NESTA PÁGINA
Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec
Configuração do conjunto de serviços para túneis de endpoint dinâmicos IPsec
Configuração do identificador de interface para túneis de endpoint dinâmico IPsec
Configuração de vários túneis roteados em um único conjunto de serviços next-hop
Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec
Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec
Você pode configurar apenas um perfil de túnel por conjunto de serviços para todos os pares dinâmicos. A chave pré-compartilhada configurada no perfil é usada para autenticação de IKE de todos os pares dinâmicos que terminam nesse conjunto de serviços.
O perfil do túnel IKE especifica todas as informações necessárias para concluir a negociação da IKE. Para obter mais informações sobre perfis de acesso, consulte o Guia de configuração básica do Sistema Junos.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
Para pares dinâmicos, o Junos OS oferece suporte apenas ao modo principal IKE com o método chave de autenticação pré-compartilhado. Nesse modo, um endereço IPv4 ou IPv6 é usado para identificar um peer de túnel para obter as informações chave pré-compartilhadas. O valor do cliente * (curinga) significa que a configuração dentro deste perfil é válida para todos os pares dinâmicos que terminam dentro do conjunto de serviços que acessam este perfil.
As declarações a seguir são as partes do perfil IKE:
par de proxy permitido — Durante a negociação de IKE da fase 2, o peer remoto fornece seu endereço de rede (remoto) e o endereço de rede de seus pares (local). Como vários túneis dinâmicos são autenticados pelo mesmo mecanismo, essa declaração deve incluir a lista de possíveis combinações. Se o peer dinâmico não apresentar uma combinação válida, a negociação de IKE da fase 2 falhará.
Por padrão, o 0.0.0.0/0 local 0.0.0/0 remoto é usado se nenhum valor estiver configurado.
chave pré-compartilhada — chave obrigatória usada para autenticar o peer dinâmico durante a negociação da fase 1 da IKE. Essa chave deve ser configurada em ambas as extremidades do túnel e distribuída por meio de um mecanismo seguro fora de banda. Você pode configurar o valor-chave no formato hexadecimal ou ascii-text .
interface id — identificador de interface, um atributo obrigatório usado para obter as informações lógicas da interface de serviço para a sessão.
ipsec-policy — Nome da política de IPsec que define as informações de política de IPsec para a sessão. Você define a política de IPsec no nível hierárquica
[edit services ipsec-vpn ipsec policy policy-name]. Se nenhuma política for definida, qualquer política proposta pelo peer dinâmico é aceita.
Configuração do conjunto de serviços para túneis de endpoint dinâmicos IPsec
Para concluir uma configuração dinâmica de túnel de endpoint, você precisa consultar o perfil de acesso IKE configurado no nível de hierarquia [editar acesso] no conjunto de serviços. Para fazer isso, inclua a ike-access-profile declaração no nível de hierarquia [editar serviços ipsec-vpn-optionsname]:
[edit services] service-set name { next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; } ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } }
Você pode consultar apenas um perfil de acesso em cada conjunto de serviços. Esse perfil é usado para negociar associações de segurança IKE e IPsec apenas com pares dinâmicos.
Se você configurar um perfil de acesso IKE em um conjunto de serviços, nenhum outro conjunto de serviços poderá compartilhar o mesmo endereço de gateway local .
Configuração do identificador de interface para túneis de endpoint dinâmico IPsec
Você pode configurar um identificador de interface para um grupo de pares dinâmicos, que especifica quais(s) interface lógica de serviços adaptativos participam na negociação dinâmica de IPsec. Ao atribuir o mesmo identificador de interface a várias interfaces lógicas, você pode criar um pool de interfaces para essa finalidade. Para configurar, inclua a ipsec-interface-id declaração no nível de hierarquia [editar interfaces interface-name]:
[edit interfaces sp-fpc/pic/port] unit logical-unit-number { dial-options { ipsec-interface-id identifier; (shared | dedicated); } }
Especificar o identificador de dial-options interface na declaração torna essa interface lógica parte do pool identificada pelo identificador de interface IPsec.
Apenas um identificador de interface pode ser especificado de cada vez. Você pode incluir a ipsec-interface-id declaração ou a l2tp-interface-id declaração, mas não ambos simultaneamente.
A shared declaração permite que uma interface lógica seja compartilhada em vários túneis. A dedicated declaração especifica que a interface lógica está associada a um único túnel, o que é necessário quando você está configurando um túnel do tipo de enlace IPsec. Você deve incluir a dedicated declaração quando especificar um valor ipsec-interface-id .
Configuração de vários túneis roteados em um único conjunto de serviços next-hop
Você pode configurar opcionalmente vários túneis IPSec roteados em um único conjunto de serviços de próximo salto. Para isso, comece estabelecendo várias interfaces de serviços como interfaces internas, incluindo a declaração interna de domínio de serviço no nível de hierarquia [editar interfaces sp-unitfpc/pic/portlogical-unit-number]. Em seguida, inclua a ipsec-inside-interface declaração no nível hierárquica[edit services ipsec-vpn rule rule-name term term-name from].
As propostas e políticas completas de IPsec e IKE não são mostradas no exemplo a seguir, por uma questão de brevidade.
[edit]
interfaces {
sp-3/3/0 {
unit 3 {
family inet;
service-domain inside;
}
unit 4 {
family inet;
service-domain outside;
}
unit 5 {
family inet;
service-domain inside;
}
}
}
services {
service-set link_type_ss_1 {
next-hop-service {
inside-service-interface sp-3/3/0.3;
outside-service-interface sp-3/3/0.4;
}
ipsec-vpn-options {
local-gateway 10.8.7.2;
}
ipsec-vpn-rules link_rule_1;
}
ipsec-vpn {
rule link_rule_1 {
term 1 {
from {
ipsec-inside-interface sp-3/3/0.3;
}
then {
remote-gateway 10.10.7.3;
backup-remote-gateway 10.8.7.1;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
term 2 {
from {
ipsec-inside-interface sp-3/3/0.5;
}
then {
remote-gateway 10.12.7.5;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
match-direction input;
}
}
}
Para confirmar que sua configuração está funcionando, emita o show services ipsec-vpn ipsec security-associations comando. Observe que cada interface IPsec dentro que você atribuiu a cada túnel IPsec está incluída na saída deste comando.
user@router> show services ipsec-vpn ipsec security-associations
Service set: link_type_ss_1
Rule: link_rule_1, Term: 1, Tunnel index: 1
Local gateway: 10.8.7.2, Remote gateway: 10.8.7.1
IPSec inside interface: sp-3/3/0.3
Direction SPI AUX-SPI Mode Type Protocol
inbound 3216392497 0 tunnel dynamic ESP
outbound 398917249 0 tunnel dynamic ESP
Rule: link_rule_1, Term: 2, Tunnel index: 2
Local gateway: 10.8.7.2, Remote gateway: 10.12.7.5
IPSec inside interface: sp-3/3/0.5
Direction SPI AUX-SPI Mode Type Protocol
inbound 762146783 0 tunnel dynamic ESP
outbound 319191515 0 tunnel dynamic ESP