. Especifique un valor entre 0 y 60. El valor predeterminado es 2.
• retransmission-period seconds: período de tiempo entre una transmisión y la primera retransmisión

cuando no hay respuesta del miembro del grupo. Especifique un valor comprendido entre 2 y 60. El
valor predeterminado es 10 segundos.
• sig-hash-algorithm: algoritmo de autenticación que se usa para autenticar al miembro del grupo en el
servidor del grupo. Especifique sha-256 o sha-384.

1711
Instrucción introducida en Junos OS versión 10.2

afinidad de sesión
in this section
Sintaxis | 1711
Descripción | 1712
Sintaxis
session-affinity ipsec
Nivel de jerarquía
[edit security flow load-distribution]

1712
Descripción
Habilite la afinidad de sesión VPN. En la función de afinidad de sesión, hemos optimizado la

redistribución de túneles. Después de la redistribución de túnel, es posible que la ruta de datos no sea
óptima, por lo que recomendamos que habilite la afinidad de sesión de VPN para asegurarse de que la
ruta de datos está optimizada. Durante la optimización, la ruta de datos actual experimenta un retraso
mayor del paquete hasta que está completamente optimizado.
Esta función se admite en SRX5400, SRX5600 y SRX5800 dispositivos. De forma predeterminada, la

afinidad de sesión VPN está deshabilitada.
Instrucción introducida en Junos OS Release 11.4 R5.
A partir de Junos OS versión 15.1 X49-D10, la afinidad de sesión IPsec es compatible con el tráfico
basado en túnel IPsec por el SRX5K-MPC3-100G10G (IOC3) y el SRX5K-MPC3-40G10G (IOC3) para
los dispositivos de SRX5400, SRX5600 y SRX5800 a través de la sesión y el módulo de flujo mejorados
Almacen.

1713
TCP-encap
in this section
Sintaxis | 1713
Descripción | 1714
Opciones | 1714
Sintaxis
tcp-encap {
profile profile-name;
ssl-profile ssl-profile-name;
log ;
}
traceoptions {
file filename {
files number;
}
flag (all | configuration | session | tunnel);
no-remote-trace’
}
1714
Nivel de jerarquía
[edit security]
Descripción
Especifique las operaciones de encapsulación TCP para un cliente de acceso remoto en una puerta de
enlace de acceso remoto de un dispositivo serie SRX para que admita mensajes IPsec encapsulados en
una conexión TCP.
Opciones
perfil-nombre Configure un perfil de encapsulación TCP para un cliente de acceso remoto en una
puerta de enlace de acceso remoto de un dispositivo serie SRX para definir la operación
de encapsulado de datos.
ssl-profile ssl- Especifique el perfil de terminación SSL que está configurado en el nivel
profile-name de jerarquía [ edit services ssl termination profile ]. Este parámetro es
necesario para el cliente de acceso remoto NCP de modo exclusivo de
sesión SSL completa.
archivo Habilite el registro para las conexiones cliente de acceso remoto.
traceoptions Configure las opciones de seguimiento de encapsulación TCP.

1715
Soporte para la ssl-profile opción añadida en Junos os versión 18.1 R1.
TraceOptions (VPN de seguridad dinámica)
in this section
Sintaxis | 1715
Descripción | 1716
Opciones | 1716
Sintaxis
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable |
no-world-readable)>;
flag {
all;
}
1716
no-remote-trace;
}
Nivel de jerarquía
Descripción
Configure las opciones dinámicas de seguimiento de VPN. Esta característica es compatible con
SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Opciones
archiva Configure las opciones del archivo de seguimiento.
file filename: Nombre del archivo que va a recibir el resultado de la operación de

seguimiento.
Bandera Operación de seguimiento que se va a realizar. Para especificar más de una operación de
seguimiento, incluya flag varias instrucciones.
• Valores
• all: permite todas las operaciones de rastreo
nivel Nivel de resultados de la depuración
• Valores
• todo: hacer coincidir todos los niveles
• error: condiciones de error de coincidencia

1717
• info: hacer coincidir mensajes de información
• aviso: condiciones de coincidencia que se deben manejar especialmente
• verbos: hacer coincidir mensajes detallados
• advertencia: hacer coincidir mensajes de advertencia
no-Remote- Deshabilitar seguimiento remoto

Trace
trace: para ver esta instrucción en la configuración.
trace-control: para agregar esta instrucción a la configuración.
TraceOptions (grupo de seguridad VPN)
in this section
Sintaxis | 1718
Descripción | 1719
Opciones | 1719
1718
Sintaxis
traceoptions {
file {
filename;
files number;
}
| thread | timer);
gateway-filter {
}
no-remote-trace;
}
Nivel de jerarquía

1719
Descripción
Configure las opciones de seguimiento de VPN de grupo para ayudar a solucionar problemas ICR
problemas del servidor. Esto ayuda a solucionar problemas de una o varias negociaciones de la
configuración estándar de mejora. El rastreo permite al usuario ver el intercambio detallado de paquetes
y la información de la negociación. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
Opciones
• file: configure las opciones del archivo de seguimiento.
• filename: Nombre del archivo que va a recibir el resultado de la operación de seguimiento. Escriba
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio.
• files number: número máximo de archivos de seguimiento. Cuando un archivo de seguimiento

trace-file alcanza su tamaño máximo, se cambia a trace-file.0, a continuación trace-file.1, y así
sucesivamente, hasta que se alcanza el número máximo de archivos de seguimiento. El archivo de
almacenamiento más antiguo se sobrescribe.
Si especifica un número máximo de archivos, también debe especificar un tamaño máximo de

archivo con la size opción y un nombre.
Varían 2 a 1000 archivos
Predeterminada 10 archivos
• match regular-expression: refine el resultado para incluir líneas que contengan la expresión
regular.
• size maximum-file-size: tamaño máximo de cada archivo de seguimiento, en kilobytes (KB),

megabytes (MB) o gigabytes (GB). Cuando un archivo de seguimiento trace-file alcanza este
tamaño, se cambia de trace-file.0nombre. Cuando trace-file vuelve a alcanzar su tamaño máximo,
trace-file.0 se cambia trace-file.1 de trace-file nombre y trace-file.0se le cambia el nombre. Este
esquema de cambio de nombre continúa hasta que se alcanza el número máximo de archivos de
seguimiento. A continuación, se sobrescribe el archivo de seguimiento más antiguo.
Si especifica un tamaño máximo de archivo, también debe especificar un número máximo de

archivos de seguimiento con la files opción y el nombre de fichero.
Sintaxis x kpara especificar KB, xm para especificar MB o xg para especificar GB
Varían 10 KB a 1 GB
1720
Predeterminada 128 KB
• world-readable | no-world-readable: de forma predeterminada, solo puede acceder a los archivos

de registro el usuario que configure la operación de rastreo. La world-readable opción permite a
cualquier usuario leer el archivo. Para establecer explícitamente el comportamiento
predeterminado, utilice no-world-readable la opción.
• flag: permite realizar un seguimiento de las operaciones. Para especificar más de una operación de
• all: permite rastrear toda la actividad.
• certificates: actividad relacionada con el seguimiento de certificados.
• config: actividad de configuración de seguimiento.
• database— Trace la actividad de la base de datos relacionada con SA.
• general: seguimiento de la actividad general.
• high-availability: seguimiento de operaciones de alta disponibilidad.
• ike: trace ICR actividad del protocolo.
• next-hop-tunnels: permite rastrear las operaciones de túnel de salto siguiente.
• parse: seguimiento del procesamiento de configuración.
• policy-manager: seguimiento ICR actividad de devolución de llamada.
• routing-socket: actividad de conexión de enrutamiento de seguimiento.
• thread: procesamiento de hilos de seguimiento.
• timer: actividad del temporizador de seguimiento.
• gateway-filter: configure la depuración para el túnel entre el servidor VPN del grupo y un miembro
del grupo. Esta opción está configurada en un servidor o miembro VPN de grupo.
• local-address: cuando se configura en un servidor, la dirección IP del servidor VPN del grupo.
Cuando se configura en un miembro, la dirección IP del miembro de la VPN del grupo.
• remote-address: cuando se configura en un servidor, la dirección IP del miembro VPN del grupo.
Cuando se configura en un miembro, la dirección IP del servidor VPN de grupo.
• level: permite establecer el nivel de depuración.
• all: hace coincidir todos los niveles.
• error: condiciones de error de coincidencia.

1721
• info: coincide con mensajes de información.
• notice: condiciones de coincidencia que se deben manejar específicamente.
• verbose: hace coincidir mensajes completos.
• warning: hace coincidir los mensajes de advertencia.
• no-remote-trace: desactive el seguimiento remoto.
Instrucción introducida en la Junos OS versión 10.2. Compatibilidad con la opción para el nivel de
jerarquía [ ] agregado en Junos OS gateway-filteredit security group-vpn member ike versión 15.1X49-
D30 para vSRX.
TraceOptions (ICR de seguridad)
in this section
Sintaxis | 1722
Descripción | 1722
1722
Opciones | 1723
Sintaxis
traceoptions {
file {
filename;
files number;
}
level (critical | error | terse | warning | detail);

| thread | timer);
no-remote-trace;
rate-limit messages-per-second;
}
Nivel de jerarquía
[edit security ike]
Descripción
Configure ICR opciones de traza como ayuda para solucionar los problemas ICR. Esto ayuda a solucionar
problemas de una o varias negociaciones de la configuración estándar de mejora. El seguimiento de ICR
1723
permite al usuario ver el intercambio detallado de paquetes y la información de negociación en las fases
1 y 2. El seguimiento de ICR no está habilitado de forma predeterminada. De forma predeterminada,
todas las negociaciones de ICR o IPsec se registran en/var/log/KMD. Sin embargo, el usuario también
puede especificar un nombre de archivo personalizado al configurar el ICR TraceOptions.
Opciones
• file:configure las opciones del archivo de seguimiento.
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio.
Predeterminada kmd

llamado alcanza su tamaño máximo, cambia el nombre a . then y así sucesivamente, hasta que se
alcanza la cantidad máxima trace-filetrace-file de archivos de 0,trace-file.1 seguimiento. El
archivo de almacenamiento más antiguo se sobrescribe.

regular.

Si especifica un tamaño máximo de archivo, también debe especificar un número máximo de

archivos de seguimiento con la files opción y el nombre de fichero.
Sintaxis x k para especificar KB, x m para especificar MB o x g para especificar GB
1724
• world-readable | no-world-readable: de forma predeterminada, solo puede acceder a los archivos

de registro el usuario que configure la operación de rastreo. La world-readable opción permite a
cualquier usuario leer el archivo. Para establecer explícitamente el comportamiento
• level: permite especificar los niveles de registro.
• critical: permite registrar errores de punto único que requieren su atención inmediata
• error: registra errores de aplicación mortales
• terse: registrar mensajes syslog
• warning: errores recuperables del registro
• detail: registra toda la información operativa
• all: permite rastrear todas las actividades de los módulos de proceso iked
• certificates: seguimiento de actividades relacionadas con certificados
• config: seguimiento del procesamiento de descarga de configuración
• database: seguimiento de la actividad de la base de datos relacionada con VPN
• general: seguimiento de la actividad general
• high-availability: seguimiento de operaciones de alta disponibilidad
• ike: seguimiento de ICR actividad del protocolo
• next-hop-tunnels: seguimiento de operaciones de túneles de salto siguiente
• parse: seguimiento de la actividad de análisis de VPN
• policy-manager— Seguimiento de la actividad de devolución de llamada iked
• routing-socket: actividad de conexión de enrutamiento de seguimiento
• thread: procesamiento de subprocesos de seguimiento
• timer: actividad del temporizador de seguimiento
De forma predeterminada, flag no se establece la instrucción. Debe configurar explícitamente la

instrucción flag para realizar la operación de seguimiento.
• no-remote-trace: establezca el seguimiento remoto como deshabilitado.

1725
• rate-limit messages-per-second: permite configurar la velocidad entrante de los mensajes de

seguimiento.
Varían 0 a 4.294.967.295
Predeterminada 0
level las opciones introducidas en Junos OS versión 21.1R1.

TraceOptions (seguridad IPsec)
in this section
Sintaxis | 1726
Descripción | 1726
Opciones | 1726
1726
Sintaxis
traceoptions {
flag flag;
}
Nivel de jerarquía
Descripción
Configurar las opciones de seguimiento de IPsec. Las operaciones de seguimiento rastrean eventos IPsec
y los registran en un archivo de registro en el directorio /var/log.
Las operaciones de seguimiento se escriben en /var/log/kmdel archivo de seguimiento.
Opciones
• flag: para especificar más de una operación de seguimiento, incluya varias flag instrucciones.
• all: seguimiento con todas las marcas habilitadas
• next-hop-tunnel-binding: seguimiento de eventos de enlace de túnel de salto siguiente
• packet-drops: seguimiento de la actividad de pérdida de paquetes
• packet-processing: seguimiento de eventos de procesamiento de paquetes de datos

1727
• security-associations: eventos de administración de asociaciones de seguridad de seguimiento

(SA)
TraceOptions (PKI de seguridad)
in this section
Sintaxis | 1728
Descripción | 1728
Opciones | 1728

1728
Sintaxis
traceoptions {
file {
filename;
files number;
}
flag {
all;
certificate-verification;
online-crl-check;
}
no-remote-trace;
}
Nivel de jerarquía
[edit security pki]
Descripción
Configurar opciones de seguimiento de la infraestructura de clave pública (PKI). Para especificar más de
una opción de seguimiento, incluya varias instrucciones de indicador. El resultado de la opción de
seguimiento se registra en el archivo /var/log/pkid.
Opciones
• file: configure las opciones del archivo de seguimiento.

1729
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio. De forma
predeterminada, el nombre del archivo es el nombre del proceso que se está trazando.

trace-file alcanza su tamaño máximo, se cambia a trace-file.0, a continuación trace-file.1, y así
sucesivamente, hasta que se alcanza el número máximo de archivos de seguimiento. El archivo de
almacenamiento más antiguo se sobrescribe.

regular.

Si especifica un tamaño de archivo máximo, también debe especificar un número máximo de

archivos de seguimiento con la files opción y un nombre
Sintaxis x Kpara especificar KB, x m para especificar MB o x g para especificar GB
• world-readable | : de forma predeterminada, solo puede acceder a los archivos de registro no-
world-readable el usuario que configure la operación de rastreo. La world-readable opción
permite a cualquier usuario leer el archivo. Para establecer explícitamente el comportamiento
• all: seguimiento con todas las marcas habilitadas
• certificate-verification: seguimiento de eventos de verificación de certificados PKI

1730
• online-crl-check: eventos de lista de revocación de certificados en línea (CRL) de seguimiento de

PKI
• no-remote-trace: establezca el seguimiento remoto como deshabilitado.
TraceOptions (encapsulación TCP)
in this section
Sintaxis | 1731
Descripción | 1731
Opciones | 1731

1731
Sintaxis
traceoptions {
file filename {
files number;
}
flag (all | configuration | session | tunnel);
no-remote-trace;
}
Nivel de jerarquía
[edit security tcp-encap]
Descripción
Configure las opciones de seguimiento de encapsulación TCP.
Opciones
archiva Configure las opciones del archivo de seguimiento.
• filename: Nombre del archivo que va a recibir el resultado de la operación de

seguimiento. Escriba el nombre entre comillas. Todos los archivos se colocan /var/logen
el directorio.
• files number: número máximo de archivos de seguimiento. Cuando un archivo de

seguimiento trace-file alcanza su tamaño máximo, se le cambia el trace-filenombre. 0, a
1732
trace-file.1continuación, y así sucesivamente, hasta llegar al número máximo de

archivos de seguimiento. El archivo de almacenamiento más antiguo se sobrescribe.
Si especifica un número máximo de archivos, también debe especificar un tamaño

máximo de archivo con la size opción y un nombre.
• match regular-expression: refine el resultado para incluir líneas que contengan la

expresión regular.
• size maximum-file-size: tamaño máximo de cada archivo de seguimiento, en kilobytes

(KB), megabytes (MB) o gigabytes (GB). Cuando un archivo de seguimiento trace-file
alcanza su tamaño máximo, se le cambia trace-file.0el nombre. Cuando trace-file.0
alcanza su tamaño máximo, se le cambia trace-file.1 el trace-file nombre y trace-file.0se
cambia su nombre. Este esquema de cambio de nombre continúa hasta que se alcanza
el número máximo de archivos de seguimiento. A continuación, se sobrescribe el
archivo de seguimiento más antiguo.
Si especifica un tamaño máximo de archivo, también debe especificar un número

máximo de archivos de seguimiento con la files opción y el nombre de fichero.
Sintaxis x k para especificar KB, x m para especificar MB o x g para especificar GB
• world-readable | no-world-readable: de forma predeterminada, solo puede acceder a

los archivos de registro el usuario que configure la operación de rastreo. La world-
readable opción permite a cualquier usuario leer el archivo. Para establecer
explícitamente el comportamiento predeterminado, utilice no-world-readable la opción.
Bandera Operación de seguimiento que se va a realizar. Para especificar más de una operación de
seguimiento, incluya varias instrucciones Flag.
• all: permite rastrear toda la actividad.
• configuration: seguimiento de eventos de configuración.
• session: seguimiento de eventos relacionados con la sesión.
• tunnel: seguimiento de eventos de túnel.
nivel Establezca el nivel de depuración.

1733
• all: hace coincidir todos los niveles.
• error: condiciones de error de coincidencia.
• info: coincide con mensajes de información.
• notice: condiciones de coincidencia que se deben manejar específicamente.
• verbose: hace coincidir mensajes completos.
• warning: hace coincidir los mensajes de advertencia.
no- Deshabilite el seguimiento remoto.

Remote-
Trace
TCP-encap | 1713
1734
Selector de tráfico
in this section
Sintaxis | 1734
Descripción | 1735
Opciones | 1736
Sintaxis
traffic-selector traffic-selector-name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
metric metric_value;
description description_value;
term term_name {
}
}
1735
Nivel de jerarquía
Descripción
Un selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si
el tráfico coincide con un par especificado de rango de direcciones IP locales, rango de direcciones IP
remotas, rango de puerto de origen, rango de puerto de destino y protocolo. Esta funcionalidad solo es
compatible con IKEv2.
En las versiones Junos OS anteriores a 21.1R1, admiten un par de prefijo IP local y un prefijo IP remoto
por túnel IPsec para el filtrado de tráfico a través del túnel IPsec. A partir de Junos OS versión 21.1R1
hacia adelante, puede configurar varios conjuntos de prefijo IP local, prefijo IP remoto, rango de puerto
de origen, rango de puerto de destino y protocolo para la selección de tráfico.
Esto significa que varios conjuntos de intervalos de direcciones IP, intervalos de puertos y protocolos
pueden formar parte del mismo selector de tráfico definido en la RFC 7296. En esta funcionalidad, el
concepto de término se introduce en los selectores de tráfico. Cada término define un conjunto de
intervalos IP locales, de IP remoto, de puertos de origen, de puerto de destino y de protocolo. Todos los
términos combinados formarán parte de una sola SA IPsec. Los términos de un solo selector de tráfico
pueden tener dirección IPv4 e IPv6. Por lo tanto, una sola SA IPsec tiene tanto IPv4 como IPv6 como
direcciones IP locales y remotas. Se admiten un máximo de 200 términos en cada selector de tráfico.
Cuando configure varios selectores de tráfico, cada selector de tráfico conduce a una negociación
independiente que da como resultado varios túneles IPsec. Sin embargo, si configura varios términos en
un selector de tráfico, esta configuración da como resultado una sola negociación de SA IPsec con varios
prefijos, puertos y protocolos IP.
Es obligatorio configurar al menos un prefijo IP local y un prefijo IP remoto para un selector de tráfico.
Otros parámetros son opcionales.
Si varios selectores de tráfico tienen rutas superpuestas, se utiliza un desempate de métricas de

enrutamiento para la decisión de reenvío.
Por compatibilidad con versiones anteriores, se admite la configuración de prefijos IP directamente en la

[edit security ipsec vpn vpn-name traffic-selector traffic-selector-name] jerarquía.
Utilice el nivel de jerarquía para configurar varios conjuntos de intervalos de direcciones IP, intervalos de
puertos y protocolos para el mismo selector de tráfico definido en [edit security ipsec vpn vpn-name
traffic-selector traffic-selector-name term term-name] la RFC 7296.
1736
No debe configurar los mismos valores para distintos selectores de tráfico para el mismo ICR puerta de
enlace. Esta no es una configuración de selector de tráfico válida. Si configura varios selectores de
tráfico con los mismos valores, dependiendo de la configuración par, es posible que haya un uso alto de
la CPU no intencionado.
Opciones
dirección IP local/ Una dirección IP local o una subred local protegida por el dispositivo VPN
máscara de red local.
dirección IP remota/ Una dirección IP remota o una subred remota protegida por el dispositivo
máscara de red VPN del mismo nivel.
término term_name Defina un conjunto de rangos IP locales, de IP remoto, de puertos de origen,

de puerto de destino y de protocolo. Todos los términos combinados
formarán parte de una sola SA IPsec. Se admiten un máximo de 200 términos
en cada selector de tráfico. Es opcional configurar este parámetro.
protocolo Lista de protocolos de transporte para un selector de tráfico para un túnel

protocol_name/ IPsec. Es opcional configurar este parámetro. En caso de que el protocolo no
protocol_id
esté configurado, se da por sentado que está configurado el protocolo
"cualquiera".
• Varían El id de protocolo puede ir del 0 al 255.
puerto de origen de El intervalo de puertos de origen va de números de puerto de rango inferior a

bajo nivel superior. Es opcional configurar este parámetro. Si no está configurado ningún
puerto pero solo está configurado el protocolo, se asumirá el puerto
"cualquiera" para los intervalos de puertos de origen para ese protocolo.
puerto de destino de El intervalo de puertos de destino va de números de puerto de rango inferior

bajo nivel a superior. Es opcional configurar este parámetro. Si no está configurado
ningún puerto pero solo está configurado el protocolo, se asumirá el puerto
"cualquiera" para los intervalos de puertos de destino para ese protocolo.
métrica metric_value Desempate cuando varios selectores de tráfico tienen rutas superpuestas
para decidir la ruta más preferida. Es opcional configurar este parámetro.
1737
descripción Descripción del selector de tráfico. Es opcional configurar este parámetro. Es

description_value opcional configurar este parámetro.
• Varían De 0 a 80 caracteres
term, protocol , y las opciones source-portdestination-portmetricdescription introducidas en Junos OS

versión 21.1R1.

Verify-path
in this section
Sintaxis | 1738
Descripción | 1738
Opciones | 1739
1738
Sintaxis
verify-path {
destination-ip ip-address;
packet-size bytes;
}
Nivel de jerarquía
[edit security ipsec vpn vpn-name vpn-monitor]
Descripción
Compruebe que la ruta de acceso de IPsec antes de activar la interfaz de túnel seguro (st0) y que las
rutas asociadas con la interfaz están instaladas en la tabla de reenvío Junos OS. Esta configuración es útil
en las topologías de red en las que hay un firewall de tránsito ubicado entre los extremos del túnel VPN
y donde el tráfico de datos de IPsec que usa rutas activas para un túnel VPN establecido en la interfaz
st0 puede bloquearse mediante el servidor.
Cuando se configura esta opción, la interfaz de origen y las direcciones IP de destino que se pueden
configurar para la operación del monitor de VPN no se utilizan para la comprobación de la ruta de
acceso de los IPsec. El origen de las solicitudes ICMP en la comprobación de la ruta de acceso de IPsec
es el extremo del túnel local.
Cuando se configura la comprobación de la ruta de acceso de IPsec, tienen lugar las siguientes acciones:
1. Tras establecer el túnel VPN, se envía una solicitud ICMP al extremo del túnel del mismo nivel para
comprobar la ruta de acceso de la entidad de IPsec.
1739
El extremo del túnel del mismo nivel debe ser alcanzable por solicitudes de ICMP del monitor de VPN
y debe ser capaz de responder a la solicitud de ICMP. Mientras la verificación de ruta de datos está
en curso, " " se muestra en el campo Supervisión V de VPN en la salida del show security ipsec
security-association detail comando.
2. La st0 interfaz solo se activa cuando se recibe una respuesta del interlocutor.
El show interface st0.x resultado del comando muestra el estado de la interfaz st0 durante y después
de la comprobación de la ruta de acceso: Link-Layer-Downantes de que finalice la Up verificación y
después de que la verificación finalice correctamente.
3. Si no se recibe ninguna respuesta de ICMP del interlocutor, se envía otra solicitud de ICMP a través
del intervalo configurado del monitor de VPN (el valor predeterminado es 10 segundos) hasta que se
alcanza el umbral del monitor de VPN (el valor predeterminado es 10 veces).
Si la comprobación no tiene éxito, la entrada del registro del sistema

KMD_VPN_DOWN_ALARM_USER indica la causa como un error de comprobación de supervisión de
VPN. El error se registra en los sucesos show security ipsec security-association detail de túnel en la
salida del comando. El show security ipsec tunnel-events-statistics comando muestra el número de
veces que se ha producido el error.
Los valores de intervalo y umbral del monitor de vpn-monitor-options VPN se configuran con el nivel
de jerarquía [edit security ipsec].
4. Si no se recibe ninguna respuesta de ICMP del interlocutor después de alcanzar el umbral del monitor
de VPN, se deja de conectar el túnel VPN establecido y se vuelve a negociar el túnel VPN.
Opciones
dirección IP Dirección IP original no traducida del extremo del túnel del mismo nivel que está detrás
de destino de un dispositivo TDR. Esta dirección IP no debe ser la TDR dirección IP traducida. Esta
opción es necesaria si el extremo del túnel del mismo nivel se encuentra detrás de un
dispositivo TDR. La solicitud Verify-path ICMP se envía a esta dirección IP para que el
interlocutor pueda generar una respuesta de ICMP.
bytes de Adicional Tamaño del paquete que se utiliza para comprobar una ruta de acceso de
tamaño de seguridad IPsec antes de que se ponga en funcionamiento la interfaz st0.
paquete
El tamaño del paquete debe ser inferior a la ruta unidad máxima de transmisión (PMTU)
menos la sobrecarga de túnel. El paquete usado para la comprobación de la ruta de
acceso de IPsec no debe fragmentarse.
1740
• Varían 64 a 1350 bytes
• Predeterminada 64 bytes
packet-size opción agregada en la Junos OS versión 15.1X49-D120.

VPN (seguridad)
in this section
Sintaxis | 1741
Descripción | 1743
Opciones | 1743

1741
Sintaxis
vpn vpn-name {
bind-interface interface-name;
distribution-profile (default-spc2-profile | default-spc3-profile |
distribution-profile-name);
copy-outer-dscp;
establish-tunnels (immediately | on-traffic | responder-only | responder-
only-no-rekey);
match-direction (input | output);
passive-mode-tunneling;
tunnel-mtu tunnel-mtu;
udp-encapsulate <dest-port dest-port>;
ike {
idle-time seconds;
install-interval seconds;
no-anti-replay;
proxy-identity {
local ip-prefix;
remote ip-prefix;
service (any | service-name);
}
}
manual {
authentication {
algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc |
aes-256-cbc | aes-256-gcm | des-cbc);
key (ascii-text key | hexadecimal key);
}
gateway ip-address;
spi spi-value;
1742
}
multi-sa {
forwarding-class (expedited-forwarding | assured-forwarding | best-
effort | network-control);
}
traffic-selector traffic-selector-name {
metric metric_value;
description description_value;
term term_name {
}
}
vpn-monitor {
optimized;
source-interface interface-name;
verify-path {
packet-size bytes;
}
}
}
Nivel de jerarquía

1743
Descripción
Configure una VPN de IPsec. Una VPN proporciona un medio mediante el cual los equipos remotos se
comunican de forma segura a través de una WAN pública, como Internet. Una conexión VPN puede
vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. Los flujos de
tráfico entre estos dos puntos pasan a través de recursos compartidos como enrutadores, conmutadores
y otros equipos de red que hacen parte de la WAN pública. Para proteger la comunicación VPN mientras
se pasa a través de la WAN, los dos participantes crean un túnel de seguridad IP (IPsec). IPsec es un
conjunto de protocolos relacionados para proteger las comunicaciones de forma criptográfica en la capa
de paquetes IP.
Opciones
nombre VPN Nombre de la VPN.
BIND-interface Configure la interfaz de túnel a la que está enlazada la red privada virtual (VPN)
basada en ruta.
Copy-outer- Habilite la copia de campo de punto de código de servicios diferenciados (DSCP)

DSCP (código DSCP externo + ECN) del encabezado IP exterior en el mensaje de texto sin
formato del encabezado IP interno, en la ruta de descifrado. La ventaja de habilitar
esta característica es que, después del descifrado de IPsec, los paquetes de texto sin
cifrar pueden seguir las reglas de la CoS interna (DSCP + ECN).
Perfil de Especifique un perfil de distribución para distribuir túneles. La distribution-profile

distribución opción se introduce para ofrecer al administrador una opción para seleccionar qué
fotografía del chasis debe controlar los túneles asociados con determinados objetos
VPN. Si los perfiles predeterminados default-spc3-profile , default-spc2-profile
como o no están seleccionados, se puede seleccionar un perfil nuevo definido por el
usuario. En un perfil, debe mencionar la ranura del concentrador de PIC flexible
(FPC) y el número PIC. Cuando este tipo de perfil se asocia con un objeto VPN,
todos los túneles que coincidan se distribuyen a través de estos PIC.
• Valores
• perfil predeterminado spc2: grupo predeterminado para distribuir túneles solo

en SPC2
1744
• perfil predeterminado spc3: grupo predeterminado para distribuir túneles solo

en SPC3
• distribution-profile-name: nombre del perfil de distribución.
DF-bit Especifique cómo va a ocuparse el dispositivo el bit no fragmentar (DF) en el

encabezado exterior.
En los dispositivos SRX5400, SRX5600 y SRX5800, la configuración de bits de DF

para VPN solo funciona si el tamaño del paquete original es menor que la MTU de la
interfaz st0 y es mayor que la interfaz externa, que es una sobrecarga de IPSec.
• Valores
• clear: desactive (desactive) el bit DF del encabezado externo. Este es el valor

predeterminado.
• copy: copie el bit DF en el encabezado exterior.
• set: establezca (activar) el bit DF en el encabezado exterior.
establecer: Especifique cuándo se activa ICR: inmediatamente después de configurar la

túneles información VPN y confirmar los cambios de configuración, o solo cuando fluye el
tráfico de datos. Si no se especifica esta configuración, ICR se activa solo cuando
fluye el tráfico de datos.
• Valores
• immediately: ICR activa inmediatamente después de que se confirman los

cambios en la configuración de VPN.
A partir de Junos OS Release 15.1 X49-D70, aparece un mensaje de

ADVERTENCIA Si configura la establish-tunnels immediately opción para una
puerta de enlace group-ike-id de shared-ike-id ICR con o ICR tipos de usuario
(por ejemplo, con AutoVPN o una VPN de acceso remoto). Esta establish-
tunnels immediately opción no es adecuada para estas VPN, ya que varios
túneles VPN pueden estar asociados con una sola configuración VPN. La
confirmación de la configuración se realizará correctamente establish-tunnels
immediately , pero la configuración se ignorará. El estado de la interfaz de
túnel será todo el tiempo, que no es el caso en versiones anteriores cuando se
configuró la establish-tunnels immediately opción.
1745
• on-traffic: ICR solo se activa cuando el tráfico de datos fluye y debe

negociarse con la puerta de enlace par. Este es el comportamiento
predeterminado.
• responder-only: responde a ICR que inicia la puerta de enlace par, pero no

inicia ICR negociación desde el dispositivo. Esta opción es necesaria cuando la
puerta de enlace par de otro proveedor espera los valores de protocolo y
puerto en el selector de tráfico desde la puerta de enlace iniciador. responder-
only opción agregada en la Junos OS versión 19.1R1.
• responder-only-no-rekey: la opción no establece ningún túnel VPN desde el

dispositivo, por lo que el túnel VPN se inicia desde el par remoto. Un túnel
establecido no inicia ninguna regeneración de clave del dispositivo y depende
del interlocutor remoto para iniciar esta regeneración de claves. Si no se
produce la regeneración de claves, el túnel se desactivará cuando venza la
vida dura.
protocolos Definir una VPN IPsec con clave de ICR.
manual Defina una asociación de seguridad IPsec (SA) manual.
varios SA Negociar varias asociaciones de seguridad (SAs) en función de las opciones de

configuración. Varias SA negocian con el mismo selector de tráfico en el mismo ICR
SA.
Selector de Configure varios conjuntos de prefijo de dirección IP local, prefijo de dirección IP

tráfico remota, rango de puerto de origen, rango de puerto de destino y protocolo como un
selector de tráfico para un túnel IPsec.
Match-Direction Dirección para la que se aplica la coincidencia de regla
• Valores
• entrada: hacer coincidir en la entrada con la interfaz
• salida: hacer coincidir en el resultado de la interfaz
modo de túnel No hay comprobaciones de paquetes IP activas antes de la encapsulación IPSec

pasivo
Tunnel-MTU Tamaño máximo del paquete de transmisión
• Varían 256 a 9192
encapsulación Adicional Utilice el puerto de destino UDP especificado para el encabezado UDP
UDP que se anexa a la encapsulación ESP. Habilitar el reenvío de varias rutas de acceso
1746
del tráfico IPsec mediante la adición de un encabezado UDP a la encapsulación IPsec

de paquetes. Esto aumenta el rendimiento del tráfico IPsec. Si no habilita la
encapsulación UDP, todo el tráfico IPsec sigue una sola ruta de desplazamiento, en
lugar de utilizar varias rutas disponibles.
• Varían 1025 a 65536. No utilice 4500.
• Predeterminada Si no incluye la instrucción UDP-dest-Port, el puerto de destino

UDP predeterminado es 4565.
monitor de VPN Configure las opciones para la supervisión de VPN.
Compatibilidad con direcciones IPv6 agregadas en Junos OS versión 11,1.
Compatibilidad con copy-outer-dscp agregados en Junos OS versión 15.1X49-D30.
verify-path palabra clave destination-ip y agregada en Junos OS versión 15.1X49-D70.
packet-size opción agregada en la Junos OS versión 15.1X49-D120.
Compatibilidad con , , , y opciones introducidas en term Junos OS versión protocolsource-

portdestination-portmetricdescription 21.1R1.

1747
monitor de VPN
in this section
Sintaxis | 1747
Descripción | 1748
Opciones | 1748
Sintaxis
vpn-monitor {
optimized;
source-interface interface-name;
verify-path {
packet-size bytes;
}
}
Nivel de jerarquía

1748
Descripción
Configure las opciones para la supervisión de VPN.
Opciones
IP de destino Especifique el destino de los pings del Protocolo de mensajes de control de Internet
(ICMP). Si se utiliza esta instrucción, el dispositivo usa de forma predeterminada la
dirección de puerta de enlace del mismo nivel.
adecuada Especifique que la optimización de supervisión VPN está habilitada para el objeto VPN.
Cuando se habilita la optimización de supervisión de VPN, el dispositivo de serie SRX
solo envía solicitudes de eco de ICMP (pings) cuando hay tráfico saliente y ningún tráfico
entrante del elemento homólogo configurado a través del túnel VPN. Si hay tráfico
entrante a través del túnel VPN, el dispositivo de serie SRX considera que el túnel está
activo y no envía pings a los interlocutores.
Dado que las solicitudes de eco ICMP solo se envían cuando sea necesario para
determinar liveliness del mismo nivel, la optimización del monitor de VPN puede ahorrar
recursos en el dispositivo serie SRX. Además, las solicitudes de eco ICMP pueden activar
vínculos de copia de seguridad costosos que, de lo contrario, no se utilizarían.
Esta opción está deshabilitada de forma predeterminada.
interfaz de Especifique la interfaz de origen para las solicitudes ICMP (supervisión de VPN
origen "saludos"). Si no se especifica ninguna interfaz de origen, el dispositivo utiliza
automáticamente la interfaz de extremo de túnel local.
ruta de Especifique la ruta de verificación para comprobar la ruta de datos IPsec antes de activar
verificación la interfaz de túnel seguro (st0) y las rutas asociadas con la interfaz se instalan en la tabla
Junos OS de reenvío.
• destination-ip ip-address: dirección IP original y no translada del punto de conexión

del túnel par que está detrás de un TDR dispositivo. Esta dirección IP no debe ser la
TDR dirección IP traducida. Esta opción es necesaria si el extremo del túnel del
mismo nivel se encuentra detrás de un dispositivo TDR. La solicitud Verify-path
ICMP se envía a esta dirección IP para que el interlocutor pueda generar una
respuesta de ICMP.
1749
• packet-size bytes— (Opcional) El tamaño del paquete que se utiliza para comprobar
una ruta de datos IPsec antes de que se abre la interfaz st0. El tamaño del paquete
debe ser inferior a la ruta unidad máxima de transmisión (PMTU) menos la
sobrecarga de túnel. El paquete usado para la comprobación de la ruta de acceso de
IPsec no debe fragmentarse. El intervalo del tamaño del paquete es de 64 a 1350
bytes y el valor predeterminado del tamaño del paquete es de 64 bytes
Instrucción introducida en Junos OS versión 8,5. verify-path palabra clave destination-ip y se agrega en
Junos os versión 15.1-D70. packet-size la opción agregada en Junos os Release 15.1 X49-D120.

inicio de sesión en windows (Juniper Secure

Connect)
in this section
Sintaxis | 1750

1750
Descripción | 1750
Opciones | 1751
Sintaxis
windows-logon {
auto-dialog-open;
domain domain;
eap-auth;
}
Nivel de jerarquía
[edit security remote-access client-config]
Descripción
Defina la configuración de inicio de sesión de Windows Juniper Secure Connect dispositivo de cliente
remoto.
1751
Opciones
diálogo abierto Cuadro de diálogo abierto automáticamente para el establecimiento de

automáticamente conexión.
desconexión al cierre de Desconecte la sesión después de cerrar sesión.

sesión
Reserva Nombre de dominio para inicio de sesión automático.
eap-auth Método de autenticación EAP antes de la selección del perfil.
flush-credential-at-logoff Vaciar las credenciales de caché después de la sesión.
tiempo de tiempo de Duración del tiempo de tiempo de inicio de sesión del dominio en
espera cuestión de segundos.
medio Configure el modo de inicio de sesión de windows.
• Valores
• automático: inicio de sesión automático de Windows con

credenciales configuradas.
• manual: inicio de sesión manual de Windows.
protección

1752
xauth-atributos
in this section
Sintaxis (inet) | 1752
Sintaxis (inet6) | 1752
Nivel de jerarquía (inet6) | 1753
Descripción | 1753
Opciones | 1753
Sintaxis (inet)
xauth-attributes {
primary-dns IP address;
primary-wins IP address;
secondary-dns IP address;
secondary-wins IP address;
}
Sintaxis (inet6)
xauth-attributes {
primary-dns-ipv6 IP address;
1753
secondary-dns-ipv6 IP address;
}
Nivel de jerarquía
[edit access address-assignment pool <name> family inet]
Nivel de jerarquía (inet6)
[edit access address-assignment pool <name> family inet6]
Descripción
Configure los atributos XAuth para que se usen en la autenticación XAuth.
Opciones
• apply-groups: grupos desde los cuales se heredarán los datos de configuración.
• apply-groups-except: no hereda los datos de configuración de estos grupos.
• primary-dns: especifique la dirección IP de DNS principal.
• secondary-dns: especifique la dirección IP de dns secundario.
• primary-wins: especifique la dirección IP de victorias principales.
• secondary-wins: especifique la dirección IP de victorias secundarias.
• primary-dns-ipv6: especifique la dirección IPv6 de DNS principal.
• secondary-dns-ipv6: especifique el IPv6 de DNS secundario.

1754
xauth-attributes en se inet6 introduce en la Junos OS versión 20.3R1.

18
Comandos operativos
Borrar grupo de seguridad-grupo de miembros de VPN | 1761
Borrar grupo de seguridad-asociaciones de seguridad IKE de miembro de VPN |

1763
Borrar grupo de seguridad-miembro VPN seguridad IPSec-estadísticas de

asociaciones | 1766
Borrar grupo de seguridad estadísticas IPSec de miembros de VPN | 1768
Borrar grupo de seguridad-servidor del servidor VPN-estadísticas del clúster |

1771
Borrar grupo de seguridad-estadísticas del servidor VPN | 1773
seguridad clara respuesta IKE-IRP-SPI-recuento | 1774
estadísticas ike de seguridad claras | 1782

solicitar carga de PKI de seguridad de certificado de CA, de Perfil de grupo | 1795
solicitar seguridad PKI entidad emisora de certificados inscripción (seguridad) |

1798
solicitar PKI de seguridad carga de certificados de entidad emisora (seguridad) |

1800
Request Security PKI CA-Certificate verify (seguridad) | 1803
solicitar carga de CRL de PKI de seguridad (seguridad) | 1805
solicitar PKI de seguridad generar-Certificate-Request (seguridad) | 1807
solicitar un par de claves (seguridad) de PKI de seguridad | 1810
solicitar una exportación de par de claves de PKI de seguridad | 1813
solicitar seguridad PKI local: certificado inscripción SCEP | 1818
solicitar seguridad PKI local: volver a inscribir certificado cmpv2 | 1830
solicitar PKI de seguridad local: volver a inscribir el certificado SCEP | 1832
solicitar PKI de seguridad Verify-integridad-estado | 1837
Mostrar la dirección de acceso a la red-grupo de asignación (vista) | 1840
Mostrar políticas dinámicas de seguridad | 1843
Mostrar grupo de seguridad-VPN miembro inactivo IPSec-túneles | 1863
Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN | 1874
Mostrar grupo de seguridad-KEK miembro de VPN asociaciones de seguridad de |

1878
Mostrar grupo de seguridad-Directiva de VPN a los miembros | 1885
Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones | 1888

Mostrar grupo de seguridad-servidor VPN seguridad IPSec: asociaciones | 1896
Mostrar grupo de seguridad-servidor VPN KEK seguridad-asociaciones | 1900
Mostrar grupo de seguridad-servidor VPN-clúster | 1909
Mostrar la clave previa compartida de seguridad IKE | 1926
Mostrar estadísticas IKE de seguridad | 1947
Mostrar seguridad de mapa de túnel IKE | 1960
Mostrar seguridad IPSec control-plano-seguridad-asociaciones | 1964
Mostrar seguridad IPSec inactiva-túneles | 1967
Mostrar seguridad IPSec de próximo salto-túneles | 1973
Mostrar el selector de tráfico IPSec de seguridad | 2020
Mostrar lista de certificados PKI de seguridad (vista) | 2041
Show Security TCP-encap conexión | 2058

1758
borrar seguridad dinámica-VPN All
in this section
Sintaxis | 1758
Descripción | 1758
Campos de resultados | 1758
Resultados de ejemplo | 1759
Sintaxis
clear security dynamic-vpn all
Descripción
Borre todas las conexiones de usuario VPN dinámicas. Esta característica es compatible con SRX300,
Quite
Campos de resultados
Cuando se introduce este comando, se proporciona información sobre el estado de su solicitud.

1759
Resultados de ejemplo
borrar seguridad dinámica-VPN All
user@host> clear security dynamic-vpn all

2 user connection entries cleared
Comando introducido en Junos versión 10,4.

borrar seguridad de usuario de VPN dinámico
in this section
Sintaxis | 1760
Descripción | 1760

1760
Sintaxis
clear security dynamic-vpn user username ike-id id
Descripción
Borrar la conexión de usuario de VPN dinámico para el nombre de usuario especificado. Esta
característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Quite
borrar seguridad de usuario de VPN dinámico
user@host> clear security dynamic-vpn user user ike-id bob.example.net

Connection entry for user user has been cleared
Comando introducido en Junos versión 10,4.

1761

Borrar grupo de seguridad-grupo de miembros de

VPN
in this section
Sintaxis | 1761
Descripción | 1761
Opciones | 1762
Sintaxis
clear security group-vpn member group <vpn vpn-name> <group-id group-id>
Descripción
Borrar toda la información actual de las SA ICR, TEK y KEK. El VPNv2 de grupo se admite en
enrutadores de la serie MX, SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 e instancias de vSRX y dispositivos de SRX4600.
1762
Opciones
ninguno Borrar la información de SA de todos los grupos.
vpn-name Adicional Borrar información de SA para el nombre de VPN especificado.
group-id group-id Adicional Borrar información de SA para el identificador de grupo especificado.
Quite
Este comando no produce ninguna salida.
Comando introducido en el Junos OS versión 15.1X49-D30.

1763
Borrar grupo de seguridad-asociaciones de

seguridad IKE de miembro de VPN
in this section
Sintaxis | 1763
Descripción | 1763
Opciones | 1763
Sintaxis
clear security group-vpn member ike security-associations [index SA-index] [peer-

ipaddress]
Descripción
Desactive ICR Asociación de seguridad (SA) para un miembro del grupo. Group VPNv2 es compatible
con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
Opciones
• ninguna: desactive todas ICR de seguridad para el miembro del grupo.
• index— (Opcional) Desactive la ICR sa con este número de índice.

1764
• peer-ipconexión:(Opcional) Borrar la ICR SA con este par.
Quite
Comando introducido en Junos OS versión 10,2.

Borrar grupo de seguridad-miembro VPN seguridad

IPSec-asociaciones
in this section
Sintaxis | 1765
Descripción | 1765
Opciones | 1765

1765
Sintaxis
clear security group-vpn member ipsec security-associations [index SA-index]
Descripción
Borrar Asociación de SA de grupo para un miembro del grupo. Group VPNv2 es compatible con SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e
instancias de vSRX.
Opciones
• ninguna: desactive todas las SLA de VPN del grupo para el miembro del grupo.
• index— (Opcional) Borrar la SA VPN del grupo con este número de índice.
Quite

1766

Borrar grupo de seguridad-miembro VPN seguridad

IPSec-estadísticas de asociaciones
in this section
Sintaxis | 1766
Descripción | 1767
Opciones | 1767
Sintaxis
clear security group-vpn member ipsec security-associations statistics <group-id

group-id>
1767
Descripción
Borrar estadísticas de SA de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
Opciones
ninguno Borre las estadísticas de Asociación de IPsec de todos los grupos.
group-id group-id Adicional Borrar estadísticas de SA de IPsec para el identificador de grupo

especificado.
Quite

1768
Borrar grupo de seguridad estadísticas IPSec de

miembros de VPN
in this section
Sintaxis | 1768
Descripción | 1768
Opciones | 1768
Sintaxis
clear security group-vpn member ipsec statistics <index index>
Descripción
Borrar estadísticas de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
Opciones
ninguno Borrar estadísticas de IPsec para todos los grupos.
índice Adicional Borre las estadísticas de IPsec para la SA con este número de índice.
1769
Quite
Borrar grupo de seguridad-servidor VPN
in this section
Sintaxis | 1770
Descripción | 1770
Opciones | 1770

1770
Sintaxis
clear security group-vpn server [group group-name | group-id group-id] [now]
Descripción
Borrar miembros activos para un grupo especificado. Si no se especifica ninguna opción, los miembros se
borrarán de todos los grupos. Después de que se haya emitido este comando, será necesario volver a
registrar a los miembros. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
Un miembro del grupo puede utilizar una SA ICR para registrarse en varios grupos. Cuando se borran
miembros para un grupo especificado, también se borrarán todas ICR SA existentes que puedan
utilizarse para registrarse en el grupo.
Opciones
• ninguna: todos los miembros están eliminados de todos los grupos.
• group—(Opcional) Borrar miembros yAS para el nombre del grupo especificado.
• group-id—(Opcional) Borrar miembros yAS para el identificador de grupo especificado.
• now— (Opcional) Borrar de inmediato toda la información relacionada con el grupo.
Quite
Si hay un problema con el comando, aparece uno de los siguientes mensajes:
• El grupo no existe
1771
• El grupo se encuentra en proceso de eliminación
• Error en miembros claros
• Mensaje de advertencia; No se pudo insertar la eliminación en miembros debido a que la

comunicación del servidor o miembro no está configurada.

Borrar grupo de seguridad-servidor del servidor

VPN-estadísticas del clúster
in this section
Sintaxis | 1771
Descripción | 1772
Opciones | 1772
Sintaxis
clear security group-vpn server server-cluster statistics <group group-name>

<group-id group-id>
1772
Descripción
Borrar grupo VPNv2 estadísticas del clúster de servidor. Group VPNv2 es compatible con SRX300,
instancias de vSRX.
Opciones
ninguno Borrar grupo VPNv2 estadísticas del clúster de servidor para todos los grupos.
Group Group -Name Adicional Borrar grupo VPNv2 estadísticas de clúster de servidor para el nombre
de grupo especificado.
group-id group-id Adicional Borrar grupo VPNv2 estadísticas del clúster de servidor para el
identificador de grupo especificado.
Quite

1773
Borrar grupo de seguridad-estadísticas del servidor

VPN
in this section
Sintaxis | 1773
Descripción | 1773
Opciones | 1773
Sintaxis
clear security group-vpn server statistics <group group-name> <group-id group-id>
Descripción
Borrar estadísticas del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
Opciones
ninguno Borrar las estadísticas de todos los grupos.
Group Group -Name Adicional Borrar las estadísticas del nombre del grupo especificado.
group-id group-id Adicional Borrar las estadísticas del identificador de grupo especificado.
1774
Quite
seguridad clara respuesta IKE-IRP-SPI-recuento
in this section
Sintaxis | 1775
Descripción | 1775
Opciones | 1775

1775
Sintaxis
clear security ike respond-bad-spi-count <gateway-name>
Descripción
Información clara acerca de los contadores del índice de parámetros de seguridad (SPI) de Intercambio
de claves por red no válidos (ICR).
Opciones
• none: borrar todos los contadores SPI no válidos.
• gateway-name — (Opcional) Desactive los contadores SPI no válidos para la puerta de enlace dada.
Quite

1776
borrar seguridad IKE seguridad-asociaciones
in this section
Sintaxis | 1776
Descripción | 1777
Opciones | 1777
Sintaxis
clear security ike security-associations

<peer-address>
<family (inet | inet6)>
<fpc slot-number>
<index SA-index-number>
<kmd-instance (all | kmd-instance-name)>
<pic slot-number>
<port port-number>
<sa-type shortcut>
<ha-link-encryption>
1777
Descripción
Información clara acerca de las asociaciones de seguridad Intercambio de claves por red actuales (ICR
SA). Para IKEv2, el dispositivo borra la información acerca de las SA de ICR y la SA de IPSec asociada.
Opciones
• ninguna: desactive todas ICR de seguridad.
• peer-address — (Opcional) Desactive ICR de seguridad para el par de destino en esta dirección IP.
• family— (Opcional) Borrar ICR de servicio por familia.
• inet— familia de direcciones IPv4.
• inet6— Familia de direcciones IPv6.
• fpc slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SA
existentes de ICR en esta ranura de concentrador de PIC flexible (FPC).
• index SA-index-number — (Opcional) Desactive la ICR sa con este número de índice.
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara sobre las SA de ICR
existentes en el proceso de administración de claves (el daemon, que en este caso es KMD slot-
number ) identificado slot-numberpor FPC y PIC.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• kmd-instance-name: nombre de la instancia de KMD que se ejecuta en la SPU.
• pic slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SAs
existentes de ICR en esta ranura de PIC.
• port port-number— (Opcional) Número de puerto de SA (del 1 al 65.535).
• sa-type shortcut— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
• ha-link-encryption— (Opcional) Borrar información acerca de las ICR actuales solo para túneles de
vínculo de alta AD disponibilidad. Cuando habilite la función de alta disponibilidad, no puede eliminar
túneles de cliente en el nodo de respaldo.
1778
Quite
Comando introducido en Junos OS versión 8,5. Las fpc, pic, opciones kmd-instance y que se agregaron
en Junos os versión 9,3. La port opción agregada en Junos OS versión 10,0. La family opción agregada
en Junos OS versión 11,1.
Compatibilidad con la ha-link-encryption opción agregada en la Junos OS versión 20.4R1.
seguridad clara-asociaciones de seguridad IPSec
in this section
Sintaxis | 1779
Descripción | 1779
Opciones | 1779

1779
Sintaxis
clear security ipsec security-associations

<fpc slot-number>
<pic slot-number>
Descripción
Información clara acerca de las asociaciones de seguridad IPsec (SA).
Opciones
• ninguna: borrar todas las SA de IPsec.
• family— (Opcional) Borrar LAS por familia.
• fpc slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SA de
IPsec existentes en esta ranura de concentrador de PIC flexible (FPC).
• index SA-index-number — (Opcional) Desactive la SA IPsec con este número de índice.
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara acerca de las
asociaciones de IPsec existentes en el proceso de administración de claves (el daemon, que en este
caso es slot-number KMD) slot-number identificado por FPC y PIC.
(SPU).
• pic slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las
asociaciones de IPsec existentes en esta ranura de PIC.
1780
• ha-link-encryption— (Opcional) Borrar información de SA de IPsec solo para túnel de vínculo de

interchasis. Consulte "ipsec (alta disponibilidad)." en la página 1624 Cuando habilite la función de alta
disponibilidad, no puede eliminar túneles de cliente en el nodo de respaldo.
Quite
Comando introducido en Junos OS versión 8,5. Las fpcopciones pic, de kmd-instance y que se
agregaron en Junos os versión 9,3. La family opción agregada en Junos OS versión 11,1.
borrar estadísticas de seguridad de IPSec
in this section
Sintaxis | 1781
Descripción | 1781
Opciones | 1781
1781
Sintaxis
clear security ike statistics

<fpc slot-number>
<kmd-instance (all | kmd-instance-name )>
<pic slot-number>
Descripción
Borrar estadísticas de IPsec en el dispositivo.
Opciones
• none: borrar todas las estadísticas IPsec.
• fpc slot-number — Específico para dispositivos de la serie SRX. Borrar las estadísticas de las
asociaciones de seguridad IPsec existentes en esta ranura de concentrador de PIC flexible (FPC).
• index SA-index-number —(Opcional) Desactive las estadísticas IPsec para la SA con este número de
índice.
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara sobre las SA de ICR
existentes en el proceso de administración de claves (el daemon, que en este caso es KMD slot-
number ) identificado slot-number por FPC y PIC.
(SPU).

1782
• pic slot-number — Específico para dispositivos de la serie SRX. Borre las estadísticas de las
asociaciones de IPsec existentes en esta ranura de PIC.
Quite
Comando introducido en Junos OS versión 8,5. fpc and pic opciones agregadas en Junos OS versión 9,3.
kmd-instance opción agregada en Junos OS versión 10,4.
estadísticas ike de seguridad claras
in this section
Sintaxis | 1783
Descripción | 1783

1783
Sintaxis
clear security ike stats
Descripción
Borrar las estadísticas ICR globales.
Quite
estadísticas ike de seguridad claras
user@host> clear security ike stats
nombre de comando
El clear security ike stats comando no muestra ningún resultado. Para ver las ICR estadísticas, ejecute el
show security ike stats detail comando.
muestra los detalles de las estadísticas de ike de seguridad
user@host> show security ike stats detail

Total IKE SA and Tunnel Count Statistics:
Number of IKE SAs: 2 Number of IPsec Tunnels: 2
IKE_SA_INIT exchange stats:

Initiator stats: Responder stats:
Request Out : 0 Request In : 0
1784
Response In : 0 Response Out : 0

Invalid KE Payload In : 0 Invalid KE Payload Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Cookie Request In : 0 Cookie Request Out : 0
Cookie Response Out : 0 Cookie Response In : 0
Res Invalid IKE SPI : 0 Res DH Gen Key Fail : 0
Res Verify SA Fail : 0 Res Invalid DH Group Conf: 0
Res IKE SA Fill Fail : 0 Res Get CAs Fail : 0
Res Verify DH Group Fail: 0 Res Get VID Fail : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail : 0
IKE_AUTH exchange stats:

TS Unacceptable In : 0 TS Unacceptable Out : 0
Authentication Failed In: 0 Authentication Failed Out: 0
IKE SA Rekey CREATE_CHILD_SA exchange stats:

Invalid KE In : 0 Invalid KE Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Fill IKE SA Fail : 0
Res Verify DH Group Fail: 0
IPsec SA Rekey CREATE_CHILD_SA exchange stats:

Res Verify TS Fail : 0
Total IKE message failure stats:

1785
Discarded : 0 ID error : 0
Integrity fail : 0 Invalid SPI : 0
Invalid exchange type: 0 Invalid length: 0
Disorder : 0
El comando se introduce en Junos OS versión 20.1R1.
Configurar la captura de vencimiento de certificados

Habilitar capturas de conexión de túnel de IPsec y de par hacia abajo
borrar seguridad túnel IPSec-eventos-estadísticas
in this section
Sintaxis | 1785
Descripción | 1786
Sintaxis
clear security ipsec tunnel-events-statistics

1786
Descripción
Borre las estadísticas de sucesos de túnel IPsec.
Quite
Comando introducido en Junos OS versión 12.3 X48-D10.
borrar el par de claves de PKI de seguridad

(certificado local)
in this section
Sintaxis | 1787
Descripción | 1787
Opciones | 1787
1787
Sintaxis
clear security pki key-pair (all | certificate-id certificate-id )
Descripción
Borrar la información de par de claves de infraestructura de clave pública (PKI) para certificados digitales
locales en el dispositivo.
Opciones
• all: borrar la información del par de claves para todos los certificados locales.
• certificate-id certificate-id : borrar la información del par de claves para el certificado local con este
ID de certificado.
claros y de seguridad

1788
borrar seguridad PKI local-certificado (dispositivo)
in this section
Sintaxis | 1788
Descripción | 1789
Opciones | 1789
Sintaxis
clear security pki local-certificate (all | certificate-id certificate-id |

system-generated)
1789
Descripción
Borre la información de infraestructura de clave pública (PKI) de los certificados digitales locales del
dispositivo.
Opciones
• all: desactive la información de todos los certificados digitales locales del dispositivo.
No puede borrar el certificado autofirmado generado automáticamente con clear security pki local-
certificate all el comando. Para borrar el certificado autofirmado, necesita usarlo system-generated
como opción.
• certificate-id certificate-id : desactive el certificado digital local especificado con este ID de

certificado.
• system-generated: desactive el certificado auto firmado generado automáticamente y genere un

nuevo certificado auto firmado.
claros y de seguridad
borrar seguridad PKI local: todos los certificados
user@host> clear security pki local-certificate all

1790
Clear seguridad PKI generada por el sistema de certificados locales
user@host> clear security pki local-certificate system-generated
Comando modificado en Junos OS versión 9,1.
A partir de Junos OS versión 20.1R1 en vSRX 3.0, puede proteger las claves privadas utilizadas por PKID
e IKED mediante el servicio del módulo de seguridad de hardware Microsoft Azure Key Vault (HSM).
Puede establecer un túnel VPN basado en PKI mediante las claves generadas en el HSM. La opción
certificate-id de concentrador en id de certificado no está disponible para la configuración después de
generar el par de claves del HSM.
A partir de Junos OS versión 20.4R1 versión vSRX la versión 3.0, puede proteger las claves privadas
utilizadas por PKID e IKED mediante el servicio de administración de claves de AWS (KMS). Puede
establecer un túnel VPN basado en PKI mediante las claves generadas por el KMS. La opción certificate-
id de concentrador en id de certificado no está disponible para la configuración después de generar el
par de claves de PKI.
NOTA: No puede volver a inscribir manualmente los certificados locales cuando vuelva a generar
pares de claves si no genera pares de claves durante la reinscripción. Se muestra HSM does not
support auto re-enrollment with new keypair error: configuration check-out failed una
advertencia en el resultado del show security pki auto-re-enrollment comando.
Además, cuando desactive los certificados locales mediante los run clear security pki local-
certificate all comandos y recibirá una run clear security pki key-pair allKey pair deleted
successfully but still present at HSM. Please purge the keypair from keyvault before re-using the
name advertencia.

1791
solicitar seguridad IKE depuración-deshabilitar
in this section
Sintaxis | 1791
Descripción | 1791
Sintaxis
request security ike debug-disable
Descripción
Deshabilite la depuración ICR.
mantenimiento

1792
Comando introducido en la versión Junos OS 11.4 R3.

solicitar seguridad IKE depuración-habilitar
in this section
Sintaxis | 1792
Descripción | 1792
Opciones | 1793
Sintaxis
request security ike debug-enable local local-ip-address remote remote-ip-address
Descripción
Habilite el seguimiento de ICR en un túnel VPN único especificado por una dirección IP local y remota.
El uso de este comando es una alternativa a la configuración de ICR TraceOptions; para usar este
comando no es necesaria ninguna configuración. Este comando solo realiza un seguimiento de un túnel,
1793
mientras que la configuración de ICR TraceOptions afecta a todos los túneles VPN del dispositivo serie
SRX.
Para utilizar este comando:
1. Identifique las direcciones IP locales y remotas del túnel VPN que desea rastrear.
2. Habilite el seguimiento de ICR en el túnel VPN con este comando.
3. Intento de establecimiento de túnel para capturar información de seguimiento en el archivo de

registro:
• Para los dispositivos de la serie SRX, excepto la línea de dispositivos SRX5000 con tarjeta SRX5K-
SPC3, la información de seguimiento se almacena en el /var/log/kmd archivo.
• Para la línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 (incluido el modo mixto), la
información de seguimiento se almacena en el /var/log/iked archivo.
Si ha configurado un archivo para ICR TraceOptions, la información de traza se almacenará en el

nombre de archivo especificado.
4. Desactive el seguimiento por ICR túnel con el request security ike debug-disable comando.
5. Revise el archivo de registro con el siguiente comando:
• Para los dispositivos de la serie SRX, excepto la línea de dispositivos SRX5000 con tarjeta SRX5K-
SPC3, ejecute el show log kmd comando.
• Para la línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 (incluido el modo mixto), ejecute el
show log iked comando.
Puede usar el show security ike debug-status comando:
• para ver el estado de la operación de rastreo por ICR túnel.
• para ver el estado del túnel de vínculo de interchasis únicamente.
Opciones
• local local-ip-address: la dirección del par VPN local.
• remote remote-ip-address: la dirección del par VPN remoto.

1794
mantenimiento
Comando introducido en Junos OS Release 11.4 R3.

Desactive las estadísticas de seguridad de TCP

encap
in this section
Sintaxis | 1794
Descripción | 1795
Sintaxis
clear security tcp-encap statistics

1795
Descripción
Borrar estadísticas de encapsulación TCP.
Quite
El comando introducido en Junos OS Release 15.1 X49-D80.
solicitar carga de PKI de seguridad de certificado de

CA, de Perfil de grupo
in this section
Sintaxis | 1796
Descripción | 1796
Opciones | 1796
1796
Sintaxis
request security pki ca-certificate ca-profile-group load ca-group-name ca-group-

name filename [path/filename | default]
Descripción
Para el proxy de reenvío SSL, necesita cargar certificados de CA de confianza en su sistema. De forma
predeterminada, Junos OS proporciona una lista de certificados de CA de confianza que incluyen
certificados predeterminados utilizados por los exploradores comunes. De manera alternativa, puede
definir su propia lista de certificados de CA de confianza e importarlos en el sistema.
Utilice este comando para cargar los certificados predeterminados o para especificar una ruta de acceso
y un nombre de archivo de los certificados de CA de confianza que defina.
Opciones
ca-group-name ca-group-name Cargar el perfil de grupo de CA especificado.
ruta de filename/filename Ubicación del directorio y nombre de archivo de los certificados de

CA de confianza definidos por el usuario.
nombre de archivo Cargue los certificados de CA de confianza disponibles de forma

predeterminado predeterminada.
1797
mantenimiento
solicitar seguridad PKI CA-Certificate CA-Profile-Group Load (predeterminado)
user@host> request security pki ca-certificate ca-profile-group load ca-group-name ca-default filename
default

Loading 157 certificates for group 'ca-default'.
ca-default_1: Loading done.
……
solicitar seguridad PKI CA-Certificate CA-Profile-Load Group (ruta/nombre de archivo)
user@host> request security pki ca-certificate ca-profile-group load ca-group-name ca-manual

filename /var/tmp/firefox-all.pem
Loading 196 certificates for group 'ca-manual'.

ca-manual_1_sysgen: Loading done.
1798

...
ca-profile-group 'ca-manual’ successfully loaded. Success[193] Skipped[3]
Comando introducido en Junos OS versión 12,1; default opción agregada en Junos os de la versión 12.1
X47-D10.
Mostrar seguridad PKI CA-certificado

solicitar seguridad PKI entidad emisora de

certificados inscripción (seguridad)
in this section
Sintaxis | 1799
Descripción | 1799
Opciones | 1799

1799
Sintaxis
request security pki ca-certificate enroll ca-profile ca-profile-

name
Descripción
Solicite un certificado digital de una entidad de certificación (CA) en línea con el protocolo de inscripción
de certificados simple (SCEP).
Opciones
ca-profile ca-profile-name Nombre del perfil de CA.
mantenimiento

1800
solicitar PKI de seguridad entidad emisora de certificados inscripción
user@host> request security pki ca-certificate enroll ca-profile entrust

Received following certificates:
Certificate: C=us, O=example, CN=First Officer
Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f
Certificate: C=us, O=example, CN=First Officer
Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17
Certificate: C=us, O=example
Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10
Do you want to load the above CA certificate ? [yes,no] (no) yes

solicitar PKI de seguridad carga de certificados de

entidad emisora (seguridad)
in this section
Sintaxis | 1801
Descripción | 1801
1801
Opciones | 1801
Sintaxis
request security pki ca-certificate load ca-profile ca-profile-name

filename path/filename
Descripción
Cargue manualmente el certificado digital de una entidad emisora de certificados (CA) desde una
ubicación especificada.
Opciones
ca-profile ca-profile-name Cargar el perfil de CA especificado.
ruta de filename/filename Ubicación del directorio y nombre de archivo del certificado digital de la
entidad emisora.
mantenimiento
1802
solicitar PKI de seguridad carga de certificados de entidad emisora
user@host> request security pki ca-certificate load ca-profile 2Kkey filename /var/tmp/
2Kkey.pem
Fingerprint:
a0:08:bb:1f:75:96:76:cd:ee:db:36:10:b6:c6:d8:df:5e:02:05:05 (sha1)
f5:58:6b:de:7c:d6:cd:90:5a:18:c3:0e:3d:95:da:25 (md5)
CA certificate for profile 2Kkey loaded successfully
Mostrar seguridad PKI CA-certificado

1803
Request Security PKI CA-Certificate verify

(seguridad)
in this section
Sintaxis | 1803
Descripción | 1803
Opciones | 1803
Sintaxis
request security pki ca-certificate verify ca-profile ca-profile-name
Descripción
Compruebe el certificado digital instalado para la entidad de certificación (CA) especificada.
Opciones
ca-profile ca-profile-name : muestra el perfil de AC especificado.

1804
mantenimiento y seguridad
Este usuario descargó la lista de revocación de certificados (CRL).
Request Security PKI CA-Certificate Verify CA-Profile CA1 (CRL descargado)
user@host> request security pki ca-certificate verify ca-profile ca1

CA certificate ca1 verified successfully
Este usuario no ha descargado la lista de revocación de certificados (CRL).
solicitar PKI de seguridad CA-Certificate Verify CA: Profile CA1 (CRL no descargada)
user@host> request security pki ca-certificate verify ca-profile ca1

CA certificate ca1: CRL verification in progress. Please check the PKId debug
logs for completion status

1805

solicitar carga de CRL de PKI de seguridad

(seguridad)
in this section
Sintaxis | 1805
Descripción | 1805
Opciones | 1806
Sintaxis
request security pki crl load ca-profile ca-profile-name filename path/

filename
Descripción
Instale manualmente una lista de revocación de certificados (CRL) en el dispositivo desde una ubicación
especificada.
1806
Opciones
ca-profile ca-profile-name Cargar el perfil de la entidad de certificación (CA) especificado.
ruta de filename/filename Ubicación del directorio y nombre de archivo de la CRL.
mantenimiento
solicitar carga de CRL de PKI de seguridad
user@host> request security pki crl load ca-profile ca-test filename example-inter-ca.crl
CRL for CA profile ca-test loaded successfully

1807
solicitar PKI de seguridad generar-Certificate-

Request (seguridad)
in this section
Sintaxis | 1807
Descripción | 1807
Opciones | 1808
Sintaxis
request security pki generate-certificate-request certificate-id certificate-id-

name domain-name domain-name subject subject-distinguished-name
<add-ca-constraint>
<digest (sha1 | sha256)>
<email email-address>
<filename (path | terminal)>
<ip-address ip-address>
Descripción
Genere manualmente una solicitud de certificado digital local en formato #10 de estándar de
criptografía de clave pública (PKCS-10).
1808
Opciones
certificate-id Nombre del certificado digital local y del par de claves pública y privada.
certificate-id-
name
nombre de El nombre de dominio completo (FQDN) proporciona la identidad del propietario
dominio nombre del certificado para las negociaciones de Intercambio de claves por red (ICR) y
de dominio
proporciona una alternativa al nombre del sujeto.
asunto nombre El formato de nombre completo contiene la siguiente información:

distinguido
• DC: componente de dominio
• OU: nombre de la unidad organizacional
• O: nombre de la organización
• L— Localidad
• ST— Estado
• C— País
Compendio Adicional Algoritmo hash utilizado para firmar la solicitud de certificado.
• sha1: síntesis de SHA-1 (valor predeterminado solo para RSA o DSA).
• sha256: SHA-256 síntesis solo para RSA o ECDSA (valor predeterminado para
ECDSA).
• sha-384: síntesis sha-384 solo para ECDSA.
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que

se utiliza para validar certificados de PKI autofirmados automáticamente y
generados manualmente es SHA-256 (algoritmo de hash seguro 256). Antes de
Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado de
cifrado.
dirección de Adicional Dirección de correo electrónico del titular del certificado.

correo electrónico
filename (ruta | Adicional Ubicación en la que debe colocarse la solicitud de certificado digital local
terminal) o el terminal de inicio de sesión.
dirección ip- Adicional Dirección IP del enrutador.

dirección IP
1809
mantenimiento
solicitar PKI de seguridad generar-Certificate-request
user@host> request security pki generate-certificate-request certificate-id local-entrust2 domain-name

router2.example.net filename entrust-req2 subject cn=router2.example.net
Generated certificate request

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
Fingerprint:
0d:90:b8:d2:56:74:fc:84:59:62:b9:78:71:9c:e4:9c:54:ba:16:97 (sha1)
1b:08:d4:f7:90:f1:c4:39:08:c9:de:76:00:86:62:b8 (md5)
1810
Comando introducido en Junos OS versión 7,5. Soporte a digest la opción agregada en Junos os versión
12.1 X45-D10.
solicitar un par de claves (seguridad) de PKI de

seguridad
in this section
Sintaxis | 1810
Descripción | 1811
Opciones | 1811
Sintaxis
request security pki generate-key-pair certificate-id certificate-id-name

<size (256 | 384 | 1024 | 2048 | 4096 | 521)>
<type (dsa | ecdsa | rsa)>
1811
Descripción
Generar un par de claves pública y privada de infraestructura de claves públicas (PKI) para un certificado
digital local.
Opciones
certificate-id-
name
cambiar Tamaño del par de claves. El par de claves puede ser 256, 384, 521, 1024, 2048 o 4096
bits. Los tamaños de pares de claves 256, 384 y 521 son compatibles con ECDSA. En el
caso del algoritmo de señal digital (DSA) y de Rivest Shamir Adleman (RSA), los
algoritmos tienen un tamaño de 1024, 2048 o 4096. El tamaño predeterminado del par
de claves es 1024 para DSA y 2048 para RSA.
Cuando se utilizan firmas ECDSA-521, se admite lo siguiente:
• Cargue un certificado completo, que se genera utilizando una herramienta externa,

como OpenSSL, en la PKI.
• Genere manualmente una solicitud de firma de certificado (CSR) para un certificado

local y envíe al CSR a un servidor de CA (entidad emisora de certificados) para
inscribirse.
• Inscripción automática con servidor de CA.
escríba Algoritmo que se utilizará para el cifrado del par de claves pública y privada:
• ecdsa— cifrado ECDSA
• dsa— cifrado DSA
• rsa— Cifrado RSA (predeterminado)
mantenimiento
1812
solicitar par de claves de PKI de generación de seguridad
user@host> request security pki generate-key-pair type [xxx] size [xxx] certificate-id test
Generated key pair test, key size [xxx] bits
Las opciones compatibles con el algoritmo de firma digital de curva elíptica (ECDSA) se agregan en Junos
OS versión 12.1 X45-D10.
521opción de compatibilidad con ECDSA introducida en Junos OS de la versión 19.1 R1 en la línea de

SRX5000 de los dispositivos con SRX5K-SPC3 Card.

1813
solicitar una exportación de par de claves de PKI de

seguridad
in this section
Sintaxis | 1813
Descripción | 1813
Opciones | 1814
Sintaxis
request security pki key-pair export certificate-id certificate-id filename filename

<passphrase string>
< type (der | pem)>
Descripción
Exporte el par de bits para un certificado de entidad final (EE). El par de KEYPAIR exportado está cifrado
y se puede importar junto con el certificado EE. Con el comando request security pki key-pair export de
CLI, puede exportar el archivo de pares de claves de PKI como una copia de seguridad o comprobar el
archivo para solucionar problemas. Es recomendable denegar el acceso al comando request security pki
key-pair export CLI a todos los usuarios y restringir este comando solo a los usuarios con privilegios.
1814
Opciones
certificate-id Nombre del certificado digital local.

certificate-id
filename filename Ubicación del directorio de destino y nombre de archivo del certificado digital de
la entidad emisora.
contraseña de Adicional Frase de contraseña para proteger los datos de par para el formato
contraseña PEM. La frase de contraseña puede tener hasta 64 caracteres. Si se especifica,
debe usarse al importar el par de contraseñas.
tipo (der | PEM) Adicional Tipo de formato, ya sea DER o PEM. PEM es el valor predeterminado.
mantenimiento

1815
solicitar seguridad PKI local-certificado inscripción

cmpv2
in this section
Sintaxis | 1815
Descripción | 1816
Opciones | 1816
Sintaxis
request security pki local-certificate enroll cmpv2

ca-dn subject-dn
ca-profile ca-profile name
ca-reference reference
ca-secret shared-secret
certificate-id certificate-id-name
domain-name domain-name
email email-address
ip-address ip-address
ipv6-address ipv6-address
subject subject-distinguished-name
1816
Descripción
Inscriba e instale un certificado digital local en línea mediante CMPv2. Este comando carga tanto el
certificado de entidad final (EE) como los certificados de CA basándose en la configuración del servidor
de la entidad emisora. Se puede usar la lista de revocación de certificados (CRL) o el protocolo de estado
de certificados en línea (OCSP) para comprobar el estado de revocación de un certificado.
Opciones
ca-dn subject-dn El nombre completo (DN) de la entidad emisora de certificados que inscribe el
certificado EE debe especificarse durante la inscripción. Este parámetro opcional
es obligatorio si el certificado de entidad emisora aún no está inscrito. Si ya se ha
inscrito el certificado de CA, el nombre completo del sujeto se extrae del
certificado de la CA.
ca-profile ca-profile- Nombre del perfil de CA.

name
referencia ca- Valor de referencia fuera de banda recibido del servidor de la entidad emisora de
reference certificados.
secreto secreto Valor secreto fuera de banda recibido del servidor de la entidad emisora de
compartido certificados.
certificate-id-name
nombre de dominio Nombre de dominio completo (FQDN). El FQDN proporciona la identidad del
nombre de dominio propietario del certificado para las negociaciones de Intercambio de claves por
red (ICR) y proporciona una alternativa al nombre del sujeto.
dirección de correo Dirección de correo electrónico del titular del certificado.

electrónico
dirección ip- Dirección IP del enrutador.
dirección IP
ipv6-address ipv6- Dirección IPv6 del enrutador para el sujeto alternativo.
address
asunto nombre Formato de nombre completo (DN) que contiene el componente del dominio, el
distinguido nombre común, el Departamento, el número de serie, el nombre de la empresa, el
estado y el país con el formato siguiente: DC, CN, OU, O, SN, L, ST, C.

1817
• SN: número de serie del dispositivo
Si define SN en el campo Subject (asunto) sin el número de serie, el número de

serie se leerá directamente del dispositivo y se agregará a la solicitud de firma
de certificado (CSR).
• ST— Estado
• C— País
nombre de comando
user@host> request security pki local-certificate enroll cmpv2 ca-profile root-552 ca-dn
DC=example,CN=root-552 certificate-id tc552 email tc552-root@example.net domain-name example.net ip-
address 192.0.2.22 ca-secret example ca-reference 51892 subject CN=example,OU=SBU,O=552-22
Certificate enrollment has started. To view the status of your enrollment, check
the public key infrastructure log (pkid) log file at /var/log/pkid.
1818

solicitar seguridad PKI local: certificado inscripción

SCEP
in this section
Sintaxis | 1818
Descripción | 1819
Opciones | 1820
Sintaxis
request security pki local-certificate enroll scep

ca-profile ca-profile name
certificate-id certificate-id-name
challenge-password challenge-password
digest (sha-1 | sha-256)
1819
domain-name domain-name
email email-address
ip-address ip-address
ipv6-address ipv6-address
scep-digest-algorithm (md5 | sha-1)
scep-encryption-algorithm (des | des3)
subject subject-distinguished-name
Comando introducido en Junos OS versión 9,1. Opción de número de serie (SN) que se agrega al campo
de salida de la cadena de asunto de Junos OS de la versión 12.1 X45. scep palabra clave ipv6-address y
opción agregada en Junos os versión 15.1-D40.
e IKED mediante el servicio del módulo de seguridad de hardware Microsoft Azure Key Vault (HSM).
Puede establecer un túnel VPN basado en PKI mediante las claves generadas en el HSM. La opción
certificate-id de concentrador en id de certificado no está disponible para la configuración después de
generar el par de claves del HSM.
A partir de Junos OS versión 20.4R1 versión vSRX la versión 3.0, puede proteger las claves privadas
utilizadas por PKID e IKED mediante el servicio de administración de claves de AWS (KMS). Puede
establecer un túnel VPN basado en PKI mediante las claves generadas por el KMS. La opción certificate-
id de concentrador en id de certificado no está disponible para la configuración después de generar el
par de claves de PKI.
Descripción
Inscriba e instale un certificado digital local en línea con el protocolo de inscripción de certificados
simple (SCEP).
Si escribe el request security pki local-certificate enroll comando sin especificar la scep palabra clave or
cmpv2 , SCEP es el método predeterminado para inscribir un certificado local.
1820
Opciones
ca-profile ca-profile- Nombre del perfil de CA.

name
certificate-id-name
contraseña de desafío Contraseña establecida por el administrador y normalmente obtenida de la
Página Web de inscripción de SCEP de la CA. La contraseña tiene una longitud
máxima de 256 caracteres. Puede aplicar el límite a los caracteres necesarios.
Digest (SHA-1 | Algoritmo hash utilizado para firmar certificados RSA, ya sea SHA-1 o
SHA-256) SHA-256. El valor predeterminado es SHA-1.
nombre de dominio Nombre de dominio completo (FQDN). El FQDN proporciona la identidad del
nombre de dominio propietario del certificado para las negociaciones de Intercambio de claves por
red (ICR) y proporciona una alternativa al nombre del sujeto.
dirección de correo Dirección de correo electrónico del titular del certificado.

electrónico
dirección ip-dirección Dirección IP del enrutador.
IP
ipv6-address ipv6- Dirección IPv6 del enrutador para el sujeto alternativo.
address
algoritmo de síntesis Algoritmo hash Digest, ya sea MD5 o SHA-1; El valor predeterminado es
de SCEP (MD5 | SHA-1.
SHA-1)
algoritmo de cifrado Algoritmo de cifrado, ya sea DES o DES3; DES3 es el valor predeterminado.
de SCEP (des | des3)
asunto nombre Formato de nombre completo (DN) que contiene el componente del dominio, el
distinguido nombre común, el Departamento, el número de serie, el nombre de la empresa,
el estado y el país con el formato siguiente: DC, CN, OU, O, SN, L, ST, C.
• SN: número de serie del dispositivo

1821
Si define SN en el campo Subject (asunto) sin el número de serie, el número

de serie se leerá directamente del dispositivo y se agregará a la solicitud de
firma de certificado (CSR).
• ST— Estado
• C— País
nombre de comando
user@host> request security pki local-certificate enroll scep certificate-id r3-entrust-scep ca-profile
entrust domain-name router3.example.net subject "CN=router3,OU=Engineering,O=example,C=US"
challenge-password 123
Certificate enrollment has started. To view the status of your enrollment, check
the public key infrastructure log (pkid) log file at /var/log/pkid. Please save
the challenge-password for revoking this certificate in future. Note that this
password is not stored on the router.
1822
Prueba de salida para vSRX 3.0
user@host> request security pki generate-key-pair certificate-id example
Generated key pair example, key size 2048 bits
user@host> request security pki local-certificate enroll certificate-id ?
<certificate-id> Certificate identifier
example
user@host> request security pki generate-key-pair certificate-id Hub
error: Failed to generate key pair at HSM. Found a key with the same name at
HSM. Use a different certificate id next time. Refer to PKID logs for more
details
solicitar seguridad PKI local-certificado inscripción cmpv2

Mostrar seguridad PKI local-certificado (vista)
borrar seguridad PKI local-certificado (dispositivo)
1823
solicitar PKI de seguridad exportación de certificado

local
in this section
Sintaxis | 1823
Descripción | 1823
Opciones | 1823
Sintaxis
request security pki local-certificate export
Descripción
Exporte un certificado autofirmado generado desde la ubicación predeterminada (var/db/certs/

Common/local) a una ubicación específica dentro del dispositivo.
Opciones
id de certificado certificado-id- Nombre del certificado digital local.

name
ruta de filename/filename Ubicación del directorio de destino y nombre de archivo del certificado
digital de la entidad emisora.
1824
tipo (der | PEM) Formato de certificado: DER (Distinguished Encoding Rules) o PEM
(correo de privacidad mejorada).
mantenimiento
solicitar PKI de seguridad exportación de certificado local
user@host> request security pki local-certificate export filename /var/tmp/my-cert.pem certificate-id nss-
cert type pem
certificate exported successfully

1825
solicitar seguridad PKI local: certificado generado-

autofirmado (seguridad)
in this section
Sintaxis | 1825
Descripción | 1825
Opciones | 1825
Sintaxis
request security pki local-certificate generate-self-signed certificate-id

certificate-id-namedomain-name domain-name subject subject-distinguished-name
<add-ca-constraint>
<digest (sha1 | sha256)>
<email email-address>
<ip-address ip-address>
Descripción
Generar manualmente un certificado autofirmado para el nombre completo dado.
Opciones
certificate-id certificate-id-name: nombre del certificado y el par de claves pública y privada.

1826
domain-name domain-name: el nombre de dominio completo (FQDN) proporciona la identidad del

propietario del certificado para negociaciones Intercambio de claves por red (ICR) y proporciona una
alternativa al nombre del sujeto.
subject subject-distinguished-name: el formato de nombre distinguido contiene la siguiente

información:
• L— Localidad
• ST— Estado
• C— País
add-ca-constraint—(Opcional) Especifica que el certificado se puede utilizar para firmar otros

certificados.
digest— (Opcional) Algoritmo hash usado para firmar el certificado.
• sha1— síntesis SHA-1 (predeterminado)
• sha256— síntesis SHA-256
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar
certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de
hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado
de cifrado.
email email-address— (Opcional) Dirección de correo electrónico del titular del certificado.
1827
solicitar seguridad PKI local-certificado Generate autofirmado certificado Self-CERT Subject

CN = ABC Domain-Name example.net correo electrónico mholmes@example.net
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject

cn=abc domain-name example.net email mholmes@example.net
Self-signed certificate generated and loaded successfully
Comando introducido en Junos OS versión 9,1. Soporte a digest la opción agregada en Junos os versión
12.1 X45-D10.

solicitar seguridad PKI carga de certificado local
in this section
Sintaxis | 1828
Descripción | 1828
1828
Opciones | 1828
Sintaxis
request security pki local-certificate load filename ssl_proxy_ca.crt key

ssl_proxy_ca.key certificate-id certificate id
Descripción
Cargue manualmente un certificado digital local desde una ubicación especificada.
Opciones
nombre Nombre de archivo que contiene el certificado que se va a cargar
clave Ruta de archivo que contiene la clave privada o el par de claves que se va a cargar
ID. de Nombre del identificador de certificado

certificado
A partir de Junos os versión de 19.1 R1, se agrega una comprobación de confirmación
para evitar .que /el %usuario agregue,, y espacio en un identificador de certificado
mientras se genera un certificado local o remoto o un par de claves.
1829
solicitar seguridad PKI carga de certificado local
user@host> request security pki local-certificate load filename cert_name.crt key key_name.key certificate-
id test
Local certificate cert_name.crt loaded successfully

1830
solicitar seguridad PKI local: volver a inscribir

certificado cmpv2
in this section
Sintaxis | 1830
Descripción | 1830
Opciones | 1831
Sintaxis
request security pki local-certificate re-enroll cmpv2 certificate-id

certificate-id
<ca-profile-name ca-profile>
<re-generate-keypair>
Descripción
Volver a inscribir manualmente un certificado de la entidad final (EE) con el protocolo de administración
de certificados versión 2 (CMPv2). Este comando permite al administrador iniciar la renovación del
certificado EE mediante CMPv2 y se puede usar junto con la set security pki auto-re-enrollment cmpv2
configuración de inscripción automática.
1831
Opciones
certificate-id certificate-id- Nombre del certificado digital local.

name
ca-profile-name ca-profile- Adicional Nombre del perfil de CA.
name
regenerar-par de bits Adicional Generar un par de claves pública/privada de PKI para el
certificado EE.
La generación de la clave puede tardar unos segundos.

1832
solicitar PKI de seguridad local: volver a inscribir el

certificado SCEP
in this section
Sintaxis | 1832
Descripción | 1832
Opciones | 1833
Sintaxis
request security pki local-certificate re-enroll scep certificate-id certificate-

id
<ca-profile-name ca-profile>
<challenge-password password>
<re-generate-keypair>
<scep-digest-algorithm (md5 | sha-1)>
<scep-encryption-algorithm (des | des3)>
Descripción
Volver a inscribir manualmente un certificado de entidad final (EE) con el protocolo de inscripción de
certificados simple (SCEP). Este comando permite al administrador iniciar la renovación del certificado
EE usando SCEP y se puede usar junto con la set security pki auto-re-enrollment scep configuración de
inscripción automática.
e IKED para establecer un túnel VPN basado en PKI mediante los documentos clave generados en el
1833
servicio de módulo de seguridad de hardware ( FINALMENTE) Microsoft Azure Key Vault e Junos OS
partir de Junos OS versión 20.4R1 en vSRX 3.0, la misma función se admite a través del servicio de
administración de claves de AWS (KMS).
No puede volver a inscribir manualmente los certificados locales con la opción "volver a generar par de
claves". Se muestra un mensaje de error.
Mensaje de advertencia tras la reinscripción- prueba de salida:
[edit]
root@vsrx-1# ...te-id hsm1 ca-profile azure-ca challenge-password juniper re-
generate-keypair
error: HSM Error: Re-enrollment is not allowed with re-generate key-pair option.
Opciones
certificate-id certificate-id- Nombre del certificado digital local.

name
ca-profile-name ca-profile- Adicional Nombre del perfil de CA.
name
contraseña de desafío Contraseña establecida por el administrador y normalmente obtenida de la
Página Web de inscripción de SCEP de la CA. La contraseña tiene 16
caracteres de longitud.
regenerar-par de bits Adicional Generar un par de claves pública/privada de PKI para el

certificado EE.
La generación de la clave puede tardar unos segundos.
algoritmo de síntesis de Adicional Algoritmo hash Digest, ya sea MD5 o SHA-1; El valor
SCEP predeterminado es SHA-1.
algoritmo de encriptación Adicional Algoritmo de cifrado, ya sea DES o DES3; DES3 es el valor
de SCEP predeterminado.
1834
solicitar seguridad PKI local: certificado inscripción SCEP
solicitar PKI de seguridad comprobación de

certificado local (seguridad)
in this section
Sintaxis | 1835
Descripción | 1835
Opciones | 1835

1835
Sintaxis
request security pki local-certificate verify certificate-id certificate-id-name
Descripción
Compruebe la validez del identificador de certificado digital local.
Opciones
certificate-id certificate-id-name : nombre del identificador de certificado digital local.
Recibirá la siguiente respuesta antes de descargar la lista de revocación de certificados (CRL):

1836
solicitar seguridad PKI local-Certificate Certificate-ID bme1 (no descargado)
user@host> request security pki local-certificate verify certificate-id bme1

Local certificate bme1: CRL verification in progress. Please check the PKId
debug logs for completion status
Recibirá la siguiente respuesta después de descargar la lista de revocación de certificados (CRL):
solicitar PKI de seguridad local-certificado comprobar certificado bme1 (descargado)
user@host> request security pki local-certificate verify certificate-id bme1

Local certificate bme1 verification success

1837
solicitar PKI de seguridad Verify-integridad-estado
in this section
Sintaxis | 1837
Descripción | 1837
Sintaxis
request security pki verify-integrity-status
Descripción
Comprobar la integridad de los archivos de infraestructura de claves públicas (PKI). Esta característica
solo es compatible con SRX5400, SRX5600 y dispositivos de SRX5800 e instancias de vSRX.
mantenimiento

1838
solicitar PKI de seguridad Verify-integridad-estado
user@host> request security pki verify-integrity-status

All PKI objects: verification success
No utilice este comando para las liberaciones de criterios comunes o que no sean de FIPS.
Recomendamos que no utilice este comando para ninguna Junos OS versión 15.1-D40 o versiones
posteriores.
solicitar ree distribución de seguridad ipsec-vpn
in this section
Sintaxis | 1838
Descripción | 1839
Opciones | 1839
Sintaxis
request security re-distribution ipsec-vpn

gateway-name <gateway-name>
fpc <fpc-number>
1839
pic <pic-number>
[thread-id <tid>]
[remote-id <rid>]
Descripción
Redistribuya los túneles que pertenecen a una VPN automática o una puerta de enlace de sitio a sitio a
una nueva unidad de procesamiento.
Este comando migra los túneles una sola vez y es válido solo durante 30 minutos, si el par no saca los
túneles de inmediato. Después de la ejecución del comando, los túneles subsiguientes para el par se
establecen en la misma FPC, PIC e thread-id (solo si se especifica).
En el caso de las puertas de enlace vpn automáticas, una vez que se derriban los túneles, se espera que
el par vuelva a establecer el túnel.
Este comando causa trastornos del tráfico cuando se usa en un túnel ya establecido. Si el comando se
usa en un túnel que ya está anclado a la unidad de procesamiento de destino, no derribará el túnel y lo
restablecerá.
Esta función solo se admite en tarjetas SRX5K-SPC3 (SPC3) y en modo mixto (tarjetas SPC3 o SRX5K-
SPC-4-15-320 (SPC2).
Cuando un túnel cae, solo puede usar syslog para rastrear por qué un túnel está anclado a una unidad de
procesamiento diferente.
Si desea migrar el túnel de regreso a la FPC o PIC anterior (es decir, el perfil predeterminado), puede
volver a redistribuir el túnel o ejecutar el clear security ike security-associations index SA-index-
number comando.
Opciones
nombre de puerta de enlace Nombre de la puerta de enlace.

nombre de puerta de enlace
fpc fpc-number Número de ranura FPC (0,63).
pic pic-number Número de ranura PIC (0..3).
tid de id de hilo (Opcional) Número de ID de subproceso. Solo válido para SPC3. (1..27)
1840
eliminación de id remoto Si proporciona VPN automática como puerta de enlace, es obligatorio

proporcionar el ID remoto. Si proporciona de sitio a sitio como puerta
de enlace, no es necesario proporcionar el id remoto.
mantenimiento
Comando introducido en el Junos OS versión 20.4R1.

Mostrar la dirección de acceso a la red-grupo de

asignación (vista)
in this section
Sintaxis | 1841
Descripción | 1841

1841
Sintaxis
show network-access address-assignment pool name
Descripción
Mostrar el Resumen de la información acerca de una agrupación específica.
vista
Tabla 113 en la página 1841enumera los campos de salida del show network-access address-
assignment pool comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 113: Mostrar los campos de resultados del grupo de asignación de direcciones de acceso a la red
Nombre del campo Descripción de campo
IP address Dirección IP asignada a un cliente.
Hardware address Dirección MAC del cliente. Para los clientes XAuth, el valor es NA.
1842
Tabla 113: Mostrar los campos de resultados del grupo de asignación de direcciones de acceso a la red
(Continued)
Host/User Para la asignación de direcciones IP estáticas, el nombre de usuario y

el perfil se muestran con el formato nombre deusuario @perfil. Si el
cliente tiene asignada una dirección IP de una agrupación de
direcciones y existe un nombre de usuario, se mostrará el nombre del
usuario. En el caso de las aplicaciones DHCP, si el nombre de host está
configurado, se muestra el nombre de host; de lo contrario, se muestra
ND.
Type Los atributos XAuth o DHCP están configurados.
nombre de comando
user@host> show network-access address-assignment pool xauth1

IP address Hardware address Host/User Type
192.0.2.1 NA jason@dvpn-auth XAUTH
192.0.2.2 NA jacky XAUTH
192.0.2.3 00:00:5E:00:53:01 host1 DHCP
192.0.2.4 00:00:5E:00:53:02 NA DHCP

1843
Mostrar políticas dinámicas de seguridad
in this section
Sintaxis | 1843
Descripción | 1843
Opciones | 1844
Sintaxis
show security dynamic-policies [detail] [from-zone zone] [scope-id id] [to-zone

zone]
Descripción
Mostrar las políticas dinámicas descargadas en el miembro del grupo. Este comando es compatible con
dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
1844
Opciones
• none: muestra información básica de todas las políticas instaladas en el miembro del grupo.
• detail— (Opcional) Muestra una vista detallada de todas las políticas instaladas en el miembro del
grupo.
• from-zone— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del
grupo para la zona de origen especificada.
• scope-id— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del grupo
para el identificador de política especificado.
• to-zone— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del grupo
para la zona de destino especificada.
vista
Tabla 114 en la página 1844enumera los campos de salida del show security dynamic-policies comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 114: Mostrar los campos de resultados de políticas dinámicas de seguridad
Policy Nombre de la Directiva aplicable.

1845
Tabla 114: Mostrar los campos de resultados de políticas dinámicas de seguridad (Continued)
State Estado de la Directiva:
• enabled: La Directiva se puede utilizar en el proceso de búsqueda

de políticas, que determina los derechos de acceso de un paquete y
la acción tomada en relación con él.
• disabled: La Directiva no se puede utilizar en el proceso de

búsqueda de políticas y, por lo tanto, no está disponible para el
control de acceso.
Index Un número interno asociado a la Directiva.
Scope Policy Identificador de directiva.
Sequence number Número de la política dentro de un contexto determinado. Por

ejemplo, tres políticas que se aplican en un contexto desde zona a
zoneB se pueden pedir con los números de secuencia 1, 2 y 3.
Asimismo, en un contexto desde-zoneC a zona, cuatro políticas
pueden tener los números de secuencia 1, 2, 3 y 4.
Source addresses Para el modo de pantalla estándar, los nombres de las direcciones de
origen de una directiva. Los conjuntos de direcciones se resuelven en
sus nombres individuales. (En este caso, solo se proporcionan los
nombres, no sus direcciones IP).
Para el modo de visualización detallados, los nombres y las direcciones

IP correspondientes de las direcciones de origen de una directiva. Los
conjuntos de direcciones se resuelven en sus pares de dirección IP,
nombre de dirección o individual.
Destination addresses Nombre de la dirección de destino (o conjunto de direcciones) tal

como se introdujo en la libreta de direcciones de la zona de destino. La
dirección de destino de un paquete debe coincidir con este valor para
que la política se aplique.
1846
Tabla 114: Mostrar los campos de resultados de políticas dinámicas de seguridad (Continued)
Application Nombre de una aplicación preconfigurada o personalizada cuyo tipo

coincide con el paquete, tal y como se especifica en el momento de la
configuración.
• IP protocol: El protocolo IP usado por la aplicación: por ejemplo,

TCP, UDP, ICMP.
• ALG: Si se asocia un ALG con la sesión, el nombre del ALG. De lo

contrario, 0.
• Inactivity timeout: Transcurre el tiempo sin actividad tras la que se

termina la aplicación.
• Source port range: El intervalo de puertos de origen de baja calidad

para la aplicación de sesión.
• Destination port range: El intervalo de puertos de destino de baja

calidad para la aplicación de sesión.
action-type Debe ser permitir.
Policy Type Debe ser dinámica.
From zone Nombre de la zona de origen.
To zone Nombre de la zona de destino.
Tunnel Nombre de túnel, tipo (IPsec) y número de índice.

1847
Mostrar políticas dinámicas de seguridad
user@host> show security dynamic-policies

Policy: policy_forward-0001, State: enabled, Index: 1048580, Scope Policy: 4
Sequence number: 1
Source addresses:192.168.10.0/24
Destination addresses:192.168.20.0/24
Applications: Unknown
action-type: permit, tunnel:
Policy: policy_forward-0002, State: enabled, Index: 2097156, Scope Policy: 4
Sequence number: 2
Mostrar detalle de políticas dinámicas de seguridad
user@host> show security dynamic-policies detail

Policy: policy_forward-0001, action-type: permit, State: enabled, Index:
1048580,AI: disabled, Scope Policy: 4
Sequence number: 1
From zone: Host, To zone: untrust
Tunnel: Test Tunnel, Type: IPSec, Index: 1001
Policy: policy_backward-0001, action-type: permit, State: enabled, Index:
1848
Sequence number: 1
From zone: untrust, To zone: Host
Policy: policy_internal-0001, action-type: permit, State: enabled, Index:
Sequence number: 1
From zone: Internal, To zone: Host
Policy: policy_external-0001, action-type: permit, State: enabled, Index:
Sequence number: 1
From zone: Internal, To zone: untrust
Policy: policy_forward-0002, action-type: permit, State: enabled, Index:
Sequence number: 2
From zone: Host, To zone: untrust
1849

Policy: policy_backward-0002, action-type: permit, State: enabled, Index:
Sequence number: 2
From zone: untrust, To zone: Host
Mostrar políticas dinámicas de seguridad de zona interna
user@host> show security dynamic-policies from-zone Internal

Policy: policy_internal-0001, State: enabled, Index: 1048583, Scope Policy: 7
Sequence number: 1
Policy: policy_external-0001, State: enabled, Index: 1048584, Scope Policy: 8
Sequence number: 1
Mostrar políticas dinámicas de seguridad ámbito-ID 8 interno de zona
user@host> show security dynamic-policies scope-id 8 from-zone Internal

Policy: policy_external-0001, State: enabled, Index: 1048584, Scope Policy: 8
1850
Sequence number: 1
Mostrar detalle de políticas dinámicas de seguridad a partir de la zona interna
user@host> show security dynamic-policies detail from-zone Internal

Sequence number: 1
Policy: policy_external-0001, action-type: permit, State: enabled, Index:
Sequence number: 1
From zone: Internal, To zone: untrust
1851
Mostrar detalle de políticas dinámicas de seguridad desde el host interno a la zona
user@host> show security dynamic-policies detail from-zone Internal to-zone Host

Sequence number: 1
Mostrar políticas de seguridad

Mostrar usuarios de VPN dinámicos de seguridad
in this section
Sintaxis | 1852
1852
Descripción | 1852
Sintaxis
show security dynamic-vpn users
Descripción
Mostrar toda la información de usuario relevante. Esta característica es compatible con SRX300,
vista
Tabla 115 en la página 1853enumera los campos de salida del show security dynamic-vpn users
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
1853
Tabla 115: Mostrar los campos de resultados de seguridad de VPN dinámicos
User Usuario.
User-groups Usergroups VPN de IPSec remoto
Number of connections Número de conexiones activas actualmente.
Remote IP Dirección IP del cliente.
IPsec VPN Nombre de la VPN de IPsec.
IKE gateway Nombre de la puerta de enlace de ICR.
IKE ID ICR el identificador configurado para el cliente.
Status Estado de la conexión.
nombre de comando
user@host> show security dynamic-vpn users

User: alice , User group: group-one , Number of connections: 1
Remote IP: 192.168.2.10
IPSEC VPN: dyn_vpn2
IKE gateway: gw2
IKE ID : alicegw2.example.net
IKE Lifetime: 72000
IPSEC Lifetime: 3600
1854
Status: CONNECTED

Mostrar los usuarios de VPN dinámicos breves
in this section
Sintaxis | 1854
Descripción | 1855
Sintaxis
show security dynamic-vpn users terse

1855
Descripción
Mostrar toda la información de usuario relevante. Esta característica es compatible con SRX300,
vista
Tabla 116 en la página 1855enumera los campos de salida del show security dynamic-vpn users terse
Tabla 116: Mostrar los usuarios de VPN Dynamic-resultados campos breves
User Usuario.
User-groups Usergroups VPN de IPSec remoto
Remote IP Dirección IP del cliente.
IKE ID ICR el identificador configurado para el cliente.
Status Estado de la conexión.
Client Config Name Nombre de la configuración del cliente.
Time Established Hora en la que se estableció la conexión del usuario.

1856
nombre de comando
user@host> show security dynamic-vpn users terse
User User Remote IKE Status IKE IPSEC Client Time

Groups IP ID Lifetime Lifetime Config
Established
Name
alice group-one 192.168.2.10 alicegw2.CONNECTED 72000 3600 group Wed
example. Aug 8
10:
net 26:39
2012
Este comando se introdujo en Junos OS versión 10,0.

1857
Mostrar grupo de seguridad-miembro de VPN

seguridad IKE-asociaciones
in this section
Sintaxis | 1857
Descripción | 1857
Opciones | 1857
Sintaxis
show security group-vpn member ike security-associations [brief | detail] [index

sa-index] [peer-ipaddress]
Descripción
Mostrar asociaciones de seguridad ICR (SA) para miembros del grupo. Group VPNv2 es compatible con
Opciones
• ninguna: muestra información de resumen de todas ICR DEA para los miembros del grupo.
1858
• brief— (Opcional) Muestra el resultado resumido.
• detail— (Opcional) Muestra resultados detallados.
• indexsa-index—(Opcional) Muestra información detallada de la SA especificada identificada por el

número de índice. Para obtener una lista de todas las SA que incluyan sus números de índice, utilice
el comando sin opciones.
• peer-ipconexión—(Opcional) Muestra información de la SA con el par especificado.
vista
Tabla 117 en la página 1858enumera los campos de salida del show security group-vpn member ike
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 117: Mostrar grupo de seguridad-miembro de VPN seguridad IKE-campos de salida de

asociaciones
Index Número de índice de una SA. Este número es un número generado

internamente que puede utilizar para mostrar información acerca de
una sola SA.
State Estado de las asociaciones de seguridad ICR:
• DOWN— SA no se ha negociado con el par.
• UP— SA se ha negociado con el par.
Initiator cookie Número aleatorio, llamado cookie, que se envía al nodo remoto
cuando se activa la negociación del ICR.
1859

asociaciones (Continued)
Responder cookie Número aleatorio generado por el nodo remoto y devuelto al iniciador
para comprobar que los paquetes se han recibido.
El objetivo de una cookie es proteger los recursos informáticos de los

ataques sin gastar demasiados recursos de CPU para determinar la
autenticidad de la cookie.
Mode Método de negociación acordado por los dos extremos de IPsec, o

interlocutores, que se utilizan para intercambiar información entre sí.
Cada tipo de intercambio determina el número de mensajes y los tipos
de carga que se incluyen en cada mensaje. Los modos, o tipos de
intercambio, son
• main: el intercambio se realiza con seis mensajes. Este modo o tipo

de intercambio cifra la carga útil, protegiendo así la identidad del
vecino. Se muestra el método de autenticación utilizado: claves
compartidas previamente o certificados.
• aggressive: el intercambio se realiza con tres mensajes. Este modo

o tipo de intercambio no cifra la carga, dejando la identidad del
vecino desprotegida.
Remote Address Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
IKE Peer Dirección IP del equipo del mismo nivel de destino con la que se
1860

Exchange type Método de negociación acordado por los dos extremos de IPsec, o
intercambio, son


Authentication method Método que utiliza el servidor para autenticar el origen de los
mensajes de ICR:
• pre-shared-keys: clave previamente compartida para el cifrado y el

descifrado que deben tener ambos participantes antes de
comenzar las negociaciones de túnel.
Local Dirección del elemento local del mismo nivel.
Lifetime Número de segundos restantes hasta que expire la ICR SA.

1861

Algorithms Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar
y proteger los intercambios entre los interlocutores durante el proceso
de fase 2 de IPsec:
• Authentication: tipo de algoritmo de autenticación utilizado.
• sha-256: autenticación de algoritmo de hash seguro 256.
• Encryption: tipo de algoritmo de cifrado utilizado.
• aes-256-cbc: cifrado de 256 bits del estándar de cifrado

avanzado (AES).
• aes-192-cbc: cifrado AES192-bit
• aes-128-cbc: cifrado AES de 128 bits.
Traffic statistics • Input bytes—Número de bytes recibidos.
• Output bytes—Número de bytes transmitidos.
• Input packets—Número de paquetes recibidos.
• Output packets—Número de paquetes transmitidos.
Mostrar grupo de seguridad-miembro de VPN seguridad IKE-asociaciones
user@host> show security group-vpn member ike security-associations

Address
4736345 UP 70611c65603d53da 6e0888777ad10f8d Main 192.0.2.3
1862
Mostrar grupo de seguridad-miembro de VPN seguridad IKE-detalle de asociaciones
user@host> show security group-vpn member ike security-associations detail

IKE peer 192.0.2.5, Index 5824842, Gateway Name: group1_2
Initiator cookie: fc866556b8afe4cd, Responder cookie: 1238de6b8a89de44
Local: 192.0.2.7:848, Remote: 192.0.2.5:848
Peer ike-id: 192.0.2.5
Algorithms:
Traffic statistics:
Input bytes : 2044
Output bytes : 900
Input packets: 7
Output packets: 7
Borrar grupo de seguridad-asociaciones de seguridad IKE de miembro de VPN | 1763

1863
Mostrar grupo de seguridad-VPN miembro inactivo

IPSec-túneles
in this section
Sintaxis | 1863
Descripción | 1863
Opciones | 1863
Sintaxis
show security group-vpn member ipsec inactive-tunnels <brief> <detail> <group-id

group-id>
Descripción
Mostrar las VPN de grupos inactivos. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
Opciones
ninguno Mostrar información de todos los grupos.
resumida Adicional Mostrar el resultado de resumen.

1864
detalle Adicional Mostrar resultados detallados.
group-id group-id Adicional Muestra información sobre el identificador del grupo especificado.
vista
Tabla 118 en la página 1864enumera los campos de salida del show security group-vpn member ipsec
inactive-tunnels comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 118: Mostrar grupo de seguridad-IPSec miembro de VPN inactivo-campos de salida de túneles
Servidor Servidor en el que está registrado el miembro del grupo.
Traslada Número de puerto UDP.
Recibida Identificador de grupo.
lsys Sistema lógico.

1865
(Continued)
Razones Razón por la que el túnel está inactivo:
• El túnel se borró a través de la CLI.
• La duración del duro ha expirado.
• Hay demasiados TEKs.
• Se produjo un cambio en la configuración.
• Se produjo un error en la instalación de SA.
• El TEK está obsoleto.
• El túnel se eliminó del servidor.
Del sistema virtual Nombre lógico del sistema.
Nombre VPN de Nombre del grupo VPN.

grupo
Puerta de enlace Dirección IP de la puerta de enlace de ICR local.

local
Servidor GDOI Dirección IP del servidor de grupo.
ID. de grupo Identificador de grupo.
Sonda de Estado de la sonda de recuperación, ya sea habilitada o deshabilitada

recuperación (predeterminado).
DF-bit Fragmentación del tráfico IPsec en el miembro del grupo: clear

(predeterminado), copiar o establecer.
1866
(Continued)
Datos Estadísticas de GDOI groupkey-extracción y groupkey: intercambios de

inserción, conmutación por error de servidor, eliminaciones recibidas, número
de veces que se ha superado el número máximo de claves y políticas, y que se
ha recibido el número de algoritmos no compatibles.
Por debajo del Razón por la que el túnel está inactivo:

motivo
• El túnel se borró a través de la CLI.
• La duración del duro ha expirado.
• Hay demasiados TEKs.
• Se produjo un cambio en la configuración.
• Se produjo un error en la instalación de SA.
• El TEK está obsoleto.
• El túnel se eliminó del servidor.
• No se inició el túnel.
Mostrar grupo de seguridad-VPN miembro inactivo IPSec-túneles
user@host> show security group-vpn member ipsec inactive-tunnels

Total inactive tunnels: 1
Server Port GId lsys Reason
192.168.1.50 848 1000 root uninitiated
1867
Mostrar grupo de seguridad-IPSec miembro VPN inactivo-detalle de los túneles
user@host> show security group-vpn member ipsec inactive-tunnels detail

Virtual-system: root Group VPN Name: group1000
Group Id: 1000
Recovery Probe: Disabled
DF-bit: clear
Stats:
Pull Succeeded : 0
Pull Failed : 8841
Pull Timeout : 7996
Pull Aborted : 0
Push Succeeded : 0
Push Failed : 0
Server Failover : 0
Delete Received : 0
Down Reason: uninitiated

1868
Mostrar grupo de seguridad-miembro VPN

seguridad IPSec-asociaciones
in this section
Sintaxis | 1868
Descripción | 1868
Opciones | 1868
Sintaxis
show security group-vpn member ipsec security-associations [brief | detail]

[index sa-index]
Descripción
Muestra las asociaciones de seguridad de VPN de grupo para un miembro del grupo. Group VPNv2 es
Opciones
• ninguna: muestra información de todas lasAS VPN del grupo para el miembro del grupo.
1869
• index sa-index—(Opcional) Muestra información detallada de la SA especificada identificada por el

vista
aparecen.
Tabla 119: Mostrar grupo de seguridad-miembro VPN seguridad IPSec-asociaciones
Total active tunnels Número total de túneles IPsec activos.
ID Número de índice de la SA. Puede utilizar este número para obtener

información adicional acerca de la SA.
Server Dirección IP del servidor de grupo (puerta de enlace remota).
Port Si se utiliza Traducción de direcciones de red-Traversal (TDR-T), este

valor es 4500. De lo contrario, será el puerto de ICR estándar, 500.
1870
Tabla 119: Mostrar grupo de seguridad-miembro VPN seguridad IPSec-asociaciones (Continued)
Algorithm La criptografía utilizada para proteger los intercambios entre

interlocutores durante la ICR de las negociaciones de la fase 2 incluye
• Algoritmo de autenticación usado para autenticar intercambios

entre los interlocutores. Opciones son sha-256 osha-384
• Algoritmo de cifrado utilizado para cifrar el tráfico de datos. Las

opciones aes-128son aes-192, y aes-256.
SPI Identificador de índice de parámetro de seguridad (SPI). Una SA se

identifica de forma exclusiva mediante un SPI.
Life: sec/kb La duración de la SA, después de la cual vence, expresada en segundos

o en kilobytes.
GId Identificador de grupo.
vsys or Virtual-system El sistema raíz.
Local Gateway Dirección de puerta de enlace del sistema local.
GDOI Server Dirección IP del servidor de grupo.
Local Identity Identidad del elemento local del mismo nivel, de modo que su puerta
de enlace de destino asociada pueda comunicar con él. El valor se
especifica como una dirección IPv4, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo.
Remote Identity Dirección IPv4 de la puerta de enlace de destino del mismo nivel.
DF-bit Estado del bit no fragmentar: establecer o desactivar.

1871
Directiva de reenvío no Activar la compatibilidad con la Directiva de reenvío: paquetes no

coincidente coincidentes
Policy name Nombre de la Directiva aplicable.
Direction Dirección de la Asociación de seguridad; puede ser entrante o saliente.
AUX-SPI Valor del índice de parámetro de seguridad auxiliar.
• Cuando el valor es AH o ESP, AUX-SPI siempre es 0.
• Si el valor es AH + ESP, AUX-SPI siempre será un entero positivo.
Hard lifetime La duración dura especifica la duración de la SA.
• Expires in seconds: cantidad de segundos que quedan hasta que

caduca la SA.
Lifesize Remaining El LifeSize restante especifica los límites de uso en kilobytes. Si no se

especifica ningún LifeSize, mostrará Unlimited.
• Expires in kilobytes: número de kilobytes que quedan hasta que

caduca la SA.
Soft lifetime La duración de software informa al sistema de administración de

claves IPsec de que la SA está a punto de caducar.
Cada período de duración de una asociación de seguridad tiene dos

opciones de presentación: dura e suave, una de las cuales debe estar
presente para una asociación de seguridad dinámica. Esto permite que
el sistema de administración de claves negocie una nueva SA antes de
que venza la duración.
• Expires in seconds: cantidad de segundos que quedan hasta que

caduca la SA.
1872
Mode Modo de la Asociación de seguridad:
• transporte: protege las conexiones de host a host.
• túnel: protege las conexiones entre puertas de enlace de seguridad.
Protocol Protocolo compatible. El modo de transporte es compatible con el

protocolo de seguridad de encapsulación (ESP).
Anti-replay service Estado del servicio que impide que se reproduzcan paquetes. Puede
ser Enabled o Disabled.
Mostrar grupo de seguridad-miembro VPN seguridad IPSec-asociaciones

<>49157 192.168.1.53 848 ESP:3des/sha1 c0792f86 114/ unlim 2000 root
<>49156 192.168.1.53 848 ESP:aes-256/md5 7def169d 18/ unlim 2000 root
<>49156 192.168.1.53 848 ESP:aes-256/md5 86c48448 146/ unlim 2000 root
Mostrar grupo de seguridad-seguridad IPSec miembro de VPN-detalle de asociaciones

Virtual-system: root Group VPN Name: group2000
1873
Group Id: 2000

Routing Instance: vr1
DF-bit: clear
Forward-policy-mismatch:Enabled
Stats:
Pull Succeeded : 3
Pull Failed : 0
Pull Timeout : 6
Pull Aborted : 0
Push Succeeded : 1773
Push Failed : 0
Server Failover : 0
Delete Received : 0
Flags:
Rekey Needed: no

Tunnel-id: 49157
Direction: bi-directional, SPI: c0792f86

Protocol: ESP, Authentication: sha1, Encryption: 3des
Soft lifetime: Expired
Anti-replay service: D3P enabled, Window size: 3000 milliseconds
Direction: bi-directional, SPI: a645b381

Protocol: ESP, Authentication: sha1, Encryption: 3des
Hard lifetime: Expires in 207 seconds, Activated in 51 seconds
Anti-replay service: D3P enabled, Window size: 3000 milliseconds
1874
Comando introducido en Junos OS versión 18.2 R1 para la serie MX.

Mostrar grupo de seguridad-estadísticas IPSec del

miembro VPN
in this section
Sintaxis | 1874
Descripción | 1875
Opciones | 1875
Sintaxis
show security group-vpn member ipsec statistics <index index>

1875
Descripción
Mostrar estadísticas de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
Opciones
ninguno Mostrar información de todas las SA de IPsec.
índice Adicional Muestra información detallada acerca de la SA especificada, identificada por el

número de índice. Para obtener una lista de todas las SA que incluyan sus números de índice,
utilice el comando sin opciones.
vista
statistics comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 120: Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN campos de resultados
Estadísticas de ESP Números de bytes cifrados y descifrados, y paquetes cifrados y descifrados.
Estadísticas de AH Número de bytes de entrada y salida, y paquetes de entrada y salida.
Errores Número de errores AH, errores de reproducción, errores de autenticación ESP,

errores de descifrado ESP, encabezados malos y remolques incorrectos.
1876
Tabla 120: Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN campos de resultados
(Continued)
Estadísticas de Número de paquetes de marca de hora antiguos, paquetes de marca de hora

D3P nuevos, sin paquetes de marca de hora, paquetes de encabezado de D3P
inesperados, paquetes de tipo no válido, paquetes de longitud no válida y
paquetes de encabezado siguiente no válidos.
Excluir estadísticas Números de sesiones creadas e invalidadas.
Estadísticas de Números de sesiones creadas e invalidadas.

políticas dinámicas
Estadísticas de Números de sesiones creadas e invalidadas.

error de apertura
Estadísticas de Número de paquetes descartados.

fallos de cierre
Estadísticas de Número de paquetes omitidos.

coincidencia de
directiva de
reenvío
Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN
user@host> show security group-vpn member ipsec statistics

ESP Statistics:
1877

AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
D3P Statistics:
Old timestamp packets: 0
New timestamp packets: 0
No timestamp packets: 0
Unexpected D3P header packets: 0
Invalid type packets: 0
Invalid length packets: 0
Invalid next header packets: 0
Exclude Statistics:
Created sessions: 0
Invalidated sessions: 0
Dynamic Policy Statistics:
Created sessions: 381
Fail-Open Statistics:
Created sessions: 0
Fail-Close Statistics:
Dropped packets: 0
Forward-policy-mismatch Statistics:
Input Packets: 0
Output packets: 0
Comando introducido en Junos OS versión 18.2 R1 para la serie MX.

1878
Mostrar grupo de seguridad-KEK miembro de VPN

asociaciones de seguridad de
in this section
Sintaxis | 1878
Descripción | 1878
Opciones | 1879
Sintaxis
show security group-vpn member kek security-associations [brief | detail |

display xml] [index sa-index] [peer-ipaddress]
Descripción
Grupo de presentación VPNv2 asociaciones de seguridad (SA) para un miembro del grupo. Group
VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX.
1879
Group VPNv2 es el nombre de la tecnología VPN de grupo en enrutadores MX5, MX10, MX40, MX80,
MX240, MX480 y MX960. Group VPNv2 es diferente de la tecnología VPN de grupo implementada en
las puertas de enlace de seguridad SRX.
Para obtener más información sobre la VPN de grupo en los dispositivos de puerta de enlace de
seguridad SRX, consulte "Group VPNv2 Overview" en la página 762.
Opciones
• ninguna: muestra información de todas lasAS de VPNv2 del grupo para el miembro del grupo.
• display xml—(Opcional) Muestra xml.
• index sa-index—(Opcional) Muestra información detallada de la SA especificada identificada por el

• peer-ipconexión—(Opcional) Muestra información de la SA con el par especificado.
vista
Tabla 121 en la página 1880enumera los campos de salida del show security group-vpn member kek
aparecen.
1880
Tabla 121: Mostrar grupo de seguridad-KEK miembro de VPN asociaciones de seguridad de

una sola SA.
State Estado de las asociaciones de seguridad KEK:
• DOWN— SA no está activa.
• UP: SA está activa.

GroupID Identificador de grupo.
KEK Peer Dirección IP del equipo del mismo nivel de destino con la que se
Role Para el miembro, siempre es contestador.
State Estado de las asociaciones de seguridad KEK, que siempre está activa.
Authentication method RSA es el método de autenticación admitido.

1881

(Continued)
Remote Dirección del interlocutor remoto.
de fase 2 de IPsec:
• Sig-hash: tipo de algoritmo de autenticación utilizado.
• sha-256– Autenticación de algoritmo de hash seguro 256

(sha-256).
• sha-384–Autenticación de algoritmo de hash seguro 394

(sha-384).
• Sig key length (bits): tamaño de la clave de firma en bits.

avanzado (AES).
• 3des-cbc— 3 Cifrado estándar de cifrado de datos (DES).
• des-cbc: cifrado DES.

1882

(Continued)
Server Info Version Identifique el último conjunto de información que se mantiene en el

servidor.
Server Heartbeat Interval Intervalo de tiempo en segundos durante el que el servidor envía
latidos a los miembros del grupo.
Member Heartbeat Umbral de latido configurado en el miembro del grupo para la VPN de
Threshold IPsec. Si se pierde este número de latidos en el miembro, el miembro
se vuelve a registrar en el servidor.
Heartbeat Timeout Left Número de latidos hasta que se alcanza el umbral de latido, momento
en el que el miembro se vuelve a registrar con el servidor.
Cuando este número llega a 0, el reregistro tiene lugar en el plazo de

60 segundos.
Server Activation Delay Número de segundos antes de que un miembro del grupo pueda usar
una clave nueva cuando el miembro vuelve a registrarse en el servidor.
Server Multicast Group Dirección IP de multidifusión a la que el servidor envía los mensajes de
regeneración de claves.
Server Replay Window Antireplay valor de la ventana de tiempo en milisegundos. 0 significa

antireplay está deshabilitado.
1883

(Continued)
Group Key Push sequence Número de secuencia del mensaje KEK SA groupkey-Push. Este
number número se incrementa con cada mensaje de inserción de groupkey.
Mostrar grupo de seguridad-KEK miembro de VPN asociaciones de seguridad de

5824843 192.168.2.53 166 46871e26227f08f3 f0a463a4d5c3737b 1
Mostrar grupo de seguridad-KEK miembro de VPN detalle de asociaciones de seguridad

Group VPN Name: group1_2
Initiator cookie: 46871e26227f08f3, Responder cookie: f0a463a4d5c3737b
Algorithms:
Sig-hash : hmac-md5-96
Traffic statistics:
Input bytes : 0
Output bytes : 0
1884
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Mostrar grupo de seguridad-KEK miembro de VPN detalle de asociaciones de seguridad |

Mostrar XML
user@host> show security group-vpn member kek security-associations detail | display xml
<rpc-reply xmlns:junos="http://xml.example.net/junos/15.1/junos">
<gvpn-kek-security-associations-information junos:style="detail">
<kek-security-associations-block>
<security-association-index>2987691</security-association-index>
<group-id>400</group-id>
<group-vpn-name>gvpn400</group-vpn-name>
<local-address>192.168.1.100</local-address>
<server-address>192.168.1.1</server-address>
<initiator-cookie>510f854307a03675</initiator-cookie>
<responder-cookie>690e5f121fba6de7</responder-cookie>
<lifetime-remaining>Expires in 23729 seconds</lifetime-remaining>
<push-sequence-number>364</push-sequence-number>
<ike-security-associations>
<ike-sa-algorithms>
<ike-sa-authentication-algorithm>hmac-sha1-96</ike-sa-
authentication-algorithm>
<ike-sa-sig-key-length>2048</ike-sa-sig-key-length>
<ike-sa-encryption-algorithm>aes128-cbc</ike-sa-encryption-
algorithm>
</ike-sa-algorithms>
<ike-sa-traffic-statistics>
<ike-sa-input-bytes>3012</ike-sa-input-bytes>
<ike-sa-output-bytes>252</ike-sa-output-bytes>
<ike-sa-input-packets>3</ike-sa-input-packets>
<ike-sa-output-packets>3</ike-sa-output-packets>
</ike-sa-traffic-statistics>
</ike-security-associations>
<gvpn-kek-security-association-statistics>
<kek-security-association-statistics> Push
received : 3</kek-security-association-statistics>
1885
<kek-security-association-statistics> Delete
received : 0</kek-security-association-statistics>
</gvpn-kek-security-association-statistics>
</kek-security-associations-block>
</gvpn-kek-security-associations-information>
<cli>
<banner></banner>
</cli>
</rpc-reply>
Mostrar grupo de seguridad-Directiva de VPN a los

miembros
in this section
Sintaxis | 1886
Descripción | 1886
Opciones | 1886

1886
Sintaxis
show security group-vpn member policy <vpn vpn-name> <group-id group-id>
Descripción
Mostrar las directivas VPN de grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
Opciones
ninguno Mostrar información de todos los grupos.
vpn-name Adicional Muestra información de directivas para el nombre del grupo especificado.
group-id group-id Adicional Muestra información de directivas para el identificador de grupo

especificado.
vista
Tabla 122 en la página 1887enumera los campos de salida del show security group-vpn member policy
1887
Tabla 122: Mostrar grupo de seguridad-campos de salida de directiva de miembro VPN
Nombre VPN de Nombre del grupo.

grupo
En la zona De la zona configurada para la Directiva.
En la zona A la zona configurada para la Directiva.
ID de túnel Identificador de túnel.
Tipo de norma Secure, Fail-Open, Fail-Close o EXCLUDE.
Source Dirección IP, puerto y protocolo del tráfico de origen.
Ubicación Dirección IP, puerto y protocolo del tráfico de destino.
Mostrar grupo de seguridad-Directiva de VPN a los miembros
user@host> show security group-vpn member policy

Group VPN Name: group1000, Group Id: 1000
From-zone: trust_1, To-zone: untrust
Tunnel-id: 63490, Policy type: Exclude
Source : IP <192.168.0.0 - 192.168.255.255>, Port <0 - 65535>, Protocol
<17>

1888
Source : IP 192.168.0.0 - 192.168.255.255>, Port <0 - 65535>, Protocol

<0>

Tunnel-id: 63491, Policy type: Fail-open (Inactivated)

Source : IP 192.168.0.0 - 192.168.255.255>, Port <0 - 65535>, Protocol
<17>
Destination : IP <192.168.0.0 - 192.168.255.255>, Port <0 - 65535>, Protocol
<17>

Mostrar grupo de seguridad-servidor VPN IKE

seguridad de asociaciones
in this section
Sintaxis | 1889
1889
Descripción | 1889
Opciones | 1889
Sintaxis
show security group-vpn server ike security-associations [brief | detail] [group

group-name | group-id group-id] [index sa-index]
Descripción
Muestra ICR asociaciones de seguridad (SA). Group VPNv2 es compatible con SRX300, SRX320,
vSRX.
Opciones
• ninguna: muestra todas las ICR de seguridad para todos los grupos.
• resumen: (Opcional) Muestra el resultado resumido.
• detail— (Opcional) Muestra un nivel de salida detallado.
• group—(Opcional) Muestra ICR de dominio para el grupo especificado.
• group-id—(Opcional) Muestra ICR de dominio para el grupo especificado.

1890
Un miembro del grupo puede utilizar una SA ICR para registrarse en varios grupos. Cuando se
especifican group las group-id opciones o para enumerar las SA de ICR para un grupo especificado,
se muestran todas las SA de ICR existentes que se podrían usar para registrarse en el grupo.
• index— (Opcional) Muestra información para una SA determinada según el número de índice de la
SA. Para obtener el número de índice de una SA en particular, utilice el comando sin opciones para
mostrar la lista de SA existentes.
vista
Tabla 123 en la página 1890enumera los campos de salida del show security group-vpn server ike
aparecen.
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones

una sola SA.
State Estado de las asociaciones de seguridad ICR:

1891
(Continued)

Mode Método de negociación acordado por los dos extremos de IPsec, o

intercambio, son


IKE Peer Dirección IP del equipo del mismo nivel de destino con la que se
1892
(Continued)
Exchange type Método de negociación acordado por los dos extremos de IPsec, o
intercambio, son


Authentication method Método que utiliza el servidor para autenticar el origen de los
mensajes de ICR:
• pre-shared-keys: clave previamente compartida para el cifrado y el

descifrado que deben tener ambos participantes antes de
comenzar las negociaciones de túnel.
rsa-signatures: firma digital, un certificado que confirma la identidad

del titular del certificado.

1893
(Continued)
de fase 2 de IPsec:
• Authentication: tipo de algoritmo de autenticación utilizado.

avanzado (AES).
IPSec security associations • number created:Número de SA creadas.
• number deleted: Número de SA eliminadas.

1894
(Continued)
Phase 2 negotiations in Número de negociaciones ICR de la fase 2 en el progreso y en la

progress información de estado:
• Negotiation type— Tipo de negociación de fase 2. Actualmente,

Junos OS es compatible con el modo rápido.
• Message ID: identificador único para una negociación de fase 2.
• Local identity— Identidad de la negociación local de fase 2. El

formato es tipo-de-identificador-nombre (proto-Name: Port-
Number, [0.. ID-Data-Len] = iddata-Presentation)
• Remote identity— Identidad de la negociación remota de fase 2. El

formato es tipo-de-identificador-nombre (proto-Name: Port-
Number, [0.. ID-Data-Len] = iddata-Presentation)
• Flags: notificación al proceso de administración de claves del

estado de la ICR negociación:
• caller notification sent: el programa del llamador fue notificado

acerca de la finalización de ICR negociación.
• waiting for done: ya está la negociación. La biblioteca está

esperando a que los temporizadores de retransmisión final
remoto expiren.
• waiting for remove: se ha fallado la negociación. La biblioteca

está esperando a que los temporizadores de retransmisión final
remoto expiren antes de quitar esta negociación.
• waiting for policy manager: la negociación está a la espera de

una respuesta del administrador de políticas.
1895
Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones
user@host> show security group-vpn server ike security-associations

Address
738879 UP 0fa7c5fdcb74669f 8c21f5d1b533010c Aggressive
192.168.1.120
Mostrar grupo de seguridad-servidor VPN-detalle de asociaciones de seguridad IKE
user@host> show security group-vpn server ike security-associations detail

IKE peer 192.168.1.120, Index 738879, Gateway Name: gvpn
Initiator cookie: 0fa7c5fdcb74669f, Responder cookie: 8c21f5d1b533010c
Local: 192.168.1.50:848, Remote: 192.168.1.120:848
Peer ike-id: test
Algorithms:
Authentication : hmac-sha-256-128
Pseudo random function: hmac-sha-256
Traffic statistics:
Input bytes : 600
Output bytes : 932
Input packets: 4
Output packets: 3
1896

Mostrar grupo de seguridad-servidor VPN seguridad

IPSec: asociaciones
in this section
Sintaxis | 1897
Descripción | 1897
Opciones | 1897

1897
Sintaxis
show security group-vpn server ipsec security-associations [brief | detail]

[group group-name | group-id group-id]
Descripción
Muestra las asociaciones de seguridad IPsec (SA). Group VPNv2 es compatible con SRX300, SRX320,
vSRX.
Opciones
• ninguna: muestra todas las SA de IPsec para todos los grupos.
• detail— (Opcional) Muestra un nivel de salida detallado.
• group—(Opcional) Muestra SA IPsec para el grupo especificado.
• group-id—(Opcional) Muestra SA IPsec para el grupo especificado.
vista
Tabla 124 en la página 1898enumera los campos de salida del show security group-vpn server ipsec
aparecen.
1898
Tabla 124: Mostrar grupo de seguridad-servidor VPN seguridad IPSec: asociaciones
Group Nombre del grupo.
Group ID Identificador de grupo.
Total IPsec SAs Se muestra el número total de asociaciones de IPsec para cada grupo.
IPsec SA Nombre de la SA.
Protocol Protocolo compatible. El modo de transporte es compatible con el

protocolo de seguridad de encapsulación (ESP).

interlocutores durante la ICR de las negociaciones de la fase 2 incluye

entre los interlocutores. Las opciones sha-256 son sha-384and.

opciones aes-128-cbcson aes-192-cbc, o aes-256-cbc.

Lifetime La duración de la SA, después de la cual vence, expresada en

segundos.
Policy Name Directiva de grupo asociada con la SA de IPsec. Se muestran la

dirección de origen, la dirección de destino, el puerto de origen, el
puerto de destino y el protocolo definidos para la Directiva.
1899
Mostrar grupo de seguridad-servidor VPN seguridad IPSec: asociaciones
user@host> show security group-vpn server ipsec security-associations

Group: group200, Group Id: 200
Total IPsec SAs: 1
sa1 ESP:aes-256/sha-256 55837dfe 17
sa1 ESP:aes-256/sha1-256 760088d 137
Mostrar grupo de seguridad-seguridad IPSec del servidor VPN-detalle de asociaciones
user@host> show security group-vpn server ipsec security-associations detail

Total IPsec SAs: 10
IPsec SA: sa1
Protocol: ESP, Authentication: sha-256, Encryption: aes-256
Anti-replay: D3P enabled, window size 10 milliseconds
SPI: e68c9525
Policy Name: pol1
Source: 192.168.1.0/24
Source Port: 0
Destination Port: 0
Protocol: 0
IPsec SA: sa1
Protocol: ESP, Authentication: sha-256, Encryption: aes-256
Anti-replay: D3P enabled, window size 10 milliseconds
SPI: 7ee14902
Lifetime: Expires in 276 seconds, Activated in 36 seconds
Policy Name: pol1
Source: 192.168.1.0/24
1900
Source Port: 0
Destination Port: 0
Protocol: 0

Mostrar grupo de seguridad-servidor VPN KEK

seguridad-asociaciones
in this section
Sintaxis | 1901
Descripción | 1901
Opciones | 1901

1901
Sintaxis
show security group-vpn server kek security-associations [brief | detail] [group

group-name | group-id group-id | index sa-index]
Descripción
Mostrar las comunicaciones configuradas por miembros del servidor. Group VPNv2 es compatible con
Opciones
• none: muestra las comunicaciones de miembro del servidor configuradas para todos los grupos.
• group— (Opcional) Muestra las comunicaciones del miembro del servidor configuradas para el grupo
especificado.
• group-id— (Opcional) Muestra las comunicaciones del miembro del servidor configuradas para el
grupo especificado.
• index— (Opcional) Muestra información para una SA determinada según el número de índice de la
SA. Para obtener el número de índice de una SA en particular, utilice el comando sin opciones para
mostrar la lista de SA existentes.
vista
1902
Tabla 125 en la página 1902enumera los campos de salida del show security group-vpn server kek
security-assocations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 125: Mostrar grupo de seguridad-servidor VPN KEK seguridad-asociaciones campos de

resultados

una sola SA.
Remote Address Identificador del remoto/interlocutor. Dado que puede haber varios
miembros, la dirección remota siempre contiene la dirección IP 0.0.0.0.
State Estado de las asociaciones de seguridad KEK:
• DOWN— SA no está activa.
• UP: SA está activa.
Initiator cookie Número aleatorio generado por el servidor. Se utiliza cuando el

servidor necesita insertar datos en un miembro o cuando un miembro
debe responder al servidor.
Responder cookie Número aleatorio generado por el servidor. Se utiliza cuando el

servidor necesita insertar datos en un miembro o cuando un miembro
debe responder al servidor.
GroupId Identificador de grupo.
KEK Peer Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local. Para SAs KEK, siempre contiene 0.0.0.0,
que significa cualquier dirección IP.
1903

resultados (Continued)
Role Para el servidor, siempre se inicializa.
Authentication method RSA es el método de autenticación admitido.
y asegurar los intercambios entre los interlocutores durante el proceso
de la fase 2:
• Sig-hash: tipo de algoritmo de autenticación utilizado.

avanzado (AES).

1904

resultados (Continued)
Server Info Version Identifique el último conjunto de información que se mantiene en el

servidor.
Los siguientes campos son las opciones server-member-communication configuradas:
Server Replay Window Tiempo de Antireplay en milisegundos. Este valor es 0 si antireplay

está deshabilitado.
Retransmission Period Número de segundos transcurridos entre una transmisión de

regeneración y la primera retransmisión cuando no hay respuesta del
miembro.
Number of Retransmissions En el caso de las comunicaciones de unidifusión, es el número de

veces que el servidor retransmite los mensajes de regeneración de
claves a un miembro cuando no hay respuesta.
Lifetime Seconds Duración configurada, en segundos, para KEK.
Group Key Push sequence Número de secuencia del mensaje KEK SA groupkey-Push. Este
number número se incrementa con cada mensaje de inserción de groupkey.
Mostrar grupo de seguridad-servidor VPN KEK seguridad-asociaciones
user@host> show security group-vpn server kek security-associations

739031 18995 7e17278bf0a65975 0616de443d1beb77 200
1905
Mostrar grupo de seguridad-servidor VPN KEK seguridad-asociaciones
user@host> show security group-vpn server kek security-associations detail

Initiator cookie: 114e4a214891e42f, Responder cookie: 4b2848d14372e5bd
Algorithms:
Sig-hash : sha256
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Mostrar grupo de seguridad-KEK miembro de VPN asociaciones de seguridad de | 1878

1906
Mostrar grupo de seguridad-miembros registrados-

servidor VPN
in this section
Sintaxis | 1906
Descripción | 1906
Opciones | 1906
Sintaxis
show security group-vpn server registered-members <group group-name> <group-id

group-id> <detail>
Descripción
Mostrar los miembros del grupo registrados actualmente. Group VPNv2 es compatible con SRX300,
instancias de vSRX.
Opciones
• ninguna: muestra todos los miembros del grupo para todos los grupos.
1907
• resumen: (Opcional) Muestra el resultado resumido.
• detalle: (Opcional) Muestra la salida detallada.
• group— (Opcional) Muestra los miembros del grupo para el grupo especificado.
• group-id— (Opcional) Muestra los miembros del grupo para el grupo especificado.
vista
Tabla 126 en la página 1907enumera los campos de salida del show security group-vpn server
registered-memberscomando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 126: muestra el grupo de seguridad: campos de salida del servidor VPN registrados con
miembros registrados
Group Nombre del grupo.
Group Id Identificador de grupo.
Member Gateway Dirección IP de la puerta de enlace para el miembro del grupo.
Member IP Dirección IP del miembro del grupo.
Last Update Última vez que los miembros registraron o enviaron confirmaciones al
servidor.
Vsys El sistema raíz.

1908
Mostrar grupo de seguridad-miembros registrados-servidor VPN
user@host> show security group-vpn server registered-members

Member Gateway Member IP Last
Update Vsys
gvpn_simpleman 192.168.1.100 Fri Dec 20 2013
07:27:33 root
Mostrar grupo de seguridad-servidor VPN registro-detalle de los miembros
user@host> show security group-vpn server registered-members detail

Member gateway: gateway_group1_1, Member IP: 192.168.1.2, Vsys: root

Last Update: Fri May 16 2014 03:37:17
Stats:
Pull Succeeded : 321
Pull Failed : 0
Push Sent : 0

1909

Mostrar grupo de seguridad-servidor VPN-clúster
in this section
Sintaxis | 1909
Descripción | 1909
Opciones | 1910
Sintaxis
show security group-vpn server server-cluster <brief> <detail> <group group-name> <group-id group-id>
<peer-gateway gateway-name>
Descripción
Mostrar información acerca de los servidores del clúster de servidores VPNv2 de grupo. Group VPNv2
es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
1910
Opciones
ninguno Muestra el grupo VPNv2 información de clústeres de servidor para todos los
grupos.
resumida Adicional Mostrar el resultado de resumen.
detalle Adicional Mostrar resultados detallados, incluida información acerca de los

intercambios con servidores del mismo nivel en el clúster.
Group Group - Adicional Muestra el grupo VPNv2 información del clúster de servidor para el
Name nombre de grupo especificado.
group-id group-id Adicional Muestra el grupo VPNv2 información del clúster de servidor para el
identificador de grupo especificado.
peer-gateway Adicional Muestra el grupo VPNv2 información del clúster del servidor para el
gateway-name sistema del mismo nivel especificado.
vista
Tabla 127 en la página 1910enumera los campos de salida del show security group-vpn server server-
cluster comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 127: Mostrar grupo de seguridad-servidor de servidor VPN-campos de salida del clúster
Agrupe Nombre del grupo.

1911
Tabla 127: Mostrar grupo de seguridad-servidor de servidor VPN-campos de salida del clúster
(Continued)
Función Función de este servidor en el grupo VPNv2 del clúster de servidores.
Número de versión el número de versión de 32 bits cluster-update incluido en los sondeos de

intercambios y DPD para admitir la reproducción. El primer cluster-update
mensaje enviado desde el servidor raíz tiene el número de versión 1. Los
cluster-update mensajes siguientes incrementan el número de versión en uno.
(Los mensajes retransmitidos no incrementan el número de versión.) Tras recibir
un cluster-update mensaje, el subservidor valida el número de versión recibido.
El número de versión recibido debe ser mayor que el número de versión del
último mensaje recibido; de lo contrario, se rechazará el mensaje. El sub-
servidor responde a un cluster-update mensaje con un mensaje ACK que
contiene el mismo número de versión que el mensaje recibido. Al recibir el
mensaje ACK, el servidor raíz comprueba que el número de versión es el mismo
que en el mensaje que envió. Si el número de versión es válido, el intercambio
se considera correcto. Si el número de versión no es válido, el mensaje original
se retransmite o se considera que el intercambio ha fallado.
Puerta de enlace Nombre del servidor del mismo nivel en el clúster de servidor VPNv2 de grupo.
del mismo nivel
IP del mismo nivel Dirección IP del servidor remoto homólogo del clúster del servidor VPNv2 del
grupo.
Función Función del servidor del mismo nivel en el clúster del servidor VPNv2 del grupo.
Estado Estado del servidor del mismo nivel en el clúster del servidor VPNv2 del grupo.
1912
Mostrar grupo de seguridad-servidor VPN-clúster
user@host> show security group-vpn server server-cluster

Peer Gateway Peer IP Role
Status
sub_server1 192.168.1.112 Sub-server
Active
sub_server2 192.168.1.113 Sub-server
Active
Mostrar grupo de seguridad-servidor VPN-detalle de clúster
user@host> show security group-vpn server server-cluster detail

GGroup: group200, Group Id: 200
Peer gateway: sub_server1,

Peer IP: 192.168.1.112, Local IP: 192.168.1.111, VR: vr1,
Role: Sub-server, Status: Active,
CLUSTER-INIT dup: 0
DPD send: 5
DPD send fail: 0
1913
DPD ACK recv: 5

Peer gateway: sub_server2,

Peer IP: 192.168.1.113, Local IP: 192.168.1.111, VR: default,
Role: Sub-server, Status: Active,
CLUSTER-INIT dup: 0
DPD send: 6
DPD send fail: 0
DPD ACK recv: 6

1914
Mostrar las estadísticas del servidor VPN del grupo

de seguridad
in this section
Sintaxis | 1914
Descripción | 1914
Opciones | 1915
Sintaxis
show security group-vpn server statistics <group group-name> <group-id group-id>
Descripción
Mostrar estadísticas del servidor VPNv2 del grupo. Group VPNv2 es compatible con SRX300, SRX320,
vSRX.
1915
Opciones
ninguno Display Group VPNv2 estadísticas del servidor para todos los grupos.
Group Group -Name Adicional Display Group VPNv2 estadísticas del servidor para el nombre de grupo
especificado.
group-id group-id Adicional Display Group VPNv2 estadísticas del servidor para el identificador de
grupo especificado.
vista
Tabla 128 en la página 1915enumera los campos de salida del show security group-vpn server statistics
Tabla 128: Mostrar grupo de seguridad-estadísticas del servidor VPN campos de resultados
Agrupe Nombre del grupo.
Datos Sucesos del servidor y número de ocurrencias.

1916
Mostrar las estadísticas del servidor VPN del grupo de seguridad
user@host> show security group-vpn server statistics

Stats:
Pull Succeeded : 321
Pull Failed : 0
Push Sent : 0

Mostrar seguridad IKE activa-igual del mismo nivel
in this section
Sintaxis | 1917
Descripción | 1917
Opciones | 1917

1917
Sintaxis
show security ike active-peer

<peer-address>
<aaa-username username>
<brief | detail>
<debug>
local-address IP address
local-ike-id IKE ID
local-port port number (1..65535)
<fpc slot-number pic slot-number>
<ike-id IKE-ID>
<pic slot-number fpc slot-number>
<port port-number peer-address>
routing-instance name of the local gateway routing instance
stats
Descripción
Mostrar la lista de usuarios activos conectados con detalles sobre las direcciones del mismo nivel y los
puertos que están usando.
Opciones
Dirección del mismo Adicional Muestra detalles sobre el usuario con la dirección del mismo nivel
nivel especificada.
1918
nombre de usuario aaa Adicional Muestra información sobre el usuario con el nombre de usuario de
autenticación, autorización y cuentas (AAA) especificado.
resumida Adicional Mostrar información estándar de todos los usuarios. Predeterminada
detalle Adicional Muestra información detallada acerca de todos los usuarios.
Debug Adicional Mostrar información de depuración de todos los usuarios.
dirección local Muestra información del usuario con la dirección IP de puerta de enlace local
especificada.
local-ike-id Muestra información del usuario con el ID de ICR local especificado.
número de puerto Muestra información de los usuarios en el número de puerto de puerta de

local enlace local especificado para la dirección IP de puerta de enlace local
especificada.
fpc slot-number pic Adicional Muestra información acerca de los usuarios de la ranura del
slot-number concentrador PIC flexible (FPC) especificada y la ranura PIC.
id ike-id ICR-ID Adicional Muestra información sobre el usuario con el ID. de ICR especificado.
instancia de kmd (Opcional) Muestra información de los usuarios en el proceso de administración

(todas | kmd-instance- de claves (KMD) identificado por FPC slot-number y PIC slot-number.
name)
• all: todas las instancias de KMD que se ejecutan en la unidad de
procesamiento de servicios (SPU).
• kmd-instance-name: nombre de la instancia de KMD que se ejecuta en la

SPU.
pic slot-number fpc Adicional Muestra información acerca de los usuarios en la ranura de PIC
slot-number especificada y en la ranura FPC.
dirección par número Adicional Mostrar información acerca de los usuarios en el puerto especificado
de puerto de puerto para la dirección del mismo nivel especificada.
instancia de ruta Muestra información de los usuarios en la instancia de enrutamiento de puerta

de enlace local especificada.
Estadísticas Muestra resultados detallados junto con ICR estadísticas de SA acumuladas en

el par.
1919
ha-link-encryption (Opcional) Muestra información relacionada solo con el túnel de vínculo de

interchasis. Consulte "ipsec (alta disponibilidad)" en la página 1624 y "muestra
la seguridad ike active-peer ha-link-encryption (SRX5400, SRX5600,
SRX5800)" en la página 1923 .
vista
Tabla 129 en la página 1919enumera los campos de salida del show security ike active-peer comando.
Tabla 129: Mostrar seguridad los campos de salida IKE activa-peer
Nombre del campo Descripción de campo Nivel de salida
Remote Address Dirección IP del interlocutor. brief
Port Puerto usado por el interlocutor. Todos los

niveles
Peer IKE-ID ID. de ICR utilizado por el interlocutor. Todos los

niveles
AAA username Nombre de usuario del elemento del mismo nivel. Todos los
niveles
Assigned IP Dirección IP asignada al interlocutor. brief

1920
Tabla 129: Mostrar seguridad los campos de salida IKE activa-peer (Continued)
Assigned network Los atributos de red asignados al interlocutor pueden detail

attributes incluir la dirección IP y la máscara, así como las
direcciones del servidor DNS y WINS.
Previous Peer address Dirección IP asignada previamente al elemento del detail

mismo nivel.
Active IKE SA indexes Número de índice de la SA asociada con el sistema del detail
mismo nivel. Este número es un número generado
internamente.
IKE SA negotiated Número de SA de ICR negociadas. detail
IPSec tunnels active Número de túneles IPsec activos. detail
IPSec Tunnel IDs Identificadores de los túneles IPsec activos. detail
DPD Config Info Valores de configuración DPD. detail
DPD Statistics Información sobre las operaciones DPD. detail
Local gateway interface Nombre de interfaz de la puerta de enlace local. detail
Routing instance Nombre de la instancia de enrutamiento de puerta de detail

enlace local.
Local address Dirección IP de la puerta de enlace local. detail
Local IKE-ID ICR ID utilizado por la puerta de enlace local. detail

1921
Mostrar seguridad IKE activa-igual del mismo nivel
Remote Address Port Peer IKE-ID AAA username Assigned IP

192.168.6.136 8034 user1tac@650a user1
192.168.80.225
muestra estadísticas de ike de seguridad de pares activos
user@host> show security ike active-peer stats

Local gateway interface: xe-1/1/2
Routing instance: default
Local address: 192.0.2.1, Port: 500,
Local IKE-ID : device.example.net
Peer IKE-ID : device1.example.net
AAA username: not available
DNS Address : 19851.100.25 , DNS2 Address : 198.51.100.26
Assigned network attributes (IPv6):
IP Address : :: , prefix : 0
DNS Address : 2001:db8:::ffff , DNS2 Address : 2001:db8::1001
1922

Mostrar seguridad IKE activa-punto activo
user@host> show security ike active-peer detail

Local gateway interface: xe-1/1/2
Local address: 192.0.2.1, Port: 500,
Local IKE-ID : device.example.net
1923
Peer IKE-ID : device1.example.net

AAA username: not available
DNS Address : 198.51.100.25 , DNS2 Address : 198.51.100.26
Assigned network attributes (IPv6):
IP Address : 5000::1 , prefix : 112
DNS Address : 1000::ffff:ffff , DNS2 Address : 1100::ffff:ffff

muestra la seguridad ike active-peer ha-link-encryption (SRX5400, SRX5600, SRX5800)
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. El siguiente
comando muestra solo los pares activos del vínculo de interchasis y no los pares activos regulares.
user@host> show security ike active-peer ha-link-encryption
Remote Address Port Peer IKE-ID AAA username Assigned IP

23.0.0.2 500 23.0.0.2 not available 0.0.0.0
Comando introducido en Junos OS versión 10,4. Compatibilidad para mostrar estadísticas de detección
de sistemas no respondes (DPD) agregadas en Junos OS versión 12.3 X48-D10.

1924
Mostrar seguridad depuración IKE-estado
in this section
Sintaxis | 1924
Descripción | 1924
Sintaxis
show security ike debug-status
Descripción
Muestra el estado de depuración de la traza Intercambio de claves por red habilitada actualmente (ICR).
vista
1925
Tabla 130 en la página 1925enumera los campos de salida del show security ike debug-status comando.
Tabla 130: Mostrar seguridad depuración IKE-campos de salida
Habilitado o deshabilitado Estado del ICR el seguimiento por túnel.
Bandera Operación de seguimiento; el valor predeterminado es ALL.
nivel Nivel de registro; el valor predeterminado es 7.
IP local Dirección IP local del extremo del túnel VPN.
IP remota Dirección IP remota del extremo del túnel VPN.
Mostrar seguridad depuración IKE-estado
user@host> show security ike debug-status

Enabled
flag: all
level: 7
Local IP: 192.0.2.1, Remote IP: 203.0.113.2
Comando introducido en Junos OS Release 11.4 R3.

1926

Mostrar la clave previa compartida de seguridad IKE
in this section
Sintaxis | 1926
Descripción | 1926
Opciones | 1927
Sintaxis
show security ike pre-shared key

<master-key master-key >
<user-id user-id >
Descripción
Mostrar la clave previamente compartida de Intercambio de claves por red (ICR) utilizada por la puerta
de enlace de la red privada virtual (VPN) para autenticar al usuario de acceso remoto.
1927
Opciones
• master-key master-key —(Opcional) Clave previamente compartida principal.
• user-id user-id — (Opcional) ICR valor de ID de usuario.
vista
Mostrar la clave previa compartida de seguridad IKE
user@host> show security ike pre-shared-key user-id a@example.net master-key example

Preshared Key:3b33ec3631a561ec5a710f5d02f208033b108bb4

1928
Mostrar seguridad IKE seguridad-asociaciones
in this section
Sintaxis | 1928
Descripción | 1928
Opciones | 1929
Sintaxis
show security ike security-associations

<peer-address>
<brief | detail>
<fpc slot-number>
<pic slot-number>
<sa-type shortcut >
Descripción
Mostrar información acerca de Intercambio de claves por red asociaciones de seguridad (ICR SA).
1929
Opciones
• ninguna: muestra información estándar acerca de las ICR existentes, incluidos los números de índice.
• peer-address—(Opcional) Muestra detalles de una SA determinada basada en la dirección IPv4 o IPv6

del par de destino. Esta opción y index proporcione el mismo nivel de salida.
• brief— (Opcional) Muestra información estándar de todas las ICR existentes. Predeterminada
• detail— (Opcional) Muestra información detallada de todas las ICR EXISTENTES.
• family—(Opcional) Muestra ICR SA por familia. Esta opción se utiliza para filtrar los resultados.
• fpc slot-number— (Opcional) Muestra información acerca de las ICR existentes en esta ranura del
concentrador de PIC flexible (FPC). Esta opción se utiliza para filtrar los resultados.
En un clúster de chasis, cuando ejecuta el comando show security ike security-associations pic
<slot-number> fpc <slot-number> de CLI en modo operativo solo se muestra la información del
nodo principal de las SA de IPSec existentes en la ranura del concentrador de PIC flexible (FPC)
especificada y la ranura de PIC.
• index SA-index-number— (Opcional) Muestra información para una SA determinada según el número
de índice de la SA. Para una SA en particular, muestre la lista de las SA existentes utilizando el
comando sin opciones. Esta opción y peer-address proporcione el mismo nivel de salida.
• kmd-instance — (Opcional) Muestra información acerca de las AS de ICR existentes en el proceso de

administración de claves (en este caso, es KMD) identificado por el número de ranura fPC y el
número de ranura PIC. Esta opción se utiliza para filtrar los resultados.
(SPU).
• pic slot-number — (Opcional) Muestra información acerca de las ICR existentes en esta ranura PIC.
Esta opción se utiliza para filtrar los resultados.
• sa-type— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
• ha-link-encryption— (Opcional) Muestra información relacionada únicamente con el túnel de vínculo

de interchasis. Consulte "ipsec (alta disponibilidad)" en la página 1624 y "muestra las asociaciones de
seguridad ike ha-link-encryption (SRX5400, SRX5600, SRX5800)" en la página 1946 .
1930
vista
Tabla 131 en la página 1930enumera los campos de salida del show security ike security-associations
Tabla 131: Mostrar seguridad IKE seguridad-asociaciones campos de salida
IKE Peer or Remote Address Dirección IP del equipo del mismo nivel de destino con la que se

una sola SA.
Gateway Name Nombre de la puerta de enlace de ICR.
Location • FPC— Número de ranura del concentrador de PIC flexible (FPC).
• PIC: número de ranura PIC.
• KMD-Instance: el nombre de la instancia de KMD que se ejecuta

en la SPU, identificado por un número de ranura FPC y un número
de ranura PIC. Actualmente, se ejecutan 4 instancias de KMD en
cada la SPU, y cualquier negociación de ICR en particular se lleva a
cabo mediante una sola instancia KMD.
Role Parte que se reproduce en la sesión de ICR. El dispositivo que activa la

negociación del ICR es el iniciador y el dispositivo que acepta los
primeros ICR los paquetes de Exchange es el que responde.
1931
Tabla 131: Mostrar seguridad IKE seguridad-asociaciones campos de salida (Continued)
State Estado del ICR SAs:

Exchange type Método de negociación acordado por los dos extremos IPsec, o
Cada modo o tipo de intercambio determina el número de mensajes y
los tipos de carga que se incluyen en cada mensaje. Los modos son:
• main: el intercambio se realiza con seis mensajes. Este modo cifra la

carga útil y protege la identidad del vecino.

no cifra la carga, dejando la identidad del vecino desprotegida.
El protocolo IKEv2 no usa la configuración del modo para la

negociación. Por lo tanto, el modo muestra el número de versión de la
Asociación de seguridad.
Authentication method Método utilizado para autenticar el origen de mensajes de ICR, que
pueden ser Pre-shared-keys o certificados digitales, DSA-
signaturescomo, ECDSA-signatures-256ECDSA-signatures-384o.
RSA-signatures
1932
Reauth Lifetime Cuando está habilitada esta opción, quedan #a0 segundos hasta que la
nueva autenticación activa una negociación de Asociación de la SA a
IKEv2.
IKE Fragmentation Enabledsignifica que tanto el iniciador IKEv2 como el respondedor

admiten la fragmentación de mensajes y han negociado la
compatibilidad durante el intercambio de mensajes IKE_SA_INIT.
Sizemuestra el tamaño máximo de un mensaje IKEv2 antes de que se

fragmente.
1933
Algorithms Algoritmos de ICR utilizados para cifrar y asegurar los intercambios

entre los interlocutores durante el proceso de fase 2 de IPsec:
• Authentication— Tipo de algoritmo de autenticación utilizado:
• sha1: autenticación de algoritmo de hash seguro 1.
• md5: autenticación MD5.
• Encryption— Tipo de algoritmo de cifrado utilizado:

avanzado (AES).
• aes-192-cbc: cifrado AES192-bit.
• 3des-cbc— 3 Cifrado estándar de cifrado de datos (DES).
• aes-128-gcm: cifrado de 256 bits del estándar de cifrado

avanzado (AES).
• des-cbc: cifrado DES.
A partir de Junos OS versión 19.4R2, cuando configure o como

algoritmo de cifrado en el nivel de jerarquía, el campo de algoritmo
de autenticación del comando mostrará el mismo algoritmo de
cifrado aes-128-gcmaes-256-gcm[edit security ipsec
proposalproposal-name] show security ikesecurity-associations
detail configurado.
• Pseudo random function: función que genera números aleatorios

altamente impredecibles: hmac-md5o hmac-sha1.
• Diffie-Hellman group: especifica el tipo de grupo Diffie-Hellman al

realizar el nuevo intercambio Diffie-Hellman. Puede ser uno de los
siguientes:
1934
• group1— Algoritmo de exponencial modular (MODP) de 768

bits.
• group14— grupo MODP de 2048 bits.
• group15— algoritmo MODP de 3072 bits.
• group19— Módulos de grupos de curva elíptica aleatorios de

256 bits un algoritmo principal (grupo ECP).
• group20— Algoritmo de grupo ECP aleatorio de 384 bits.
• group21— Algoritmo de grupo ECP aleatorio de 521 bits.
• group24— grupo MODP de 2048 bits con subgrupo de orden

principal de 256 bits.
• Input fragmented packets— Número de paquetes fragmentados

IKEv2 recibidos.
• Output fragmented packets— Número de paquetes fragmentados

IKEv2 transmitidos.
1935
Flags Notificación al proceso de administración de claves del estado de la

negociación del ICR:


esperando a que los temporizadores de retransmisión final remoto
expiren.
• waiting for remove: se ha fallado la negociación. La biblioteca está

esperando a que los temporizadores de retransmisión final remoto
expiren antes de quitar esta negociación.
• waiting for policy manager: la negociación está a la espera de una

respuesta del administrador de políticas.
IPSec security associations • number created:Número de SA creadas.
• number deleted: Número de SA eliminadas.

1936
Phase 2 negotiations in Número de negociaciones ICR de la fase 2 en el progreso y en la

progress información de estado:
• Negotiation type— Tipo de negociación de fase 2. Actualmente,

Junos OS es compatible con el modo rápido.
• Message ID: identificador único para una negociación de fase 2.
• Local identity— Identidad de la negociación local de fase 2. El

formato es id-type-name (proto-name:port-number,[0..id-data-len]
= iddata-presentation).
• Remote identity— Identidad de la negociación remota de fase 2. El

formato es id-type-name (proto-name:port-number,[0..id-data-len]
= iddata-presentation).
• Flags: notificación al proceso de administración de claves del

estado de la ICR negociación:


esperando a que los temporizadores de retransmisión final
remoto expiren.
• waiting for remove: se ha fallado la negociación. La biblioteca

está esperando a que los temporizadores de retransmisión final
remoto expiren antes de quitar esta negociación.
• waiting for policy manager: la negociación está a la espera de

una respuesta del administrador de políticas.
Local gateway interface Nombre de interfaz de la puerta de enlace local.
Routing instance Nombre de la instancia de enrutamiento de puerta de enlace local.
IPsec Tunnel IDs Indica la lista de los IPsec secundarios de los IPsec de tunelización
1937
Mostrar seguridad IKE de seguridad-asociaciones (IPv4)

Index Remote Address State Initiator cookie
Responder cookie Mode
8 192.168.1.2 UP 3a895f8a9f620198 9040753e66d700bb
Main
Index Remote Address State fInitiator cookie Responder
cookie Mode
9 192.168.1.3 UP 5ba96hfa9f65067
70890755b65b80b Main
Mostrar seguridad IKE-asociaciones de seguridad (IPv6)

Address
5 UP e48efd6a444853cf 0d09c59aafb720be Aggressive 2001:db8::1112
Mostrar seguridad IKE-detalle de asociaciones de seguridad (SRX300, SRX320, SRX340,

SRX345 y SRX550HM)

IKE peer 192.168.134.245, Index 2577565, Gateway Name: tropic
Initiator cookie: b869b3424513340a, Responder cookie: 4cb3488cb19397c3
Exchange type: Main, Authentication method: Pre-shared-keys Trusted CA group:
xyz_ca_grp
Local: 192.168.134.241:500, Remote: 192.168.134.245:500
Local gateway interface: ge-0/0/0
Peer ike-id: 192.168.134.245
Algorithms:
1938
Encryption : aes-128-gcm
Traffic statistics:
Input bytes : 1012
Output bytes : 1196
Input packets: 4
Output packets: 5

Local: 192.168.134.241:500, Remote: 192.168.134.245:500
Mostrar seguridad IKE seguridad de asociaciones (SRX5400, SRX5600 y dispositivos

SRX5800)

IKE peer 2.0.0.2, Index 2068, Gateway Name: IKE_GW
Role: Responder, State: DOWN
Initiator cookie: aa08091f3d4f1fb6, Responder cookie: 08c89a7add5f9332
Local gateway interface: ge-0/0/3
Local: 2.0.0.1:500, Remote: 2.0.0.2:500
1939

Peer ike-id: 2.0.0.2
Algorithms:
Traffic statistics:
Input bytes : 704
Output bytes : 1408
Input packets: 4
Output packets: 4
Input fragmented packets: 0
Output fragmented packets: 0
IPSec Tunnel IDs: 500766, 500767

Local: 2.0.0.1:500, Remote: 2.0.0.2:500

1940
nombre de comando
El "tema mostrar estadísticas de ike de" en la página 1947 seguridad enumera los campos de salida del
show security ike security-associations detail comando.
Mostrar seguridad IKE seguridad-familia asociaciones inet6
user@host> show security ike security-associations family inet6

IKE peer 2001:db8:1212::1112, Index 5, Gateway Name: tropic
Initiator cookie: e48efd6a444853cf, Responder cookie: 0d09c59aafb720be
Local: 2001:db8:1212::1111:500, Remote: 2001:db8:1212::1112:500
Peer ike-id: not valid
Algorithms:
Traffic statistics:
Input bytes : 1568
Output bytes : 2748
Input packets: 6
Output packets: 23

Local: 2001:db8:1212::1111:500, Remote: 2001:db8:1212::1112:500
Mostrar seguridad IKE seguridad-asociaciones índice 222075191 detalle

node0:
1941
-
IKE peer 192.168.1.2, Index 222075191, Gateway Name: ZTH_HUB_GW
Auto Discovery VPN:
Initiator cookie: 7b996b4c310d2424, Responder cookie: 5724c5882a212157
Local: 192.168.1.1:500, Remote: 192.168.1.2:500
Peer ike-id: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering,
CN=cssvk36-d
Algorithms:
Traffic statistics:
Input bytes : 20474
Input packets: 237
Output packets: 237

Local: 192.168.1.1:500, Remote: 192.168.1.2:500
Local identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example,
OU=engineering, CN=host1
Remote identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example,
1942
Mostrar seguridad IKE seguridad-asociaciones índice 788674 detalle

IKE peer 192.168.1.1, Index 788674, Gateway Name: ZTH_SPOKE_GW
Auto Discovery VPN:
Initiator cookie: 7b996b4c310d2424, Responder cookie: 5724c5882a212157
Local: 192.168.1.2:500, Remote: 192.168.1.1:500
Peer ike-id: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering,
CN=test
Algorithms:
Traffic statistics:
Input bytes : 22535
Input packets: 256
Output packets: 256

Local: 192.168.1.2:500, Remote: 192.168.1.1:500
Local identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example,
Remote identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example,
1943
Mostrar seguridad IKE seguridad-asociaciones 192.168.1.2
user@host> show security ike security-associations 192.168.1.2

8 UP 3a895f8a9f620198 9040753e66d700bb Main 192.168.1.2
Mostrar seguridad IKE seguridad-asociaciones FPC 6 PIC 1 KMD-instancia todos (dispositivos

serie SRX)
user@host> show security ike security-associations fpc 6 pic 1 kmd-instance all

1728053250 192.168.1.2 UP fc959afd1070d10b bdeb7e8c1ea99483 Main
Mostrar seguridad IKE seguridad-asociaciones detalle (ADVPN, es más recomendable, túnel

estático)

IKE peer 192.168.0.105, Index 13563297, Gateway Name: zth_hub_gw
Auto Discovery VPN:
Suggestion response accepted: 12
Suggestion response declined: 0
Initiator cookie: 4d3f4e4b2e75d727, Responder cookie: 81ab914e13cecd21
Local: 192.168.0.154:500, Remote: 192.168.0.105:500
Peer ike-id: DC=example, CN=host02, L=Sunnyvale, ST=CA, C=US
Mostrar seguridad IKE seguridad-asociaciones detalle (socio ADVPN, túnel estático)

IKE peer 192.168.0.154, Index 4980720, Gateway Name: zth_spoke_gw
1944

Auto Discovery VPN:
Initiator cookie: 4d3f4e4b2e75d727, Responder cookie: 81ab914e13cecd21
Local: 192.168.0.105:500, Remote: 192.168.0.154:500
Peer ike-id: DC=example, CN=host01, OU=SBU, O=example, L=Sunnyvale, ST=CA, C=US
Mostrar seguridad IKE seguridad-asociaciones detalle (socio ADVPN, acceso directo)

IKE peer 192.168.0.106, Index 4980737, Gateway Name: GW-ADVPN-GT-ADVPN-
zth_spoke_vpn-268173323
Auto Discovery VPN:
Initiator cookie: e1ed0c655929debc, Responder cookie: 437de6ed784ba63e
Local: 192.168.0.105:500, Remote: 192.168.0.106:500
Peer ike-id: DC=example, CN=paulyd, L=Sunnyvale, ST=CA, C=US
Mostrar seguridad IKE seguridad-asociaciones método abreviado tipo SA (ADVPN)
user@host> show security ike security-associations sa-type shortcut

4980742 UP vb56fbe694eaee5b6 064dbccbfa3b2aab IKEv2 192.168.0.106
1945
Show Security IKE seguridad-Associations-asociaciones de acceso directo tipo de SA

(ADVPN)
user@host> show security ike security-associations sa-type shortcut detail

IKE peer 192.168.0.106, Index 4980742, Gateway Name: GW-ADVPN-GT-ADVPN-
zth_spoke_vpn-268173327
Auto Discovery VPN:
Type: Shortcut, Local Role: Partner, Peer Role: Partner
Show seguridad IKE seguridad-asociaciones detalle (reautenticación IKEv2)

IKE peer 10.1.2.11, Index 6009224, Gateway Name: GW
Initiator cookie: 2c74d14c798a9d70, Responder cookie: 83cbb49bfbcb80cb
Local: 10.1.1.11:500, Remote: 10.1.2.11:500
Reauth Lifetime: Expires in 600 seconds
Peer ike-id: vsrx@example.net
Algorithms:
Traffic statistics:
Input bytes : 1782
Output bytes : 1743
Input packets: 2
Mostrar seguridad IKE seguridad de asociaciones (fragmentación de IKEv2)

IKE peer 172.24.23.157, Index 11883008, Gateway Name: routebased_s2s_gw-552_1
Initiator cookie: f3255e720f162e3a, Responder cookie: 17555e3ff7451841
1946
Exchange type: Main, Authentication method: Pre-shared-keys Trusted CA group:

xyz_ca_grp
Local: 192.168.254.1:500, Remote: 172.24.23.157:500
Peer ike-id: 172.24.23.157
Algorithms:
Traffic statistics:
Input bytes : 1004
Output bytes : 756
Input packets: 6
Output packets: 4
Input fragmented packets: 3
Output fragmented packets: 3

Local: 192.168.254.1:500, Remote: 172.24.23.157:500
muestra las asociaciones de seguridad ike ha-link-encryption (SRX5400, SRX5600, SRX5800)
comando muestra solo lasAS de cifrado de vínculos en ambos nodos.
user@host> show security ike security-associations ha-link-encryption

4294966287 UP 7b77b4e2fd5a87e5 ab4a398e6a28687a IKEv2 23.0.0.2
1947
Comando introducido en Junos OS versión 8,5. Compatibilidad con las fpcopciones pic, y kmd-instance ,
que se agregan en Junos os versión 9,3. Soporte para la family opción agregada en Junos OS versión
11,1. Compatibilidad con la VPN de detección automática agregada en Junos OS versión 12.3 X48-D10.
La compatibilidad con la reautenticación IKEv2 se agrega en Junos OS Release 15.1 X49-D60.
Compatibilidad con la fragmentación de IKEv2 agregada en Junos OS versión 15.1 X49-D80.
Ejemplo Configuración de un túnel VPN basado en rutas en un sistema de usuario lógico
Mostrar estadísticas IKE de seguridad
in this section
Sintaxis | 1947
Descripción | 1948
Opciones | 1948
Sintaxis
show security ike stats <brief | detail>

1948
Descripción
Muestra información sobre las estadísticas globales de ICR (Intercambio de claves por red) para los
túneles tales como negociaciones en curso, establecidas y vencidas que utilicen IKEv2 en sus
dispositivos de la serie SRX5000 con tarjeta SRX5K-SPC3.
Opciones
• Predeterminada brief
Muestra estadísticas de recuento de túneles y contadores distintos de cero de las estadísticas ICR
globales.
detail
Muestra todas las estadísticas globales ICR de túneles.
vista
Tabla 132 en la página 1948enumera los campos de salida de total ICR SA y estadísticas de recuento de
túneles. Tabla 133 en la página 1950 enumera los campos de salida IKE_SA_INITde IKE_AUTH, IKE SA
Rekey CREATE_CHILD_SA, IPsec SA Rekey CREATE_CHILD_SA , las estadísticas de Exchange. Tabla
134 en la página 1956 enumera ICR total de estadísticas de errores de show security ike stats mensajes
del comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 132: total-ICR-SA-and-Tunnel-Count-campos de resultados de estadísticas
Number of IKE SAs Número de ICR SA activas actualmente.

1949
Tabla 132: total-ICR-SA-and-Tunnel-Count-campos de resultados de estadísticas (Continued)
Number of IPsec Tunnels Número de túneles IPsec activos actualmente.

1950
Tabla 133: IKEV2_negotiaton_exchange_statistics
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
IKE_SA_INIT • Request Out : número de • Request In: número de IKE_SA_INIT

exchange stats IKE_SA_INIT mensajes de solicitud mensajes de solicitud recibidos por el
enviados por el iniciador. respondedor.
• Response In— Número de mensaje • Response Out— Número de

IKE_SA_INIT de respuesta recibido mensajes IKE_SA_INIT de respuesta
por el iniciador. enviados por el respondedor.
• Invalid KE Payload In: número de • Invalid KE Payload Out— Número de

IKE_SA_INIT IKE_SA_INIT
INVALID_KE_PAYLOAD mensajes INVALID_KE_PAYLOAD mensaje de
de notificación recibidos por el notificación enviado por el
iniciador. respondedor.
• No Proposal Chosen In: número de • No Proposal Chosen Out— Número

IKE_SA_INIT de IKE_SA_INIT
NO_PROPSAL_CHOSEN mensajes NO_PROPSAL_CHOSEN mensaje de
de notificación recibidos por el notificación enviado por el
• Cookie Request In: número de • Cookie Request Out— Número de

mensajes IKE_SA_INIT de mensajes IKE_SA_INIT de
notificación de solicitud de cookies notificación de solicitud de cookies
recibidos por el iniciador. enviados por el respondedor.
• Cookie Response Out— Número de • Cookie Response In— Número de

mensajes IKE_SA_INIT de mensajes IKE_SA_INIT de
notificación de respuesta a cookies notificación de respuesta a cookies
enviados por el respondedor. recibidos por el respondedor.
• Res Invalid IKE SPI— Número de • Res DH Gen Key Fail: se ha fallado el
mensaje IKE_SA_INIT de respuesta procesamiento de mensajes de
que contiene SPI no válido recibido respuesta durante la generación de
por el iniciador. claves IKE_SA_INIT en el
respondedor Diffie-Hellman.
1951
Tabla 133: IKEV2_negotiaton_exchange_statistics (Continued)
respondedor
• Res Verify SA Fail: se ha fallado el • Res Invalid DH Group Conf: se ha

IKE_SA_INIT procesamiento de fallado el procesamiento de mensajes
mensajes de respuesta durante la de respuesta debido a que el grupo
verificación del par de SA en el IKE_SA_INIT Diffie-Hellman no es
iniciador. válido configurado en el
respondedor.
• Res IKE SA Fill Fail: se ha fallado el
procesamiento de mensajes de • Res Get CAs Fail: se ha fallado
respuesta durante ICR operación de IKE_SA_INIT el procesamiento de
IKE_SA_INIT llenado de SA en el mensajes de respuesta durante la
iniciador. operación de ca de get en el
respondedor.
• Res Verify DH Group Fail: se ha
fallado IKE_SA_INIT el • Res Get VID Fail: se ha fallado el
procesamiento de mensajes de IKE_SA_INIT procesamiento de
respuesta durante la verificación del mensajes de respuesta durante la
grupo Diffie-Hellman en el iniciador. operación de solicitud de ID del
proveedor en el respondedor.
• Res DH Compute Key Fail: se ha
fallado el procesamiento de • Res DH Compute Key Fail: se ha
mensajes de respuesta durante la fallado el procesamiento de mensajes
verificación de la clave de de respuesta durante la clave de
computación IKE_SA_INIT Diffie- IKE_SA_INIT procesamiento Diffie-
Hellman en el iniciador. Hellman en el respondedor.
1952
respondedor
IKE_AUTH • Request Out: número de IKE_AUTH • Request In: número de IKE_AUTH

exchange stats mensajes de solicitud enviados por el mensajes de solicitud recibidos por el
• Response In— Número de mensaje • Response Out— Número de

IKE_AUTH de respuesta recibido por mensajes IKE_AUTH de respuesta
el iniciador. enviados por el respondedor.
• No Proposal Chosen In: número de • No Proposal Chosen Out— Número

IKE_AUTH NO_PROPSAL_CHOSEN de IKE_AUTH
mensajes de notificación recibidos NO_PROPSAL_CHOSEN mensaje de
por el iniciador. notificación enviado por el
respondedor.
• TS Unacceptable In: número de
IKE_AUTH TS_UNACCEPTABLE • TS Unacceptable out— Número de
mensajes de notificación recibidos IKE_AUTH TS_UNACCEPTABLE
por el iniciador. mensaje de notificación enviado por
el respondedor.
• Authentication Failed In: número de
IKE_AUTH • Authentication Failed Out— Número
AUTHENTICATION_FAILED de IKE_AUTH
mensajes de notificación recibidos AUTHENTICATION_FAILED
por el iniciador. mensaje de notificación enviado por
el respondedor.
1953
respondedor
IKE SA Rekey • Request Out: número de ICR • Request In: número de ICR mensaje
CREATE_CHIL mensaje de solicitud de de solicitud de reclaclación de SA
D_SA exchange CREATE_CHILD_SA reclave sa CREATE_CHILD_SA recibido por el
stats enviado por el iniciador. respondedor.
• Response In: número de ICR mensaje • Response Out: número de ICR

de respuesta de CREATE_CHILD_SA mensaje de respuesta de
reclave sa recibido por el iniciador. CREATE_CHILD_SA reclave sa
enviado por el respondedor.
• No Proposal Chosen In: número de
ICR mensaje de notificación de • No Proposal Chosen Out: número de
reclave SA CREATE_CHILD_SA ICR mensaje de notificación de
NO_PROPSAL_CHOSEN recibido reclave CREATE_CHILD_SA
por el iniciador. NO_PROPSAL_CHOSEN SA enviado
por el respondedor.
• Invalid KE In: número de ICR
mensaje de notificación de reclave • Invalid KE Out: número de ICR
SA CREATE_CHILD_SA mensaje de notificación de reclave
INVALID_KE_PAYLOAD recibido CREATE_CHILD_SA
por el iniciador. INVALID_KE_PAYLOAD SA enviado
por el respondedor.
• Res DH Compute Key Fail: número
de ICR error en el procesamiento de • Res DH Compute Key Fail: número
mensajes de respuesta de reclame de ICR error en el procesamiento de
SA durante la verificación de la clave mensajes de respuesta de SA durante
de procesamiento la clave de procesamiento
CREATE_CHILD_SA Diffie-Hellman CREATE_CHILD_SA Diffie-Hellman
en el iniciador. en el respondedor.
• Res Verify SA Fail: número de ICR

error en el procesamiento de
mensajes de respuesta de reclave de
SA durante la verificación de un error
de SA par CREATE_CHILD_SA en el
iniciador.
1954
respondedor
• Res Fill IKE SA Fail: se ha fallado ICR

procesamiento de mensajes de
respuesta de reclave sa durante ICR
operación de llenado
CREATE_CHILD_SA de SA en el
iniciador.
• Res Verify DH Group Fail— Número

de ICR error en el procesamiento de
mensajes de respuesta de reclame
SA durante la verificación del grupo
CREATE_CHILD_SA Diffie-Hellman
en el iniciador.
1955
respondedor
IPsec SA Rekey • Request Out: número de mensaje de • Request In: número de mensaje de
CREATE_CHIL solicitud de reclaclación de SA solicitud de reclaclación de SA
D_SA exchange CREATE_CHILD_SA IPsec enviado CREATE_CHILD_SA IPsec recibido
stats por el iniciador. por el respondedor.
• Response In: número de mensaje de • Response Out— Número de mensaje

respuesta de reclave SA IPsec de respuesta de reclave SA IPsec
CREATE_CHILD_SA recibido por el CREATE_CHILD_SA enviado por el
• No Proposal Chosen In— Número de • No Proposal Chosen Out— Número

mensaje de notificación de reclave de mensaje de notificación de
SA IPsec CREATE_CHILD_SA reclave SA IPsec CREATE_CHILD_SA
NO_PROPSAL_CHOSEN recibido NO_PROPSAL_CHOSEN enviado
por el iniciador. por el respondedor.
• Invalid KE In— Número de mensaje • Invalid KE Out— Número de mensaje

de notificación de reclave SA IPsec de notificación de reclave SA IPsec
CREATE_CHILD_SA CREATE_CHILD_SA
INVALID_KE_PAYLOAD recibido INVALID_KE_PAYLOAD enviado por
por el iniciador. el respondedor.
• TS Unacceptable In— Número de • TS Unacceptable Out— Número de

mensaje de notificación de reclave mensaje de notificación de reclave
SA IPsec CREATE_CHILD_SA SA IPsec CREATE_CHILD_SA
TS_UNACCEPTABLE recibido por el TS_UNACCEPTABLE enviado por el
• Res DH Compute Key Fail: se ha • Res DH Compute Key Fail: se ha

fallado en el procesamiento de fallado en el procesamiento de
mensajes de respuesta de SA de mensajes de respuesta de SA de
IPsec durante la verificación de la IPsec durante la clave de
clave de procesamiento procesamiento CREATE_CHILD_SA
CREATE_CHILD_SA Diffie-Hellman Diffie-Hellman en el respondedor.
en el iniciador.
1956
respondedor
• Res Verify SA Fail: se ha fallado en el

respuesta de SA de IPsec durante la
comprobación CREATE_CHILD_SA
de la SA par en el iniciador.
• Res Verify DH Group Fail: se ha

fallado en el procesamiento de
mensajes de respuesta de SA de
IPsec durante la verificación del
grupo CREATE_CHILD_SA Diffie-
Hellman en el iniciador.
• Res Verify TS Fail: se ha fallado en el

respuesta de SA de IPsec durante la
CREATE_CHILD_SA verificación del
TS en el iniciador.
Tabla 134: IKEv2_negotiation_message_failure_statistics
Discarded Número total de mensajes descartados.
Integrity fail Número total de mensajes con errores de comprobación de

integridad.
Invalid exchange type Número total de mensajes con un error de tipo de intercambio no
válido.
Disorder Número total de mensajes que no se han podido producir debido a un

trastorno.
1957
Tabla 134: IKEv2_negotiation_message_failure_statistics (Continued)
ID error Número total de mensajes con un error de ID.
Invalid SPI Número total de mensajes con un error de SPI no válido.
Invalid length Número total de mensajes con un error de longitud no válida.
muestra el informe de estadísticas de ike de seguridad
user@host> show security ike stats brief


Request In : 4
Response Out : 4

Request In : 4
Response Out : 4


1958
Request Out : 1537

Response In : 1537
muestra los detalles de las estadísticas de ike de seguridad
user@host> show security ike stats detail




1959


Total IKE message failure stats:

Discarded : 0 ID error : 0
Integrity fail : 0 Invalid SPI : 0
Invalid exchange type: 0 Invalid length: 0
Disorder : 0
Comando introducido en Junos OS versión 19.4 R1.
CLI opciones brief y detail se introducen en la Junos OS versión 20.1R1.

1960
in this section
Sintaxis | 1960
Descripción | 1960
Opciones | 1960
Sintaxis
show security ike tunnel-map (<brief | summary>) <fpc slot-number> <kmd-instance

(all | kmd-instance-name)> <pic slot-number>
Descripción
Mostrar la asignación de túnel en diferentes unidades de procesamiento de servicios (SPUs) para VPN de
sitio a sitio y manuales. Puede insertar un SPC en un dispositivo en un clúster de chasis sin interrumpir
el tráfico en los túneles VPN existentes. Después de insertar el SPC, puede ver la asignación de túnel
mediante este comando. Esta característica solo es compatible con SRX5400, SRX5600 y dispositivos de
Opciones
resumida Muestra información estándar acerca de todas las SA de ICR existentes. Este es el valor
predeterminado.
1961
número de Muestra información sobre las SA de ICR existentes en la ranura de concentrador PIC
ranura fpc flexible (FPC) especificada.
instancia de (Opcional) Muestra información acerca de las ICR existentes en el proceso de

kmd (todas | administración de claves ( KMD) identificado por el número de ranura fPC y el número
kmd-instance-
name) de ranuraPIC. Esta opción se utiliza para filtrar los resultados. Puede especificar una de
las siguientes opciones:
• todas: todas las instancias de KMD que se ejecutan en la unidad de procesamiento

de servicios (SPU).
• kmd-instance-name:nombre de la instancia de KMD que se ejecuta en la SPU.
pic slot- Muestra información sobre las SA de ICR existentes en la ranura PIC especificada.
number
resumida Muestre la carga de asignación de túnel de cada la SPU. La carga es el número de veces
que se ha elegido una SPU como una SPU de delimitación. En el caso de las VPN de
sitio a sitio, la carga debe ser igual al número de puertas de enlace asignadas a la SPU.
vista
Tabla 135 en la página 1961enumera los campos de salida del show security ike tunnel-map comando.
Tabla 135: Mostrar seguridad túnel IKE-mapa campos de salida
Nombre del campo Descriptor de campo
ID. de puerta de enlace Identificador de puerta de enlace. Se trata de un número no

determinista que es constante siempre que la configuración esté
presente. Este número no aparece en ninguna otra salida.
1962
Tabla 135: Mostrar seguridad túnel IKE-mapa campos de salida (Continued)
Nombre del campo Descriptor de campo
Nombre de puerta de enlace Nombre de la puerta de enlace de ICR.
FPC Número de ranura FPC.
RECOGER Ranura de la serie PIC.
Instancia de IKED ICR identificador de instancia de proceso.
Carga de la SPU Número de veces que se ha elegido una SPU como una SPU de
delimitación.
user@host> show security ike tunnel-map

Gateway ID Gateway Name FPC PIC IKED Instance
2 ike_gw1 4 0 1
3 ike_gw2 7 0 1
4 ike_gw3 7 0 2
5 ike_gw4 4 0 2
Mostrar seguridad túnel IKE de mapa de bits
user@host> show security ike tunnel-map brief

2 gw-01 1 0 1
3 LAN_1 1 0 2
4 LAN_2 1 0 1
1963
5 LAN_3 1 0 2
6 LAN_4 1 0 1
Show Security túnel IKE-mapa FPC 1 pic 0
user@host> run show security ike tunnel-map fpc 1 pic 0

2 gw-01 1 0 1
3 LAN_1 1 0 2
4 LAN_2 1 0 1
5 LAN_3 1 0 2
6 LAN_4 1 0 1
Mostrar seguridad IKE de mapa de túnel-KMD de instancia de kmd1
user@host> show security ike tunnel-map kmd-instance kmd1

2 gw-01 1 0 1
4 LAN_2 1 0 1
6 LAN_4 1 0 1
Mostrar seguridad IKE de mapa de túnel de KMD-instancia todos
user@host> show security ike tunnel-map kmd-instance all

2 gw-01 1 0 1
3 LAN_1 1 0 2
4 LAN_2 1 0 1
5 LAN_3 1 0 2
6 LAN_4 1 0 1
Mostrar el túnel IKE de seguridad-Resumen de mapas
user@host> show security ike tunnel-map summary

FPC PIC SPU Load
1 0 5
1964
Mostrar seguridad IPSec control-plano-seguridad-

asociaciones
in this section
Sintaxis | 1964
Descripción | 1965
Opciones | 1965
Sintaxis
show security ipsec control-plane-security-associations

<brief | detail>
<sa-name sa-name>
1965
Descripción
Muestra información acerca de las asociaciones de seguridad IPsec (SA) manuales aplicadas a OSPF o
interfaces OSPFv3 o vínculos virtuales.
Opciones
• brief | detail— (Opcional) Muestra el nivel de salida especificado.
• sa-name sa-name: nombre de la SA manual.
vista
Tabla 136 en la página 1965enumera los campos de salida del show security ipsec control-plane-
aparecen.
Tabla 136: Mostrar seguridad IPSec plan-plano-seguridad-campos de salida de asociaciones
Name Nombre de la SA.
Algorithm Protocolo IPsec seguido por el algoritmo de cifrado y el algoritmo de

autenticación.
SPI Valor de SPI.

1966
Tabla 136: Mostrar seguridad IPSec plan-plano-seguridad-campos de salida de asociaciones

(Continued)
Total active security- Número total de SA manuales activas para la aplicación en OSPF o
associations interfaces OSPFv3 o vínculos virtuales.
Mostrar seguridad IPSec control-plano-seguridad-asociaciones
user@host> show security ipsec control-plane-security-associations

Name Algorithm SPI
test_sa ESP:3des/md5 3e8
test_sa2 ESP:3des/sha1 7d1
test_sa2 ESP:3des/sha1 7d1
Total active security-associations: 2
Mostrar seguridad IPSec control-plano-seguridad-asociaciones nombre-de-SA
user@host> show security ipsec control-plane-security-associations sa-name test_sa

Name Algorithm SPI
Total active security-associations: 1
Mostrar seguridad IPSec control-plano-detalle de asociaciones de seguridad
user@host> show security ipsec control-plane-security-associations detail

Direction: inbound, SA Name: test_sa,
Protocol: ESP:, Authentication: md5
SPI: 3e8, AUX-SPI: 0,
Mode: transport, Type: manual,
1967
ID: 1,
Direction: outbound, SA Name: test_sa,

Protocol: ESP:, Authentication: md5
SPI: 3e8, AUX-SPI: 0,
ID: 2,
Direction: inbound, SA Name: test_sa2,

Protocol: ESP:, Authentication: sha1
SPI: 7d1, AUX-SPI: 0,
ID: 3,
Direction: outbound, SA Name: test_sa2,

Protocol: ESP:, Authentication: sha1
SPI: 7d1, AUX-SPI: 0,
ID: 4,
Mostrar seguridad IPSec inactiva-túneles
in this section
Sintaxis | 1968
1968
Descripción | 1968
Opciones | 1968
Sintaxis
show security ipsec inactive-tunnels

brief | detail
family (inet | inet6)
fpc slot-number
index index-number
kmd-instance (all | kmd-instance-name)
pic slot-number
sa-type shortcut
vpn-name vpn-name
Descripción
Muestra información de seguridad acerca del túnel inactivo.
Opciones
• none: muestra información de todos los túneles inactivos.
• family— (Opcional) Muestra el túnel inactivo por familia. Esta opción se utiliza para filtrar los
resultados.

1969
• fpc slot-number— (Opcional) Muestra información sobre túneles inactivos en la ranura del
concentrador de PIC flexible (FPC).
• index index-number—(Opcional) Muestra información detallada del túnel inactivo especificado

identificado por este número de índice. Para obtener una lista de todos los túneles inactivos con sus
números de índice, utilice el comando sin opciones.
• kmd-instance —(Opcional) Muestra información sobre túneles inactivos en el proceso de

administración de claves (en este caso, es KMD) identificado por el número de ranura FPC y el
número deranura PIC.
(SPU).
• pic slot-number: muestra información sobre túneles inactivos en la ranura PIC.
• sa-type— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
• vpn-name vpn-name— (Opcional) Nombre de la VPN.
Los fpc slot-numberparámetros kmd-instance (all | kmd-instance-name), y pic slot-number sólo se

aplican a los dispositivos SRX5600 y SRX5800.
vista
Tabla 137 en la página 1970enumera los campos de salida del show security ipsec inactive-tunnels
1970
Tabla 137: Mostrar seguridad IPSec inactivo-túneles de los campos de salida
Total inactive tunnels Número total de túneles IPsec inactivos.
Total inactive tunnels which Número total de túneles IPsec inactivos que pueden establecer una
establish immediately sesión inmediatamente.
ID Número de identificación del túnel inactivo. Puede utilizar este

número para obtener más información sobre el túnel inactivo.
Gateway Dirección IP de la puerta de enlace remota.
Port Si se utiliza Traducción de direcciones de red (TDR), este valor es

4500. De lo contrario, es el puerto de ICR estándar, 500.
Def-Del# Número de eliminaciones diferidas de una VPN de acceso telefónico a

redes.
Virtual system Sistema virtual al que pertenece la VPN.
VPN name Nombre de la VPN de IPsec.
Local gateway Dirección de puerta de enlace del sistema local.
Remote gateway Dirección de puerta de enlace del sistema remoto.
Local identity Identidad del elemento local del mismo nivel, de modo que su puerta
especifica como una dirección IP, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo (DN).
Remote identity Dirección IP de la puerta de enlace de destino del mismo nivel.

1971
Tabla 137: Mostrar seguridad IPSec inactivo-túneles de los campos de salida (Continued)
Version Versión de ICR.
DF-bit Estado del bit no fragmentar: seto clear.
Bind-interface Interfaz de túnel a la que está enlazada la VPN basada en ruta.
Policy-name Nombre de la Directiva aplicable.
Tunnel Down Reason Razón por la que el túnel está inactivo.
Tunnel events Suceso de túnel y el número de veces que se ha producido el suceso.

Consulte eventos de túnel para obtener descripciones de eventos de
túnel y la acción que puede llevar a cabo.
Mostrar seguridad IPSec inactiva-túneles
user@host> show security ipsec inactive-tunnels

Total inactive tunnels with establish immediately: 0
ID Gateway Port Tunnel down reason
131073 192.168.1.2 500 Phase1 proposal mismatch detected
Mostrar seguridad IPSec inactivo-túneles de túnel 131073
user@host> show security ipsec inactive-tunnels index 131073

ID: 131073 Virtual-system: root, VPN Name: vpn1
1972

Version: IKEv2
Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 600a29
Tunnel events:
Wed Jul 16 2014 06:18:02 +0800: User cleared IPSec SA from CLI (1 times)
Wed Jul 16 2014 06:17:58 +0800: IPSec SA negotiation successfully completed
(1 times)
Wed Jul 16 2014 06:17:54 +0800: User cleared IPSec SA from CLI (1 times)
Wed Jul 16 2014 06:16:58 +0800: IPSec SA negotiation successfully completed
(1 times)
Wed Jul 16 2014 06:16:58 +0800: Bind interface's address received.
Wed Jul 16 2014 06:16:58 +0800: Tunnel is ready. Waiting for trigger event
Wed Jul 16 2014 06:16:58 +0800: External interface's address received.
Wed Jul 16 2014 06:16:58 +0800: Bind interface's zone received. Information
updated (1 times)
Wed Jul 16 2014 06:16:58 +0800: IKE SA negotiation successfully completed (1
times)
Mostrar seguridad IPSec inactivo-túneles acceso directo tipo de SA
user@host> show security ipsec inactive-tunnels sa-type shortcut

Total inactive tunnels with establish immediately: 0
ID Port Nego# Fail# Flag Gateway Tunnel Down Reason
268173322 500 0 0 40608aa9 192.168.0.105 Cleared via CLI
Comando introducido en Junos OS Release 11.4 R3. Apoyo.

1973
Mostrar seguridad IPSec de próximo salto-túneles
in this section
Sintaxis | 1973
Descripción | 1973
Opciones | 1974
Sintaxis
show security ipsec next-hop-tunnels {

family (inet | inet6);
index;
interface-name;
}
Descripción
Mostrar información de seguridad acerca de la interfaz de túnel seguro.

1974
Opciones
serie Muestra las entradas IPSec del túnel de salto siguiente por familia.
dice Índice de la Asociación de seguridad.
• Varían
• 1 a 4294967295
inet Muestra los parámetros del protocolo IPv4.
inet6 Muestra los parámetros del protocolo IPv6.
interface-name Nombre de la interfaz lógica de túnel seguro.
vista
Tabla 138 en la página 1974enumera los campos de salida del show security ipsec next-hop-tunnels
Tabla 138: Mostrar campos de seguridad IPSec salto-túneles de salida
Next-hop gateway Dirección IP de la puerta de enlace siguiente.
Interface Nombre de la interfaz lógica de túnel seguro.
IPsec VPN name Nombre del túnel VPN de IPsec.

1975
Tabla 138: Mostrar campos de seguridad IPSec salto-túneles de salida (Continued)
Flag • Static: dirección IP configurada manualmente.
• Auto: dirección IP obtenida del par remoto de forma automática.
Mostrar seguridad IPSec familia de túneles de próximos saltos para inet
user@host> show security ipsec next-hop-tunnels inet

Next-hop gateway interface IPsec VPN name Flag
192.168.1.2 st0.0 autokey Static
192.168.1.3 st0.0 pbd-4-6 Auto
Mostrar seguridad IPSec familia de túneles de próximo salto-desainet6
user@host> show security ipsec next-hop-tunnels family inet6

Next-hop gateway interface IPSec VPN name Flag
2001:db8::2 st0.1 IPSEC_VPNA_1 Auto
2001:db8::3 st0.1 IPSEC_VPNA_1 Auto
2001:fe80::5668:ad10:fcd8:59db st0.1 IPSEC_VPNA_1 Auto
2001:fe80::5668:ad10:fcd8:5aa5 st0.1 IPSEC_VPNA_1 Auto
La family inet6 opción se introduce en Junos os versión 18.1 R1.

1976
Mostrar las asociaciones de seguridad IPSec de

seguridad
in this section
Sintaxis | 1976
Descripción | 1977
Opciones | 1977
muestra detalles de las asociaciones de seguridad ipsec (dispositivos serie SRX y enrutadores serie
MX) | 2009
Sintaxis
show security ipsec security-associations

<brief | detail>
<sa-type shortcut>
<traffic-selector traffic-selector-name>
<vpn-name vpn-name>
1977
Descripción
Mostrar información acerca de las asociaciones de seguridad IPsec (SA).
En Junos OS versiones 20.1R2, 20.2R2, 20.3R2, 20.3R1 y posterior, cuando se ejecuta el comando, se
muestra un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel en cada
información de show security ipsec security-associations detailIKE SA Index SA IPsec. Consulte
"muestra detalles de asociaciones de seguridad ipsec (SRX5400, SRX5600, SRX5800)" en la página
2005la.
Opciones
ninguno Mostrar información acerca de todas las SA.
brief | detail Adicional Muestra el nivel de salida especificado. El valor predeterminado briefes.
family Adicional Mostrar SAs por familia. Esta opción se utiliza para filtrar los resultados.
fpc slot- Adicional Muestre información sobre las SA IPsec existentes en la ranura del
numberpic slot- concentrador de PIC flexible (FPC) especificada y la ranura de PIC.
number
En un clúster de chasis, cuando ejecuta el comando show security ipsec security-
associations pic <slot-number> fpc <slot-number> de CLI en modo operativo solo
se muestra la información del nodo principal de las SA de IPSec existentes en la
ranura del concentrador de PIC flexible (FPC) especificada y la ranura de PIC.
index SA-index- Adicional Muestra información detallada acerca de la SA especificada, identificada

number por este número de índice. Para obtener una lista de todas las SA que incluyan sus
números de índice, utilice el comando sin opciones.
kmd-instance (Opcional) Muestra información acerca de las SA IPsec existentes en el proceso de

administración de claves (en este caso, es KMD) identificado por el número de
ranura FPC y el número deranura PIC.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento

de servicios (SPU).

1978
pic slot- Adicional Muestra información acerca de las SA de IPsec existentes en la ranura PIC
numberfpc slot- especificada y la ranura FPC.
number
sa-type (Opcional para ADVPN) Muestra información del tipo especificado de SA. shortcut
es la única opción para esta versión.
traffic-selector Adicional Muestra información acerca del selector de tráfico especificado.

traffic-selector-
name
vpn-name vpn- Adicional Muestra información acerca de la VPN especificada.
name
ha-link- (Opcional) Muestra información relacionada solo con el túnel de vínculo de
encryption interchasis. Consulte "ipsec (alta disponibilidad)" en la página 1624"muestra las
asociaciones de seguridad ipsec ha-link-encryption (SRX5400, SRX5600, SRX5800)"
en la página 2006 y "mostrar seguridad ipsec sa detalle ha-link-encryption
(SRX5400, SRX5600, SRX5800)" en la página 2007 .
vista
Tabla 139 en la página 1978enumera los campos de salida del show security ipsec security-associations
comando, Tabla 140 en la página 1987 enumera los campos de salida del show security ipsec sa
comando y Tabla 141 en la página 1988. enumera los campos de salida del show security ipsec sa detail.
Tabla 139: Mostrar las asociaciones de seguridad IPSec de seguridad
Nombre del Descripción de campo Nivel de salida

campo
Total active Número total de túneles IPsec activos. brief

tunnels
1979
Tabla 139: Mostrar las asociaciones de seguridad IPSec de seguridad (Continued)

campo
ID Número de índice de la SA. Puede Todos los niveles

utilizar este número para obtener
Algorithm La criptografía utilizada para proteger brief

los intercambios entre iguales durante el
ICR negociaciones incluye:
• Algoritmo de autenticación usado

para autenticar intercambios entre
los interlocutores.
• Algoritmo de cifrado utilizado para

cifrar el tráfico de datos.
SPI Identificador de índice de parámetro de brief

seguridad (SPI). Una SA se identifica de
forma exclusiva mediante un SPI. Cada
entrada incluye el nombre de la red
privada virtual (VPN), la dirección de
puerta de enlace remota, el SPI de cada
dirección, los algoritmos de cifrado y
autenticación, y las claves. Cada puerta
de enlace del mismo nivel tiene dos SAs,
uno de los cuales resulta de cada una de
las dos fases de la negociación: ICR e
IPsec.
Life: sec/kb La duración de la SA, después de la cual brief

vence, expresada en segundos o en
kilobytes.
1980

campo
Mon El campo LUN se refiere al estado de brief

supervisión de VPN. Si la supervisión de
VPN está habilitada, este U campo
muestra (arriba D ) o (abajo). Un guión (-)
significa que la supervisión de VPN no
está habilitada para esta SA. Un V
significa que se está realizando la
comprobación de la ruta de acceso de
IPSec.
lsys El sistema raíz. brief
Port Si se utiliza Traducción de direcciones Todos los niveles

de red (TDR), este valor es 4500. De lo
contrario, es el puerto de ICR estándar,
500.
Gateway Dirección IP de la puerta de enlace brief

remota.
Virtual-system Nombre del sistema lógico. detail
VPN name Nombre IPsec para VPN. detail

1981

campo
State El estado tiene dos opciones Installed , detail

Not Installedy.
• Installed: la SA está instalada en la

base de datos de SA.
• Not Installed: la SA no está instalada

en la base de datos de SA.
Para el modo de transporte, el valor

de State Installedes siempre.
Local gateway Dirección de puerta de enlace del detail

sistema local.
Remote Dirección de puerta de enlace del detail

gateway sistema remoto.
Traffic selector Nombre del selector de tráfico. detail
Local identity Identidad del elemento local del mismo detail

nivel, de modo que su puerta de enlace
de destino asociada pueda comunicar
con él. El valor se especifica como una
dirección IP, un nombre de dominio
completo, una dirección de correo
electrónico o un nombre completo (DN).
Remote Dirección IP de la puerta de enlace de detail

identity destino del mismo nivel.
1982

campo
Term Define el intervalo IP local, el rango IP detail

remoto, el rango de puertos de origen,
el intervalo de puertos de destino y el
protocolo.
Source-port Intervalo de puertos de origen detail

configurado para un término.
Destination- Intervalo de puertos de destino detail

Port configurado para un término.
Version Versión de ICR, IKEv1 ya IKEv2sea o. detail
DF-bit Estado del bit no fragmentar: seto detail

cleared.
Location FPC— Número de ranura del detail

concentrador de PIC flexible (FPC).
PIC: número de ranura PIC.
KMD-Instance: el nombre de la
instancia de KMD que se ejecuta en la
SPU, identificado por un número de
ranura FPC y un número de ranura PIC.
Actualmente, hay 4 instancias de KMD
que se ejecutan en cada la SPU y
cualquier negociación IPsec en
particular se lleva a cabo mediante una
sola instancia KMD.
1983

campo
Tunnel events Suceso de túnel y el número de veces detail

que se ha producido el suceso. Consulte
eventos de túnel para obtener
descripciones de eventos de túnel y la
acción que puede llevar a cabo.
Anchorship Delimitador de identificador de

subproceso para la SA (para detail
dispositivos serie SRX4600 con la
opción).
Direction Dirección de la SA; puede ser entrante o detail

saliente.
AUX-SPI Valor del índice de parámetro de detail

seguridad auxiliar (SPI).
• Cuando el valor es AH or ESP, AUX-

SPI siempre es 0.
• Cuando el valor es AH+ESP, AUX-

SPI siempre es un entero positivo.
Mode Modo de la SA: detail
• transport: protege las conexiones de

host a host.
• tunnel—Protege las conexiones entre

puertas de enlace de seguridad.
1984

campo
Type Tipo de la SA: detail
• manual: los parámetros de seguridad

no requieren negociación. Son
estáticos y los configura el usuario.
• dynamic: el protocolo de seguridad

negocia los parámetros ICR
seguridad. Las SA dinámicas no se
admiten en el modo de transporte.
State Estado de la SA: detail
• Installed: la SA está instalada en la

base de datos de SA.
• Not Installed: la SA no está instalada

en la base de datos de SA.
Para el modo de transporte, el valor

de State Installedes siempre.
Protocol Protocolo compatible. detail
• El modo de transporte admite el

protocolo de seguridad de
encapsulación (ESP) y el encabezado
de autenticación (AH).
• El modo de túnel admite ESP y AH.
Authentication Tipo de autenticación utilizada. detail

1985

campo
Encryption Tipo de cifrado utilizado. detail
A partir de Junos OS versión 19.4R2,

cuando configure o como algoritmo de
cifrado en el nivel de jerarquía, el campo
de algoritmo de autenticación del
comando mostrará el mismo algoritmo
de cifrado aes-128-gcmaes-256-gcm
[edit security ipsec proposal proposal-
name]show security ipsec security-
associations detail configurado.
Soft lifetime La duración de software informa al detail

sistema de administración de claves
IPsec de que la SA está a punto de
caducar.
Cada ciclo de vida de una SA tiene dos

opciones de presentación: dura e suave,
una de las cuales debe estar presente
para una SA dinámica. Esto permite que
el sistema de administración de claves
negocie una nueva SA antes de que
venza la duración.
• Expires in seconds: cantidad de

segundos que quedan hasta que
caduca la SA.
Hard lifetime La duración dura especifica la duración detail

de la SA.
• Expires in seconds: cantidad de

segundos que quedan hasta que
caduca la SA.
1986

campo
Lifesize El LifeSize restante especifica los límites detail

Remaining de uso en kilobytes. Si no se especifica
ningún LifeSize, mostrará Unlimited.
• Expires in kilobytes: número de

kilobytes que quedan hasta que
caduca la SA.
Anti-replay Estado del servicio que impide que se detail

service reproduzcan paquetes. Puede ser
Enabled o Disabled.
Replay window Tamaño de la ventana de servicio detail

size antireplay, que es de 64 bits.
Bind-interface Interfaz de túnel a la que está enlazada detail

la VPN basada en ruta.
Copy-Outer- Indica si el sistema copia el valor detail

DSCP exterior de DSCP del encabezado IP al
encabezado de IP interior.
tunnel- Indica cómo se activa el ICR. detail

establishment
IKE SA index Indica la lista de asociaciones de detail

seguridad ICR principal.
1987
Tabla 140: Mostrar campos de resultados de SA IPsec de seguridad
Total active tunnels Número total de túneles IPsec activos.


interlocutores durante la ICR las negociaciones de la fase 2 incluye:

entre los interlocutores. Las opciones hmac-md5-96son hmac-
sha-256-128, o hmac-sha1-96.

opciones 3des-cbcson aes-128-cbc, aes-192-cbcaes-256-cbc, o
des-cbc.

identifica de forma exclusiva mediante un SPI. Cada entrada incluye el
nombre de la red privada virtual (VPN), la dirección de puerta de
enlace remota, el SPI de cada dirección, los algoritmos de cifrado y
autenticación, y las claves. Cada puerta de enlace del mismo nivel
tiene dos SAs, uno de los cuales resulta de cada una de las dos fases
de la negociación: Fase 1 y fase 2.
Life:sec/kb La duración de la SA, después de la cual vence, expresada en

segundos o en kilobytes.
Mon El campo LUN se refiere al estado de supervisión de VPN. Si la

supervisión de VPN está habilitada, este campo muestra U (arriba) o
D (baja). Un guión (-) significa que la supervisión de VPN no está
habilitada para esta SA. V significa que la comprobación de la ruta de
acceso de los IPSec está en curso.
lsys El sistema raíz.

1988
Tabla 140: Mostrar campos de resultados de SA IPsec de seguridad (Continued)
Port Si se utiliza Traducción de direcciones de red (TDR), este valor es

4500. De lo contrario, es el puerto de ICR estándar, 500.
Gateway Dirección de puerta de enlace del sistema.
Tabla 141: Mostrar los campos de resultados de detalle de SA IPsec de seguridad

Virtual-system Nombre del sistema virtual.
VPN Name Nombre IPSec para VPN.
Local Gateway Dirección de puerta de enlace del sistema local.
Remote Gateway Dirección de puerta de enlace del sistema remoto.
Local Identity Identidad del elemento local del mismo nivel, de modo que su puerta
especifica como una dirección IP, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo (DN).
Remote Identity Dirección IP de la puerta de enlace de destino del mismo nivel.
Version ICR versión. Por ejemplo, IKEv1, IKEv2.
DF-bit Estado del bit no fragmentar: seto cleared.

1989
Tabla 141: Mostrar los campos de resultados de detalle de SA IPsec de seguridad (Continued)
Bind-interface Interfaz de túnel a la que está enlazada la VPN basada en ruta.
Eventos de túnel
Direction Dirección de la SA; puede ser entrante o saliente.
AUX-SPI Valor del índice de parámetro de seguridad auxiliar (SPI).
• Cuando el valor es AH or ESP, AUX-SPI siempre es 0.
• Cuando el valor es AH+ESP, AUX-SPI siempre es un entero

positivo.
VPN Monitoring Si la supervisión de VPN está habilitada Mon , el U (up) campo D

(down)muestra o. Un guión (-) significa que la supervisión de VPN no
está habilitada para esta SA. Una V significa que la verificación de
ruta de datos de IPsec está en curso.
Hard lifetime La duración dura especifica la duración de la SA.
• Expires in seconds: Número de segundos que quedan hasta que

expire la SA.
Lifesize Remaining El LifeSize restante especifica los límites de uso en kilobytes. Si no se

especifica ningún LifeSize, mostrará Unlimited.
Soft lifetime La duración de software informa al sistema de administración de

claves IPsec de que la SA está a punto de caducar. Cada ciclo de vida
de una SA tiene dos opciones de presentación: dura e suave, una de
las cuales debe estar presente para una SA dinámica. Esto permite
que el sistema de administración de claves negocie una nueva SA
antes de que venza la duración.
• Expires in seconds: Número de segundos que quedan hasta que

expire la SA.
1990
Mode Modo de la SA:
• transport-Protege las conexiones de host a host.
• tunnelProtege las conexiones entre puertas de enlace de

seguridad.
Type Tipo de la SA:
• manual -Los parámetros de seguridad no requieren negociación.

Son estáticos y los configura el usuario.
• dynamic-El protocolo de ICR negocia los parámetros de seguridad.

Las SA dinámicas no se admiten en el modo de transporte.
State Estado de la SA:
• Installed-La SA está instalada en la base de datos de SA.
• Not Installed-La SA no está instalada en la base de datos de SA.
Para el modo de transporte, el valor de State siempre se instala.
Protocol Protocolo compatible.
• El modo de transporte admite el protocolo de seguridad de

encapsulación (ESP) y el encabezado de autenticación (AH).
• El modo de túnel admite ESP y AH.
• Authentication-Tipo de autenticación utilizada.
• Encryption-Tipo de cifrado utilizado.
Anti-replay service Estado del servicio que impide que se reproduzcan paquetes. Puede
ser Enabled o Disabled.
1991
Replay window size Tamaño configurado de la ventana de servicio antireplay. Puede ser
32 o 64 paquetes. Si el tamaño de la ventana de reproducción es 0, el
servicio antireplay está deshabilitado.
El tamaño de la ventana de antireplay protege al receptor contra

ataques de reproducción al rechazar paquetes antiguos o duplicados.
Túnel de vínculo de interchassis
AD cifrado de vínculos Compatible con el modo de alta disponibilidad. Muestra Multi-Node

cuando está habilitada la función de alta disponibilidad de varios
nodos.
Para mayor brevedad, el comando mostrar resultados no muestra todos los valores de la configuración.
Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema ha sido
sustituida por puntos suspensivos (...).
Mostrar asociaciones de seguridad IPSec de seguridad (IPv4)

<511672 ESP:aes-cbc-128/sha1 0x071b8cd2 - root 500 21.0.45.152
>503327 ESP:aes-cbc-128/sha1 0x69d364dd 1584/ unlim - root 500 21.0.12.255
<503327 ESP:aes-cbc-128/sha1 0x0a577f2d 1584/ unlim - root 500 21.0.12.255
>512896 ESP:aes-cbc-128/sha1 0xd2f51c81 1669/ unlim - root 500 21.0.50.96
<512896 ESP:aes-cbc-128/sha1 0x071b8d9e 1669/ unlim - root 500 21.0.50.96
>513881 ESP:aes-cbc-128/sha1 0x95955834 1696/ unlim - root 500 21.0.54.57
<513881 ESP:aes-cbc-128/sha1 0x0a57860c 1696/ unlim - root 500 21.0.54.57
>505835 ESP:aes-cbc-128/sha1 0xf827b5c6 1598/ unlim - root 500 21.0.22.204
<505835 ESP:aes-cbc-128/sha1 0x0f43bf3f 1598/ unlim - root 500 21.0.22.204
1992
>506531 ESP:aes-cbc-128/sha1 0x01694572 1602/ unlim - root 500 21.0.25.131

<506531 ESP:aes-cbc-128/sha1 0x0a578143 1602/ unlim - root 500 21.0.25.131
>512802 ESP:aes-cbc-128/sha1 0xdc292de4 1668/ unlim - root 500 21.0.50.1
<512802 ESP:aes-cbc-128/sha1 0x0a578558 1668/ unlim - root 500 21.0.50.1
>512413 ESP:aes-cbc-128/sha1 0xbe2c52d5 1660/ unlim - root 500 21.0.48.125
<512413 ESP:aes-cbc-128/sha1 0x1129580c 1660/ unlim - root 500 21.0.48.125
>505075 ESP:aes-cbc-128/sha1 0x2aae6647 1593/ unlim - root 500 21.0.19.213
<505075 ESP:aes-cbc-128/sha1 0x02dc5c50 1593/ unlim - root 500 21.0.19.213
>514055 ESP:aes-cbc-128/sha1 0x2b8adfcb 1704/ unlim - root 500 21.0.54.238
<514055 ESP:aes-cbc-128/sha1 0x0f43c49a 1704/ unlim - root 500 21.0.54.238
>508898 ESP:aes-cbc-128/sha1 0xbcced4d6 1619/ unlim - root 500 21.0.34.194
<508898 ESP:aes-cbc-128/sha1 0x1492035a 1619/ unlim - root 500 21.0.34.194
>505328 ESP:aes-cbc-128/sha1 0x2a8d2b36 1594/ unlim - root 500 21.0.20.208
<505328 ESP:aes-cbc-128/sha1 0x14920107 1594/ unlim - root 500 21.0.20.208
>500815 ESP:aes-cbc-128/sha1 0xdd86c89a 1573/ unlim - root 500 21.0.3.47
<500815 ESP:aes-cbc-128/sha1 0x1129507f 1573/ unlim - root 500 21.0.3.47
>503758 ESP:aes-cbc-128/sha1 0x64cc490e 1586/ unlim - root 500 21.0.14.172
<503758 ESP:aes-cbc-128/sha1 0x14920001 1586/ unlim - root 500 21.0.14.172
>504004 ESP:aes-cbc-128/sha1 0xde0b63ee 1587/ unlim - root 500 21.0.15.164
<504004 ESP:aes-cbc-128/sha1 0x071b87d4 1587/ unlim - root 500 21.0.15.164
>508816 ESP:aes-cbc-128/sha1 0x2703b7a5 1618/ unlim - root 500 21.0.34.112
<508816 ESP:aes-cbc-128/sha1 0x071b8af6 1618/ unlim - root 500 21.0.34.112
>511341 ESP:aes-cbc-128/sha1 0x828f3330 1644/ unlim - root 500 21.0.44.77
<511341 ESP:aes-cbc-128/sha1 0x02dc6064 1644/ unlim - root 500 21.0.44.77
>500456 ESP:aes-cbc-128/sha1 0xa6f1515d 1572/ unlim - root 500 21.0.1.200
<500456 ESP:aes-cbc-128/sha1 0x1491fddb 1572/ unlim - root 500 21.0.1.200
>512506 ESP:aes-cbc-128/sha1 0x4108f3a3 1662/ unlim - root 500 21.0.48.218
<512506 ESP:aes-cbc-128/sha1 0x071b8d5d 1662/ unlim - root 500 21.0.48.218
>504657 ESP:aes-cbc-128/sha1 0x27a6b8b3 1591/ unlim - root 500 21.0.18.41
<504657 ESP:aes-cbc-128/sha1 0x112952fe 1591/ unlim - root 500 21.0.18.41
>506755 ESP:aes-cbc-128/sha1 0xc0afcff0 1604/ unlim - root 500 21.0.26.100
<506755 ESP:aes-cbc-128/sha1 0x149201f5 1604/ unlim - root 500 21.0.26.100
>508023 ESP:aes-cbc-128/sha1 0xa1a90af8 1612/ unlim - root 500 21.0.31.87
<508023 ESP:aes-cbc-128/sha1 0x02dc5e3b 1612/ unlim - root 500 21.0.31.87
>509190 ESP:aes-cbc-128/sha1 0xee52074d 1621/ unlim - root 500 21.0.35.230
<509190 ESP:aes-cbc-128/sha1 0x0f43c16e 1621/ unlim - root 500 21.0.35.230
>505051 ESP:aes-cbc-128/sha1 0x24130b1c 1593/ unlim - root 500 21.0.19.188
<505051 ESP:aes-cbc-128/sha1 0x149200d9 1593/ unlim - root 500 21.0.19.188
>513214 ESP:aes-cbc-128/sha1 0x2c4752d1 1676/ unlim - root 500 21.0.51.158
<513214 ESP:aes-cbc-128/sha1 0x071b8dd3 1676/ unlim - root 500 21.0.51.158
>510808 ESP:aes-cbc-128/sha1 0x4acd94d3 1637/ unlim - root 500 21.0.42.56
<510808 ESP:aes-cbc-128/sha1 0x071b8c42 1637/ unlim - root 500 21.0.42.56
1993
Mostrar asociaciones de seguridad IPSec de seguridad (IPv6)

131074 ESP:aes256/sha256 14caf1d9 3597/ unlim - root 500
2001:db8::1112
131074 ESP:aes256/sha256 9a4db486 3597/ unlim - root 500 2001:db8::1112
Mostrar seguridad IPSec seguridad-Índice de asociaciones 511672
user@host> show security ipsec security-associations index 511672

ID: 511672 Virtual-system: root, VPN Name: ipsec_vpn
Traffic Selector Name: ts
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0, Policy-name:
IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Anchorship: Thread 10
Direction: inbound, SPI: 0x835b8b42, AUX-SPI: 0
, VPN Monitoring: -
Direction: outbound, SPI: 0x071b8cd2, AUX-SPI: 0
, VPN Monitoring: -
1994
Mostrar seguridad IPSec seguridad-asociaciones índice 131073 detalle

ID: 131073 Virtual-system: root, VPN Name: IPSEC_VPN1
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.1
Tunnel events:
(1 times)
Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2
times)
Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding
IPSec SAs cleared (1 times)
(2 times)
Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event
Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information
updated (1 times)
Mon Apr 23 2018 22:19:23 -0700: External interface's zone received.
Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes256-cbc
Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0
, VPN Monitoring: -
1995

, VPN Monitoring: -
Multi-sa FC Name: best-effort
Direction: outbound, SPI: 5490da, AUX-SPI: 0
, VPN Monitoring: -
...
A partir de Junos OS versión 18.2 R1, el show security ipsec security-associations index index-number
detail resultado de la CLI muestra todos los detalles de SA secundarios, incluido el nombre de clase de
reenvío.
Mostrar seguridad IPSec SA

>67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2
>67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2
>67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2
>67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Mostrar detalle de la Asociación de seguridad IPSec
user@host> show security ipsec sa detail

ID: 500201 Virtual-system: root, VPN Name: IPSEC_VPN
1996

Version: IKEv1
IPSEC_POL
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x0a25c960, AUX-SPI: 0
, VPN Monitoring: -
tunnel-establishment: establish-tunnels-responder-only-no-rekey
Direction: outbound, SPI: 0x43e34ad3, AUX-SPI: 0
, VPN Monitoring: -
tunnel-establishment: establish-tunnels-responder-only-no-rekey
...
A partir de Junos OS versión 19.1R1, un campo nuevo en la salida del CLI muestra la opción tunnel-
establishmentshow security ipsec sa detail configurada en ipsec vpn establish-tunnels jerarquía.
muestra la seguridad ipsec security-association
user@host>show security ipsec security-association

Total active tunnels: 1 Total IPsec sas: 1
<500006 ESP:aes-gcm-128/aes128-gcm 0x782b233c 1432/ unlim - root 500 2.0.0.2
1997
Mostrar seguridad IPSec: Resumen de las asociaciones
user@host> show security ipsec security-associations brief

<131073 ESP:aes256/sha256 89e5098 1569/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 fcee9d54 1569/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 f3117676 1609/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 6050109f 1609/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 e01f54b1 1613/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 29a05dd6 1613/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 606c90f6 1616/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 9b5b059d 1616/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 b8116d6d 1619/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 b7ed6bfd 1619/ unlim - root 500
5.0.0.1
<131073 ESP:aes256/sha256 4f5ce754 1619/ unlim - root 500
5.0.0.1
>131073 ESP:aes256/sha256 af8984b6 1619/ unlim - root 500
5.0.0.1
...
Mostrar seguridad IPSec-detalles de asociaciones
ID: 500009 Virtual-system: root, VPN Name: IPSEC_VPN

Version: IKEv1
1998
PFS group: DH-group-14

IPSEC_POL
IKE SA Index: 2068
Direction: inbound, SPI: 0xba7bb1f2, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-on-traffic
Direction: outbound, SPI: 0x41650a1b, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
tunnel-establishment: establish-tunnels-on-traffic
Mostrar seguridad IPSec familia de asociaciones inet6
user@host> show security ipsec security-associations family inet6

Local Gateway: 2001:db8:1212::1111, Remote Gateway: 2001:db8:1212::1112
DF-bit: clear
Direction: inbound, SPI: 14caf1d9, AUX-SPI: 0
, VPN Monitoring: -
1999

Direction: outbound, SPI: 9a4db486, AUX-SPI: 0

, VPN Monitoring: -
Show IPSec seguridad-Associations FPC 6 PIC 1 KMD-instancia todos (dispositivos serie

SRX)
user@host> show security ipsec security-associations fpc 6 pic 1 kmd-instance all

<2 192.168.1.2 500 ESP:aes256/sha256 67a7d25d 28280/unlim - 0
>2 192.168.1.2 500 ESP:aes256/sha256 a23cbcdc 28280/unlim - 0
Mostrar detalle de asociaciones de seguridad IPSec de seguridad (sugerencia ADVPN, túnel

estático)

ID: 70516737 Virtual-system: root, VPN Name: ZTH_HUB_VPN
Version: IKEv2
DF-bit: clear
2000

Tunnel events:
Tue Nov 03 2015 01:24:27 -0800: IPSec SA negotiation successfully completed (1
times)
Tue Nov 03 2015 01:24:27 -0800: IKE SA negotiation successfully completed (4
times)
Tue Nov 03 2015 01:23:38 -0800: User cleared IPSec SA from CLI (1 times)
times)
Tue Nov 03 2015 01:21:31 -0800: IPSec SA delete payload received from peer,
corresponding IPSec SAs cleared (1 times)
times)
Tue Nov 03 2015 01:21:13 -0800: Tunnel configuration changed. Corresponding
IKE/IPSec SAs are deleted (1 times)
times)
Tue Nov 03 2015 01:19:27 -0800: Tunnel is ready. Waiting for trigger event or
peer to trigger negotiation (1 times)
Direction: inbound, SPI: 43de5d65, AUX-SPI: 0
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes256-cbc (256 bits)
Anti-replay service: counter-based enabled
, Replay window size: 64

Direction: outbound, SPI: 5b6e157c, AUX-SPI: 0

2001
Mostrar detalle de asociaciones de seguridad de IPSec de seguridad (socio ADVPN, túnel

estático)

ID: 67108872 Virtual-system: root, VPN Name: ZTH_SPOKE_VPN
Version: IKEv2
Tunnel events:
times)
times)
Tue Nov 03 2015 01:23:37 -0800: IPSec SA delete payload received from peer,
corresponding IPSec SAs cleared (1 times)
times)
Tue Nov 03 2015 01:21:31 -0800: Tunnel is ready. Waiting for trigger event or
Tue Nov 03 2015 01:18:26 -0800: Key pair not found for configured local
certificate. Negotiation failed (1 times)
Tue Nov 03 2015 01:18:13 -0800: CA certificate for configured local
certificate not found. Negotiation not initiated/successful (1 times)
Direction: inbound, SPI: 5b6e157c, AUX-SPI: 0
Direction: outbound, SPI: 43de5d65, AUX-SPI: 0
2002
Mostrar seguridad IPSec seguridad de asociaciones acceso directo tipo SA (ADVPN)
user@host> show security ipsec security-associations sa-type shortcut

<268173318 ESP:aes256/sha256 6f164ee0 3580/ unlim - root 500 192.168.0.111
>268173318 ESP:aes256/sha256 e6f29cb0 3580/ unlim - root 500 192.168.0.111
Mostrar seguridad IPSec seguridad-asociaciones tipo SA-tipos de información de acceso

directo (ADVPN)
user@host> show security ipsec security-associations sa-type shortcut detail

node0:
--------------------------------------------------------------------------
ID: 67108874 Virtual-system: root, VPN Name: ZTH_SPOKE_VPN

Auto Discovery VPN:
Type: Shortcut, Shortcut Role: Initiator
Version: IKEv2
Tunnel events:
Tue Nov 03 2015 01:47:26 -0800: IPSec SA negotiation successfully completed
(1 times)
Tue Nov 03 2015 01:47:26 -0800: Tunnel is ready. Waiting for trigger event
times)
Direction: inbound, SPI: b7a5518, AUX-SPI: 0
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes256-cbc (256
bits)
Direction: outbound, SPI: b7e0268, AUX-SPI: 0
2003

bits)
Mostrar seguridad IPSec seguridad-detalles de la familia de asociaciones detalle inet
user@host> show security ipsec security-associations family inet detail

ID: 131073 Virtual-system: root, VPN Name: ike-vpn
Version: IKEv1
DF-bit: clear
, Copy-Outer-DSCP Enabled

Tunnel events:
Fri Oct 30 2015 15:47:21 -0700: IPSec SA rekey successfully completed (115
times)
Fri Oct 30 2015 11:38:35 -0700: IKE SA negotiation successfully completed (12
times)
Mon Oct 26 2015 16:41:07 -0700: IPSec SA negotiation successfully completed (1
times)
Mon Oct 26 2015 16:40:56 -0700: Tunnel is ready. Waiting for trigger event or
Mon Oct 26 2015 16:40:56 -0700: External interface's address received.
Direction: inbound, SPI: 81b9fc17, AUX-SPI: 0
2004

Direction: outbound, SPI: 727f629d, AUX-SPI: 0
Mostrar detalle de asociaciones de seguridad de IPSec de seguridad (SRX4600)

ID: 131073 Virtual-system: root, VPN Name: ike-vpn
Version: IKEv2
Tunnel events:
Fri Jan 12 2007 07:50:10 -0800: IPSec SA rekey successfully completed (23
times)
Direction: inbound, SPI: 812c9c01, AUX-SPI: 0
bits)
Direction: outbound, SPI: c4de0972, AUX-SPI: 0
2005

bits)
muestra detalles de asociaciones de seguridad ipsec (SRX5400, SRX5600, SRX5800)
Un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel se muestra en cada
información de IKE SA Index SA IPsec.

ID: 500005 Virtual-system: root, VPN Name: 85BX5-OAM
Traffic Selector Name: TS_DEFAULT
Version: IKEv2
PFS group: N/A
MACRO-IPSEC-POL
Direction: inbound, SPI: 0xe2eb3838, AUX-SPI: 0
, VPN Monitoring: -
Protocol: ESP, Authentication: aes128-gcm, Encryption: aes-gcm (128 bits)
Anti-replay service: disabled
tunnel-establishment: establish-tunnels-responder-only
IKE SA Index: 22
Direction: outbound, SPI: 0x4f7c3101, AUX-SPI: 0
, VPN Monitoring: -
2006

IKE SA Index: 22
Direction: inbound, SPI: 0x30b6d66f, AUX-SPI: 0
, VPN Monitoring: -
IKE SA Index: 40
Direction: outbound, SPI: 0xd2db4108, AUX-SPI: 0
, VPN Monitoring: -
IKE SA Index: 40
muestra las asociaciones de seguridad ipsec ha-link-encryption (SRX5400, SRX5600,

SRX5800)
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis.
user@host> show security ipsec security-associations ha-link-encryption

Total active tunnels: 1 Total IPsec sas: 91
<495001 ESP:aes-gcm-256/aes256-gcm 0x0047658d 298/ unlim - root 500 23.0.0.2
>495001 ESP:aes-gcm-256/aes256-gcm 0x0046c5cd 298/ unlim - root 500 23.0.0.2
2007

<495001 ESP:aes-gcm-256/aes256-gcm 0x0c47658d 298/ unlim - root 500 23.0.0.2
>495001 ESP:aes-gcm-256/aes256-gcm 0x0c46c5cd 298/ unlim - root 500 23.0.0.2
<495001 ESP:aes-gcm-256/aes256-gcm 0x1c47658d 298/ unlim - root 500 23.0.0.2
>495001 ESP:aes-gcm-256/aes256-gcm 0x1c46c5cd 298/ unlim - root 500 23.0.0.2
...
mostrar seguridad ipsec sa detalle ha-link-encryption (SRX5400, SRX5600, SRX5800)
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. Muestra las
multiAS creadas para el túnel de cifrado de vínculos de interchasis.
user@host> show security ipsec sa detail ha-link-encryption

ID: 495001 Virtual-system: root, VPN Name: L3HA_IPSEC_VPN
Traffic Selector Name: __L3HA_IPSEC_VPN__multi_node__
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.16000, Policy-
name: L3HA_IPSEC_POL
HA Link Encryption Mode: Multi-Node
Location: FPC -, PIC -, KMD-Instance -
Anchorship: Thread -
2008
Direction: inbound, SPI: 0x00439cf8, AUX-SPI: 0

, VPN Monitoring: -
tunnel-establishment: establish-tunnels-immediately
IKE SA Index: 4294966297
Direction: outbound, SPI: 0x004cfceb, AUX-SPI: 0
, VPN Monitoring: -
Direction: inbound, SPI: 0x04439cf8, AUX-SPI: 0
, VPN Monitoring: -
Direction: outbound, SPI: 0x044cfceb, AUX-SPI: 0
, VPN Monitoring: -
2009
...
muestra detalles de las asociaciones de seguridad ipsec (dispositivos serie

SRX y enrutadores serie MX)
En Junos OS versión 20.4R2, 21.1R1 y posteriores, puede ejecutar el comando para ver el tipo de
selector de tráfico de una show security ipsec security-associations detail VPN.

ID: 500024 Virtual-system: root, VPN Name: S2S_VPN2
TS Type: traffic-selector
Version: IKEv2
IPSEC_POL
Tunnel events:
Tue Jan 19 2021 04:43:49: IPsec SA negotiation succeeds (1 times)
Direction: inbound, SPI: 0xf8642fae, AUX-SPI: 0
, VPN Monitoring: -
bits)
IKE SA Index: 17
2010
Direction: outbound, SPI: 0xb2a26969, AUX-SPI: 0

, VPN Monitoring: -
bits)
IKE SA Index: 17
ID: 500025 Virtual-system: root, VPN Name: S2S_VPN1
TS Type: proxy-id
Version: IKEv2
IPSEC_POL
Tunnel events:
Tue Jan 19 2021 04:44:41: IPsec SA negotiation succeeds (1 times)
Direction: inbound, SPI: 0xe293762a, AUX-SPI: 0
, VPN Monitoring: -
bits)
IKE SA Index: 18
Direction: outbound, SPI: 0x7aef9d7f, AUX-SPI: 0
, VPN Monitoring: -
2011

bits)
IKE SA Index: 18
muestra detalles de asociaciones de seguridad ipsec (dispositivos serie SRX)
A partir de Junos OS versión 21.1R1, puede ver los detalles del selector de tráfico, que incluye,
identidad local, identidad remota, protocolo, rango de puerto de origen, intervalo de puerto de destino
para varios términos definidos para una SA IPsec.
En las versiones anteriores de Junos, la selección de tráfico para una SA determinada se realiza mediante
el intervalo de IP existente definido mediante dirección IP o máscara de red. A partir Junos OS versión
21.1R1 hacia adelante, además se selecciona tráfico a través del protocolo especificado mediante
protocol_name. Además, se especificó el rango de puertos bajo y alto para los números de puertos de
origen y destino.
ID: 500075 Virtual-system: root, VPN Name: pkn-r0-r1-ipsec-vpn-1

Local Identity:
Protocol Port IP
17/UDP 100-200 198.51.101.0-198.51.101.255
6/TCP 250-300 198.51.102.0-198.51.102.255
Remote Identity:
Protocol Port IP
17/UDP 150-200 80.0.0.1-80.0.0.1
6/TCP 250-300 80.0.1.1-80.0.1.1
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0, Policy-name: pkn-
r0-r1-ipsec-policy
2012

Direction: inbound, SPI: ………
Direction: outbound, SPI: …………
Comando introducido en Junos OS versión 8,5. Compatibilidad con la family opción agregada en Junos
OS versión 11.1.
Compatibilidad con la vpn-name opción agregada en la Junos OS versión 11.4R3. Compatibilidad con los
traffic-selector campos de opción y selector de tráfico agregados en Junos os versión 12.1 X46-D10.
Compatibilidad con la VPN de detección automática (ADVPN) agregada en Junos OS versión 12.3 X48-
D10.
Compatibilidad con la comprobación de la ruta de acceso de IPsec agregada en Junos OS Release 15.1
X49-D70.
Compatibilidad con la fijación de roscas añadida en Junos OS Release 17.4 R1.
A partir del Junos OS de la versión show security ipsec security-assocations detail 18.2 R2, la salida del
comando incluirá información de anclaje de los subprocesos para las asociaciones de seguridad (SA).
A partir de Junos OS versión 19.4R1, hemos desaprobado la opción CLI (nombre de clase cos forward)
en el nuevo proceso que muestra las asociaciones de seguridad (AS) en el comando fc-nameikedshow
security ipsec sa mostrar.

Ejemplo Configuración de un túnel VPN basado en rutas en un sistema de usuario lógico
2013
Mostrar estadísticas de seguridad de IPSec
in this section
Sintaxis | 2013
Descripción | 2013
Opciones | 2013
Sintaxis
show security ipsec statistics

<fpc slot-number>
<pic slot-number>
Descripción
Mostrar las estadísticas estándar de IPsec.
Opciones
• none: muestra estadísticas de todas las asociaciones de seguridad (SA) IPsec.

2014
• fpc slot-number — Específico para dispositivos de la serie SRX. Mostrar estadísticas sobre las SA
IPsec existentes en esta ranura de concentrador de PIC flexible (FPC). Esta opción se utiliza para
filtrar los resultados.
• index SA-index-number — (Opcional) Muestra estadísticas de la SA con este número de índice.
• pic slot-number — Específico para dispositivos de la serie SRX. Mostrar estadísticas sobre las
asociaciones de IPsec existentes en esta ranura de PIC. Esta opción se utiliza para filtrar los
resultados.
• ha-link-encryption— (Opcional) Muestra información relacionada únicamente con el túnel de vínculo

de interchasis. Consulte "ipsec (alta disponibilidad)" en la página 1624 y "muestra las estadísticas
ipsec de seguridad ha-link-encryption (SRX5400, SRX5600, SRX5800)" en la página 2019 .
vista
Tabla 142 en la página 2014enumera los campos de salida del show security ipsec statistics comando.
Tabla 142: Mostrar los campos de resultados de estadísticas de IPSec de seguridad
Virtual-system El sistema raíz.

2015
Tabla 142: Mostrar los campos de resultados de estadísticas de IPSec de seguridad (Continued)
ESP Statistics • Encrypted bytes: número total de bytes cifrados por el sistema
local a través del túnel IPsec.
• Decrypted bytes: número total de bytes descifrados por el sistema

• Encrypted packets: número total de paquetes cifrados por el

sistema local a través del túnel IPsec.
• Decrypted packets: número total de paquetes descifrados por el

AH Statistics • Input bytes: número total de bytes recibidos por el sistema local a
través del túnel IPsec.
• Output bytes: número total de bytes transmitidos por el sistema

• Input packets: cantidad total de paquetes recibidos por el sistema

• Output packets: número total de paquetes transmitidos por el

2016
Tabla 142: Mostrar los campos de resultados de estadísticas de IPSec de seguridad (Continued)
Errors • AH authentication failures: número total de errores de encabezado

de autenticación (AH). Un error de AH se produce cuando hay una
falta de coincidencia del encabezado de autenticación en un
paquete transmitido a través de un túnel IPsec.
• Replay errors: número total de errores de reproducción. Se genera

un error de reproducción cuando se recibe un paquete duplicado
en la ventana de reproducción.
• ESP authentication failures: número total de errores de carga de

seguridad de encapsulación (ESP). Un error de ESP se produce
cuando hay una incompatibilidad de autenticación en los paquetes
ESP.
• ESP decryption failures— número total de errores de descifrado

ESP.
• Bad headers: número total de encabezados no válidos detectados.
• Bad trailers: número total de descargas no válidas detectadas.
• Invalid SPI— Número total de paquetes SDI no válidos detectados.
• TS check fail— Número total de errores de comprobación de TS

detectados.
• Discarded— Número total de paquetes descartados detectados.
Mostrar estadísticas de seguridad de IPSec
user@host> show security ipsec statistics

ESP Statistics:
Encrypted bytes: 0
2017
Decrypted bytes: 0
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
Invalid SPI: 0, TS check fail: 0
Discarded: 0
Mostrar estadísticas de seguridad IPSec índice 131073

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
Discarded: 0
FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes

best-effort 7 7 952
2018
588
custom_q1 0 0 0
0
custom_q2 0 0 0
0
network-control 0 0 0
0
custom_q4 0 0 0
0
custom_q5 0 0 0
0
custom_q6 0 0 0
0
custom_q7 0 0 0
0
default 0 0 0
0
A partir de Junos OS versión 18.2 R1, la show security ipsec statistics index 131073 index-number
salida de la CLI muestra las estadísticas de cada nombre de clase de reenvío.
Show seguridad estadísticas de IPSec FPC 6 PIC 1 (serie SRX dispositivos)
user@host> show security ipsec statistics fpc 6 pic 1

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
2019

Discarded: 0
muestra las estadísticas ipsec de seguridad ha-link-encryption (SRX5400, SRX5600,

SRX5800)
comando solo muestra estadísticas de túnel de cifrado de vínculos en ambos nodos.
user@host> show security ipsec statistics ha-link-encryption

ESP Statistics:
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
Discarded: 0
Comando introducido en Junos OS versión 8.5. fpc y pic opciones agregadas en Junos OS versión 9.3.

2020
Mostrar el selector de tráfico IPSec de seguridad
in this section
Sintaxis | 2020
Descripción | 2020
Opciones | 2021
Sintaxis
show security ipsec traffic-selector interface-name interface-name

<brief | detail>
<destination-address address>
<source-address address>
Descripción
Muestra información acerca de los selectores de tráfico que se han negociado entre el interlocutor inicial
y el contestador.
2021
Opciones
nombre de interfaz Nombre de la interfaz lógica de túnel seguro.

nombre de interfaz-
nombre
brief | detail Adicional Muestra el nivel de salida especificado. El valor predeterminado
briefes.
dirección de destino Adicional Dirección IP de destino.
fpc slot-number pic Adicional Muestra información acerca de los selectores de tráfico existentes en la
slot-number ranura del concentrador de PIC flexible (FPC) especificada y en la ranura de PIC.
KMD-Instance Adicional Mostrar información sobre los selectores de tráfico existentes en el

proceso de administración de claves (en este caso, es KMD) identificados por el
número de ranura FPC y el número de ranura de PIC. Esta opción se utiliza para
filtrar los resultados.
• all: todas las instancias de KMD que se ejecutan en la unidad de

procesamiento de servicios (SPU).
• kmd-instance-name: nombre de la instancia de KMD que se ejecuta en la

SPU.
pic slot-number fpc Adicional Muestra información acerca de los selectores de tráfico existentes en la
slot-number ranura PIC especificada y en la ranura FPC.
dirección de origen Adicional Dirección IP de origen.
vista
Tabla 143 en la página 2022enumera los campos de salida del show security ipsec traffic-selector
2022
Tabla 143: Mostrar campos de salida del selector de tráfico de seguridad IPSec

campo
ID de túnel ID. de túnel. Todos los niveles
Interfaz Interfaz de túnel seguro (st0) para el selector de tráfico. Todos los niveles
ID DEL ICR ID. del ICR del mismo nivel para el selector de tráfico negociado. Todos los niveles
IP de origen Dirección IP de origen para el selector de tráfico negociado. Todos los niveles
IP de destino Dirección IP de destino para el selector de tráfico negociado. Todos los niveles
Show IPSec interfaz de selector de tráfico de seguridad-nombre St 0.1 detalle
user@host> show security ipsec traffic-selector interface-name st0.1 detail

Tunnel ID: 6920601, Interface: st0.1
IKE-ID: DC=Common_component, CN=enodeA, OU=Dept, O=Company, L=City, ST=CA, C=US
Source IP: ipv4 (192.0.2.0-192.0.2.255)
Destination IP: ipv4 (198.51.100.0-198.51.100.255)
Tunnel ID: 77594626, Interface: st0.1

IKE-ID: DC=Common_component, CN=enodeB, OU=Det, O=Company, L=City, ST=CA, C=US
Source IP: ipv4 (192.0.2.0-192.0.2.255)
Destination IP: ipv4 (203.0.113.0-203.0.113.255)

2023
in this section
Sintaxis | 2023
Descripción | 2023
Opciones | 2024
Sintaxis
show security ipsec tunnel-distribution

<brief | summary | summary-cpuload>
Descripción
Muestra el número de túneles VPN de IPsec delimitados en cada subproceso. A una sesión de túnel
IPsec se le asigna un subproceso del delimitador, basado en la carga durante la instalación de la sesión
de túnel. Cuando se crea una nueva sesión de túnel, se elige el subproceso menos cargado para anclar el
nuevo túnel. Cuando se elimina el túnel, la asignación de anclaje se quita del plano de control.
La distribución de túnel en diferentes unidades de procesamiento de servicios (SPU) o equivalente se

basa en el número de túneles y no en la velocidad de cada túnel. Los túneles fijados en una SPU no se
transfieren a una SPU distinta ni equivalente durante la avería de la SPU.
2024
El perfil de distribución muestra todos los perfiles de distribución IPSec asignados sin perfiles de
distribución asignados a un objeto VPN. Esta solapa se default_profiilemuestra, de lo contrario, se
muestra el perfil asociado.
Opciones
ninguno Muestra información de subprocesos acerca de todos los túneles activos.
brief Adicional Muestra información de subprocesos acerca de todos los túneles activos.
Predeterminada
fpc Número de ranura FPC (0,5).
pic Número de ranura PIC (0..3).
summary Adicional Muestra el número de túneles anclados a cada subproceso.
summary- (Opcional) Muestra la carga en cada FPC y PIC. Puede usar esta opción para
cpuload comprobar la carga en cada FPC y PIC antes o después de redistribuir el túnel.
Consulte "muestra el resumen de la distribución de túneles ipsec de seguridad y la
carga de cpuload" en la página 2028la.
vista
Tabla 144 en la página 2025enumera los campos de salida del show security ipsec tunnel-distribution
2025
Tabla 144: Mostrar los campos de seguridad de túnel IPSec-salida de distribución
ID de túnel Identificador de túnel VPN. brief
ID de subproceso Identificador de subproceso. Todos los niveles
Número de túneles Número de túneles delimitados hasta el subproceso. summary
CPU:1m Promedio de carga de CPU de último minuto para FPC o summary-cpuload

PIC.
CPU:1h Promedio de carga de CPU durante las últimas 1 hora para summary-cpuload
FPC o PIC.
CPU:1d Promedio de carga de CPU para el último día 1 para FPC o summary-cpuload
PIC.
user@host> show security ipsec tunnel-distribution

Tunnel-ID FPC PIC Thread-ID
------------------------------------------------------------------
500006 0 1 4
500012 0 1 8
500009 0 1 6
500002 0 1 1
500005 0 1 3
500001 0 0 15
500008 0 1 5
500010 0 0 18
500004 0 0 16
2026
500003 0 1 2
500011 0 1 7
500007 0 0 17
Tunnel-ID FPC PIC Thread-ID Distribution-

profile
------------------------------------------------------------------
500755 0 1 1 spc-3
500756 2 0 0 spc-2
500758 0 1 1 default_profile
Mostrar el túnel IPSec de seguridad: Resumen de distribución
user@host> show security ipsec tunnel-distribution summary

Number of Tunnels FPC PIC Thread-ID
------------------------------------------------------------------
1 0 0 15
1 0 0 16
1 0 0 17
1 0 0 18
1 0 1 1
1 0 1 2
1 0 1 3
1 0 1 4
1 0 1 5
1 0 1 6
1 0 1 7
1 0 1 8
Show IPSec túnel-distribución FPC 0 PIC 0
user@host> show security ipsec tunnel-distribution fpc 0 pic 0

------------------------------------------------------------------
500001 0 0 15
500010 0 0 18
500004 0 0 16
500007 0 0 17
2027
Mostrar seguridad IPSec túnel-distribución FPC 0 PIC 1
user@host> show security ipsec tunnel-distribution fpc 0 pic 1

------------------------------------------------------------------
500006 0 1 4
500012 0 1 8
500009 0 1 6
500002 0 1 1
500005 0 1 3
500008 0 1 5
500003 0 1 2
500011 0 1 7
Mostrar seguridad IPSec túnel-distribución Resumen FPC 0 PIC 0
user@host> show security ipsec tunnel-distribution summary fpc 0 pic 0

------------------------------------------------------------------
1 0 0 15
1 0 0 16
1 0 0 17
1 0 0 18
0 0 0 19
0 0 0 20
0 0 0 21
0 0 0 22
0 0 0 23
0 0 0 24
0 0 0 25
0 0 0 26
0 0 0 27
Mostrar seguridad IPSec túnel-distribución Resumen FPC 0 PIC 1
user@host> show security ipsec tunnel-distribution summary fpc 0 pic 1

------------------------------------------------------------------
1 0 1 1
2028
1 0 1 2
1 0 1 3
1 0 1 4
1 0 1 5
1 0 1 6
1 0 1 7
1 0 1 8
0 0 1 9
0 0 1 10
0 0 1 11
0 0 1 12
0 0 1 13
0 0 1 15
0 0 1 16
0 0 1 17
0 0 1 18
0 0 1 19
0 0 1 20
0 0 1 21
0 0 1 22
0 0 1 23
0 0 1 24
0 0 1 25
0 0 1 26
0 0 1 27
muestra el resumen de la distribución de túneles ipsec de seguridad y la carga de cpuload
Este comando muestra el mismo resultado que , pero incluye promedios de carga (último minuto, 1 hora
y 1 día) de todos los subprocesos para cada FPC y show security ipsec tunnel-distribution summary PIC.
user@host> show security ipsec tunnel-distribution summary-cpuload
node0:
---------------------------------------------------------------------------------
--------------------------
Number of Tunnels FPC PIC Thread-ID CPU:1m CPU:1h CPU:1d
---------------------------------------------------------------------------------
--------------------------
2029
1 0 0 15 0 0 0
1 0 0 16 0 0 0
opción de carga de resumen introducida en la Junos OS versión 20.4R1.

Mostrar seguridad túnel IPSec-eventos-estadísticas
in this section
Sintaxis | 2029
Descripción | 2030
Sintaxis
show security ipsec tunnel-events-statistics

2030
Descripción
Mostrar estadísticas de eventos de túnel.
vista
Mostrar estadísticas de seguridad de túnel IPSec-eventos
user@host> show security ipsec tunnel-events statistics

IPSec SA delete payload received from peer : 153
Configuration change triggered clearing of IPSec SA : 1
Peer's remote IKE-ID validation failed during negotiation : 2
Phase1 proposal mismatch detected : 2
Phase2 proposal mismatch detected : 2
Peer proposed traffic-selectors are not in configured range : 8576
Negotiation failed as peer did not respond : 4
IKE SA negotiation successfully completed : 19
IPSec SA negotiation successfully completed : 154
PKI validation failed: Peer's CA not configured in trusted-CA-group in IKE
policy : 1
Tunnel is ready. Waiting for trigger event or peer to trigger negotiation : 1
A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-connection

de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía [] para conservar una
sesión de túnel existente y rechazar las solicitudes de negociación para un nuevo túnel con el mismo ID
ICR. De forma predeterminada, un túnel existente se desgarrará cuando se establezca un nuevo túnel
con el mismo ID de ICR. Esta reject-duplicate-connection opción solo es compatible cuando ike-user-
2031
type group-ike-id o ike-user-type shared-ike-id está configurada para la puerta de enlace de ICR; la aaa
access-profile profile-name configuración no es compatible con esta opción.
Utilice la opción reject-duplicate-connection de CLI únicamente cuando esté seguro de que

reestablishment de un nuevo túnel con el mismo ID de ICR debe ser rechazado.
Mostrar seguridad PKI CA-certificado (vista)
in this section
Sintaxis | 2031
Descripción | 2032
Opciones | 2032
Sintaxis
show security pki ca-certificate

<brief | detail>
<ca-profile ca-profile-name >
2032
Descripción
Muestra información acerca de los certificados digitales de la infraestructura de claves públicas (PKI) de
la entidad emisora de certificados configurados en el dispositivo.
La imagen de FIPS no permite el uso de rastros digitales MD5. Por lo tanto, las huellas dactilares MD5
no se incluyen cuando se muestra un certificado con este comando. La huella digital SHA-1 que se
muestra actualmente se conserva en la imagen FIPS. El protocolo de inscripción de certificados simple
(SCEP) está deshabilitado en la imagen FIPS.
Opciones
• none: muestra información básica de todos los certificados AC configurados.
• ca-profile ca-profile-name- (Opcional) muestra información acerca del certificado de CA

especificado.
vista
Tabla 145 en la página 2032enumera los campos de salida del show security pki ca-certificate comando.
Tabla 145: Mostrar los campos de seguridad PKI CA-Certificate
Certificate identifier Nombre del certificado digital.
Certificate version Número de revisión del certificado digital.

2033
Tabla 145: Mostrar los campos de seguridad PKI CA-Certificate (Continued)
Serial number Número de serie único del certificado digital.
Issuer Autoridad que emitió el certificado digital, incluidos los detalles de la

autoridad organizada con el formato de nombre completo. Los
subcampos posibles son:
• Organization— Organización de origen.
• Organizational unit: departamento dentro de una organización.
• Country: país de origen.
• Locality— Localidad de origen.
• Common name: nombre de la autoridad.
Subject Detalles del titular del certificado digital organizado con el formato de
nombre completo. Los subcampos posibles son:
Si el certificado contiene varios subcampos, se mostrarán todas las

entradas.
Subject string Campo asunto tal y como aparece en el certificado.

2034
Tabla 145: Mostrar los campos de seguridad PKI CA-Certificate (Continued)
Validity Período de tiempo en el que el certificado digital es válido. Los valores

son:
• Not before: hora de inicio cuando el certificado digital pasa a ser

válido.
• Not after: hora de finalización cuando el certificado digital deja de

ser válido.
Public key algorithm Algoritmo de cifrado utilizado con la clave privada,

rsaEncryptioncomo1024 bits().
Signature algorithm Algoritmo de cifrado que usó la entidad emisora para firmar el
certificado sha1WithRSAEncryptiondigital, como.
Certificate Policy Policy Identifier: uno o más identificadores de objeto de política (IDs).
Use for key Uso de la clave pública, Certificate signingcomo, CRL signingDigital
signature, o. Data encipherment
Fingerprint Hash de algoritmo deSHA1hash seguro () y síntesisMD5de mensaje 5

() utilizados para identificar el certificado digital.
Distribution CRL Información de nombre completo y la dirección URL del servidor de la

lista de revocación de certificados (CRL).
2035
Show PKI de seguridad-CA-Certificate-Profile RootCA breve
user@host> show security pki ca-certificate ca-profile RootCA brief

Certificate identifier: RootCA
Issued to: RootCA, Issued by: C = US, O = example, CN = RootCA
Validity:
Not before: 05- 3-2012 07:15
Not after: 05- 2-2017 07:15
Mostrar seguridad PKI entidad emisora de certificados CA-Certificate-RootCA detalle de

perfiles
user@host> show security pki ca-certificate ca-profile RootCA detail

Certificate identifier: RootCA
Serial number: 0712dc31
Issuer:
Organization: example, Country: US, Common name: RootCA
Subject:
Organization: example, Country: US, Common name: RootCA
Subject string:
C=US, O=example, CN=RootCA
Validity:
Not before: 05- 3-2012 07:15
Not after: 05- 2-2017 07:15
30:81:89:02:81:81:00:ac:b0:c0:11:ac:0c:34:37:04:97:65:c2:b1
ae:7e:68:e0:fa:37:23:a1:f0:eb:4d:eb:03:89:c9:d9:0d:34:f3:66
91:97:8c:e9:9c:d4:b5:55:8d:c1:e2:8b:95:08:9d:29:f8:ab:ac:ff
ae:af:f7:bc:4b:33:f2:eb:b9:e6:13:6d:18:d7:64:a7:85:78:99:41
4e:b4:fa:bc:3e:1b:5c:26:25:89:03:af:e9:c6:e9:9e:7b:74:1a:1a
5b:b4:2a:48:78:57:68:e2:5c:0b:71:71:78:ac:a2:23:5f:ca:d2:4a
38:4c:35:5a:20:cc:44:39:96:26:20:43:bd:75:fd:02:03:01:00:01
2036

Use for key: CRL signing, Certificate signing, Key encipherment,
Digital signature
Fingerprint:
eb:2a:2a:eb:d3:c7:cb:62:65:2e:6a:76:56:b8:af:88:51:8a:30:c9 (sha1)
cd:43:ae:a4:b2:11:9e:cf:1a:47:fd:7f:0c:ce:d9:fd (md5)
Auto-re-enrollment:
Status: Disabled
Mostrar seguridad PKI CA-Certificate CA-perfil CA-tmp detalle
user@host> show security pki ca-certificate ca-profile ca-tmp detail

Certificate identifier: ca-tmp
Serial number: 00000047
Issuer:
Organization: Example,
Organizational unit: DoD, Organizational unit: Testing, Country: US,
Common name: Trust Anchor
Subject:
Organization: Example,
Organizational unit: Dod, Organizational unit: Testing, Country: US,
Common name: CA1-PP.01.03
Subject string:
C=US, O=Example, OU=Example, OU=Testing, CN=CA1-PP.01.03
Validity:
Not before: 01- 1-1998 12:01 UTC
Not after: 01- 1-2048 12:01 UTC
30:81:89:02:81:81:00:cb:fd:78:0c:be:87:ac:cd:c0:33:66:a3:18
9e:fd:40:b7:9b:bc:dc:66:ff:08:45:f7:7e:fe:8e:d6:32:f8:5b:75
db:76:f0:4d:21:9a:6e:4f:04:21:4c:7e:08:a1:f9:3d:ac:8b:90:76
44:7b:c4:e9:9b:93:80:2a:64:83:6e:6a:cd:d8:d4:23:dd:ce:cb:3b
b5:ea:da:2b:40:8d:ad:a9:4d:97:58:cf:60:af:82:94:30:47:b7:7d
88:c3:76:c0:97:b4:6a:59:7e:f7:86:5d:d8:1f:af:fb:72:f1:b8:5c
2a:35:1e:a7:9e:14:51:d4:19:ae:c7:5c:65:ea:f5:02:03:01:00:01
2037

Certificate Policy:
Policy Identifier = 2.16.840.1.101.3.1.48.2
Use for key: CRL signing, Certificate signing
Fingerprint:
e0:b3:2f:2e:a1:c5:ee:ad:af:dd:96:85:f6:78:24:c5:89:ed:39:40 (sha1)
f3:47:6e:55:bc:9d:80:39:5a:40:70:8b:10:0e:93:c5 (md5)
Comando modificado en Junos OS versión 8,5. Campo de salida de cadena de asunto agregado en Junos
OS versión 12.1 X44-D10. Campo de salida del identificador de directiva agregado en Junos OS versión
12.3 X48-D10.
CA-Profile (PKI de seguridad)

Request Security PKI CA-Certificate verify (seguridad)
Mostrar certificado PKI de seguridad-solicitud (vista)
in this section
Sintaxis | 2038
Descripción | 2038
Opciones | 2038

2038
Sintaxis
show security pki certificate-request

<brief | detail>
<certificate-id certificate-id-name >
Descripción
Mostrar información acerca de las solicitudes de certificados digitales locales generados manualmente
que se almacenan en el dispositivo.
Opciones
• none: muestra información básica de todas las solicitudes de certificados digitales locales.
• certificate-id certificate-id-name — (Opcional) Muestra información acerca de solo las solicitudes de

certificados digitales locales especificadas.
vista
Tabla 146 en la página 2039enumera los campos de salida del show security pki certificate-request
2039
Tabla 146: Mostrar certificado PKI de seguridad-campos de salida de solicitud
Issued to Dispositivo en el que se emitió el certificado digital.
Alternate subject Nombre de dominio o dirección IP del dispositivo relacionado con el

certificado digital.

Public key verification Estado de comprobación de clave pública: Failedo Passed. El detail
status resultado también proporciona el hash de verificación.

2040
Mostrar certificado PKI de seguridad-solicitar certificado-Descripción del usuario de ID.
user@host> show security pki certificate-request certificate-id hassan brief

Certificate identifier: user
Issued to: user@example.net
Mostrar certificado PKI de seguridad-solicitar detalle de usuario de ID.
user@host> show security pki certificate-request certificate-id hassan detail

Certificate identifier: user
Subject:
Organization: example, Organizational unit: example, Country: IN,
Common name: user1
Alternate subject: 192.168.72.124
Public key verification status: Passed
c7:a4:fb:e7:8c:4f:31:e7:eb:01:d8:32:65:21:f2:eb:6f:7d:49:1a:c3:9b
63:47:e2:4f:f6:db:f6:c8:75:dd:e6:ec:0b:35:0a:62:32:45:6b:35:1f:65
c9:66:b7:40:b2:f9:2a:ab:5b:60:f7:c7:73:36:da:68:25:fc:40:4b:12:3c
d5:c8:c6:66:f6:10:1e:86:67:a8:95:9b:7f:1c:ae:a7:55:b0:28:95:a7:9a
a2:24:28:e4:5a:b2:a9:06:7a:69:37:20:15:e1:b6:66:eb:22:b5:b6:77:f6
65:88:b0:94:2b:91:4b:99:78:4a:e3:56:cc:14:45:d7:97:fd
Fingerprint:
8f:22:1a:f2:9f:27:b0:21:6c:da:46:64:31:34:1f:68:42:5a:39:e0 (sha1)
09:15:11:aa:ea:f9:5a:b5:70:d7:0b:8e:be:a6:d3:cb (md5)
Use for key: Digital signature
2041
Mostrar lista de certificados PKI de seguridad (vista)
in this section
Sintaxis | 2041
Descripción | 2042
Opciones | 2042
Sintaxis
show security pki crl

< brief | detail>
<ca-profile ca-profile-name >
2042
Descripción
Mostrar información acerca de las listas de revocación de certificados (CRL) configuradas en el

dispositivo.
Opciones
• none: muestra información básica de todas las CRL.
• ca-profile ca-profile-name- (Opcional) muestra información acerca de solo el perfil de CA

especificado.
vista
Tabla 147 en la página 2042enumera los campos de salida del show security pki crl comando. Los
campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 147: Mostrar campos de resultados de CRL de seguridad de PKI
CA profile Nombre del perfil de CA configurado.
CRL version Número de revisión de la lista de revocación de certificados.

2043
Tabla 147: Mostrar campos de resultados de CRL de seguridad de PKI (Continued)
CRL issuer Autoridad que emitió el certificado digital, incluidos los detalles de la
• emailAddress: dirección de correo electrónico de la autoridad

emisora.
• C: país de origen.
• ST— Estado de origen.
• L— Localidad de origen.
• O— Organización de origen.
• OU: departamento dentro de una organización.
• CN: nombre de la autoridad.
Effective date Fecha y hora en que la lista de revocación de certificados entra en

validez.
Next update Fecha y hora la plataforma de enrutamiento descargará la última

versión de la lista de revocación de certificados.
Revocation List Lista de certificados digitales que se han revocado antes de su fecha
de caducidad. Los valores son:
• Serial number: número de serie único del certificado digital.
• Revocation date: fecha y hora en que se revocó el certificado

digital.
2044
Mostrar seguridad PKI CRL CA-Profile Ca2
user@host> show security pki crl ca-profile ca2

CA profile: ca2
CRL issuer: emailAddress = user@example.net, C = US, ST = ca, L = sunnyvale, O
= , OU = SPG QA, CN = 2000-spg-example-net
Next update: 05- 4-2007 07:07
Mostrar seguridad PKI CRL CA-Profile Ca2 breve
user@host> show security pki crl ca-profile ca2 brief

CA profile: ca2
= example networks, OU = SPG QA, CN = 2000-spg-example-net
Next update: 05- 4-2007 07:07
Mostrar seguridad PKI CRL entidad emisora-perfil Ca2 detalle
user@host> show security pki crl ca-profile ca2 detail

CA profile: ca2
= example, OU = SPG QA, CN = 2000-spg-example-net
2045
Next update: 05- 4-2007 07:07

Revocation List:
Serial number Revocation date
174e6399000000000506 03-16-2007 23:09
174ef3f3000000000507 03-16-2007 23:09
17529cd6000000000508 03-16-2007 23:09
1763ac26000000000509 03-16-2007 23:09
21904e5700000000050a 03-16-2007 23:09
2191cf7900000000050b 03-16-2007 23:09
21f10eb600000000050c 03-16-2007 23:09
2253ca2a00000000050f 03-16-2007 23:09
2478939b000000000515 03-16-2007 23:09
24f35004000000000516 03-16-2007 23:09
277ddfa8000000000517 03-16-2007 23:09
277e97bd000000000518 03-16-2007 23:09
27846a76000000000519 03-16-2007 23:09
2785176f00000000051a 03-16-2007 23:09
Mostrar seguridad PKI local-certificado (vista)
in this section
Sintaxis | 2046
Descripción | 2046
Opciones | 2046
2046
Sintaxis
show security pki local-certificate

< brief | detail
>
< certificate-id certificate-id-name >
<system-generated>
Descripción
Muestra información acerca de los certificados digitales locales, las claves públicas correspondientes y el
certificado autofirmado generado automáticamente que se configura en el dispositivo.
Opciones
• ninguna: muestra información básica de todos los certificados digitales locales configurados, las
claves públicas correspondientes y el certificado auto firmado automáticamente.

2047
• id de certificado —(Opcional) Muestra información solo de los certificados certificate-id-name

digitales locales especificados y las claves públicas correspondientes.
• system-generated: muestra información sobre el certificado auto firmado de forma automática.
vista
Tabla 148 en la página 2047enumera los campos de salida del show security pki local-certificate
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado
Serial number Número de serie único del certificado digital. A partir de Junos OS
versión 20.1R1, el número de serie de certificado local de PKI se
muestra con como prefijo para indicar que el certificado local de PKI
está en 0x el formato hexadecimal.
Issued to Dispositivo en el que se emitió el certificado digital.
Issued by Autoridad que emitió el certificado digital.

2048
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado (Continued)
Issuer Autoridad que emitió el certificado digital, incluidos los detalles de la

LSYS Nombre de los sistemas lógicos.
• Serial number: número de serie del dispositivo.
Si el certificado contiene varios subcampos, se mostrarán todas las

entradas.
Subject string Campo asunto tal y como aparece en el certificado.
Alternate subject Nombre de dominio o dirección IP del dispositivo relacionado con el

certificado digital.
2049
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado (Continued)
Validity Período de tiempo en el que el certificado digital es válido. Los valores

son:
• Not before: hora de inicio cuando el certificado digital pasa a ser

válido.
• Not after: hora de finalización cuando el certificado digital deja de

ser válido.

Public key verification Estado de comprobación de clave pública: Failedo Passed. El detail
status resultado también proporciona el hash de verificación.
Signature algorithm Algoritmo de cifrado que usó la entidad emisora para firmar el
certificado sha1WithRSAEncryptiondigital, como.

Distribution CRL Información de nombre completo y dirección URL del servidor de lista
deCRLrevocación de certificados ().
2050
Show Security PKI local-Certificate Certificate-ID Hello
user@host> show security pki local-certificate certificate-id hello

LSYS: root-logical-system
Certificate identifier: hello
Issued to: cn1, Issued by: DC = local, DC = demo, CN = domain-example-WIN-CA
Validity:
Not before: 08- 8-2012 17:02
Not after: 08- 8-2014 17:02
Mostrar seguridad PKI local-certificado certificado-ID. saludo detalle
user@host> show security pki local-certificate certificate-id hello detail

Certificate identifier: hello
Serial number: 61ba9da000000000d72e
Issuer:
Common name: Example-CA,
Domain component: local, Domain component: demo
Subject:
Organization: o1, Organization: o2,
Organizational unit: ou1, Organizational unit: ou2, Country: US, State: CA,
Locality: Sunnyvale, Common name: cn1, Common name: cn2,
Domain component: dc1, Domain component: dc2
Subject string:
C=Example, DC=dc1, DC=dc2, ST=CA, L=Sunnyvale, O=o1, O=o2, OU=ou1, OU=ou2,
CN=cn1, CN=cn2
Alternate subject: "user@example.net", user.example.net, 192.0.2.1
Validity:
Not before: 08- 8-2012 17:02
Not after: 08- 8-2014 17:02
30:81:89:02:81:81:00:b4:14:01:d5:4f:79:87:d5:bb:e6:5e:c1:14
2051
97:da:b4:40:ad:1a:77:3e:ec:2e:68:8e:e4:93:a3:fe:7c:0b:58:af
e1:20:27:82:ca:8d:6f:f0:97:d1:ad:fe:df:6c:cb:3c:b0:4f:cc:dd
ac:d8:69:3f:3c:59:b5:2a:c6:83:e8:b3:94:5e:0a:2d:cd:e2:b0:15
3e:97:a7:8a:4e:fb:59:f7:20:4c:ba:a8:80:3e:ba:be:69:ef:2b:32
e4:1a:1c:24:53:1b:d5:c3:aa:d4:25:73:96:76:ea:49:d4:da:7e:3e
0c:c6:6b:22:43:cb:04:84:0d:25:33:07:6b:49:41:02:03:01:00:01
Distribution CRL:
ldap:///Example-CA,CN=cn-win,CN=CDP,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=demo,DC=local?
certificateRevocationList?base?
objectClass=cRLDistributionPoint
http://example.example.net/CertEnroll/Example-CA.crl
Use for key: Key encipherment, Digital signature, 1.3.6.1.5.5.8.2.2,
1.3.6.1.5.5.8.2.2
Fingerprint:
76:a8:5f:65:b4:bf:bd:10:d8:56:82:65:ff:0d:04:3a:a5:e9:41:dd (sha1)
8f:99:a4:15:98:10:4b:b6:1a:3d:81:13:93:2a:ac:e7 (md5)
Auto-re-enrollment:
Status: Disabled
Show PKI seguridad generada por el sistema de certificados locales
user@host> show security pki local-certificate system-generated

Certificate identifier: system-generated
Issued to: JN10B9390AGB, Issued by: CN = JN10B9390AGB, CN = system generated,
CN = self-signed
Validity:
Not before: 10-30-2009 23:02
Not after: 10-29-2014 23:02
2052
Show PKI detalle generado por el sistema de certificados de seguridad local
user@host> show security pki local-certificate system-generated detail

Certificate identifier: system-generated
Serial number: e90d42ebd14ef954b3e48c2eed5b30fb
Issuer:
Common name: JN10B9390AGB, Common name: system generated, Common name: self-
signed
Subject:
Common name: JN10B9390AGB, Common name: system generated, Common name: self-
signed
Subject string:
CN=JN10B9390AGB, CN=system generated, CN=self-signed
Validity:
Not before: 10-30-2009 23:02
Not after: 10-29-2014 23:02
30:81:89:02:81:81:00:cb:c8:3f:e6:d3:e5:ca:9d:dc:2d:e9:ca:c7
5f:b1:f5:3a:f0:1c:a7:55:43:0f:ef:fd:1c:fe:29:09:d5:37:d0:fa
d6:ee:bc:b8:3f:58:d4:31:fb:96:4f:4f:cc:a9:1a:8f:2e:1b:50:6f
2b:88:34:74:b2:6d:ad:94:b5:dd:3d:80:87:56:d0:42:50:4d:ac:d7
8c:21:06:2d:07:1e:f4:d0:c7:85:2e:25:60:ad:1b:b5:b2:d2:1d:c8
79:67:8c:56:06:04:75:6e:be:4e:99:b8:07:e6:9a:11:fe:b5:ec:c0
1e:68:da:47:99:1b:b2:c8:07:ab:cd:6e:fe:c1:fd:02:03:01:00:01
Fingerprint:
be:1f:21:13:71:cd:9d:de:7a:41:d7:4c:52:8d:3e:d6:ba:db:75:96 (sha1)
ba:fc:90:4b:5f:a8:66:a3:b9:64:89:9f:e2:45:b5:84 (md5)
Auto-re-enrollment:
Status: Disabled
2053
Mostrar seguridad PKI local-certificado de certificado-identificador MyCert-(certificado local

inscrito en línea con SCEP)
user@host> show security pki local-certificate certificate-id mycert

LSYS: root-logical-system
Certificate identifier: mycert
Issued to: bubba, Issued by: DC = local, DC = demo, CN = domain-example-WIN-CA
Validity:
Not before: 11-15-2012 18:58
Not after: 11-15-2014 18:58
Mostrar seguridad PKI local-certificado de certificado-ID. de CERT. de MyCert detalle-

(certificado local inscrito en línea con SCEP)
user@host> show security pki local-certificate certificate-id mycert detail

Certificate identifier: mycert
Serial number: 1f00b50a000000013ad2
Issuer:
Common name: Example-CA,
Domain component: local, Domain component: demo
Subject:
Organization: example, Organizational unit: SSD, Country: US,
Common name: host1, Serial number: SRX240-11152012
Subject string:
serialNumber=SRX240-11152012, C=US, O=example, OU=SSD, CN=host1
Alternate subject: "user@example.net", user.example.net, 192.0.2.1
Validity:
Not before: 11-15-2012 18:58
Not after: 11-15-2014 18:58
30:81:89:02:81:81:00:e3:e5:ae:c0:82:af:db:94:01:2f:56:46:50
2054
7d:3d:0b:0c:f0:1f:1d:7d:c3:aa:d4:4c:a0:cd:23:8b:3f:47:05:ee
7b:65:42:a0:dc:c4:ac:a7:b6:a6:9f:5c:ea:d8:22:b0:bf:03:75:09
be:fa:77:cb:d6:67:19:e6:80:fa:a5:7c:93:af:96:66:9f:cc:45:d5
eb:ab:c1:f0:32:a6:d9:27:1b:80:bb:57:ec:31:a2:e0:2b:e1:42:c0
92:8a:9b:ed:a6:d2:ec:7c:84:5a:8a:d9:96:a7:7e:40:c3:80:0e:f4
d6:a2:5d:78:93:3b:7d:d5:8a:f5:de:fb:bc:0d:6d:02:03:01:00:01
Distribution CRL:
ldap:///Example-CA,CN=cn-win,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=demo,DC=local?certificateRevocationList?
base?objectClass=cRLDistributionPoint
http://example.example.net/CertEnroll/Example-CA.crl
Use for key: Key encipherment, Digital signature, 1.3.6.1.5.5.8.2.2,
1.3.6.1.5.5.8.2.2
Fingerprint:
1f:2f:a9:22:a8:d5:a9:36:cc:c4:bd:81:59:9d:9c:58:bb:40:15:72 (sha1)
51:27:e4:d5:29:90:f7:85:9e:67:84:a1:75:d1:5b:16 (md5)
Auto-re-enrollment:
Status: Disabled
Mostrar seguridad PKI local-detalle de certificado
user@host>show security pki local-certificate detail

Certificate identifier: Root-CA
Serial number: 0x64fd90f39e513fb3435946f893f19360
Issuer:
Common name: vpnqa-msca
Subject:
Common name: vpnqa-msca
Subject string:
CN=vpnqa-msca
Validity:
Not before: 11-26-2019 02:37 UTC
Not after: 11-26-2024 02:47 UTC
2055
30:82:01:0a:02:82:01:01:00:ed:6b:34:79:99:fd:b7:a3:39:6c:37
2a:45:08:c9:5c:46:bc:a3:5d:92:db:b7:fa:1e:42:88:64:0b:57:8e
7e:4a:80:d5:49:12:0c:46:23:f3:8c:7d:b6:db:05:9a:de:fd:00:82
46:49:e6:47:f5:3e:c5:0e:72:aa:af:35:38:11:e7:bb:31:a7:36:59
7d:8a:53:c9:73:6a:4b:50:f5:05:c7:0f:60:94:07:0a:04:a9:e4:37
b6:4e:6a:b2:a7:36:bf:bf:b0:7b:8f:32:85:3d:34:b0:e0:e4:29:86
4f:6e:23:b0:eb:d3:02:93:fc:84:bb:26:41:b3:9a:71:2c:07:78:23
ab:49:ed:8d:6a:7b:8d:4b:c5:23:d8:05:b5:77:f0:27:22:34:60:b0
c1:4b:bd:b6:ef:fd:27:8c:28:31:f3:20:8b:48:5a:33:63:32:d0:04
89:56:c3:16:84:2c:06:7b:5c:64:76:b0:19:47:2f:5c:bf:e3:48:37
aa:83:1c:eb:16:27:26:76:7d:ad:2c:d7:b1:b7:c2:40:c7:ef:72:93
cd:a3:b1:d7:bd:c5:c1:d9:6e:d7:2c:22:51:55:ca:5d:f8:9e:0f:93
3d:85:4a:77:3c:a3:8e:87:40:3f:35:6b:d3:d7:bf:2c:4e:bb:b1:02
5d:ae:55:c2:bd:02:03:01:00:01
Use for key: CRL signing, Certificate signing, Digital signature
Fingerprint:
73:d9:ba:b6:83:2e:99:6b:f8:a3:b6:3b:ec:84:4f:5d:9a:04:8c:9b (sha1)
6f:7d:db:5a:f1:ec:95:b8:d9:68:dd:53:17:e2:59:60 (md5)
nombre de comando
Comando modificado en Junos OS versión 9,1. Campo de salida de cadena de asunto agregado en Junos
OS versión 12.1 X44-D10.

2056
muestra la ree distribución de seguridad ipsec-vpn
in this section
Sintaxis | 2056
Descripción | 2056
Opciones | 2056
Sintaxis
show security re-distribution ipsec-vpn <gateway-name gateway-name>
Descripción
Después de ejecutar el comando, es posible que request security re-distribution ipsec-vpn gateway-
name gateway-name le lleve algún tiempo establecer un túnel nuevo. Este comando muestra los
comandos para los cuales los túneles se encuentran en el estado pendiente o en espera para
establecerse.
Opciones
ninguno Muestra información de todas las puertas de enlace.
nombre de puerta de enlace (Opcional) Muestra información para la puerta de enlace especificada.
2057
vista
Tabla 149 en la página 2057enumera los campos de salida del show security re-distribution ipsec-vpn
Tabla 149: muestra los campos de salida ipsec-VPN de ree distribución de seguridad

campo
Gateway-name Nombre de la puerta de enlace de ICR. Todos los niveles
FPC Número de ranura FPC. Todos los niveles
PIC Ranura de la serie PIC. Todos los niveles
Thread-id Identificador de subproceso. Todos los niveles
Remote-id Identificador remoto. Todos los niveles
muestra la ree distribución de seguridad ipsec-vpn
user@host> show security re-distribution ipsec-vpn
Gateway-name FPC PIC Thread-id Remote-id

Gateway-name-1 3 1 3 n/a
2058
Gateway-name 2 2 5 n/a
Gateway-name-2 1 3 7 ike-id-3
muestra el nombre de puerta de enlace ipsec-vpn de ree distribution de seguridad
user@host> show security re-distribution ipsec-vpn gateway-name gateway-name-1
Gateway-name FPC PIC Thread-id Remote-id


Show Security TCP-encap conexión
in this section
Sintaxis | 2059
Descripción | 2059
Opciones | 2059
2059
Sintaxis
show security tcp-encap connection

<brief | detail>
<session-id session-id>
Descripción
Mostrar información acerca de las sesiones de encapsulación TCP.
Opciones
ninguno Mostrar información acerca de las sesiones de encapsulación TCP.
Brief | detalle Adicional Muestra el nivel de salida especificado.
session-id session-id Adicional Muestra información para el identificador de sesión especificado.
vista
2060
Tabla 150 en la página 2060enumera los campos de salida del show security tcp-encap connection
Tabla 150: Mostrar la seguridad TCP-encap de la conexión campos de salida
ID. de sesión Identificador de sesión.
Cliente Nombre del cliente de acceso remoto.
Gateway Dirección IP de la puerta de enlace remota.
Puerta de enlace local Dirección IP de la puerta de enlace local.
Puerta de enlace remota Dirección IP de la puerta de enlace remota.
Ha Fecha y hora en que se inició la conexión.
Anclaje de la SPU Unidad de procesamiento de servicios (SPU) en la que se fija la conexión.
Show Security TCP-encap conexión
user@host> show security tcp-encap connection

Session-Id Client Gateway
34 NCP-1 10.4.0.1
644 NCP-1 10.5.0.1
2061
Mostrar seguridad TCP: detalles de conexión de encap
user@host> show security tcp-encap connection detail

Session id: 34
Local Gateway: 10.4.0.2:500 , Remote Gateway: 10.4.0.1:9500
Client: NCP-1
Started: Sun Jan 08 2017 21:32:58
Anchor spu: 1
Session id: 644

Client: NCP-1
Started: Sun Jan 08 2017 21:32:58
Anchor spu: 1
Show Security TCP-encap conexión sesión-ID 644
user@host> show security tcp-encap connection session-id 644

Session id: 644
Client: NCP-1
Started: Sun Jan 08 2017 21:32:58
Anchor spu: 1
TCP-encap | 1713
2062
Mostrar estadísticas TCP-encap de seguridad
in this section
Sintaxis | 2062
Descripción | 2062
Sintaxis
show security tcp-encap statistics
Descripción
Mostrar estadísticas de encapsulación TCP.
vista
Tabla 151 en la página 2063enumera los campos de salida del show security tcp-encap statistics
2063
Tabla 151: Mostrar seguridad TCP-estadísticas encap campos de salida
Directiva coincidente Número de políticas coincidentes.
Las sesiones TCP Número de sesiones TCP.
Mostrar estadísticas TCP-encap de seguridad
user@host> show security tcp-encap statistics

TCP encapsulation statistics:
Policy Matched: 16
TCP sessions: 16

VPN Ipsec

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

VPN Ipsec

Uploaded by

Copyright:

Available Formats

Guía del usuario de IPsec VPN para los

Juniper Networks, Inc.

Guía del usuario de IPsec VPN para los dispositivos de seguridad

YEAR 2000 NOTICE

END USER LICENSE AGREEMENT

Introducción a las ICR | 10

ICR versiones anteriores | 11

Interacción entre ICR e IPSec | 11

Intercambio de mensajes IKEv1 | 12

Fase 1 de la ICR de túnel | 12

Fase 2 de la ICR de túnel | 14

Intercambio de mensajes IKEv2 | 15

ICR de acceso (clave previamente compartida y autenticación basada en certificados) | 18

Traducción de direcciones de red-Traversal (TDR-T) | 19

Conjuntos criptográficos Suite B y PRIME | 19

Descripción general de IPsec | 21

Administración de claves IPsec | 22

Protocolos de seguridad IPsec | 25

Negociación de túnel IPsec | 27

Estándares compatibles con IPsec y ICR | 27

Introducción a la PKI en Junos OS | 32

Componentes de PKI en Junos OS | 35

Generar manualmente certificados digitales: Información general de configuración | 38

Certificados digitales auto firmados | 38

Descripción de los certificados autofirmados | 39

Ejemplo Generar un par de claves pública y privada | 40

Ejemplo Generar manualmente certificados autofirmados | 41

Uso de certificados autofirmados generados automáticamente (procedimiento CLI) | 43

Configuración de un grupo de CA de confianza | 45

Crear un grupo de CA de confianza para una lista de perfiles de CA | 45

Eliminación de un perfil de CA de un grupo de CA de confianza | 46

Eliminación de un grupo de entidades de certificación de confianza | 47

Descripción de los perfiles de autoridad de certificados | 48

Ejemplo Configuración de un perfil de CA | 49

Ejemplo Configuración de una dirección IPv6 como dirección de origen de un perfil de CA | 52

Inscripción en línea de certificados digitales: Información general de configuración | 54

Descripción de la inscripción de certificados de CA en línea | 55

Descripción de las solicitudes de certificados locales | 55

Inscripción en línea de un certificado de CA con SCEP | 55

Ejemplo Inscripción en línea de un certificado local con SCEP | 56

Ejemplo Uso de SCEP para renovar automáticamente un certificado local | 59

Descripción de la inscripción de certificados CMPv2 y SCEP | 61

Descripción de la inscripción de certificados con CMPv2 | 62

Ejemplo Generar manualmente un CSR para el certificado local y enviarlo al servidor de la CA | 65

Ejemplo Cargar manualmente certificados de CA y locales | 67

Eliminar certificados (procedimiento de la CLI) | 69

Descripción del Protocolo de estado de certificados en línea y listas de revocación de

Ejemplo Carga manual de una CRL en el dispositivo | 73

Descripción de la descarga y comprobación de CRL dinámicas | 75

Ejemplo Configuración de un perfil de autoridad de certificados con ubicaciones de CRL | 77

Ejemplo Comprobar la validez de los certificados | 80

Eliminación de una CRL cargada (procedimiento de CLI) | 81

Descripción de la validación de certificados digitales | 82

Ejemplo Validación de un certificado digital mediante la configuración de OID de directiva en un

4 VPN IPsec en Junos OS

ICR y procesamiento de paquetes IPsec | 96

Introducción a ICR en Junos OS | 105

ICR propuesta | 111

ICR de desarrollo | 111

Reesclave y reauteticación | 111

ICR de acceso (autenticación basada en certificados) | 113

Descripción general | 117

Error de SA de ICR e IPsec para un certificado revocado | 128