Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conjuntos de serviços para túneis IPsec de endpoint estático

Conjuntos de serviços

O PIC de serviços adaptativos oferece suporte a dois tipos de conjuntos de serviços quando você configura túneis IPSec. Como eles são usados para diferentes finalidades, é importante saber as diferenças entre esses tipos de conjunto de serviços.

  • Conjunto de serviços de próximo salto — oferece suporte a protocolos de roteamento dinâmico multicast e multicast (como OSPF) por IPSec. Os conjuntos de serviços de próximo salto permitem que você use interfaces lógicas internas e externas no PIC de serviços adaptativos para se conectar com várias instâncias de roteamento. Eles também permitem o uso da tradução de endereços de rede (NAT) e recursos de firewall stateful. No entanto, os conjuntos de serviços de próximo salto não monitoram o tráfego do mecanismo de roteamento por padrão e exigem a configuração de vários conjuntos de serviços para oferecer suporte ao tráfego de várias interfaces.

  • Conjunto de serviços de interface — aplicado a uma interface física e semelhante a um filtro de firewall stateless. Eles são fáceis de configurar, podem suportar tráfego de várias interfaces e podem monitorar o tráfego do mecanismo de roteamento por padrão. No entanto, eles não podem suportar protocolos de roteamento dinâmicos ou tráfego multicast pelo túnel IPSec.

Em geral, recomendamos que você use conjuntos de serviços de próximo salto porque eles suportam protocolos de roteamento e multicast sobre o túnel IPSec, eles são mais fáceis de entender, e a tabela de roteamento toma decisões de encaminhamento sem intervenção administrativa.

Configuração de conjuntos de serviços IPsec

Os conjuntos de serviços IPsec exigem especificações adicionais que você configura no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia:

A configuração dessas declarações é descrita nas seguintes seções:

Configuração do endereço de gateway local para conjuntos de serviços IPsec

Se você configurar um conjunto de serviços IPsec, você também deve configurar um endereço IPv4 ou IPv6 local, incluindo a local-gateway declaração:

  • Se o endereço IP de gateway da Internet Key Exchange (IKE) estiver em inet.0 (a situação padrão), você configura a seguinte declaração:

  • Se o endereço IP do gateway IKE estiver em uma instância de roteamento e encaminhamento de VPN (VRF), configure a seguinte declaração:

Você pode configurar todos os túneis do tipo link que compartilham o mesmo endereço de gateway local em um único conjunto de serviços no estilo next-hop. Você deve especificar um valor para a inside-service-interface declaração no nível de [edit services service-set service-set-name] hierarquia que corresponda ao ipsec-inside-interface valor, que você configura no nível de [edit services ipsec-vpn rule rule-name term term-name from] hierarquia. Para obter mais informações sobre a configuração do IPsec, consulte Configuração de regras de IPsec.

Nota:

A partir do Junos OS Release 16.1, para configurar túneis do tipo de enlace (ou seja, estilo next-hop), para fins de HA, você pode configurar interfaces lógicas AMS como interfaces internas IPsec usando a ipsec-inside-interface interface-name declaração no [edit services ipsec-vpn rule rule-name term term-name from] nível hierárquica.

A partir do Junos OS Release 17.1, a AMS oferece suporte à distribuição de túneis IPSec.

Endereços IKE em instâncias VRF

Você pode configurar endereços IP de gateway do Internet Key Exchange (IKE) que estão presentes em uma instância de roteamento e encaminhamento de VPN (VRF), desde que o peer possa ser alcançado por meio da instância VRF.

Para conjuntos de serviços de próximo salto, o processo de gerenciamento de chave (kmd) coloca os pacotes IKE na instância de roteamento que contém o outside-service-interface valor que você especifica, como neste exemplo:

Para conjuntos de serviços de interface, a service-interface declaração determina o VRF, como neste exemplo:

Compensação de SAs quando o endereço local do gateway ou MS-MPC ou MS-MIC cai

A partir do Junos OS Release 17.2R1, tou pode usar a gw-interface declaração para permitir a limpeza de gatilhos IKE e SAs IKE e IPsec quando o endereço IP local de gateway de um túnel IPsec cair, ou o MS-MIC ou MS-MPC sendo usado no conjunto de serviços do túnel cai.

O interface-name e logical-unit-number deve combinar a interface e a unidade lógica em que o endereço IP do gateway local está configurado.

Se o endereço IP do gateway local para o conjunto de serviços de um túnel IPsec cair ou o MS-MIC ou MS-MPC que está sendo usado no conjunto de serviços cair, o conjunto de serviços não enviará mais gatilhos IKE. Além disso, quando o endereço IP do gateway local cai, os SAs IKE e IPsec são liberados para conjuntos de serviços de próximo salto e vão para o estado não instalado para conjuntos de serviços no estilo de interface. Os SAs que têm o estado não instalado são excluídos quando o endereço IP do gateway local é novamente atualizado.

Se o endereço IP de gateway local que cai para um conjunto de serviços de próximo salto for para o peer respondente, então você precisa limpar os SAs IKE e IPsec no peer de iniciação para que o túnel IPsec volte a subir assim que o endereço IP do gateway local estiver de volta. Você pode limpar manualmente os SAs IKE e IPsec no peer de iniciação (veja serviços claros ipsec-vpn ike security-associations e serviços claros ipsec-vpn ipsec security-associations) ou permitir a detecção de peer morto no peer iniciador (ver Configuração de regras de firewall stateful).

Configuração de perfis de acesso IKE para conjuntos de serviços IPsec

Somente para tunelamento dinâmico de endpoint, você precisa consultar o perfil de acesso IKE configurado no nível de [edit access] hierarquia. Para fazer isso, inclua a ike-access-profile declaração no nível hierárquica [edit services service-set service-set-name ipsec-vpn-options] :

A ike-access-profile declaração deve fazer referência ao mesmo nome da profile declaração configurada para acesso IKE no nível de [edit access] hierarquia. Você pode consultar apenas um perfil de acesso em cada conjunto de serviços. Esse perfil é usado para negociar associações de segurança IKE e IPsec apenas com pares dinâmicos.

Nota:

Se você configurar um perfil de acesso IKE em um conjunto de serviços, nenhum outro conjunto de serviços poderá compartilhar o mesmo local-gateway endereço.

Além disso, você deve configurar um conjunto de serviços separado para cada VRF. Todas as interfaces mencionadas pela ipsec-inside-interface declaração dentro de um conjunto de serviços devem pertencer ao mesmo VRF.

Configuração de autoridades de certificação para conjuntos de serviços IPsec

Você pode especificar uma ou mais autoridades de certificação confiáveis, incluindo a trusted-ca declaração:

Quando você configura certificados digitais de infraestrutura de chave pública (PKI) na configuração de IPsec, cada conjunto de serviços pode ter seu próprio conjunto de autoridades de certificação confiáveis. Os nomes que você especifica para a trusted-ca declaração devem corresponder aos perfis configurados no nível de [edit security pki] hierarquia; para obter mais informações, consulte a Biblioteca de administração do Junos OS para dispositivos de roteamento. Para obter mais informações sobre a configuração do certificado digital IPsec, consulte Configurando as regras do IPsec.

A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação de IKE baseada em certificados em vez da cadeia completa de certificados. Isso evita a fragmentação do IKE. Para configurar este recurso, inclua a no-certificate-chain-in-ike declaração:

Configuração ou desativação do serviço antireplay

Você pode incluir a anti-replay-window-size declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia para especificar o tamanho da janela antireplay.

Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a anti-replay-window-size declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, esta declaração define o tamanho da janela antireplay para todos os túneis estáticos dentro deste conjunto de serviços. Se um túnel em particular precisar de um valor específico para o tamanho da janela antireplay, defina a anti-replay-window-size declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia. Se a verificação antireplay precisar ser desabilitada para um túnel específico neste conjunto de serviços, defina a no-anti-replay declaração no nível hierárquico [edit services ipsec-vpn rule rule-name term term-name then] .

Nota:

As anti-replay-window-size configurações e no-anti-replay as configurações no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia se sobrepõem às configurações especificadas no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

Você também pode incluir a no-anti-replay declaração no nível de hierarquia para desativar o [edit services service-set service-set-name ipsec-vpn-options] serviço antireplay IPsec. Isso ocasionalmente causa problemas de interoperabilidade para as associações de segurança.

Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a no-anti-reply declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, esta declaração desativa a verificação antireplay de todos os túneis dentro deste conjunto de serviços. Se a verificação antireplay precisar ser habilitada para um túnel específico, então defina a anti-replay-window-size declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Nota:

Definir as declarações e as anti-replay-window-size declarações no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia substitui as configurações especificadas no nível de [edit services service-set service-set-name ipsec-vpn-options] no-anti-replay hierarquia.

Limpar a broca de não fragmentar

Você pode incluir a clear-dont-fragment-bit declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia para limpar o bit de não fragmentar (DF) em todos os pacotes ip versão 4 (IPv4) que entram no túnel IPsec. Se o tamanho do pacote encapsulado exceder a unidade de transmissão máxima de túnel (MTU), o pacote será fragmentado antes do encapsulamento.

Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a clear-dont-fragment-bit declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, a configuração desta declaração libera o bit DF em pacotes que entram em todos os túneis estáticos dentro deste conjunto de serviços. Se você quiser limpar a bit DF em pacotes que entram em um túnel específico, defina a clear-dont-fragment-bit declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

A partir do Junos OS Release 14.1, em pacotes que são transmitidos por túneis IPSec dinâmicos de endpoint, você pode habilitar o valor definido no bit DF do pacote que entra no túnel a ser copiado apenas para o cabeçalho externo do pacote IPsec e não causar nenhuma modificação na bit DF no cabeçalho interno do pacote IPsec. Se o tamanho do pacote exceder o valor da unidade de transmissão máxima (MTU) do túnel, o pacote será fragmentado antes do encapsulamento. Para túneis IPsec, o valor de MTU padrão é de 1500, independentemente da configuração mtu da interface. Para copiar o valor de bit DF apenas para o cabeçalho externo e não modificar o cabeçalho interno, use a copy-dont-fragment-bit declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia. Você também pode configurar o bit DF a ser definido apenas no cabeçalho IPv4 externo do pacote IPsec e não ser definido no cabeçalho IPv4 interno. Para configurar a bit DF apenas no cabeçalho externo do pacote IPsec e deixar o cabeçalho interno sem sermodificado, inclua a set-dont-fragment-bit declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia. Essas configurações se aplicam a túneis dinâmicos de endpoint e não a túneis estáticos, para os quais você precisa incluir as declarações e set-dont-fragment-bit declarações copy-dont-fragment-bit no [edit services ipsec-vpn rule rule-name term term-name then] nível hierárquico para limpar a bit DF nos pacotes IPv4 que entram no túnel estático. Essas funcionalidades são suportadas em roteadores da Série MX com MS-MICs e MS-MPCs.

Configuração de tunelamento de modo passivo

Você pode incluir a passive-mode-tunneling declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia para habilitar o conjunto de serviços a pacotes malformados em túneis.

Essa funcionalidade ignora as verificações de IP ativas, como versão, TTL, protocolo, opções, endereço e outras verificações de ataque de terra, e tunela os pacotes como está. Se essa declaração não estiver configurada, os pacotes que falham nas verificações de IP serão descartados no PIC. No modo passivo, o pacote interno não é tocado; um erro de ICMP não é gerado se o tamanho do pacote exceder o valor do MTU do túnel.

O túnel IPsec não é tratado como um próximo salto e o TTL não é decremented. Como um erro de ICMP não é gerado se o tamanho do pacote exceder o valor do MTU do túnel, o pacote é tunelado mesmo que cruze o limiar de MTU do túnel.

Nota:

Essa funcionalidade é semelhante à fornecida pela no-ipsec-tunnel-in-traceroute declaração, descrita no rastreamento do Junos VPN Site Secure Operations. A partir do Junos OS Release 14.2, o tunelamento de modo passivo é suportado em MS-MICs e MS-MPCs.

Nota:

A partir do Junos OS Release 14.2, a opção header-integrity-check que é suportada em MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em caso de anomalias em informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade que é oposta à funcionalidade causada pelo tunelamento de modo passivo. Se você configurar a header-integrity-check declaração e a passive-mode tunneling declaração sobre MS-MICs e MS-MPCs e tentar cometer tal configuração, um erro será exibido durante o commit.

A funcionalidade de tunelamento de modo passivo (incluindo a passive-mode-tunnelin declaração no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia) é um superconjunto da capacidade de desativar o endpoint do túnel IPsec na saída de traceroute (incluindo no-ipsec-tunnel-in-traceroute declaração no nível de [edit services ipsec-vpn] hierarquia). O tunelamento de modo passivo também ignora as verificações de IP ativas e a verificação de MTU de túnel, além de não tratar um túnel IPsec como um próximo salto conforme configurado pela no-ipsec-tunnel-in-traceroute declaração.

Configuração do valor do MTU do túnel

Você pode incluir a tunnel-mtu declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia para definir o valor máximo da unidade de transmissão (MTU) para túneis IPsec.

Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a tunnel-mtu declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, esta declaração define o valor do MTU do túnel para todos os túneis dentro deste conjunto de serviços. Se você precisar de um valor específico para um túnel específico, então defina a tunnel-mtu declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Nota:

A tunnel-mtu configuração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia substitui o valor especificado no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

Configuração do encaminhamento multicaminho IPsec com encapsulamento de UDP

A partir do Junos OS Release 16.1, você pode habilitar o encaminhamento multicaminho do tráfego IPsec configurando o encapsulamento de UDP no conjunto de serviços, o que adiciona um cabeçalho UDP ao encapsulamento IPsec de pacotes. Isso resulta no encaminhamento do tráfego IPsec em vários caminhos, aumentando a taxa de transferência do tráfego IPsec. Se você não habilitar o encapsulamento de UDP, todo o tráfego IPsec segue um único caminho de encaminhamento.

Quando o NAT-T é detectado, ocorre apenas o encapsulamento NAT-T UDP, não o encapsulamento de UDP para pacotes IPsec.

Para habilitar o encapsulamento de UDP:

  1. Habilite o encapsulamento do UDP.

  2. (Opcional) Especifique o número da porta de destino do UDP.

    Use um número de porta de destino de 1025 a 65536, mas não use 4500. Se você não especificar um número de porta, a porta de destino padrão é 4565.

Solicitação e instalação de certificados digitais em seu roteador

Um certificado digital é um meio eletrônico para verificar sua identidade por meio de um terceiro confiável, conhecido como autoridade de certificado (CA). Alternativamente, você pode usar um certificado auto-assinado para atestar sua identidade. O servidor ca que você usa pode ser propriedade e operado por uma CA independente ou por sua própria organização, nesse caso você se torna seu próprio CA. Se você usa um CA independente, deve entrar em contato com eles para os endereços de seus servidores ca e lista de revogação de certificados (CRL) (para obter certificados e CRLs) e para as informações que eles exigem ao enviar solicitações de certificados pessoais. Quando você é seu próprio CA, você mesmo determina essas informações. A infraestrutura de chave pública (PKI) oferece uma infraestrutura para o gerenciamento de certificados digitais.

Solicitação de um certificado digital — Processo manual

Para obter certificados digitais manualmente, você deve configurar um perfil de CA, gerar um par de chaves públicos privados, criar um certificado local e carregar os certificados no roteador. Após o carregamento dos certificados, eles podem ser mencionados em sua configuração IPsec-VPN.

Este procedimento mostra como você pode configurar um perfil de CA:

  1. Configure um perfil de CA:

    Depois de confirmar essa configuração. A configuração no Roteador 2 deve conter o seguinte:

  2. A verificação da lista de revogação de certificados (CRL) é habilitada por padrão. Você pode especificar opcionalmente o servidor Lightweight Access Directory (LDAP), onde o CA armazena o CRL. O certificado normalmente inclui um ponto de distribuição de certificados (CDP), que contém informações sobre como recuperar o CRL para o certificado. O roteador usa essas informações para baixar o CRL automaticamente. Neste exemplo, é especificado o URL LDAP, que substitui a localização fornecida no certificado:

    Depois de confirmar essa configuração. A configuração no Roteador 2 deve conter o seguinte:

  3. Depois de configurar o perfil ca, solicite um certificado ca da CA confiável. Neste exemplo, o certificado é inscrito on-line e instalado no roteador automaticamente.
    Nota:

    Se você obter o certificado ca diretamente do CA (por exemplo, como um anexo de e-mail ou download do site), você pode instalá-lo com o request security pki ca-certificate load comando.

  4. Em seguida, você deve gerar um par de chaves públicos privados antes de criar um certificado local.

    Quando o par chave estiver disponível, gere uma solicitação de certificado local e envie-a à CA para processamento.

    Nota:

    Você pode solicitar a criação e instalação de um certificado local on-line com o request security pki local-certificate enroll comando.

  5. A CA confiável assina digitalmente o certificado local e o devolve a você. Copie o arquivo do certificado no roteador e carregue o certificado.
    Nota:

    O nome do arquivo enviado a você pela CA pode não corresponder ao nome do identificador de certificados. No entanto, o certificate-id nome deve sempre combinar com o nome do par-chave que você gerou para o roteador.

Exemplo: Configuração de SA dinâmica do IKE com certificados digitais

Este exemplo mostra como configurar a SA dinâmica do IKE com certificados digitais e contém as seguintes seções.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Quatro roteadores série M, MX ou Série T com interfaces de multisserviços instaladas neles.

  • Junos OS Release 9.4 ou posterior.

Antes de configurar este exemplo, você deve solicitar um certificado ca, criar um certificado local e carregar esses certificados digitais no roteador. Para obter mais informações, veja solicitação e instalação de certificados digitais em seu roteador

Visão geral

Uma associação de segurança (SA) é uma conexão simples que permite que dois hosts se comuniquem com segurança usando o IPsec. Este exemplo explica a configuração dinâmica de SA do IKE com certificados digitais. O uso de certificados digitais oferece segurança adicional ao seu túnel IKE. Usando valores padrão no PIC de serviços, você não precisa configurar uma proposta de IPsec ou uma política de IPsec. No entanto, você deve configurar uma proposta de IKE que especifica o uso de certificados digitais, fazer referência à proposta do IKE e ao certificado local em uma política de IKE e aplicar o perfil da CA ao conjunto de serviços.

A Figura 1 mostra uma topologia IPsec contendo um grupo de quatro roteadores. Essa configuração exige que os roteadores 2 e 3 estabeleçam um túnel IPsec baseado em IKE usando certificados digitais no lugar de chaves pré-compartilhadas. Os roteadores 1 e 4 fornecem conectividade básica e são usados para verificar se o túnel IPsec está operacional.

Topologia

Figura 1: Diagrama MS PIC IKE Dynamic SA Topology Diagram de topologia MS PIC IKE Dynamic SA

Configuração

Para configurar a SA dinâmica do IKE com certificados digitais, execute essas tarefas:

Nota:

Os tipos de interface mostrados neste exemplo são apenas para finalidade indicativa. Por exemplo, você pode usar so- interfaces em vez de ge- sp- ms-.

Configuração do roteador 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 1.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o Roteador 1 para conectividade OSPF com o Roteador 2:

  1. Configure uma interface Ethernet e a interface de loopback.

  2. Especifique a área de OSPF e associe as interfaces à área de OSPF.

  3. Configure a ID do roteador.

  4. Confirmar a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show protocols ospfe show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configuração do roteador 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 2.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 2:

  1. Configure propriedades de interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).

  2. Especifique a área de OSPF e associe as interfaces à área de OSPF.

  3. Configure a ID do roteador.

  4. Configure uma proposta e política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a rsa-signatures declaração no nível de [edit services ipsec-vpn ike proposal proposal-name authentication-method] hierarquia. Para fazer referência ao certificado local na política de IKE, inclua a local-certificate declaração no nível de [edit services ipsec-vpn ike policy policy-name] hierarquia. Para identificar o CA ou RA no conjunto de serviços, inclua a trusted-ca declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

    Nota:

    Para obter informações sobre a criação e instalação de certificados digitais, consulte Solicitação e instalação de certificados digitais em seu roteador

  5. Configure uma proposta e política de IPsec. Além disso, definir o established-tunnels botão para immediately.

  6. Configure uma regra de IPsec.

  7. Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec com o conjunto de serviços.

  8. Confirmar a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show protocols ospfshow routing-optionse show services comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Configuração do roteador 3

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 3.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Nota:

Se os pares IPsec não tiverem uma configuração simétrica contendo todos os componentes necessários, eles não poderão estabelecer uma relação de peering. Você precisa solicitar um certificado de CA, criar um certificado local, carregar esses certificados digitais no roteador e referenciá-los em sua configuração IPsec. Para obter informações sobre certificação digital, consulte Solicitação e instalação de certificados digitais em seu roteador

Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 3:

  1. Configure propriedades de interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).

  2. Especifique a área de OSPF e associe as interfaces à área de OSPF.

  3. Configure uma ID do roteador.

  4. Configure uma proposta e política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a rsa-signatures declaração no nível de [edit services ipsec-vpn ike proposal proposal-name authentication-method] hierarquia. Para fazer referência ao certificado local na política de IKE, inclua a local-certificate declaração no nível de [edit services ipsec-vpn ike policy policy-name] hierarquia. Para identificar o CA ou RA no conjunto de serviços, inclua a trusted-ca declaração no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

    Nota:

    Para obter informações sobre a criação e instalação de certificados digitais, consulte Solicitação e instalação de certificados digitais em seu roteador

  5. Configure uma proposta de IPsec. Além disso, definir o established-tunnels botão para immediately.

  6. Configure uma regra de IPsec.

  7. Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec com o conjunto de serviços.

  8. Confirmar a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show protocols ospfshow routing-optionse show services comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Configuração do roteador 4

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 4.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar a conectividade OSPF com o Roteador 4

  1. Configure as interfaces. Nesta etapa, você configura uma interface Ethernet (ge-1/0/1) e a interface de loopback.

  2. Especifique a área de OSPF e associe as interfaces à área de OSPF.

  3. Configure a ID do roteador.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show protocols ospfe show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Verificação

Verificando seu trabalho no roteador 1

Propósito

No Roteador 1, verifique o comando de ping para a interface de 0/0/0 no Roteador 4 para enviar tráfego através do túnel IPsec.

Ação

A partir do modo operacional, entre ping 10.1.56.2.

Se você pingar o endereço loopback do Roteador 4, a operação terá sucesso porque o endereço faz parte da rede OSPF configurada no Roteador 4.

Verificando seu trabalho no roteador 2

Propósito

Para verificar se o tráfego combinado está sendo desviado para o túnel IPsec bidirecional, veja as estatísticas do IPsec:

Ação

A partir do modo operacional, entre no show services ipsec-vpn ipsec statistics.

Para verificar se a negociação da SA IKE é bem-sucedida, emita o show services ipsec-vpn ike security-associations comando:

A partir do modo operacional, entre no show services ipsec-vpn ike security-associations

Para verificar se a associação de segurança IPsec está ativa, emita o show services ipsec-vpn ipsec security-associations detail comando. Observe que a SA contém as configurações padrão inerentes ao PIC de serviços, como ESP para o protocolo e HMAC-SHA1-96 para o algoritmo de autenticação.

A partir do modo operacional, entre no show services ipsec-vpn ipsec security-associations detail

Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o comando de certificados ipsec-vpn dos serviços de exibição:

A partir do modo operacional, entre no show services ipsec-vpn certificates

Para exibir o certificado ca, emita o comando de detalhe do certificado pki ca de segurança de exibição. Observe que existem três certificados separados: um para assinatura de certificados, um para cercamento de chave e um para assinatura digital da CA.

A partir do modo operacional, entre no show security pki ca-certificate detail

Para exibir a solicitação de certificado local, emita o comando de solicitação de certificado pki de segurança de exibição:

A partir do modo operacional, entre no show security pki certificate-request

Para exibir o certificado local, emita o comando de certificado local pki de segurança de exibição:

A partir do modo operacional, entre no show security pki local-certificate

Verificando seu trabalho no roteador 3

Propósito

Para verificar se o tráfego combinado está sendo desviado para o túnel IPsec bidirecional, veja as estatísticas do IPsec:

Ação

A partir do modo operacional, entre no show services ipsec-vpn ipsec statistics.

Para verificar se a negociação do IKE SA é bem-sucedida, emita o comando ipsec-vpn ike security-associations. Para ter sucesso, o SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.

A partir do modo operacional, entre no show services ipsec-vpn ike security-associations.

Para verificar se o IPsec SA está ativo, emita o comando detalhado das associações de segurança ipsec-vpn ipsec. Para ter sucesso, o SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.

A partir do modo operacional, entre no show services ipsec-vpn ipsec security-associations detail.

Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o comando de certificados ipsec-vpn dos serviços de exibição:

A partir do modo operacional, entre no show services ipsec-vpn certificates.

Para exibir o certificado ca, emita o comando de detalhe do certificado pki ca de segurança de exibição. Observe que existem três certificados separados: um para assinatura de certificados, um para cercamento de chave e um para assinatura digital da CA.

A partir do modo operacional, entre no show security pki ca-certificate detail.

Para exibir a solicitação de certificado local, emita o comando de solicitação de certificado pki de segurança de exibição:

A partir do modo operacional, entre no show security pki certificate-request.

Para exibir o certificado local, emita o comando de certificado local pki de segurança de exibição:

A partir do modo operacional, entre no show security pki local-certificate.

Verificando seu trabalho no roteador 4

Propósito

No Roteador 4, emita um comando de ping para a interface de 0/0/0 no Roteador 1 para enviar tráfego através do túnel IPsec.

Ação

A partir do modo operacional, entre ping 10.1.12.2.

A maneira final de confirmar que o tráfego viaja pelo túnel IPsec é emitindo o comando traceroute para a interface de 0/0/0 no Roteador 1. Observe que a interface física entre roteadores 2 e 3 não é mencionada no caminho; o tráfego entra no túnel IPsec através dos serviços adaptativos IPsec dentro da interface no Roteador 3, passa pela interface de loopback no Roteador 2 e termina na interface de 0/0/0 no Roteador 1.

A partir do modo operacional, entre no traceroute 10.1.12.2.

Configuração do Junos VPN Site Secure ou VPN IPSec

A VPN IPsec é suportada em todos os roteadores da Série MX com MS-MICs, MS-MPCs ou MS-DPCs.

Nos roteadores série M e T, a VPN IPsec tem suporte para multisserviços de 100 PICs, Multiservices 400 PICs e Multiservices 500 PICs.

MS-MICs e MS-MPCs contam com o suporte do Junos OS Release 13.2 e posteriores. MS-MICs e MS-MPCs oferecem suporte a todos os recursos que são suportados por MS-DPCs e MS-PICs, exceto pelo protocolo de cabeçalho de autenticação (ah), encapsulando o protocolo de carga de segurança (esp) e o protocolo bundle (ah e esp protocol) para uma associação de segurança dinâmica ou manual e serviço IPsec sem fluxo.

O nat traversal (NAT-T) é suportado para IKEv1 e IKEv2 a partir do Junos OS Release 17.4R1. O NAT-T é habilitado por padrão. Você pode especificar o encapsulamento e a descapsulação de UDP para pacotes IKE e ESP usando a configuração disable-natt nos níveis de [edit services ipsec-vpn] hierarquia.

Exemplo: Configuração do junos VPN Site Secure no MS-MIC e MS-MPC

Nota:

Você pode seguir o mesmo procedimento e usar a mesma configuração dada neste exemplo para configurar o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) em MS-MPCs.

Este exemplo contém as seguintes seções:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois roteadores da Série MX com MS-MICs

  • Versão do Junos OS 13.2 ou posterior

Visão geral

O Junos OS Release 13.2 estende o suporte para o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) para os recém-introduzidos Multiservices MIC e MPC (MS-MIC e MS-MPC) nos roteadores da Série MX. Os pacotes de provedores de extensão do Junos OS vêm pré-instalados e pré-configurados no MS-MIC e MS-MPC.

Os seguintes recursos junos VPN Site Secure são suportados no MS-MIC e MS-MPC no lançamento 13.2:

  • Pontos finais dinâmicos (DEP)

  • Protocolo de encapsulamento do Security Payload (ESP)

  • A detecção de peer morto (DPD) dispara mensagens

  • Notificações de rollover de números de sequência

  • Túneis IPsec estáticos com conjuntos de serviços no estilo next-hop e estilo interface

No entanto, no Junos OS Release 13.2, o suporte junos VPN Site Secure no MS-MIC e MS-MPC é limitado ao tráfego IPv4. O tunelamento de módulo passivo não é suportado em MS-MICs e MS-MPCs.

A Figura 2 mostra a topologia do túnel vpn IPsec.

Figura 2: Topologia IPsec VPN Tunnel Topology de túnel de VPN IPsec

Este exemplo mostra a configuração de dois roteadores, o Roteador 1 e o Roteador 2, que têm um túnel VPN IPsec configurado entre eles.

Ao configurar os roteadores, observe os seguintes pontos:

  • O endereço IP que você configura para source-address o nível de [edit services ipsec-vpn rule name term term from] hierarquia no Roteador 1 deve ser o mesmo que o endereço IP que você configura para destination-address sob a mesma hierarquia no Roteador 2, e vice-versa.

  • O endereço IP do remote-gateway que você configura sob o nível de [edit services ipsec-vpn rule name term term then] hierarquia deve combinar com o endereço IP do local-gateway que você configura sob o [edit services service-set name ipsec-vpn-options] nível de hierarquia do Roteador 2, e vice-versa.

Configuração

Esta seção contém:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Configuração de interfaces no roteador 1

Configuração do serviço vpn IPsec no roteador 1

Configuração de um conjunto de serviços no roteador 1

Configuração de opções de roteamento no roteador 1

Configuração de interfaces no roteador 2

Configuração do serviço vpn IPsec no roteador 2

Configuração de um conjunto de serviços no roteador 2

Configuração de opções de roteamento no roteador 2

Configuração do roteador 1

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Nota:

A partir da versão 13.2, os pacotes de provedores de extensão do Junos OS vêm pré-instalados em MICs e MPCs de multisserviços (MS-MICs e MS-MPCs). A adaptive-services configuração no nível de [edit chassis fpc number pic number] hierarquia está pré-configurada nessas placas.

  1. Configure as propriedades da interface, como família, domínio de serviços e unidade.

  2. Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes de algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.

  3. Configure um conjunto de serviços, as opções e regras de ipsec-vpn.

  4. Configure opções de roteamento estáticas de rota e próximo salto.

Resultados

A partir do modo de configuração do Roteador 1, confirme sua configuração entrando no show interfaces, show services ipsec-vpne show services service-set comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configuração do roteador 2

Procedimento passo a passo
  1. Configure as propriedades da interface, como família, domínio de serviços e unidade.

  2. Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes de algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.

  3. Configure um conjunto de serviços, como o next-hop-service e as opções ipsec-vpn.

  4. Configure opções de roteamento estáticas e o próximo salto.

Resultados

A partir do modo de configuração do Roteador 2, confirme sua configuração entrando no show interfaces, show services ipsec-vpne show services service-set comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Verificação da criação de túneis

Propósito

Verifique se os end points dinâmicos foram criados.

Ação

Execute o seguinte comando no Roteador 1:

Significado

A saída mostra que os SAs IPSec estão no roteador com seu estado como instalado. O túnel IPSec está pronto para enviar tráfego pelo túnel.

Verificando o fluxo de tráfego pelo túnel DEP

Propósito

Verifique o fluxo de tráfego através do túnel DEP recém-criado.

Ação

Execute o seguinte comando no Roteador 2:

Verificando as associações de segurança IPsec para o conjunto de serviços

Propósito

Verifique se as associações de segurança configuradas para o conjunto de serviços estão funcionando corretamente.

Ação

Execute o seguinte comando no Roteador 2:

Exemplo: configuração de túneis IPsec atribuídos estaticamente em uma instância VRF

Este exemplo mostra como configurar um túnel IPsec atribuído estaticamente em uma instância VRF, e contém as seguintes seções:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Série M, Série MX ou roteador da Série T que está configurado como um roteador de borda de provedor.

  • Junos OS Release 9.4 e posterior.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.

Visão geral

O Junos OS permite configurar túneis IPsec atribuídos estaticamente em instâncias de roteamento e encaminhamento virtual (VRF). A capacidade de configurar túneis IPsec em instâncias VRF melhora a segmentação e a segurança da rede. Você pode ter vários túneis de cliente configurados no mesmo roteador PE em instâncias VRF. Cada instância VRF atua como roteador lógico com uma tabela de roteamento exclusiva.

Configuração

Este exemplo mostra a configuração de um túnel IPsec em uma instância VRF em um roteador de borda de provedor e fornece instruções passo a passo para concluir a configuração necessária.

Esta seção contém:

Configuração do roteador de borda do provedor

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar um túnel IPsec atribuído estaticamente em uma instância VRF:

  1. Configure as interfaces. Nesta etapa, você configura duas interfaces Ethernet (ge) e uma interface de serviços (ms-) e também as propriedades de domínio de serviço para as interfaces lógicas da interface de serviços. Observe que a interface lógica que é marcada como a interface interna aplica o serviço configurado no tráfego, enquanto o que é marcado como a interface externa age como o ponto de saída para o tráfego no qual a interface interna aplicou o serviço.

  2. Configure uma política de roteamento para especificar critérios de importação e exportação de rotas para a instância VRF. As políticas de importação e exportação definidas nesta etapa são mencionadas a partir da configuração de instâncias de roteamento na próxima etapa.

  3. Configure uma instância de roteamento e especifique o tipo de instância de roteamento como vrf. Aplique as políticas de importação e exportação definidas na etapa anterior para a instância de roteamento e especifique uma rota estática para enviar o tráfego IPsec para a interface interna (ms-1/2/0.1) configurada na primeira etapa.

  4. Configure propostas e políticas de IKE e IPsec e uma regra para aplicar a política de IKE no tráfego de entrada..

    Nota:

    Por padrão, o Junos OS usa a política de IKE versão 1.0. O Junos OS Release 11.4 e posteriores também oferecem suporte à política de IKE versão 2.0, que você deve configurar em [edit services ipsec-vpn ike policy policy-name pre-shared].

  5. Configure um conjunto de serviços no estilo next-hop. Observe que você deve configurar as interfaces internas e externas que você configurou na primeira etapa como a inside-service-interface e outside-service-interface , respectivamente.

  6. Confirmar a configuração.

Resultados

A partir do modo de configuração do Roteador 1, confirme sua configuração inserindo os show interfacescomandos e show services ipsec-vpnshow policy-optionsshow routing-instancesshow services service-set os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Exemplo multitarefa: configuração de serviços IPsec

As seguintes instruções baseadas em exemplo mostram como configurar serviços IPsec. A configuração envolve definir uma política de IKE, uma política de IPsec, regras de IPsec, opções de rastreamento e conjuntos de serviços.

Este tópico inclui as seguintes tarefas:

Configuração da proposta IKE

A configuração da proposta de IKE define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares. Para obter mais informações sobre propostas de IKE, consulte Configuração de propostas de IKE.

Para definir a proposta do IKEaI:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o método de autenticação, que está pre-shared keys neste exemplo:
  3. Configure o Grupo Diffie-Hellman e especifique um nome , por exemplo: group1
  4. Configure o algoritmo de autenticação, que está sha1 neste exemplo:
  5. Configure o algoritmo de criptografia, que está aes-256-cbc neste exemplo:

A saída de amostra a seguir mostra a configuração da proposta IKE:

Configuração da política de IKE (e referência à proposta IKE)

A configuração da política de IKE define a proposta, o modo, os endereços e outros parâmetros de segurança usados durante a negociação da IKE. Para obter mais informações sobre políticas de IKE, consulte Configuração de políticas de IKE.

Para definir a política de IKE e fazer referência à proposta IKE:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o modo IKE de primeira fase , por exemplo: main
  3. Configure a proposta, que está test-IKE-proposal neste exemplo:
  4. Configure a identificação local com um endereço IPv4 , por exemplo: 192.168.255.2
  5. Configure a chave pré-compartilhada no formato de texto ASCII, que está TEST neste exemplo:

A saída de amostra a seguir mostra a configuração da política de IKE:

Configuração da proposta IPsec

A configuração da proposta de IPsec define os protocolos e algoritmos (serviços de segurança) necessários para negociar com o peer IPsec remoto. Para obter mais informações sobre propostas de IPsec, consulte Configurando propostas de IPsec.

Para definir a proposta IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o protocolo IPsec para a proposta , por exemplo: esp
  3. Configure o algoritmo de autenticação para a proposta, que está hmac-sha1-96 neste exemplo:
  4. Configure o algoritmo de criptografia para a proposta, que está aes-256-cbc neste exemplo:

A saída de amostra a seguir mostra a configuração da proposta IPsec:

Configurando a política de IPsec (e fazendo referência à proposta IPsec)

A configuração da política de IPsec define uma combinação de parâmetros de segurança (propostas IPsec) usados durante a negociação do IPsec. Ele define o PFS e as propostas necessárias para a conexão. Para obter mais informações sobre políticas de IPsec, consulte Configuração de políticas IPsec.

Para definir a política de IPsec e fazer referência à proposta IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure as chaves para um sigilo de encaminhamento perfeito na política de IPsec, por exemplo: group1
  3. Configure um conjunto de propostas de IPsec na política de IPsec , por exemplo: test-IPsec-proposal

A saída de amostra a seguir mostra a configuração da política IPsec:

Configurando a regra IPsec (e fazendo referência às políticas IKE e IPsec)

A configuração da regra IPsec define a direção que especifica se a correspondência é aplicada no lado de entrada ou saída da interface. A configuração também consiste em um conjunto de termos que especificam as condições e aplicativos de correspondência que estão incluídos e excluídos e também especificam as ações e modificadores de ação a serem executados pelo software do roteador. Para obter mais informações sobre as regras do IPsec, consulte Configuração de regras de IPsec.

Para definir a regra do IPsec e fazer referência às políticas IKE e IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o endereço de destino IP para o termo IPsec na regra IPsec , por exemplo: 192.168.255.2/32
  3. Configure o endereço de gateway remoto para o termo IPsec na regra IPsec , por exemplo: 0.0.0.0
  4. Configure uma associação de segurança dinâmica para política de IKE para o termo IPsec na regra IPsec, que é test-IKE-policy neste exemplo:
  5. Configure uma associação de segurança dinâmica para proposta de IKE para o termo IPsec na regra IPsec, que é test-IPsec-proposal neste exemplo:
  6. Configure uma direção para a qual a correspondência de regras está sendo aplicada na regra IPsec — por exemplo, input:

A saída de amostra a seguir mostra a configuração da regra IPsec:

Configuração de opções de rastreamento IPsec

A configuração de opções de rastreamento IPsec rastreia eventos IPsec e os registra em um arquivo de log no /var/log directory. Por padrão, este arquivo é nomeado /var/log/kmd. Para obter mais informações sobre as regras do IPsec, consulte Rastreamento do Junos VPN Site Secure Operations.

Para definir as opções de rastreamento de IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o arquivo de rastreamento, que está ipsec.log neste exemplo:
  3. Configure todos os parâmetros de rastreamento com a opção all neste exemplo:

A saída de amostra a seguir mostra a configuração das opções de rastreamento IPsec:

Configurando o perfil de acesso (e fazendo referência às políticas IKE e IPsec)

A configuração do perfil de acesso define o perfil de acesso e faz referência às políticas IKE e IPsec. Para obter mais informações sobre o perfil de acesso, consulte Configurando um perfil de acesso IKE.

Para definir o perfil de acesso e fazer referência às políticas IKE e IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure a lista de pares de identidade de proxy locais e remotos com a opção allowed-proxy-pair . Neste exemplo, 10.0.0.0/24 é o endereço IP para identidade de proxy local e 10.0.1.0/24 é o endereço IP para identidade proxy remota:
  3. Configure a política de IKE , por exemplo: test-IKE-policy
  4. Configure a política de IPsec , por exemplo: test-IPsec-policy
  5. Configure a identidade do pool de interface de serviço lógico, que está TEST-intf neste exemplo:

A saída de amostra a seguir mostra a configuração do perfil de acesso:

Configurando o conjunto de serviços (e fazendo referência ao perfil IKE e à regra IPsec)

A configuração do conjunto de serviços define conjuntos de serviçoS IPsec que exigem especificações adicionais e faz referência ao perfil IKE e à regra IPsec. Para obter mais informações sobre conjuntos de serviços IPsec, consulte Configurando conjuntos de serviços IPsec.

Para definir a configuração do conjunto de serviços com os conjuntos de serviços de próximo salto e opções de VPN IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure um conjunto de serviços com parâmetros para interfaces de serviço de próximo salto para a rede interna, por exemplo: sp-1/2/0.1
  3. Configure um conjunto de serviços com parâmetros para interfaces de serviço de próximo salto para a rede externa, por exemplo: sp-1/2/0.2
  4. Configure as opções de VPN IPsec com a instância de roteamento e endereço para o gateway local, por exemplo: 192.168.255.2
  5. Configure as opções de VPN IPsec com o perfil de acesso IKE para pares dinâmicos, o que é IKE-profile-TEST neste exemplo:
  6. Configure um conjunto de serviços com regras de VPN IPsec, que está test-IPsec-rule neste exemplo:

A saída de amostra a seguir mostra a configuração da configuração do conjunto de serviços fazendo referência ao perfil IKE e à regra IPsec:

Desativação de NAT-T em roteadores da Série MX para lidar com NAT com pacotes protegidos por IPsec

Antes do lançamento do Junos OS 17.4R1, o Network Address Translation-Traversal (NAT-T) não é compatível com o pacote Junos VPN Site Secure de recursos IPsec nos roteadores da Série MX. Por padrão, o Junos OS detecta se algum dos túneis IPsec está por trás de um dispositivo NAT e muda automaticamente para usar o NAT-T para o tráfego protegido. Para evitar a execução de NAT-T sem suporte em versões do Junos OS antes do 17.4R1, você deve desabilitar o NAT-T, incluindo a disable-natt declaração no nível de [edit services ipsec-vpn] hierarquia. Quando você desativa o NAT-T, a funcionalidade NAT-T é desativada globalmente. Quando você desativa o NAT-T e um dispositivo NAT está presente entre os dois gateways IPsec, as mensagens ISAKMP são negociadas usando a porta UDP 500 e os pacotes de dados são encapsulados com encapsulamento do Security Payload (ESP).

Network Address Translation-Traversal (NAT-T) é um método para contornar problemas de tradução de endereço IP encontrados quando dados protegidos por IPsec passam por um dispositivo NAT para tradução de endereços. Qualquer alteração no endereçamento ip, que é a função do NAT, faz com que o IKE descarte pacotes. Depois de detectar um ou mais dispositivos NAT ao longo do caminho de dados durante as trocas de Fase 1, o NAT-T adiciona uma camada de encapsulamento do Protocolo de Datagram do Usuário (UDP) aos pacotes IPsec para que eles não sejam descartados após a tradução do endereço. O NAT-T encapsula o tráfego IKE e ESP dentro do UDP com a porta 4500 usada como porta de origem e destino. Como os dispositivos NAT envelhecem as tradução de UDP obsoletas, são necessárias mensagens keepalive entre os pares.

A localização de um dispositivo NAT pode ser tal que:

  • Apenas o iniciador IKEv1 ou IKEv2 está por trás de um dispositivo NAT. Vários iniciadores podem estar por trás de dispositivos NAT separados. Os iniciadores também podem se conectar ao respondente por meio de vários dispositivos NAT.

  • Apenas o IKEv1 ou iKEv2 estão por trás de um dispositivo NAT.

  • Tanto o IKEv1 quanto o iniciador IKEv2 e o respondente estão por trás de um dispositivo NAT.

A VPN dinâmica de endpoint cobre a situação em que o endereço externo IKE do iniciador não é fixo e, portanto, não é conhecido pelo respondente. Isso pode ocorrer quando o endereço do iniciador é atribuído dinamicamente por um ISP ou quando a conexão do iniciador cruza um dispositivo NAT dinâmico que aloca endereços de um pool de endereços dinâmico.

Exemplos de configuração para NAT-T são fornecidos para a topologia em que apenas o respondente está por trás de um dispositivo NAT e a topologia em que tanto o iniciador quanto o respondente estão por trás de um dispositivo NAT. A configuração de gateway IKE de site para local para NAT-T é suportada tanto no iniciador quanto no respondente. Um ID IKE remoto é usado para validar o ID IKE local de um peer durante a Fase 1 da negociação de túneis IKE. Tanto o iniciador quanto o respondente exigem uma identificação local e uma corda de identidade remota.

Rastreamento das operações seguras do site Junos VPN

Nota:

O Junos VPN Site Secure é um conjunto de recursos IPsec suportados em placas de linha de multisserviços (MS-DPC, MS-MPC e MS-MIC), e foi anteriormente referido como serviços IPsec.

Trace operações rastreie eventos IPsec e registre-os em um arquivo de log no /var/log diretório. Por padrão, este arquivo é nomeado /var/log/kmd.

Para rastrear as operações de IPsec, inclua a traceoptions declaração no nível de [edit services ipsec-vpn] hierarquia:

Você pode especificar as seguintes bandeiras de rastreamento IPsec:

  • all— Rastreie tudo.

  • certificates— Trace os eventos de certificados.

  • database— Rastrear eventos de banco de dados de associações de segurança.

  • general— Trace eventos gerais.

  • ike— Trace o processamento do módulo IKE.

  • parse— Trace o processamento da configuração.

  • policy-manager— Trace o processamento do gerenciador de políticas.

  • routing-socket— Rastrear mensagens de tomada de roteamento.

  • snmp— Trace as operações de SNMP.

  • timer— Trace eventos internos do timer.

A level declaração define o nível de rastreamento do processo de gerenciamento chave (kmd). Os valores a seguir são suportados:

  • all— Combine com todos os níveis.

  • error— Condições de erro de correspondência.

  • info—Combine mensagens informativas.

  • notice— Condições de correspondência que devem ser tratadas especialmente.

  • verbose— Correspondência de mensagens verbosas.

  • warning— Combinar mensagens de aviso.

Esta seção inclui os seguintes tópicos:

Desativação do endpoint do túnel IPsec no traceroute

Se você incluir a no-ipsec-tunnel-in-traceroute declaração no nível de [edit services ipsec-vpn] hierarquia, o túnel IPsec não é tratado como um próximo salto e o tempo de vida (TTL) não é decremente. Além disso, se o TTL atingir zero, uma mensagem de tempo de ICMP não será gerada.

Nota:

Essa funcionalidade também é fornecida pela declaração passive-mode-tunneling . Você pode usar a no-ipsec-tunnel-in-traceroute declaração em cenários específicos em que o túnel IPsec não deve ser tratado como um próximo salto e o modo passivo não é desejado.

Rastreamento das operações de PKI IPsec

Trace operações rastreie eventos de PKI IPsec e registre-os em um arquivo de log no /var/log diretório. Por padrão, este arquivo é nomeado /var/log/pkid.

Para rastrear as operações de PKI IPsec, inclua a traceoptions declaração no nível de [edit security pki] hierarquia:

Você pode especificar as seguintes bandeiras de rastreamento PKI:

  • all— Rastreie tudo.

  • certificates— Trace os eventos de certificados.

  • database— Rastrear eventos de banco de dados de associações de segurança.

  • general— Trace eventos gerais.

  • ike— Trace o processamento do módulo IKE.

  • parse— Trace o processamento da configuração.

  • policy-manager— Trace o processamento do gerenciador de políticas.

  • routing-socket— Rastrear mensagens de tomada de roteamento.

  • snmp— Trace as operações de SNMP.

  • timer— Trace eventos internos do timer.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
18.2R1
A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação de IKE baseada em certificados em vez da cadeia completa de certificados.
17.2R1
A partir do Junos OS Release 17.2R1, tou pode usar a gw-interface declaração para permitir a limpeza de gatilhos IKE e SAs IKE e IPsec quando o endereço IP local de gateway de um túnel IPsec cair, ou o MS-MIC ou MS-MPC sendo usado no conjunto de serviços do túnel cai.
17.1
A partir da versão 17.1 do Junos OS, a AMS oferece suporte à distribuição de túneis IPSec
16.1
A partir do Junos OS Release 16.1, para configurar túneis do tipo de enlace (ou seja, estilo next-hop), para fins de HA, você pode configurar interfaces lógicas AMS como interfaces internas IPsec usando a ipsec-inside-interface interface-name declaração no [edit services ipsec-vpn rule rule-name term term-name from] nível hierárquica.
16.1
A partir do Junos OS Release 16.1, você pode habilitar o encaminhamento multicaminho do tráfego IPsec configurando o encapsulamento de UDP no conjunto de serviços, o que adiciona um cabeçalho UDP ao encapsulamento IPsec de pacotes.
14.2
A partir do Junos OS Release 14.2, o tunelamento de modo passivo é suportado em MS-MICs e MS-MPCs.
14.2
A partir do Junos OS Release 14.2, a opção header-integrity-check que é suportada em MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em caso de anomalias em informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade que é oposta à funcionalidade causada pelo tunelamento de modo passivo.
14.1
A partir do Junos OS Release 14.1, em pacotes que são transmitidos por túneis IPSec dinâmicos de endpoint, você pode habilitar o valor definido no bit DF do pacote que entra no túnel a ser copiado apenas para o cabeçalho externo do pacote IPsec e não causar nenhuma modificação na bit DF no cabeçalho interno do pacote IPsec.