Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Conjuntos de serviços para túneis IPsec de endpoint estático

Conjuntos de serviços

O PIC do Adaptive Services oferece suporte a dois tipos de conjuntos de serviços quando você configura túneis IPSec. Como eles são usados para finalidades diferentes, é importante conhecer as diferenças entre esses tipos de conjunto de serviços.

  • Conjunto de serviços de próximo salto — oferece suporte a protocolos de roteamento dinâmico no estilo multicast e multicast (como OSPF) sobre IPSec. Os conjuntos de serviços de next-hop permitem que você use interfaces lógicas internas e externas no PIC de serviços adaptativos para se conectar a várias instâncias de roteamento. Eles também permitem o uso de Network Address Translation (NAT) e recursos de firewall stateful. No entanto, os conjuntos de serviços next-hop não monitoram o tráfego do Mecanismo de Roteamento por padrão e exigem a configuração de vários conjuntos de serviços para suportar o tráfego de várias interfaces.

  • Conjunto de serviços de interface — Aplicado a uma interface física e semelhante a um filtro de firewall stateless. Eles são fáceis de configurar, podem suportar o tráfego de várias interfaces e podem monitorar o tráfego do Mecanismo de Roteamento por padrão. No entanto, eles não podem oferecer suporte a protocolos de roteamento dinâmico ou tráfego multicast no túnel IPSec.

Em geral, recomendamos que você use conjuntos de serviços next-hop porque eles oferecem suporte a protocolos de roteamento e multicast no túnel IPSec, são mais fáceis de entender e a tabela de roteamento toma decisões de encaminhamento sem intervenção administrativa.

Veja também

Configuração de conjuntos de serviços IPsec

Os conjuntos de serviços IPsec exigem especificações adicionais que você configura no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia:

A configuração dessas declarações é descrita nas seções a seguir:

Configurando o endereço de gateway local para conjuntos de serviços IPsec

Se você configurar um conjunto de serviços IPsec, também deverá configurar um endereço IPv4 ou IPv6 local incluindo a local-gateway declaração:

  • Se o endereço IP do gateway Internet Key Exchange (IKE) estiver em inet.0 (a situação padrão), você configura a seguinte declaração:

  • Se o endereço IP do gateway IKE estiver em uma instância de roteamento e encaminhamento de VPN (VRF), configure a seguinte declaração:

Você pode configurar todos os túneis do tipo link que compartilham o mesmo endereço de gateway local em um único conjunto de serviços no estilo next-hop. Você deve especificar um valor para a inside-service-interface instrução no nível de [edit services service-set service-set-name] hierarquia que corresponda ao ipsec-inside-interface valor, que você configura no nível de [edit services ipsec-vpn rule rule-name term term-name from] hierarquia. Para obter mais informações sobre a configuração de IPsec, consulte Configurando regras de IPsec.

Observação:

A partir do Junos OS Release 16.1, para configurar túneis do tipo enlace (ou seja, estilo next-hop), para fins de HA, você pode configurar interfaces lógicas AMS como interfaces internas IPsec usando a ipsec-inside-interface interface-name declaração no [edit services ipsec-vpn rule rule-name term term-name from] nível de hierarquia.

A partir do Junos OS Release 17.1, o AMS oferece suporte à distribuição de túneis IPSec.

Endereços IKE em instâncias VRF

Você pode configurar endereços IP de gateway de Internet Key Exchange (IKE) que estão presentes em uma instância de roteamento e encaminhamento de VPN (VRF), desde que o peer possa ser alcançado por meio da instância VRF.

Para conjuntos de serviços de próximo salto, o processo de gerenciamento de chaves (kmd) coloca os pacotes IKE na instância de roteamento que contém o outside-service-interface valor especificado, como neste exemplo:

Para conjuntos de serviços de interface, a service-interface instrução determina o VRF, como neste exemplo:

Limpando SAs quando o endereço de gateway local ou MS-MPC ou MS-MIC fica inativo

A partir do Junos OS Release 17.2R1, você pode usar a gw-interface declaração para habilitar a limpeza de gatilhos de IKE e SAs de IKE e IPsec quando o endereço IP do gateway local de um túnel IPsec cai, ou o MS-MIC ou MS-MPC que está sendo usado no conjunto de serviços do túnel cai.

O interface-name e logical-unit-number deve corresponder à interface e à unidade lógica na qual o endereço IP do gateway local está configurado.

Se o endereço IP do gateway local para o conjunto de serviços de um túnel IPsec ficar inativo ou o MS-MIC ou MS-MPC que está sendo usado no conjunto de serviços ficar inativo, o conjunto de serviços não enviará mais gatilhos IKE. Além disso, quando o endereço IP do gateway local fica inativo, as SAs IKE e IPsec são limpas para conjuntos de serviços de próximo salto e vão para o estado Não Instalado para conjuntos de serviços de estilo de interface. As SAs que têm o estado Não Instalado são excluídas quando o endereço IP do gateway local volta.

Se o endereço IP do gateway local que fica inativo para um conjunto de serviços next-hop for para o peer respondente, você precisará limpar o IKE e as SAs IPsec no peer iniciador para que o túnel IPsec volte a funcionar assim que o endereço IP do gateway local voltar. Você pode limpar manualmente as SAs IKE e IPsec no peer iniciador (consulte clear services ipsec-vpn ike security-associations e clear services ipsec-vpn ipsec security-associations) ou habilitar a detecção de peer inativo no peer iniciador (consulte Configuração de regras de Firewall com estado).

Configuração de perfis de acesso IKE para conjuntos de serviços IPsec

Somente para tunelamento de endpoint dinâmico, você precisa fazer referência ao perfil de acesso IKE configurado no nível de [edit access] hierarquia. Para fazer isso, inclua a ike-access-profile instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia:

A ike-access-profile declaração deve fazer referência ao mesmo nome que a profile declaração que você configurou para acesso ao IKE no nível de [edit access] hierarquia. Você pode fazer referência a apenas um perfil de acesso em cada conjunto de serviços. Esse perfil é usado para negociar associações de segurança IKE e IPsec apenas com pares dinâmicos.

Observação:

Se você configurar um perfil de acesso IKE em um conjunto de serviços, nenhum outro conjunto de serviços poderá compartilhar o mesmo local-gateway endereço.

Além disso, você deve configurar um conjunto de serviços separado para cada VRF. Todas as interfaces referenciadas pela instrução dentro de ipsec-inside-interface um conjunto de serviços devem pertencer ao mesmo VRF.

Configuração de autoridades de certificação para conjuntos de serviços IPsec

Você pode especificar uma ou mais autoridades de certificação confiáveis incluindo a trusted-ca declaração:

Quando você configura certificados digitais de infraestrutura de chave pública (PKI) na configuração de IPsec, cada conjunto de serviços pode ter seu próprio conjunto de autoridades de certificação confiáveis. Os nomes especificados para a trusted-ca instrução devem corresponder aos [edit security pki] perfis configurados no nível de hierarquia; para obter mais informações, consulte a Biblioteca de Administração do Junos OS para Dispositivos de Roteamento. Para obter mais informações sobre a configuração do certificado digital IPsec, consulte Configurando regras de IPsec.

A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação IKE baseada em certificado, em vez da cadeia de certificados completa. Isso evita a fragmentação do IKE. Para configurar esse recurso, inclua a no-certificate-chain-in-ike declaração:

Configurando ou desativando o serviço anti-reprodução

Você pode incluir a anti-replay-window-size instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia para especificar o tamanho da janela de anti-repetição.

Essa instrução é útil para túneis de endpoint dinâmicos para os quais você não pode configurar a anti-replay-window-size declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, essa instrução define o tamanho da janela anti-reprodução para todos os túneis estáticos dentro desse conjunto de serviços. Se um túnel específico precisar de um valor específico para o tamanho da janela de anti-repetição, defina a anti-replay-window-size instrução no nível da [edit services ipsec-vpn rule rule-name term term-name then] hierarquia. Se a verificação de anti-repetição tiver que ser desabilitada para um túnel específico nesse conjunto de serviços, configure a no-anti-replay instrução no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Observação:

As anti-replay-window-size configurações e no-anti-replay no nível da [edit services ipsec-vpn rule rule-name term term-name then] hierarquia substituem as configurações especificadas no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

Você também pode incluir a instrução no nível da hierarquia para desabilitar o no-anti-replay [edit services service-set service-set-name ipsec-vpn-options] serviço antirrepetição de IPsec. Ocasionalmente, causa problemas de interoperabilidade para associações de segurança.

Essa instrução é útil para túneis de endpoint dinâmicos para os quais você não pode configurar a no-anti-reply declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, essa instrução desabilita a verificação de antirrepetição para todos os túneis dentro desse conjunto de serviços. Se a verificação anti-repetição tiver que ser habilitada para um túnel específico, defina a anti-replay-window-size instrução no nível da [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Observação:

Definir as anti-replay-window-size instruções and no-anti-replay no nível da [edit services ipsec-vpn rule rule-name term term-name then] hierarquia substitui as configurações especificadas no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

Limpando o bit Não fragmentar

Você pode incluir a clear-dont-fragment-bit instrução no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia para limpar o bit de não fragmentar (DF) em todos os pacotes IP versão 4 (IPv4) que entram no túnel IPsec. Se o tamanho do pacote encapsulado exceder a unidade máxima de transmissão (MTU) do túnel, o pacote será fragmentado antes do encapsulamento.

Essa instrução é útil para túneis de endpoint dinâmicos para os quais você não pode configurar a clear-dont-fragment-bit declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, a configuração dessa declaração limpa o bit DF em pacotes que entram em todos os túneis estáticos dentro desse conjunto de serviços. Se você quiser limpar o bit DF em pacotes que entram em um túnel específico, defina a clear-dont-fragment-bit instrução no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

A partir do Junos OS Release 14.1, em pacotes que são transmitidos através de túneis IPSec de endpoint dinâmico, você pode habilitar o valor definido no bit DF do pacote que entra no túnel para ser copiado apenas para o cabeçalho externo do pacote IPsec e não causar nenhuma modificação no bit DF no cabeçalho interno do pacote IPsec. Se o tamanho do pacote exceder o valor da unidade máxima de transmissão (MTU) do túnel, o pacote será fragmentado antes do encapsulamento. Para túneis IPsec, o valor de MTU padrão é 1500, independentemente da configuração de MTU da interface. Para copiar o valor do bit DF apenas para o cabeçalho externo e não modificar o cabeçalho interno, use a copy-dont-fragment-bit instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia. Você também pode configurar o bit DF para ser definido apenas no cabeçalho IPv4 externo do pacote IPsec e não ser definido no cabeçalho IPv4 interno. Para configurar o bit DF apenas no cabeçalho externo do pacote IPsec e deixar o cabeçalho interno sem modificações, inclua a set-dont-fragment-bit [edit services service-set service-set-name ipsec-vpn-options] declaração no nível da hierarquia. Essas configurações se aplicam a túneis de endpoint dinâmicos e não a túneis estáticos, para os quais você precisa incluir as copy-dont-fragment-bit instruções and set-dont-fragment-bit no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia para limpar o bit DF nos pacotes IPv4 que entram no túnel estático. Essas funcionalidades são suportadas em roteadores da Série MX com MS-MICs e MS-MPCs.

Configuração do tunelamento de modo passivo

Você pode incluir a passive-mode-tunneling instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia para permitir que o conjunto de serviços faça o túnel de pacotes malformados.

Essa funcionalidade ignora as verificações de IP ativas, como versão, TTL, protocolo, opções, endereço e outras verificações de ataque terrestre, e encapsula os pacotes no estado em que se encontram. Se essa declaração não estiver configurada, os pacotes que falham nas verificações de IP são descartados no PIC. No modo passivo, o pacote interno não é tocado; um erro ICMP não será gerado se o tamanho do pacote exceder o valor de MTU do túnel.

O túnel IPsec não é tratado como um próximo salto e o TTL não é diminuído. Como um erro ICMP não será gerado se o tamanho do pacote exceder o valor de MTU do túnel, o pacote será encapsulado mesmo que cruze o limite de MTU do túnel.

Observação:

Essa funcionalidade é semelhante à fornecida pela instrução, descrita em Rastreamento de no-ipsec-tunnel-in-traceroute operações do Junos VPN Site Secure. A partir do Junos OS Release 14.2, o tunelamento de modo passivo é suportado em MS-MICs e MS-MPCs.

Observação:

A partir do Junos OS Release 14.2, a header-integrity-check opção suportada nos MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em busca de anomalias nas informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade oposta à funcionalidade causada pelo tunelamento de modo passivo. Se você configurar a header-integrity-check instrução e a passive-mode tunneling instrução em MS-MICs e MS-MPCs e tentar confirmar essa configuração, um erro será exibido durante a confirmação.

A funcionalidade de tunelamento de modo passivo (incluindo a passive-mode-tunnelin instrução no [edit services service-set service-set-name ipsec-vpn-options] nível da hierarquia) é um superconjunto da capacidade de desabilitar o endpoint do túnel IPsec na saída do traceroute (incluindo no-ipsec-tunnel-in-traceroute a instrução no nível da [edit services ipsec-vpn] hierarquia). O tunelamento de modo passivo também ignora as verificações de IP ativas e a verificação de MTU do túnel, além de não tratar um túnel IPsec como um próximo salto, conforme configurado pela no-ipsec-tunnel-in-traceroute instrução.

Configurando o valor de MTU do túnel

Você pode incluir a tunnel-mtu declaração no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia para definir o valor da unidade máxima de transmissão (MTU) para túneis IPsec.

Essa instrução é útil para túneis de endpoint dinâmicos para os quais você não pode configurar a tunnel-mtu declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Para túneis IPsec estáticos, essa instrução define o valor de MTU do túnel para todos os túneis dentro desse conjunto de serviços. Se você precisar de um valor específico para um túnel específico, defina a tunnel-mtu instrução no nível da [edit services ipsec-vpn rule rule-name term term-name then] hierarquia.

Observação:

A tunnel-mtu configuração no nível de [edit services ipsec-vpn rule rule-name term term-name then] hierarquia substitui o valor especificado no nível de [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

Configuração do encaminhamento de múltiplos caminhos IPsec com encapsulamento UDP

A partir do Junos OS Release 16.1, você pode habilitar o encaminhamento multipath do tráfego IPsec configurando o encapsulamento UDP no conjunto de serviços, que adiciona um cabeçalho UDP ao encapsulamento IPsec de pacotes. Isso resulta no encaminhamento do tráfego IPsec por vários caminhos, aumentando a taxa de transferência do tráfego IPsec. Se você não habilitar o encapsulamento UDP, todo o tráfego IPsec seguirá um único caminho de encaminhamento.

Quando o NAT-T é detectado, ocorre apenas o encapsulamento UDP do NAT-T, não o encapsulamento UDP para pacotes IPsec.

Para habilitar o encapsulamento UDP:

  1. Habilite o encapsulamento UDP.

  2. (Opcional) Especifique o número da porta de destino UDP.

    Use um número de porta de destino de 1025 a 65536, mas não use 4500. Se você não especificar um número de porta, a porta de destino padrão será 4565.

Veja também

Exemplo: Configuração de SA dinâmica de IKE com certificados digitais

Este exemplo mostra como configurar a SA dinâmica do IKE com certificados digitais e contém as seções a seguir.

Requerimentos

Este exemplo usa os seguintes componentes de hardware e software:

  • Quatro roteadores da Série M, Série MX ou Série T com interfaces de multisserviços instaladas.

  • Junos OS versão 9.4 ou posterior.

Antes de configurar este exemplo, você deve solicitar um certificado de CA, criar um certificado local e carregar esses certificados digitais no roteador. Para obter detalhes, consulte Registrar um certificado.

Visão geral

Uma associação de segurança (SA) é uma conexão simplex que permite que dois hosts se comuniquem com segurança usando IPsec. Este exemplo explica a configuração dinâmica da SA do IKE com certificados digitais. O uso de certificados digitais fornece segurança adicional ao seu túnel IKE. Usando valores padrão no PIC de serviços, você não precisa configurar uma proposta de IPsec ou uma política de IPsec. No entanto, você deve configurar uma proposta de IKE que especifique o uso de certificados digitais, fazer referência à proposta de IKE e ao certificado local em uma política de IKE e aplicar o perfil de CA ao conjunto de serviços.

A Figura 1 mostra uma topologia IPsec contendo um grupo de quatro roteadores. Essa configuração requer que os Roteadores 2 e 3 estabeleçam um túnel IPsec baseado em IKE usando certificados digitais no lugar de chaves pré-compartilhadas. Os roteadores 1 e 4 fornecem conectividade básica e são usados para verificar se o túnel IPsec está operacional.

Topologia

Figura 1: Diagrama de topologia SA dinâmica do MS PIC IKE MS PIC IKE Dynamic SA Topology Diagram

Configuração

Para configurar a SA dinâmica do IKE com certificados digitais, execute estas tarefas:

Observação:

Os tipos de interface mostrados neste exemplo são apenas para fins indicativos. Por exemplo, você pode usar so- interfaces em vez de ge- e sp- em vez de ms-.

Configurando o roteador 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI, no nível de [edit] hierarquia, do Roteador 1.

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Para configurar o Roteador 1 para conectividade OSPF com o Roteador 2:

  1. Configure uma interface Ethernet e a interface de loopback.

  2. Especifique a área OSPF e associe as interfaces à área OSPF.

  3. Configure o ID do roteador.

  4. Comprometa a configuração.

Resultados

No modo de configuração, confirme sua configuração inserindo os show interfacescomandos , show protocols ospfe show routing-options . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configurando o roteador 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI, no nível de [edit] hierarquia, do Roteador 2.

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 2:

  1. Configure as propriedades da interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).

  2. Especifique a área OSPF e associe as interfaces à área OSPF.

  3. Configure o ID do roteador.

  4. Configure uma proposta e uma política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a rsa-signatures declaração no nível da [edit services ipsec-vpn ike proposal proposal-name authentication-method] hierarquia. Para fazer referência ao certificado local na política de IKE, inclua a local-certificate declaração no nível da [edit services ipsec-vpn ike policy policy-name] hierarquia. Para identificar a CA ou RA no conjunto de serviços, inclua a trusted-ca instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

    Observação:

    Para obter informações sobre como criar e instalar certificados digitais, consulte Registrar um certificado.

  5. Configure uma proposta e uma política de IPsec. Além disso, defina o established-tunnels botão para immediately.

  6. Configure uma regra IPsec.

  7. Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec ao conjunto de serviços.

  8. Comprometa a configuração.

Resultados

No modo de configuração, confirme sua configuração inserindo os show interfacescomandos , show protocols ospf, show routing-options, e show services . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Configurando o Roteador 3

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI, no nível de [edit] hierarquia, do Roteador 3.

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Observação:

Se os pares IPsec não tiverem uma configuração simétrica contendo todos os componentes necessários, eles não poderão estabelecer uma relação de emparelhamento. Você precisa solicitar um certificado de CA, criar um certificado local, carregar esses certificados digitais no roteador e referenciá-los em sua configuração de IPsec. Para obter informações sobre certificação digital, consulte Registrar um certificado.

Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 3:

  1. Configure as propriedades da interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).

  2. Especifique a área OSPF, associe as interfaces à área OSPF.

  3. Configure um ID de roteador.

  4. Configure uma proposta e uma política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a rsa-signatures declaração no nível da [edit services ipsec-vpn ike proposal proposal-name authentication-method] hierarquia. Para fazer referência ao certificado local na política de IKE, inclua a local-certificate declaração no nível da [edit services ipsec-vpn ike policy policy-name] hierarquia. Para identificar a CA ou RA no conjunto de serviços, inclua a trusted-ca instrução no nível da [edit services service-set service-set-name ipsec-vpn-options] hierarquia.

    Observação:

    Para obter informações sobre como criar e instalar certificados digitais, consulte Registrar um certificado.

  5. Configure uma proposta de IPsec. Além disso, defina o established-tunnels botão para immediately.

  6. Configure uma regra IPsec.

  7. Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec ao conjunto de serviços.

  8. Comprometa a configuração.

Resultados

No modo de configuração, confirme sua configuração inserindo os show interfacescomandos , show protocols ospf, show routing-options, e show services . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Configurando o Roteador 4

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI, no nível de [edit] hierarquia, do Roteador 4.

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Para configurar a conectividade OSPF com o Roteador 4

  1. Configure as interfaces. Nesta etapa, você configura uma interface Ethernet (ge-1/0/1) e a interface de loopback.

  2. Especifique a área OSPF e associe as interfaces à área OSPF.

  3. Configure o ID do roteador.

Resultados

No modo de configuração, confirme sua configuração inserindo os show interfacescomandos , show protocols ospfe show routing-options . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração

Verificação

Verificando seu trabalho no roteador 1

Finalidade

No Roteador 1, verifique o comando ping para a interface so-0/0/0 no Roteador 4 para enviar tráfego pelo túnel IPsec.

Ação

Do modo operacional, insira ping 10.1.56.2.

Se você fizer ping no endereço de loopback do Roteador 4, a operação será bem-sucedida porque o endereço faz parte da rede OSPF configurada no Roteador 4.

Verificando seu trabalho no roteador 2

Finalidade

Para verificar se o tráfego correspondente está sendo desviado para o túnel IPsec bidirecional, exiba as estatísticas de IPsec:

Ação

Do modo operacional, insira o show services ipsec-vpn ipsec statisticsarquivo .

Para verificar se a negociação de SA do IKE foi bem-sucedida, emita o show services ipsec-vpn ike security-associations comando:

Do modo operacional, entre no show services ipsec-vpn ike security-associations

Para verificar se a associação de segurança IPsec está ativa, emita o show services ipsec-vpn ipsec security-associations detail comando. Observe que a SA contém as configurações padrão inerentes ao PIC de serviços, como ESP para o protocolo e HMAC-SHA1-96 para o algoritmo de autenticação.

Do modo operacional, entre no show services ipsec-vpn ipsec security-associations detail

Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o show services ipsec-vpn certificates comando:

Do modo operacional, entre no show services ipsec-vpn certificates

Para exibir o certificado CA, emita o comando show security pki ca-certificate detail. Observe que há três certificados separados: um para assinatura de certificado, um para criptografia de chave e outro para a assinatura digital da CA.

Do modo operacional, entre no show security pki ca-certificate detail

Para exibir a solicitação de certificado local, emita o comando show security pki certificate-request:

Do modo operacional, entre no show security pki certificate-request

Para exibir o certificado local, emita o comando show security pki local-certificate:

Do modo operacional, entre no show security pki local-certificate

Verificando seu trabalho no roteador 3

Finalidade

Para verificar se o tráfego correspondente está sendo desviado para o túnel IPsec bidirecional, exiba as estatísticas de IPsec:

Ação

Do modo operacional, insira o show services ipsec-vpn ipsec statisticsarquivo .

Para verificar se a negociação IKE SA foi bem-sucedida, emita o show services ipsec-vpn ike security-associations comando. Para ser bem-sucedida, a SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.

Do modo operacional, insira o show services ipsec-vpn ike security-associationsarquivo .

Para verificar se a SA IPsec está ativa, emita o show services ipsec-vpn ipsec security-associations detail comando. Para ser bem-sucedida, a SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.

Do modo operacional, insira o show services ipsec-vpn ipsec security-associations detailarquivo .

Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o show services ipsec-vpn certificates comando:

Do modo operacional, insira o show services ipsec-vpn certificatesarquivo .

Para exibir o certificado CA, emita o comando show security pki ca-certificate detail. Observe que há três certificados separados: um para assinatura de certificado, um para criptografia de chave e outro para a assinatura digital da CA.

Do modo operacional, insira o show security pki ca-certificate detailarquivo .

Para exibir a solicitação de certificado local, emita o comando show security pki certificate-request:

Do modo operacional, insira o show security pki certificate-requestarquivo .

Para exibir o certificado local, emita o comando show security pki local-certificate:

Do modo operacional, insira o show security pki local-certificatearquivo .

Verificando seu trabalho no roteador 4

Finalidade

No Roteador 4, emita um comando ping para a interface so-0/0/0 no Roteador 1 para enviar tráfego pelo túnel IPsec.

Ação

Do modo operacional, insira ping 10.1.12.2.

A última maneira de confirmar que o tráfego viaja pelo túnel IPsec é emitindo o comando traceroute para a interface so-0/0/0 no Roteador 1. Observe que a interface física entre os roteadores 2 e 3 não é referenciada no caminho; o tráfego entra no túnel IPsec através da interface interna IPsec de serviços adaptativos no Roteador 3, passa pela interface de loopback no Roteador 2 e termina na interface so-0/0/0 no Roteador 1.

Do modo operacional, insira o traceroute 10.1.12.2arquivo .

Veja também

Configuração do Junos VPN Site Secure ou VPN baseada em IPSec

A VPN IPsec é suportada em todos os roteadores da Série MX com MS-MICs, MS-MPCs ou MS-DPCs.

Nos roteadores da Série M e da Série T, a VPN IPsec é suportada com Multiserviços 100 PICs, Multiserviços 400 PICs e Multiserviços 500 PICs.

MS-MICs e MS-MPCs são suportados a partir do Junos OS versão 13.2 e posterior. MS-MICs e MS-MPCs oferecem suporte a todos os recursos suportados por MS-DPCs e MS-PICs, exceto para protocolo de cabeçalho de autenticação (ah), protocolo de carga útil de segurança encapsulada (ESP) e protocolo de pacote (protocolo ah e esp) para uma associação de segurança dinâmica ou manual e serviço IPsec sem fluxo.

A travessia de NAT (NAT-T) é suportada para IKEv1 e IKEv2 a partir do Junos OS Release 17.4R1. O NAT-T é habilitado por padrão. Você pode especificar o encapsulamento e o desencapsulamento UDP para pacotes IKE e ESP usando a configuração disable-natt nos [edit services ipsec-vpn] níveis de hierarquia.

Veja também

Exemplo: configuração do Junos VPN Site Secure no MS-MIC e MS-MPC

Observação:

Você pode seguir o mesmo procedimento e usar a mesma configuração fornecida neste exemplo para configurar o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) em MS-MPCs.

Este exemplo contém as seguintes seções:

Requerimentos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois roteadores da Série MX com MS-MICs

  • Junos OS versão 13.2 ou posterior

Visão geral

O Junos OS Release 13.2 estende o suporte para o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) para o recém-introduzido MIC e MPC multiserviços (MS-MIC e MS-MPC) nos roteadores da Série MX. Os pacotes de provedores de extensão do Junos OS vêm pré-instalados e pré-configurados no MS-MIC e no MS-MPC.

Os seguintes recursos do Junos VPN Site Secure são suportados no MS-MIC e no MS-MPC na versão 13.2:

  • Pontos finais dinâmicos (DEP)

  • Encapsulando o protocolo de Segurança Payload (ESP)

  • Mensagens de disparo de detecção de peer inativo (DPD)

  • Notificações de rollover de número de sequência

  • Túneis IPsec estáticos com conjuntos de serviços no estilo next-hop e no estilo interface

No entanto, no Junos OS Release 13.2, o suporte do Junos VPN Site Secure no MS-MIC e MS-MPC é limitado ao tráfego IPv4. O tunelamento de módulo passivo não é suportado em MS-MICs e MS-MPCs.

A Figura 2 mostra a topologia de túnel VPN IPsec.

Figura 2: Topologia Network diagram showing IPSec tunnel configuration between two routers labeled 1 and 2. Router 1 connects to 172.16.0.0/16 and 10.0.1.0/30 networks. Router 2 connects to 192.168.0.0/16 and 10.0.1.0/30 networks. The tunnel uses ms-4/0/0 on Router 1 and ms-1/0/0 on Router 2. de túnel VPN IPsec

Este exemplo mostra a configuração de dois roteadores, o Roteador 1 e o Roteador 2, que têm um túnel VPN IPsec configurado entre eles.

Ao configurar os roteadores, observe os seguintes pontos:

  • O endereço IP para source-address o qual você configura no nível de [edit services ipsec-vpn rule name term term from] hierarquia no Roteador 1 deve ser o mesmo que o endereço destination-address IP configurado na mesma hierarquia no Roteador 2 e vice-versa.

  • O endereço IP configurado no nível de remote-gateway hierarquia deve corresponder ao local-gateway endereço IP configurado no [edit services service-set name ipsec-vpn-options] nível de hierarquia do Roteador 2 e vice-versa.[edit services ipsec-vpn rule name term term then]

Configuração

Esta seção contém:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Configuração de interfaces no roteador 1

Configuração do serviço VPN IPsec no roteador 1

Configurando um conjunto de serviços no roteador 1

Configurando opções de roteamento no roteador 1

Configuração de interfaces no roteador 2

Configuração do serviço VPN IPsec no roteador 2

Configurando um conjunto de serviços no roteador 2

Configurando opções de roteamento no roteador 2

Configurando o roteador 1

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Observação:

A partir da versão 13.2, os pacotes de provedores de extensão do Junos OS vêm pré-instalados em MICs e MPCs multisserviços (MS-MICs e MS-MPCs). A adaptive-services configuração no nível de hierarquia é pré-configurada [edit chassis fpc number pic number] nessas placas.

  1. Configure as propriedades da interface, como família, domínio de serviço e unidade.

  2. Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes do algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.

  3. Configure um conjunto de serviços, as opções e regras de ipsec-vpn.

  4. Configure as opções de roteamento, rota estática e próximo salto.

Resultados

No modo de configuração do Roteador 1, confirme sua configuração digitando os show interfacescomandos , show services ipsec-vpne show services service-set . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configurando o roteador 2

Procedimento passo a passo

  1. Configure as propriedades da interface, como família, domínio de serviço e unidade.

  2. Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes do algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.

  3. Configure um conjunto de serviços, como next-hop-service e ipsec-vpn-options.

  4. Configure as opções de roteamento, a rota estática e o próximo salto.

Resultados

No modo de configuração do Roteador 2, confirme sua configuração digitando os show interfacescomandos , show services ipsec-vpne show services service-set . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Verificando a criação de túneis

Finalidade

Verifique se os pontos finais dinâmicos foram criados.

Ação

Execute o seguinte comando no Roteador 1:

Significado

A saída mostra que as SAs IPSec estão ativas no roteador com seu estado como Instalado. O túnel IPSec está ativo e pronto para enviar tráfego pelo túnel.

Verificando o fluxo de tráfego pelo túnel DEP

Finalidade

Verifique o fluxo de tráfego no túnel DEP recém-criado.

Ação

Execute o seguinte comando no Roteador 2:

Verificando associações de Segurança IPsec para o conjunto de serviços

Finalidade

Verifique se as associações de segurança configuradas para o conjunto de serviços estão funcionando corretamente.

Ação

Execute o seguinte comando no Roteador 2:

Exemplo: configuração de túneis IPsec atribuídos estaticamente em uma instância VRF

Este exemplo mostra como configurar um túnel IPsec atribuído estaticamente em uma instância VRF e contém as seguintes seções:

Requerimentos

Este exemplo usa os seguintes componentes de hardware e software:

  • Roteador da Série M, Série MX ou Série T configurado como um roteador de borda do provedor.

  • Junos OS versão 9.4 e posterior.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.

Visão geral

O Junos OS permite configurar túneis IPsec atribuídos estaticamente em instâncias de roteamento e encaminhamento virtual (VRF). A capacidade de configurar túneis IPsec em instâncias VRF melhora a segmentação e a segurança da rede. Você pode ter vários túneis de clientes configurados no mesmo roteador PE em instâncias VRF. Cada instância VRF atua como um roteador lógico com uma tabela de roteamento exclusiva.

Configuração

Este exemplo mostra a configuração de um túnel IPsec em uma instância VRF em um roteador de borda do provedor e fornece instruções passo a passo para concluir a configuração necessária.

Esta seção contém:

Configurando o roteador de borda do provedor

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Procedimento passo a passo

O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.

Para configurar um túnel IPsec atribuído estaticamente em uma instância VRF:

  1. Configure as interfaces. Nesta etapa, você configura duas interfaces Ethernet (ge), uma interface de serviços (ms-) e também as propriedades de domínio de serviço para as interfaces lógicas da interface de serviços. Observe que a interface lógica marcada como a interface interna aplica o serviço configurado no tráfego, enquanto a que está marcada como a interface externa atua como o ponto de saída para o tráfego no qual a interface interna aplicou o serviço.

  2. Configure uma política de roteamento para especificar critérios de importação e exportação de rota para a instância VRF. As políticas de importação e exportação definidas nesta etapa são referenciadas a partir da configuração da instância de roteamento na próxima etapa.

  3. Configure uma instância de roteamento e especifique o tipo de instância de roteamento como vrf. Aplique as políticas de importação e exportação definidas na etapa anterior à instância de roteamento e especifique uma rota estática para enviar o tráfego IPsec para a interface interna (ms-1/2/0.1) configurada na primeira etapa.

  4. Configure propostas e políticas de IKE e IPsec e uma regra para aplicar a política de IKE no tráfego de entrada.

    Observação:

    Por padrão, o Junos OS usa a versão 1.0 da política IKE. O Junos OS versão 11.4 e posterior também oferece suporte à política de IKE versão 2.0, que você deve configurar em [edit services ipsec-vpn ike policy policy-name pre-shared].

  5. Configure um conjunto de serviços no estilo next-hop. Observe que você deve configurar as interfaces interna e externa configuradas na primeira etapa como e inside-service-interface outside-service-interface respectivamente.

  6. Comprometa a configuração.

Resultados

No modo de configuração do Roteador 1, confirme sua configuração digitando os show interfacescomandos , show policy-options, , show services ipsec-vpnshow routing-instances, e show services service-set . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Veja também

Exemplo multitarefa: configuração de serviços IPsec

As instruções baseadas em exemplo a seguir mostram como configurar serviços IPsec. A configuração envolve a definição de uma política de IKE, uma política de IPsec, regras de IPsec, opções de rastreamento e conjuntos de serviços.

Este tópico inclui as seguintes tarefas:

Configurando a proposta de IKE

A configuração da proposta de IKE define os algoritmos e as chaves usados para estabelecer a conexão IKE segura com o gateway de segurança de peer. Para obter mais informações sobre propostas de IKE, consulte Configuração de propostas de IKE.

Para definir a proposta de IKEI:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o método de autenticação, que está pre-shared keys neste exemplo:
  3. Configure o grupo Diffie-Hellman e especifique um nome — por exemplo, group1:
  4. Configure o algoritmo de autenticação, que está sha1 neste exemplo:
  5. Configure o algoritmo de criptografia, que está aes-256-cbc neste exemplo:

A saída de exemplo a seguir mostra a configuração da proposta de IKE:

Veja também

Configuração da política de IKE (e referência à proposta de IKE)

A configuração da política de IKE define a proposta, o modo, os endereços e outros parâmetros de segurança usados durante a negociação de IKE. Para obter mais informações sobre políticas de IKE, consulte Configuração de políticas de IKE.

Para definir a política de IKE e fazer referência à proposta de IKE:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o modo de primeira fase do IKE — por exemplo, main:
  3. Configure a proposta, que está test-IKE-proposal neste exemplo:
  4. Configure a identificação local com um endereço IPv4 — por exemplo, 192.168.255.2:
  5. Configure a chave pré-compartilhada no formato de texto ASCII, que está TEST neste exemplo:

O exemplo de saída a seguir mostra a configuração da política de IKE:

Configurando a proposta de IPsec

A configuração da proposta de IPsec define os protocolos e algoritmos (serviços de segurança) necessários para negociar com o peer IPsec remoto. Para obter mais informações sobre propostas de IPsec, consulte Configurando propostas de IPsec.

Para definir a proposta de IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o protocolo IPsec para a proposta — por exemplo, esp:
  3. Configure o algoritmo de autenticação para a proposta, que está hmac-sha1-96 neste exemplo:
  4. Configure o algoritmo de criptografia para a proposta, que está aes-256-cbc neste exemplo:

A saída de exemplo a seguir mostra a configuração da proposta de IPsec:

Veja também

Configurando a política IPsec (e fazendo referência à proposta de IPsec)

A configuração de diretiva IPsec define uma combinação de parâmetros de segurança (propostas IPsec) usados durante a negociação de IPsec. Define o PFS e as propostas necessárias para a ligação. Para obter mais informações sobre políticas IPsec, consulte Configurando políticas IPsec.

Para definir a diretiva IPsec e fazer referência à proposta de IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure as chaves para obter sigilo de encaminhamento perfeito na política de IPsec — por exemplo, group1:
  3. Configure um conjunto de propostas de IPsec na diretiva de IPsec — por exemplo, test-IPsec-proposal:

A saída de exemplo a seguir mostra a configuração da política IPsec:

Veja também

Configurando a regra IPsec (e referenciando as políticas IKE e IPsec)

A configuração da regra IPsec define a direção que especifica se a correspondência é aplicada no lado de entrada ou saída da interface. A configuração também consiste em um conjunto de termos que especificam as condições de correspondência e os aplicativos incluídos e excluídos e também especificam as ações e modificadores de ação a serem executados pelo software do roteador. Para obter mais informações sobre regras IPsec, consulte Configurando regras IPsec.

Para definir a regra IPsec e fazer referência às políticas IKE e IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o endereço IP de destino para o termo IPsec na regra IPsec — por exemplo, 192.168.255.2/32:
  3. Configure o endereço de gateway remoto para o termo IPsec na regra IPsec — por exemplo, 0.0.0.0:
  4. Configure uma associação de segurança dinâmica para a política de IKE para o termo IPsec na regra IPsec, que está test-IKE-policy neste exemplo:
  5. Configure uma associação de segurança dinâmica para a proposta de IKE para o termo IPsec na regra IPsec, que está test-IPsec-proposal neste exemplo:
  6. Configure uma direção para a qual a correspondência de regra está sendo aplicada na regra IPsec — por exemplo, input:

A saída de exemplo a seguir mostra a configuração da regra IPsec:

Configurando opções de rastreamento de IPsec

A configuração de opções de rastreamento de IPsec rastreia eventos de IPsec e os registra em um arquivo de log no diretório /var/log . Por padrão, esse arquivo é denominado /var/log/kmd. Para obter mais informações sobre regras IPsec, consulte Rastreamento de operações do Junos VPN Site Secure.

Para definir as opções de rastreamento de IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure o arquivo de rastreamento, que está ipsec.log neste exemplo:
  3. Configure todos os parâmetros de rastreamento com a opção all neste exemplo:

A saída de exemplo a seguir mostra a configuração das opções de rastreamento IPsec:

Configuração do perfil de acesso (e referência às políticas de IKE e IPsec)

A configuração do perfil de acesso define o perfil de acesso e faz referência às políticas de IKE e IPsec. Para obter mais informações sobre o perfil de acesso, consulte Configuração de um perfil de acesso IKE.

Para definir o perfil de acesso e fazer referência às políticas de IKE e IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure a lista de pares de identidade de proxy local e remoto com a allowed-proxy-pair opção. Neste exemplo, 10.0.0.0/24 é o endereço IP para a identidade do proxy local e 10.0.1.0/24 é o endereço IP para a identidade do proxy remoto:
  3. Configure a política de IKE — por exemplo, test-IKE-policy:
  4. Configure a política IPsec — por exemplo, test-IPsec-policy:
  5. Configure a identidade do pool de interface de serviço lógico, que está TEST-intf neste exemplo:

A saída de exemplo a seguir mostra a configuração do perfil de acesso:

Veja também

Configuração do conjunto de serviços (e referência ao perfil IKE e à regra IPsec)

A configuração do conjunto de serviços define conjuntos de serviços IPsec que exigem especificações adicionais e faz referência ao perfil IKE e à regra IPsec. Para obter mais informações sobre conjuntos de serviços IPsec, consulte Configurando conjuntos de serviços IPsec.

Para definir a configuração do conjunto de serviços com os conjuntos de serviços next-hop e as opções de VPN IPsec:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. Configure um conjunto de serviços com parâmetros para interfaces de serviço de próximo salto para a rede interna — por exemplo, sp-1/2/0.1:
  3. Configure um conjunto de serviços com parâmetros para interfaces de serviço de próximo salto para a rede externa — por exemplo, sp-1/2/0.2:
  4. Configure as opções de VPN IPsec com o endereço e a instância de roteamento do gateway local — por exemplo, 192.168.255.2:
  5. Configure as opções de VPN IPsec com o perfil de acesso IKE para pares dinâmicos, que está IKE-profile-TEST neste exemplo:
  6. Configure um conjunto de serviços com regras de VPN IPsec, que está test-IPsec-rule neste exemplo:

A saída de exemplo a seguir mostra a configuração da configuração do conjunto de serviços que faz referência ao perfil IKE e à regra IPsec:

Veja também

Desativação do NAT-T em roteadores da Série MX para o tratamento de NAT com pacotes protegidos por IPsec

Antes do lançamento do Junos OS 17.4R1, a Network Address Translation-Traversal (NAT-T) não é suportada para o conjunto de recursos IPsec do Junos VPN Site Secure nos roteadores da Série MX. Por padrão, o Junos OS detecta se um dos túneis IPsec está atrás de um dispositivo NAT e muda automaticamente para o uso de NAT-T para o tráfego protegido. Para evitar a execução de NAT-T não suportado nas versões do Junos OS anteriores à 17.4R1, você deve desativar o NAT-T incluindo a disable-natt declaração no nível da [edit services ipsec-vpn] hierarquia. Quando você desabilita o NAT-T, a funcionalidade NAT-T é desativada globalmente. Quando você desabilita o NAT-T e um dispositivo NAT está presente entre os dois gateways IPsec, as mensagens ISAKMP são negociadas usando a porta UDP 500 e os pacotes de dados são encapsulados com o ESP (Encapsulating Segurança Payload).

Network Address Translation-Traversal (NAT-T) é um método para contornar problemas de tradução de endereço IP encontrados quando dados protegidos por IPsec passam por um dispositivo NAT para tradução de endereços. Qualquer alteração no endereçamento IP, que é a função do NAT, faz com que o IKE descarte pacotes. Depois de detectar um ou mais dispositivos NAT ao longo do caminho de dados durante as trocas da Fase 1, o NAT-T adiciona uma camada de encapsulamento do Protocolo de datagrama de usuário (UDP) aos pacotes IPsec para que eles não sejam descartados após a tradução do endereço. O NAT-T encapsula o tráfego IKE e ESP dentro do UDP com a porta 4500 usada como porta de origem e destino. Como os dispositivos NAT envelhecem as traduções UDP obsoletas, mensagens keepalive são necessárias entre os pares.

A localização de um dispositivo NAT pode ser tal que:

  • Somente o iniciador IKEv1 ou IKEv2 está atrás de um dispositivo NAT. Vários iniciadores podem estar atrás de dispositivos NAT separados. Os iniciadores também podem se conectar ao respondente por meio de vários dispositivos NAT.

  • Somente o respondente IKEv1 ou IKEv2 está atrás de um dispositivo NAT.

  • O iniciador IKEv1 ou IKEv2 e o respondente estão atrás de um dispositivo NAT.

A VPN de endpoint dinâmico abrange a situação em que o endereço externo do IKE do iniciador não é fixo e, portanto, não é conhecido pelo respondente. Isso pode ocorrer quando o endereço do iniciador é atribuído dinamicamente por um ISP ou quando a conexão do iniciador cruza um dispositivo NAT dinâmico que aloca endereços de um pool de endereços dinâmico.

Exemplos de configuração para NAT-T são fornecidos para a topologia na qual apenas o respondente está atrás de um dispositivo NAT e a topologia na qual o iniciador e o respondente estão atrás de um dispositivo NAT. A configuração do gateway IKE site a site para NAT-T é suportada no iniciador e no respondente. Um ID de IKE remoto é usado para validar o ID de IKE local de um peer durante a Fase 1 da negociação do túnel IKE. O iniciador e o respondente exigem uma identificação local e uma cadeia de caracteres de identidade remota.

Veja também

Rastreamento de operações do Junos VPN Site Secure

Observação:

O Junos VPN Site Secure é um conjunto de recursos IPsec com suporte em placas de linha multisserviços (MS-DPC, MS-MPC e MS-MIC), sendo anteriormente chamado de serviços IPsec.

As operações de rastreamento rastreiam eventos IPsec e os registram em um arquivo de log no /var/log diretório. Por padrão, esse arquivo é denominado /var/log/kmd.

Para rastrear operações IPsec, inclua a traceoptions instrução no nível da [edit services ipsec-vpn] hierarquia:

Você pode especificar os seguintes sinalizadores de rastreamento de IPsec:

  • all- Rastreie tudo.

  • certificates— Rastrear eventos de certificados.

  • database— Rastreie eventos de banco de dados de associações de segurança.

  • general— Rastreie eventos gerais.

  • ike— Rastreie o processamento do módulo IKE.

  • parse— Rastrear o processamento da configuração.

  • policy-manager— Rastreie o processamento do gerenciador de políticas.

  • routing-socket— Rastreie mensagens de soquete de roteamento.

  • snmp— Rastreie as operações SNMP.

  • timer— Rastreie eventos internos do temporizador.

A level instrução define o nível de rastreamento do processo de gerenciamento de chaves (kmd). Há suporte para os seguintes valores:

  • all- Combine todos os níveis.

  • error— Corresponder às condições de erro.

  • info–Corresponder mensagens informativas.

  • notice- Condições de correspondência que devem ser tratadas especialmente.

  • verbose— Corresponde a mensagens detalhadas.

  • warning— Corresponder às mensagens de aviso.

Esta seção inclui os seguintes tópicos:

Desativação do endpoint de túnel IPsec no traceroute

Se você incluir a no-ipsec-tunnel-in-traceroute instrução no nível da [edit services ipsec-vpn] hierarquia, o túnel IPsec não será tratado como um próximo salto e o tempo de vida (TTL) não será diminuído. Além disso, se o TTL chegar a zero, uma mensagem de tempo excedido ICMP não será gerada.

Observação:

Essa funcionalidade também é fornecida pela passive-mode-tunneling instrução. Você pode usar a instrução em cenários específicos nos quais o túnel IPsec não deve ser tratado como um próximo salto e o no-ipsec-tunnel-in-traceroute modo passivo não é desejado.

Rastreamento de operações de PKI IPsec

As operações de rastreamento rastreiam eventos de PKI IPsec e os registram em um arquivo de log no /var/log diretório. Por padrão, esse arquivo é denominado /var/log/pkid.

Para rastrear operações de PKI IPsec, inclua a traceoptions declaração no nível da [edit security pki] hierarquia:

Você pode especificar os seguintes sinalizadores de rastreamento de PKI:

  • all- Rastreie tudo.

  • certificates— Rastrear eventos de certificados.

  • database— Rastreie eventos de banco de dados de associações de segurança.

  • general— Rastreie eventos gerais.

  • ike— Rastreie o processamento do módulo IKE.

  • parse— Rastrear o processamento da configuração.

  • policy-manager— Rastreie o processamento do gerenciador de políticas.

  • routing-socket— Rastreie mensagens de soquete de roteamento.

  • snmp— Rastreie as operações SNMP.

  • timer— Rastreie eventos internos do temporizador.

Veja também

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
18.2R1
A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação IKE baseada em certificado, em vez da cadeia de certificados completa.
17.2R1
A partir do Junos OS Release 17.2R1, você pode usar a gw-interface declaração para habilitar a limpeza de gatilhos de IKE e SAs de IKE e IPsec quando o endereço IP do gateway local de um túnel IPsec cai, ou o MS-MIC ou MS-MPC que está sendo usado no conjunto de serviços do túnel cai.
17.1
A partir do Junos OS Release 17.1, o AMS oferece suporte à distribuição de túnel IPSec
16.1
A partir do Junos OS Release 16.1, para configurar túneis do tipo enlace (ou seja, estilo next-hop), para fins de HA, você pode configurar interfaces lógicas AMS como interfaces internas IPsec usando a ipsec-inside-interface interface-name declaração no [edit services ipsec-vpn rule rule-name term term-name from] nível de hierarquia.
16.1
A partir do Junos OS Release 16.1, você pode habilitar o encaminhamento multipath do tráfego IPsec configurando o encapsulamento UDP no conjunto de serviços, que adiciona um cabeçalho UDP ao encapsulamento IPsec de pacotes.
14.2
A partir do Junos OS Release 14.2, o tunelamento de modo passivo é suportado em MS-MICs e MS-MPCs.
14.2
A partir do Junos OS Release 14.2, a header-integrity-check opção suportada nos MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em busca de anomalias nas informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade oposta à funcionalidade causada pelo tunelamento de modo passivo.
14.1
A partir do Junos OS Release 14.1, em pacotes que são transmitidos através de túneis IPSec de endpoint dinâmico, você pode habilitar o valor definido no bit DF do pacote que entra no túnel para ser copiado apenas para o cabeçalho externo do pacote IPsec e não causar nenhuma modificação no bit DF no cabeçalho interno do pacote IPsec.