Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN em dispositivos hub-and-spoke

O AutoVPN oferece suporte a um agregador vpn IPsec (conhecido como hub) que serve como um único ponto de terminação para vários túneis para locais remotos (conhecidos como spokes). O AutoVPN permite que os administradores de rede configurem um hub para spokes atuais e futuros.

Entendendo o AutoVPN

O AutoVPN oferece suporte a um agregador vpn IPsec (conhecido como hub) que serve como um único ponto de terminação para vários túneis para locais remotos (conhecidos como spokes). O AutoVPN permite que os administradores de rede configurem um hub para spokes atuais e futuros. Não são necessárias alterações de configuração no hub quando os dispositivos spoke são adicionados ou excluídos, permitindo assim aos administradores flexibilidade no gerenciamento de implantações de rede em grande escala.

Modos de túnel seguros

O AutoVPN é suportado em VPNs IPsec baseadas em rota. Para VPNs baseadas em rota, você configura uma interface de túnel seguro (st0) e a vincula a um túnel VPN IPsec. st0 interfaces em redes AutoVPN podem ser configuradas em um dos dois modos:

  • Modo ponto a ponto — Por padrão, uma interface st0 configurada no nível deedit interfaces st0 unit x hierarquia está no modo ponto a ponto. Começando pelo Junos OS Release 17.4R1, o endereço IPv6 é suportado no AutoVPN.

  • Modo ponto a multiponto — Neste modo, a opção multipoint é configurada no nível [edit interfaces st0 unit x] de hierarquia em ambos os hubs AutoVPN e spokes. interfaces st0 no hub e spokes devem ser numeradas e o endereço IP configurado em um spoke deve existir na sub-rede de interface st0 do hub.

Tabela 1 compara os modos de interface segura de ponto a ponto autoVPN e ponto a multiponto.

Tabela 1: Comparação entre os modos autoVPN de ponto a ponto e de túnel seguro de ponto a multiponto

Modo ponto a ponto

Modo ponto a multiponto

Oferece suporte ao IKEv1 ou IKEv2.

Oferece suporte ao IKEv1 ou IKEv2.

Oferece suporte ao tráfego IPv4 e IPv6.

Oferece suporte a IPv4 ou IPv6.

Seletores de tráfego

Protocolos de roteamento dinâmico (OSPF, OSPFv3 e iBGP)

Detecção de peer inativo

Detecção de peer inativo

Permite que os dispositivos spoke sejam da Série SRX ou dispositivos de terceiros.

Esse modo só é compatível com firewalls da Série SRX.

Autenticação

As AutoVPNs oferecem suporte a métodos de autenticação baseados em chave pré-compartilhados e certificados.

Para autenticação baseada em certificados em hubs e spokes autoVPN, você pode usar certificados de infraestrutura de chave pública (PKI) X.509. O tipo de usuário IKE do grupo configurado no hub permite que as strings sejam especificadas para combinar com o campo de assunto alternativo em certificados spoke. Também podem ser especificadas correspondências parciais para os campos de assunto em certificados de spoke. Veja o entendimento da autenticação spoke em implantações de AutoVPN.

A partir do Junos OS Release 21.2R1, SRX5000 linha com placa SPC3 e firewall virtual vSRX em execução de processo iked oferece suporte a AutoVPN com chave pré-compartilhada semeada.

Nota:

A linha SRX5000 com a placa SPC3 e o firewall virtual vSRX oferece suporte a AutoVPN com PSK, somente se você instalar o junos-ike pacote.

Oferecemos suporte à AutoVPN com as seguintes duas opções:

  • PSK semeado autoVPN: Vários pares conectados ao mesmo gateway com chave pré-compartilhada diferente.
  • PSK compartilhado da AutoVPN: Vários pares conectados ao mesmo gateway com a mesma chave pré-compartilhada.

O PSK semeado é diferente do PSK não semeado (ou seja, o mesmo PSK compartilhado). O PSK semeado usa a chave mestre para gerar o PSK compartilhado para o peer. Assim, cada peer terá PSK diferente conectando-se ao mesmo gateway. Por exemplo: Considere um cenário em que o peer 1 com o ID user1@juniper.net IKE e o peer 2 com ID user2@juniper.net IKE tenta se conectar ao gateway. Neste cenário, o gateway configurado como HUB_GW contendo a chave mestre configurada como ThisIsMySecretPreSharedkey terá o PSK diferente da seguinte forma:

Peer 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Isso significa que, para usuários diferentes com id de usuário diferente e a mesma chave mestre gerará uma chave pré-compartilhada diferente ou única.

Você pode usar ou seeded-pre-shared-keypre-shared-key para Auto-VPN PSK:

  • Chave pré-compartilhada diferente: Se o seeded-pre-shared-key conjunto for definido, uma chave pré-compartilhada de IKE diferente é usada pelo gateway VPN para autenticar cada peer remoto. As chaves pré-compartilhadas por peer são geradas usando o master-key conjunto no gateway IKE e compartilhadas entre os pares.

    Para permitir que o gateway VPN use uma chave pré-compartilhada (PSK) IKE diferente para autenticar cada peer remoto, use os novos comandos seeded-pre-shared-key ascii-text CLI ou seeded-pre-shared-key hexadecimal sob o nível de [edit security ike policy policy_name] hierarquia.

    Este comando é mutuamente exclusivo com pre-shared-key comando sob a mesma hierarquia.

    Veja a política.

  • Chave compartilhada/mesma pré-compartilhada: Se pre-shared-key-type não estiver configurado, o PSK será considerado compartilhado. A mesma chave de IKE pré-compartilhada é usada pelo gateway VPN para autenticar todos os pares remotos.

    Para permitir que o gateway VPN use o mesmo IKE PSK para autenticar todos os pares remotos, use os comandos CLI existentes pre-sharedkey ascii-text ou pre-shared-key hexadecimal.

No gateway VPN, você pode ignorar a validação de IKE ID usando a general-ikeid declaração de configuração no nível hierárquica [edit security ike gateway gateway_name dynamic] . Se essa opção estiver configurada, durante a autenticação de peer remoto, o gateway VPN permite qualquer conexão ID IKE remota. Veja general-ikeid.

A linha SRX5000 com a placa SPC3 e o firewall virtual vSRX em execução iked (com o junos-ike pacote) oferece suporte aos seguintes modos IKE:

Tabela 2: Suporte para AutoVPN PSK

Modo IKE

SRX5000 linha com a placa SPC3 e o firewall virtual vSRX em execução de processo iked

PSK compartilhado

Seeded-PSK

IKEv2

Sim

Sim

IKEv2 com qualquer-remote-id

Sim

Sim

Modo agressivo IKEv1

Sim

Sim

Modo agressivo IKEv1 com any-remote-id/general-ikeid

Sim

Sim

Modo principal IKEv1

Sim

Não

Modo principal IKEv1 com qualquer id remoto/general-ikeid

Sim

Não

Veja exemplo: Configuração de autoVPN com chave pré-compartilhada.

Configuração e gerenciamento

O AutoVPN é configurado e gerenciado em firewalls da Série SRX usando a CLI. Vários hubs AutoVPN podem ser configurados em um único firewall da Série SRX. O número máximo de spokes suportados por um hub configurado é específico para o modelo do firewall da Série SRX.

Suporte multicast usando PIM

O IP multicast oferece tráfego a mais de um receptor pretendido replicando os pacotes de dados. Você pode usar dados multicast para aplicativos como streaming de vídeo. Seu firewall oferece suporte ao Protocol Independent Multicast (PIM) no modo ponto a multiponto (P2MP). Você pode habilitar o PIM no túnel seguro do firewall, st0, interface com modo P2MP. O protocolo detecta a interface P2MP a partir da configuração da interface e suporta tráfego multicast. Para entender o PIM, veja a visão geral do PIM.

Figura 1 ilustra a topologia multicast na infraestrutura P2MP.

Figura 1: Topologia multicast em infraestrutura P2MP Topologia multicast em infraestrutura P2MP

A topologia mostra que um dos firewalls da Série SRX atua como um hub e o resto dos três atuando como spokes. Você também pode ter dois spokes em sua topologia. Normalmente, o remetente multicast reside atrás do hub, enquanto os receptores multicast estão por trás dos spokes. Para suporte multicast, observe que a interface lógica st0 de túnel seguro nos dispositivos hub-and-spoke está configurada com o modo PIM P2MP. Em cada um desses dispositivos, a interface st0 P2MP rastreia todas as junções de PIM por vizinho para garantir que o encaminhamento ou replicação multicast ocorra apenas para os vizinhos que estão em estado de adesão.

Os firewalls da Série SRX oferecem suporte a tráfego IP multicast no modo PIM esparso nas interfaces st0 P2MP. O hub atua como o roteador de primeiro salto (FHR) ou o ponto de encontro (RP). Os spokes podem atuar como roteadores de último salto (LHR) na rede P2MP. Os dispositivos da rede replicam os pacotes de dados multicast para vizinhos que se juntam ao grupo multicast.

Observe as seguintes considerações ao configurar o suporte de tráfego multicast:

  • Para o serviço VPN IPsec com o processo kmd, você deve executar o Junos OS Release 19.2R1 ou posterior. Você pode usar as plataformas SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (com 2 vCPU) e vSRX 3.0 (com 2 vCPU).

  • Para o serviço VPN IPsec com o processo iked, você deve executar o Junos OS Release 24.2R1 ou posterior. Você pode usar as plataformas SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600 e vSRX 3.0.

  • Você não pode configurar o IPv6 multicast em interfaces P2MP.

  • Para que a configuração de IP multicast funcione, você deve desativar o PowerMode IPsec (PMI).

  • Você não pode realizar o ping multicast de ou para interfaces P2MP.

  • Observe que o IGMP é habilitado por padrão quando você habilita o PIM, mas não funciona na interface P2MP.

Para obter mais informações sobre como configurar o suporte multicast na infraestrutura P2MP, veja Configurar o suporte multicast na infraestrutura P2MP.

Entendendo as limitações da AutoVPN

Os recursos a seguir não são suportados para AutoVPN:

  • As VPNs baseadas em políticas não são suportadas.

  • O protocolo de roteamento dinâmico RIP não é suportado com túneis AutoVPN.

  • As chaves manuais e o Autokey IKE com chaves pré-compartilhadas não são suportados.

  • A configuração da ligação estática de túnel de próximo salto (NHTB) no hub para spokes não é suportada.

  • O ulticast IPv6 mnão tem suporte.

  • O tipo de usuário IKE ID do grupo não é suportado com um endereço IP como o ID IKE.

  • Quando o tipo de usuário IKE ID do grupo é usado, o ID IKE não deve se sobrepor a outros gateways IKE configurados na mesma interface externa.

Entendendo a AutoVPN com seletores de tráfego

Os hubs AutoVPN podem ser configurados com vários seletores de tráfego para proteger o tráfego aos spokes. Este recurso oferece os seguintes benefícios:

  • Uma única configuração de VPN pode oferecer suporte a muitos pares diferentes.

  • Os pares de VPN podem ser firewalls que não são da Série SRX.

  • Um único peer pode estabelecer vários túneis com a mesma VPN.

  • Um número maior de túneis pode ser suportado do que com o AutoVPN com protocolos dinâmicos de roteamento.

A partir do Junos OS Release 17.4R1, as redes AutoVPN que usam interfaces de túnel seguras no modo ponto a ponto oferecem suporte a endereços IPv6 para seletores de tráfego e para pares IKE.

Quando o túnel hub-to-spoke é estabelecido, o hub usa a inserção automática de rotas (ARI), conhecida em versões anteriores como inserção de rota reversa (RRI) para inserir a rota ao prefixo spoke em sua tabela de roteamento. A rota ARI pode então ser importada para protocolos de roteamento e distribuída para a rede central.

O AutoVPN com seletores de tráfego pode ser configurado com a interface de túnel seguro (st0) no modo ponto a ponto para IKEv1 e IKEv2.

Os protocolos de roteamento dinâmico não são suportados em interfaces st0 quando os seletores de tráfego estão configurados.

Observe as seguintes advertências ao configurar o AutoVPN com seletores de tráfego:

  • Os protocolos de roteamento dinâmicos não são suportados com seletores de tráfego com interfaces st0 no modo ponto a ponto.

  • A VPN auto Discovery e a carga de configuração IKEv2 não podem ser configuradas com AutoVPN com seletores de tráfego.

  • Os spokes podem ser firewalls que não são da Série SRX; no entanto, observe as seguintes diferenças:

    • No IKEv2, um spoke da Série NÃO SRX pode propor vários seletores de tráfego em uma única negociação de SA. Isso não é suportado em firewalls da Série SRX e a negociação é recusada.

    • Um spoke fora da Série SRX pode identificar portas ou protocolos específicos para o uso do seletor de tráfego. Portas e protocolos não são suportados com seletores de tráfego em firewalls da Série SRX e a negociação é recusada.

Entendendo a autenticação de spoke em implantações de AutoVPN

Em implantações de AutoVPN, os dispositivos hub e spoke devem ter certificados PKI X.509 válidos carregados. Você pode usar o show security pki local-certificate detail comando para exibir informações sobre os certificados carregados em um dispositivo.

Esse tópico abrange a configuração no hub que permite que os spokes autenticam e se conectem ao hub usando certificados:

Configuração de ID do Grupo IKE no hub

O recurso ID ID do grupo permite que vários dispositivos spoke compartilhem uma configuração IKE no hub. A identificação do titular do certificado, nos campos de assunto sujeito ou alternativo no certificado X.509 de cada spoke, deve conter uma parte que seja comum a todos os spokes; a parte comum da identificação do certificado é especificada para a configuração IKE no hub.

Por exemplo, o ID example.net IKE pode ser configurado no hub para identificar spokes com os nomes device1.example.netde host edevice2.example.netdevice3.example.net. O certificado em cada spoke deve conter uma identidade de nome de host no campo de assunto alternativo com example.net a parte mais correta do campo; device1.example.netpor exemplo. . Neste exemplo, todos os spokes usam essa identidade de nome de host em sua carga ID IKE. Durante a negociação do IKE, o IKE ID de um spoke é usado para combinar com a parte comum da identidade IKE de peer configurada no hub. Um certificado válido autentica o spoke.

A parte comum da identificação do certificado pode ser uma das seguintes:

  • Um nome de host parcial no campo de assunto alternativo do certificado, por exemplo example.net.

  • Um endereço de e-mail parcial no campo de assunto alternativo do certificado, por exemplo @example.net.

  • Uma corda de contêiner, um conjunto de curingas ou ambos para combinar com os campos de assunto do certificado. Os campos de assunto contêm detalhes do titular do certificado digital no formato abstrato de notação de sintaxe um (ASN.1) de nome distinto (DN). Os campos podem incluir organização, unidade organizacional, país, localidade ou nome comum.

    Para configurar um ID IKE em grupo para combinar campos de assunto em certificados, você pode especificar os seguintes tipos de correspondências de identidade:

    • Container — o hub autentica o ID IKE do spoke se os campos de assunto do certificado do spoke corresponderem exatamente aos valores configurados no hub. Várias entradas podem ser especificadas para cada campo de assunto (por exemplo ou=eng,ou=sw). A ordem dos valores nos campos deve corresponder.

    • Curinga — o hub autentica o ID IKE do spoke se os campos de assunto do certificado do spoke corresponderem aos valores configurados no hub. A partida curinga oferece suporte a apenas um valor por campo (por exemplo, ou=eng ou ou=sw não ou=eng,ou=sw). A ordem dos campos é inconsequente.

O exemplo a seguir configura um ID IKE em grupo com o nome example.net de host parcial no campo de assunto alternativo do certificado.

Neste exemplo, example.net é a parte comum da identificação do nome de host usada para todos os spokes. Todos os certificados X.509 nos spokes devem conter uma identidade de nome de host no campo de assunto alternativo com example.net a parte certa. Todos os spokes devem usar a identidade do nome de host em sua carga ID IKE.

O exemplo a seguir configura um ID IKE em grupo com curingas para combinar os valores na unidade organizacional e example nos campos sujeitos sales de organização do certificado.

Neste exemplo, os campos ou=sales,o=example são a parte comum do campo de assunto nos certificados esperados dos spokes. Durante a negociação da IKE, se um spoke apresentar um certificado com os campos cn=alice,ou=sales,o=example de assunto em seu certificado, a autenticação é bem sucedida e o túnel é estabelecido. Se um spoke apresentar um certificado com os campos cn=thomas,ou=engineer,o=example de assunto em seu certificado, o certificado é rejeitado pelo hub, conforme a unidade da organização deve ser sales.

Excluindo uma conexão spoke

Para excluir um spoke específico da conexão ao hub, o certificado para esse spoke deve ser revogado. O hub precisa recuperar a mais recente lista de revogação de certificados (CRL) do CA que contém o número de série do certificado revogado. O hub então recusará uma conexão VPN do spoke revogado. Até que o CRL mais recente esteja disponível no hub, o hub pode continuar a estabelecer um túnel a partir do spoke revogado. Para obter mais informações, veja Como entender as listas de revogação de certificados e o protocolo de status do certificado on-line e entender os perfis de autoridade de certificados.

Visão geral da configuração do AutoVPN

As etapas a seguir descrevem as tarefas básicas para configurar a AutoVPN em dispositivos hub e spoke. O hub AutoVPN é configurado uma vez para todos os spokes atuais e novos.

Para configurar o hub AutoVPN:

  1. Inscreva um certificado de CA e o certificado local no dispositivo.
    • Você pode usar a autenticação baseada em chave pré-compartilhada se não tiver certificados de CA.

  2. Crie uma interface de túnel seguro (st0) e configure-a no modo ponto a multiponto.
  3. Configure uma única política de IKE.
  4. Configure um gateway IKE com um ID IKE de grupo que é comum a todos os spokes.
  5. Configure uma única política de IPsec e VPN.
  6. Configure um protocolo de roteamento dinâmico.

Para configurar um dispositivo de spoke autoVPN da Série SRX:

  1. Inscreva um certificado de CA e o certificado local no dispositivo.

    • Use o método de autenticação baseada em chave pré-compartilhada, se você configurar a autenticação de chave pré-compartilhada no hub.

  2. Crie uma interface st0 e configure-a no modo ponto a multiponto.

  3. Configure uma política de IKE para combinar com a política de IKE configurada no hub.

  4. Configure um gateway IKE com um ID para combinar com o ID IKE do grupo configurado no hub.

  5. Configure uma política de IPsec para combinar com a política de IPsec configurada no hub.

  6. Configure um protocolo de roteamento dinâmico.

Os exemplos listados neste tópico usam firewalls da Série SRX que executam o Junos OS para as configurações de hub e spoke. Se seus dispositivos spoke não estiverem executando o Junos OS, você precisa configurar o Next-Hop Tunnel Binding. Para obter mais detalhes, veja Exemplo: Configuração da configuração de VPN multiponto com a ligação do túnel next-hop.

Exemplo: Configuração de autoVPN básica com iBGP

Este exemplo mostra como configurar um hub AutoVPN para agir como um único ponto de terminação e, em seguida, configurar dois spokes para agir como túneis para locais remotos. Este exemplo configura o iBGP para encaminhar pacotes pelos túneis vpn e usa autenticação baseada em certificados.

Para autenticação com chave pré-compartilhada, veja o passo "Configurar opções de Fase 1" no Procedimento passo a passo hub para configurar o hub, Procedimento passo a passo spoke1 para configurar o spoke1 e o Procedimento passo a passo spoke2 para configurar o spoke2.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três firewalls da Série SRX suportados como hub autoVPN e spokes

  • Junos OS Release 12.1X44-D10 e posterior que oferece suporte a AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn. Para obter mais informações sobre requisitos específicos para um protocolo de roteamento dinâmico, consulte a visão geral dos protocolos de roteamento.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações subsequentes de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo de assunto; o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU.

Os spokes estabelecem conexões de VPN IPsec para o hub, o que permite que eles se comuniquem entre si, bem como recursos de acesso no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e todos os spokes devem ter os mesmos valores. Tabela 3 mostra as opções usadas neste exemplo.

Tabela 3: Opções de fase 1 e fase 2 para configurações de hub e spoke autoVPN

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS oferece suporte apenas a um único nível de hierarquia de certificados.

Tabela 4 mostra as opções configuradas no hub e em todos os spokes.

Tabela 4: Configuração autoVPN para hub e todos os spokes

Opção

Hub

Todos os spokes

Gateway IKE:

Endereço IP remoto

Dinâmico

10.1.1.1.1

ID remoto de IKE

Nome distinto (DN) no certificado de spoke com a corda SLT no campo da unidade organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

ge-0/0/1,0

Falei 1: fe-0/0/1,0

Falei 2: ge-0/0/1,0

VPN:

Interface de vinculação

st0.0

st0.0

Estabelecer túneis

(não configurado)

Confirmar imediatamente na configuração

Tabela 5 mostra as opções de configuração que são diferentes em cada spoke.

Tabela 5: Comparação entre as configurações de spoke

Opção

Spoke 1

Spoke 2

interface st0.0

10.10.10.2/24

10.10.10.3/24

Interface à rede interna

(fe-0,0/4,0) 10,60,60,1/24

(fe-0,0/4,0) 10,70,70,1/24

Interface à Internet

(fe-0/0/1,0) 10.2.2.1/30

(ge-0/0/1,0) 10,3,3,1/30

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 2 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 2: Implantação básica de AutoVPN com iBGP Implantação básica de AutoVPN com iBGP

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke. Ignore essa etapa, se estiver usando o PSK.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 2:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

    Se você pretende usar chaves pré-compartilhadas em vez de certificados para a autenticação, faça as seguintes alterações em sua configuração:

    • Na proposta ike, no nível [edit security ike proposal ike-proposal] da hierarquia, substitua authentication-method rsa-signatures pela authentication-method pre-shared-keys.

      Para obter mais informações sobre as opções, veja proposta (Security IKE).

    • Na política de ike, no nível [edit security ike policy policy-name] de hierarquia, substitua certificate local-certificate Local1 pela pre-shared-key ascii-text key.

      • Por exemplo set pre-shared-key ascii-text juniper123

      Para obter mais informações sobre as opções, veja política (Security IKE).

    • No gateway ike, no nível [edit security ike gateway hub-to-spoke-gw] de hierarquia,

      • Substitua dynamic distinguished-name wildcard OU=SLT por dynamic hostname domain-name.

        • Por exemplo set dynamic hostname juniper.net

          Garanta que seu dispositivo seja capaz de resolver o nome de host. Alternativamente, você pode usar set dynamic general-ikeid e set dynamic ike-user-type group-ike-id para a identidade dinâmica spoke.

      • Substitua local-identity distinguished-name por local-identity hostname hub-hostname.

        • Por exemplo, set local-identity hostname hub.juniper.net.

          Garanta que seu dispositivo seja capaz de resolver o nome de host. Alternativamente, você pode usar inet ip-address como em set local-identity inet 192.168.1.100.

      Para obter mais informações sobre as opções, veja gateway (Security IKE).

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA. Ignore essa etapa, se estiver usando o PSK.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

    Se você pretende usar chaves pré-compartilhadas em vez de certificados para a autenticação, faça as seguintes alterações em sua configuração.

    • Na proposta ike, no nível [edit security ike proposal ike-proposal] da hierarquia, substitua authentication-method rsa-signatures pela authentication-method pre-shared-keys.

    • Na política de ike, no nível [edit security ike policy policy-name] de hierarquia, substitua certificate local-certificate Local1 pela pre-shared-key ascii-text key.

    • No gateway ike, no nível [edit security ike gateway hub-to-spoke-gw] de hierarquia,

      • Substitua local-identity distinguished-name por local-identity hostname spoke1-hostname.

        • Por exemplo, set local-identity hostname spoke1.juniper.net.

      • Substitua remote-identity distinguished-name por remote-identity hostname hub-hostname.

        • Por exemplo set remote-identity hostname hub.juniper.net

      Garanta que seu dispositivo seja capaz de resolver o nome de host. Alternativamente, você pode usar inet ip-address como dentro set local-identity inet 172.16.1.100 e set remote-identity inet 192.168.1.100.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA. Ignore essa etapa, se estiver usando o PSK.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 2:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

    Se você pretende usar chaves pré-compartilhadas em vez de certificados para a autenticação, faça as seguintes alterações em sua configuração.

    • Na proposta ike, no nível [edit security ike proposal ike-proposal] da hierarquia, substitua authentication-method rsa-signatures pela authentication-method pre-shared-keys.

    • Na política de ike, no nível [edit security ike policy policy-name] de hierarquia, substitua certificate local-certificate Local1 pela pre-shared-key ascii-text key.

    • No gateway ike, no nível [edit security ike gateway hub-to-spoke-gw] de hierarquia,

      • Substitua local-identity distinguished-name por local-identity hostname spoke2-hostname.

        • Por exemplo set local-identity hostname spoke2.juniper.net

      • Substitua remote-identity distinguished-name por remote-identity hostname hub-hostname.

        • Por exemplo set remote-identity hostname hub.juniper.net

      Garanta que seu dispositivo seja capaz de resolver o nome de host. Alternativamente, você pode usar inet ip-address como dentro set local-identity inet 10.0.1.100 e set remote-identity inet 192.168.1.100.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA. Ignore essa etapa, se estiver usando o PSK.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com o hub e os spokes.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com o hub e os spokes.

Verificando túneis de próximo salto IPsec

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces dos spokes. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificação do BGP

Propósito

Verifique se o BGP faz referência aos endereços IP para as st0 interfaces dos spokes.

Ação

A partir do modo operacional, entre no show bgp summary comando.

Verificação de rotas aprendidas

Propósito

Verifique se as rotas para os spokes foram aprendidas.

Ação

A partir do modo operacional, entre no show route 10.60.60.0 comando.

A partir do modo operacional, entre no show route 10.70.70.0 comando.

Exemplo: Configuração de autoVPN básica com iBGP para tráfego IPv6

Este exemplo mostra como configurar um hub AutoVPN para agir como um único ponto de terminação e, em seguida, configurar dois spokes para agir como túneis para locais remotos. Este exemplo configura o AutoVPN para ambiente IPv6 usando o iBGP para encaminhar pacotes pelos túneis vpn usando a autenticação baseada em certificados. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três firewalls da Série SRX suportados como hub autoVPN e spokes.

  • Versão Junos OS 18.1R1 e versões posteriores.

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn. Para obter mais informações sobre requisitos específicos para um protocolo de roteamento dinâmico, consulte a visão geral dos protocolos de roteamento.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações subsequentes de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo de assunto; o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU.

Os spokes estabelecem conexões de VPN IPsec para o hub, o que permite que eles se comuniquem entre si, bem como recursos de acesso no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e todos os spokes devem ter os mesmos valores. Tabela 6 mostra as opções usadas neste exemplo.

Tabela 6: Opções de fase 1 e fase 2 para configurações de hub e spoke autoVPN

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticação

SHA-384

Algoritmo de criptografia

AES 256 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Segundos de vida útil

3000

Algoritmo de criptografia

AES 256 GCM

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS oferece suporte apenas a um único nível de hierarquia de certificados.

Tabela 7 mostra as opções configuradas no hub e em todos os spokes.

Tabela 7: Configuração autoVPN para hub e todos os spokes

Opção

Hub

Todos os spokes

Gateway IKE:

Endereço IP remoto

Dinâmico

2001:db8:2000:1

ID remoto de IKE

Nome distinto (DN) no certificado de spoke com a corda SLT no campo da unidade organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

ge-0/0/0

Falei 1: ge-0/0/0,0

Falei 2: ge-0/0/0,0

VPN:

Interface de vinculação

st0.1

st0.1

Estabelecer túneis

(não configurado)

estabelecer túneis no tráfego

Tabela 8 mostra as opções de configuração que são diferentes em cada spoke.

Tabela 8: Comparação entre as configurações de spoke

Opção

Spoke 1

Spoke 2

interface st0.0

2001:db8:7000:2/64

2001:db8:7000:3/64

Interface à rede interna

(ge-0/0/1,0) 2001:db8:4000:1/64

(ge-0/0/1,0) 2001:db8:6000:1/64

Interface à Internet

(ge-0/0/0,0) 2001:db8:3000:2/64

(ge-0/0/0,0) 2001:db8:5000:2/64

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 3 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 3: Implantação básica de AutoVPN com iBGPImplantação básica de AutoVPN com iBGP

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 2:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 2:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do status do IKE

Propósito

Verifique o status do IKE.

Ação

A partir do modo operacional, entre no show security ike sa comando.

Significado

O show security ike sa comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com o hub e os spokes.

Verificando o status do IPsec

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec sa comando.

Significado

O show security ipsec sa comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com o hub e os spokes.

Verificando túneis de próximo salto IPsec

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces dos spokes. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificação do BGP

Propósito

Verifique se o BGP faz referência aos endereços IP para as st0 interfaces dos spokes.

Ação

A partir do modo operacional, entre no show bgp summary comando.

Exemplo: Configuração de AutoVPN com iBGP e ECMP

Este exemplo mostra como configurar dois túneis de VPN IPsec entre um hub AutoVPN e um spoke. Este exemplo configura o iBGP com multicaminho de igual custo (ECMP) para encaminhar pacotes pelos túneis vpn usando a autenticação baseada em certificados. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX suportados como hub AutoVPN e spoke

  • Junos OS Release 12.1X44-D10 e posterior que oferece suporte a AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e um spoke com dois túneis de VPN IPsec.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados estão inscritos no hub e no spoke para cada túnel VPN IPsec. Um dos certificados para o spoke contém o valor de unidade organizacional (OU) "SLT" no nome distinto (DN); o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU. O outro certificado para o spoke contém o valor de OU "SBU" na DN; o hub está configurado com um ID ID de IKE em grupo para combinar com o valor "SBU" no campo de OU.

O spoke estabelece conexões de VPN IPsec para o hub, o que permite que ele acesse recursos no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e no spoke devem ter os mesmos valores.Tabela 9 mostra as opções usadas neste exemplo.

Tabela 9: Opções de Fase 1 e Fase 2 para o Hub AutoVPN e configurações de ECMP iBGP

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS oferece suporte apenas a um único nível de hierarquia de certificados.

Tabela 10 mostra as opções configuradas no hub e no spoke.

Tabela 10: Configuração autoVPN iBGP ECMP para Hub e Spoke 1

Opção

Hub

Spoke 1

Gateway IKE:

Endereço IP remoto

hub-to-spoke-gw-1: Dinâmico

hub-to-spoke-gw-2: Dinâmico

spoke-to-hub-gw-1: 10.1.1.1.1

spoke-to-hub-gw-2: 10.1.2.1

ID remoto de IKE

hub-to-spoke-gw-1: DN no certificado de spoke com a corda SLT no campo de OU

hub-to-spoke-gw-2: DN no certificado de spoke com a corda SBU no campo de OU

spoke-to-hub-gw-1: DN no certificado do hub

spoke-to-hub-gw-2: DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

hub-to-spoke-gw-1: ge-0/0/1,0

hub-to-spoke-gw-2: ge-0/0/2,0

spoke-to-hub-gw-1: fe-0/0/1,0

spoke-to-hub-gw-2: fe-0/0/2,0

VPN:

Interface de vinculação

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Estabelecer túneis

(não configurado)

Confirmar imediatamente na configuração

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 4 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 4: Implantação de AutoVPN com iBGP e ECMP Implantação de AutoVPN com iBGP e ECMP

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave para cada certificado.

  4. Inscreva-se nos certificados locais.

  5. Verifique os certificados locais.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave para cada certificado.

  4. Inscreva-se nos certificados locais.

  5. Verifique os certificados locais.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT para Local1 e SBU para Local2. As configurações de IKE no hub incluem OU=SLT e OU=SBU para identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem combinar no hub e falar.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e falar.

Verificando túneis de próximo salto IPsec

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces dos spokes. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificação do BGP

Propósito

Verifique se o BGP faz referência aos endereços IP para as st0 interfaces do spoke.

Ação

A partir do modo operacional, entre no show bgp summary comando.

Verificação de rotas aprendidas

Propósito

Verifique se as rotas para o spoke foram aprendidas.

Ação

A partir do modo operacional, entre no show route 10.60.60.0 detail comando.

Verificação da instalação de rotas na tabela de encaminhamento

Propósito

Verifique se as rotas para o spoke foram instaladas na tabela de encaminhamento.

Ação

A partir do modo operacional, entre no show route forwarding-table matching 10.60.60.0 comando.

Exemplo: Configuração de autoVPN com túneis iBGP e active-backup

Este exemplo mostra como configurar túneis VPN IPsec ativos e de backup entre um hub AutoVPN e spoke. Este exemplo configura o iBGP para encaminhar tráfego pelos túneis VPN usando a autenticação baseada em certificado. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX suportados como hub AutoVPN e spoke

  • Junos OS Release 12.1X44-D10 e posterior que oferece suporte a AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e um spoke com dois túneis de VPN IPsec.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados estão inscritos no hub e no spoke para cada túnel VPN IPsec. Um dos certificados para o spoke contém o valor de unidade organizacional (OU) "SLT" no nome distinto (DN); o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU. O outro certificado para o spoke contém o valor de OU "SBU" na DN; o hub está configurado com um ID ID de IKE em grupo para combinar com o valor "SBU" no campo de OU.

O spoke estabelece conexões de VPN IPsec para o hub, o que permite que ele acesse recursos no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e no spoke devem ter os mesmos valores. Tabela 11 mostra as opções usadas neste exemplo.

Tabela 11: Opções de fase 1 e fase 2 para autoVPN Hub e configurações de túnel de backup ativo iBGP

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS oferece suporte apenas a um único nível de hierarquia de certificados.

Tabela 12 mostra as opções configuradas no hub e no spoke.

Tabela 12: Configuração de túnel de backup ativo para Hub e Spoke 1 do AutoVPN IBGP

Opção

Hub

Spoke 1

Gateway IKE:

Endereço IP remoto

hub-to-spoke-gw-1: Dinâmico

hub-to-spoke-gw-2: Dinâmico

spoke-to-hub-gw-1: 10.1.1.1.1

spoke-to-hub-gw-2: 10.1.2.1

ID remoto de IKE

hub-to-spoke-gw-1: DN no certificado de spoke com a corda SLT no campo de OU

hub-to-spoke-gw-2: DN no certificado de spoke com a corda SBU no campo de OU

spoke-to-hub-gw-1: DN no certificado do hub

spoke-to-hub-gw-2: DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

hub-to-spoke-gw-1: ge-0/0/1,0

hub-to-spoke-gw-2: ge-0/0/2,0

spoke-to-hub-gw-1: fe-0/0/1,0

spoke-to-hub-gw-2: fe-0/0/2,0

VPN:

Interface de vinculação

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Monitor de VPN

hub-to-spoke-vpn-1: ge-0/0/1.0 (interface de origem)

hub-to-spoke-vpn-2: ge-0/0/2.0 (interface de origem)

spoke-to-hub-1: 10.1.1.1.1 (IP de destino)

spoke-to-hub-2: 10.1.2.1 (IP de destino)

Estabelecer túneis

(não configurado)

Confirmar imediatamente na configuração

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 5 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 5: Implantação de AutoVPN com túneis iBGP e Active-Backup Implantação de AutoVPN com túneis iBGP e Active-Backup

Neste exemplo, dois túneis de VPN IPsec estão estabelecidos entre o hub e o spoke 1. As informações de roteamento são trocadas por sessões de iBGP em cada túnel. A combinação de prefixo mais longa para a rota para 10.60.60.0/24 é através da interface st0.0 no hub. Assim, o túnel principal para a rota é através das interfaces st0.0 no hub e spoke 1. A rota padrão é pelo túnel de backup nas interfaces st0.1 no hub e spoke 1.

O monitoramento de VPN verifica o status dos túneis. Se houver um problema com o túnel primário (por exemplo, o gateway de túnel remoto não é acessível), o status do túnel muda para baixo e os dados destinados a 10.60.60.0/24 são redirecionados pelo túnel de backup.

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave para cada certificado.

  4. Inscreva-se nos certificados locais.

  5. Verifique os certificados locais.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave para cada certificado.

  4. Inscreva-se nos certificados locais.

  5. Verifique os certificados locais.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT para Local1 e SBU para Local2. As configurações de IKE no hub incluem OU=SLT e OU=SBU para identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policiesshow protocolsshow policy-optionsshow interfacesshow security ikeshow security ipsecshow routing-optionsshow security zonescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o status da Fase 1 do IKE (ambos os túneis estão funcionando)

Propósito

Verifique o status da Fase 1 do IKE quando ambos os túneis de VPN IPSec estiverem funcionando.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem combinar no hub e falar.

Verificando o status da Fase 2 do IPsec (ambos os túneis estão funcionando)

Propósito

Verifique o status da Fase 2 do IPsec quando ambos os túneis de VPN IPsec estiverem funcionando.

Ação

A partir do modo operacional, entre no security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e falar.

Verificação de túneis de próximo salto IPsec (ambos os túneis estão funcionando)

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces do spoke. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificação do BGP (ambos os túneis estão funcionando)

Propósito

Verifique se o BGP faz referência aos endereços IP para as st0 interfaces do spoke quando ambos os túneis de VPN IPsec estiverem funcionando.

Ação

A partir do modo operacional, entre no show bgp summary comando.

Verificação de rotas aprendidas (ambos os túneis estão funcionando)

Propósito

Verifique se as rotas para o spoke foram aprendidas quando ambos os túneis estão funcionando. A rota para 10.60.60.0/24 é pela interface st0.0 e a rota padrão é pela interface st0.1.

Ação

A partir do modo operacional, entre no show route 10.60.60.0 comando.

A partir do modo operacional, entre no show route 0.0.0.0 comando.

Verificando o status da Fase 1 do IKE (o túnel primário está desativado)

Propósito

Verifique o status da Fase 1 do IKE quando o túnel primário estiver desativado.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem combinar no hub e falar.

Verificando o status da Fase 2 do IPsec (o túnel primário está desativado)

Propósito

Verifique o status da Fase 2 do IPsec quando o túnel primário estiver desativado.

Ação

A partir do modo operacional, entre no security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e falar.

Verificação de túneis de próximo salto IPsec (o túnel primário está desativado)

Propósito

Verifique o túnel de próximo salto IPsec.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces do spoke. O próximo salto deve ser associado com o nome VPN IPsec correto, neste caso o túnel VPN de backup.

Verificação do BGP (o túnel primário está desativado)

Propósito

Verifique se o BGP faz referência aos endereços IP para as st0 interfaces do spoke quando o túnel primário estiver desativado.

Ação

A partir do modo operacional, entre no show bgp summary comando.

Verificação de rotas aprendidas (o túnel primário está desativado)

Propósito

Verifique se as rotas para o spoke foram aprendidas quando o túnel primário está desativado. Tanto a rota para 10.60.60.0/24 quanto a rota padrão são pela interface st0.1.

Ação

A partir do modo operacional, entre no show route 10.60.60.0 comando.

A partir do modo operacional, entre no show route 0.0.0.0 comando.

Exemplo: Configuração do AutoVPN básico com OSPF

Este exemplo mostra como configurar um hub AutoVPN para agir como um único ponto de terminação e, em seguida, configurar dois spokes para agir como túneis para locais remotos. Este exemplo configura o OSPF para encaminhar pacotes pelos túneis VPN usando a autenticação baseada em certificado. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três firewalls da Série SRX suportados como hub autoVPN e spokes

  • Junos OS Release 12.1X44-D10 e posterior que oferece suporte a AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações subsequentes de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo de assunto; o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU.

Os spokes estabelecem conexões de VPN IPsec para o hub, o que permite que eles se comuniquem entre si, bem como recursos de acesso no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e todos os spokes devem ter os mesmos valores. Tabela 13 mostra as opções usadas neste exemplo.

Tabela 13: Opções de fase 1 e fase 2 para configurações básicas de OSPF e hub autoVPN

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS oferece suporte apenas a um único nível de hierarquia de certificados.

Tabela 14 mostra as opções configuradas no hub e em todos os spokes.

Tabela 14: Configuração de OSPF básico autoVPN para hub e todos os spokes

Opção

Hub

Todos os spokes

Gateway IKE:

Endereço IP remoto

Dinâmico

10.1.1.1.1

ID remoto de IKE

Nome distinto (DN) no certificado de spoke com a corda SLT no campo da unidade organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

ge-0/0/1,0

Falei 1: fe-0/0/1,0

Falei 2: ge-0/0/1,0

VPN:

Interface de vinculação

st0.0

st0.0

Estabelecer túneis

(não configurado)

Confirmar imediatamente na configuração

Tabela 15 mostra as opções de configuração que são diferentes em cada spoke.

Tabela 15: Comparação entre as configurações básicas de spoke do OSPF

Opção

Spoke 1

Spoke 2

interface st0.0

10.10.10.2/24

10.10.10.3/24

Interface à rede interna

fe-0.0/4.0: 100.60.60.1/24

fe-0.0/4.0: 10.70.70.1/24

Interface à Internet

fe-0/0/1,0: 10.2.2.1/30

ge-0/0/1,0: 10.3.3.1/30

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 6 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 6: Implantação básica de AutoVPN com OSPF Implantação básica de AutoVPN com OSPF

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 2:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 2:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com o hub e os spokes.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com o hub e os spokes.

Verificando túneis de próximo salto IPsec

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces dos spokes. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificando o OSPF

Propósito

Verifique se o OSPF faz referência aos endereços IP para as st0 interfaces dos spokes.

Ação

A partir do modo operacional, entre no show ospf neighbor comando.

Verificação de rotas aprendidas

Propósito

Verifique se as rotas para os spokes foram aprendidas.

Ação

A partir do modo operacional, entre no show route 60.60.60.0 comando.

A partir do modo operacional, entre no show route 10.70.70.0 comando.

Exemplo: Configuração de AutoVPN com OSPFv3 para tráfego IPv6

Este exemplo mostra como configurar um hub AutoVPN para agir como um único ponto de terminação e, em seguida, configurar dois spokes para agir como túneis para locais remotos. Este exemplo configura o AutoVPN para ambiente IPv6 usando o OSPFv3 para encaminhar pacotes através dos túneis VPN usando a autenticação baseada em certificados. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três firewalls da Série SRX suportados como hub autoVPN e spokes.

  • Versão Junos OS 18.1R1 e versões posteriores.

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhar pacotes pelos túneis vpn.

Visão geral

Este exemplo mostra a configuração de um AutoVPN com protocolo de roteamento OSPFv3 no hub e as configurações subsequentes de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Inscrição de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo de assunto; o hub está configurado com um ID IKE em grupo para combinar com o valor "SLT" no campo de OU.

Os spokes estabelecem conexões de VPN IPsec para o hub, o que permite que eles se comuniquem entre si, bem como recursos de acesso no hub. As opções de túnel de IKE da Fase 1 e Fase 2 configuradas no hub AutoVPN e todos os spokes devem ter os mesmos valores. Tabela 16 mostra as opções usadas neste exemplo.

Tabela 16: Opções de fase 1 e fase 2 para configurações básicas de OSPFv3 e hub autoVPN

Opção

Value

Proposta de IKE:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticação

SHA-384

Algoritmo de criptografia

AES 256 CBC

Política de IKE:

Modo

Principal

Proposta de IPsec:

Protocolo

ESP

Segundos de vida útil

3000

Algoritmo de criptografia

AES 256 GCM

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

Tabela 17 mostra as opções configuradas no hub e em todos os spokes.

Tabela 17: Configuração autoVPN OSPFv3 para hub e todos os spokes

Opção

Hub

Todos os spokes

Gateway IKE:

Endereço IP remoto

Dinâmico

2001:db8:2000:1

ID remoto de IKE

Nome distinto (DN) no certificado de spoke com a corda SLT no campo da unidade organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado do spoke

Interface externa

ge-0/0/0

Falei 1: ge-0/0/0,0

Falei 2: ge-0/0/0,0

VPN:

Interface de vinculação

st0.1

st0.1

Estabelecer túneis

(não configurado)

Confirmar imediatamente na configuração

Tabela 18 mostra as opções de configuração que são diferentes em cada spoke.

Tabela 18: Comparação entre as configurações de spoke do OSPFv3

Opção

Spoke 1

Spoke 2

interface st0.1

2001:db8:7000:2/64

2001:db8:7000:3/64

Interface à rede interna

(ge-0/0/1,0) 2001:db8:4000:1/64

(ge-0/0/1,0) 2001:db8:6000:1/64

Interface à Internet

(ge-0/0/0,0) 2001:db8:3000:2/64

(ge-0/0/0,0) 2001:db8:5000:2/64

As informações de roteamento para todos os dispositivos são trocadas pelos túneis vpn.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Topologia

Figura 7 mostra os firewalls da Série SRX a serem configurados para AutoVPN neste exemplo.

Figura 7: Implantação básica de AutoVPN com OSPFv3Implantação básica de AutoVPN com OSPFv3

Configuração

Para configurar o AutoVPN, execute essas tarefas:

A primeira seção descreve como obter ca e certificados locais on-line usando o Protocolo de inscrição de certificados simples (SCEP) no hub e dispositivos spoke.

Inscreva certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com o SCEP no hub:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 1:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais no SCEP no spoke 2:

  1. Configure o CA.

  2. Inscreva-se no certificado ca.

    Digite yes o prompt para carregar o certificado ca.

  3. Gere um par chave.

  4. Inscreva-se no certificado local.

  5. Verifique o certificado local.

    A unidade organizacional (OU) mostrada no campo de assunto é SLT. A configuração de IKE no hub inclui ou=SLT identificar o spoke.

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 1:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke 2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o spoke 2:

  1. Configure interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções de Fase 1.

  4. Configure as opções de Fase 2.

  5. Configure zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil da CA.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ipsecshow protocolsshow security ikeshow security zonesshow routing-optionsshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do status do IKE

Propósito

Verifique o status do IKE.

Ação

A partir do modo operacional, entre no show security ike sa comando.

Significado

O show security ike sa comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com o hub e os spokes.

Verificando o status do IPsec

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec sa comando.

Significado

O show security ipsec sa comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com o hub e os spokes.

Verificando túneis de próximo salto IPsec

Propósito

Verifique os túneis IPsec de próximo salto.

Ação

A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.

Significado

Os gateways de próximo salto são os endereços IP para as st0 interfaces dos spokes. O próximo salto deve ser associado com o nome VPN IPsec correto.

Verificação do OSPFv3

Propósito

Verifique se o OSPFv3 faz referência aos endereços IP para as st0 interfaces dos spokes.

Ação

A partir do modo operacional, entre no show ospf3 neighbor detail comando.

Hub:

Falei 1:

Falei 2:

Exemplo: Encaminhamento de tráfego por um túnel AutoVPN com seletores de tráfego

Este exemplo mostra como configurar seletores de tráfego, em vez de protocolos dinâmicos de roteamento, para encaminhar pacotes por um túnel VPN em uma implantação de AutoVPN. Quando os seletores de tráfego estão configurados, a interface de túnel seguro (st0) deve estar no modo ponto a ponto. Os seletores de tráfego estão configurados nos dispositivos hub e spoke. O exemplo é usar a autenticação baseada em certificado. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX conectados e configurados em um cluster de chassi. O cluster do chassi é o hub AutoVPN.

  • Um firewall da Série SRX configurado como um autoVPN spoke.

  • Versão Junos OS 12.3X48-D10 ou posterior.

  • Certificados digitais inscritos no hub e nos dispositivos spoke que permitem que os dispositivos se autenticam.

Antes de começar:

Visão geral

Neste exemplo, os seletores de tráfego estão configurados no hub AutoVPN e em spoke. Apenas o tráfego que está em conformidade com o seletor de tráfego configurado é encaminhado pelo túnel. No hub, o seletor de tráfego está configurado com o endereço IP local 192.0.0.0/8 e o endereço IP remoto 172.0.0.0/8. No spoke, o seletor de tráfego está configurado com o endereço IP local 172.0.0.0/8 e o endereço IP remoto 192.0.0.0/8.

Os endereços IP seletores de tráfego configurados no spoke podem ser um subconjunto dos endereços IP seletores de tráfego configurados no hub. Isso é conhecido como combinação flexível de seletor de tráfego.

Certas opções de túnel de IKE da Fase 1 e Fase 2 configuradas nos hubs e spokes autoVPN devem ter os mesmos valores. Tabela 19 mostra os valores usados neste exemplo:

Tabela 19: Opções de fase 1 e fase 2 para hubs e spokes autoVPN com seletores de tráfego

Opção

Value

Proposta de IKE:

Método de autenticação

rsa-assinaturas

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticação

sha-1

Algoritmo de criptografia

aes-256-cbc

Política de IKE:

Modo

principal

Certificado

certificado local

Gateway IKE:

Dinâmico

nome distinto curinga DC=Common_component

Tipo de usuário IKE

ID do grupo IKE

Identidade local

nome distinto

Versão

somente v1

Proposta de IPsec:

Protocolo

Esp

Algoritmo de autenticação

hmac-sha1-96

Algoritmo de criptografia

aes-192-cbc

Vida

3600 segundos

150.000 kilobytes

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

grupo5

Topologia

Figura 8 mostra que os firewalls da Série SRX serão configurados para este exemplo.

Figura 8: AutoVPN com seletores de tráfego AutoVPN com seletores de tráfego

Configuração

Configuração do Hub

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Começando pelo Junos OS Release 15.1X49-D120, você pode configurar a opção reject-duplicate-connection CLI no nível [edit security ike gateway gateway-name dynamic] de hierarquia para manter uma sessão de túnel existente e rejeitar pedidos de negociação para um novo túnel com o mesmo ID IKE. Por padrão, um túnel existente é derrubado quando um novo túnel com o mesmo ID IKE é estabelecido. A opção reject-duplicate-connection só é suportada quando ike-user-type group-ike-id ou ike-user-type shared-ike-id está configurada para o gateway IKE; a aaa access-profile profile-name configuração não é suportada com essa opção.

Use a opção reject-duplicate-connection CLI apenas quando tiver certeza de que o restabelecimento de um novo túnel com o mesmo ID IKE deve ser rejeitado.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o hub:

  1. Configure interfaces.

  2. Configure as opções de Fase 1.

  3. Configure as opções de Fase 2.

  4. Configure as informações do certificado.

  5. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ikeshow security pkishow security ipsecshow security zonescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Spoke

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o hub:

  1. Configure interfaces.

  2. Configure as opções de Fase 1.

  3. Configure as opções de Fase 2.

  4. Configure as informações do certificado.

  5. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ikeshow security pkishow security ipsecshow security zonescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação de túneis

Propósito

Verifique se os túneis estão estabelecidos entre o hub AutoVPN e o spoke.

Ação

A partir do modo operacional, entre no show security ike security-associations e show security ipsec security-associations comanda no hub.

A partir do modo operacional, entre no show security ike security-associations e show security ipsec security-associations comanda no spoke.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. O hub mostra um túnel ativo para o spoke enquanto o spoke mostra um túnel ativo para o hub.

Se nenhum SAs estiver listado para a Fase 1 do IKE, então houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem combinar no hub e falar.

Se nenhum SAs estiver listado para a Fase 2 do IKE, então houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e falar.

Verificação de seletores de tráfego

Propósito

Verifique os seletores de tráfego.

Ação

A partir do modo operacional, insira o show security ipsec traffic-selector interface-name st0.1 comando no hub.

A partir do modo operacional, entre no show security ipsec traffic-selector interface-name st0.1 comando no spoke.

Significado

Um seletor de tráfego é um acordo entre os pares da IKE para permitir o tráfego através de um túnel se o tráfego combinar com um par especificado de endereços locais e remotos. Somente o tráfego em conformidade com um seletor de tráfego é permitido por meio de um SA. Os seletores de tráfego são negociados entre o iniciador e o respondente (o hub da Série SRX).

Exemplo: Garantindo a disponibilidade do túnel de VPN com seletores de tráfego e AutoVPN

Georedundancy é a implantação de vários locais geograficamente distantes para que o tráfego possa continuar a fluir por uma rede de provedor, mesmo que haja uma pane de energia, um desastre natural ou outro evento catastrófico que afeta um local. Em uma rede de provedores móveis, vários dispositivos Evolved Node B (eNodeB) podem ser conectados à rede principal por meio de gateways VPN IPsec georedundant em firewalls da Série SRX. As rotas alternativas para os dispositivos eNodeB são distribuídas para a rede principal usando um protocolo de roteamento dinâmico.

Este exemplo configura hubs AutoVPN com vários seletores de tráfego em firewalls da Série SRX para garantir que existam gateways VPN IPsec georedundant para dispositivos eNodeB. A inserção automática de rotas (ARI) é usada para inserir automaticamente rotas em direção aos dispositivos eNodeB nas tabelas de roteamento nos hubs. As rotas de ARI são então distribuídas para a rede principal do provedor através do BGP. O exemplo é usar a autenticação baseada em certificado. Para autenticação com chave pré-compartilhada, configure uma configuração semelhante mostrada no Exemplo: Configuração de AutoVPN básica com iBGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX conectados e configurados em um cluster de chassi. O cluster do chassi é o hub A da AutoVPN.

  • Um firewall da Série SRX configurado como autoVPN hub B.

  • Versão Junos OS 12.3X48-D10 ou posterior.

  • Dispositivos eNodeB que podem estabelecer túneis de VPN IPsec com hubs AutoVPN. Os dispositivos eNodeB são provedores de equipamentos de rede de terceiros que iniciam um túnel VPN com hubs AutoVPN.

  • Certificados digitais inscritos nos hubs e nos dispositivos eNodeB que permitem que os dispositivos se autenticam.

Antes de começar:

Este exemplo usa o protocolo de roteamento dinâmico BGP para anunciar rotas em direção aos dispositivos eNodeB para a rede principal.

Visão geral

Neste exemplo, dois hubs AutoVPN são configurados com vários seletores de tráfego em firewalls da Série SRX para fornecer gateways VPN IPsec georedundant a dispositivos eNodeB. A ARI insere automaticamente rotas aos dispositivos eNodeB nas tabelas de roteamento nos hubs. As rotas de ARI são então distribuídas para a rede principal do provedor através do BGP.

Certas opções de túnel de IKE de Fase 1 e Fase 2 configuradas nos hubs AutoVPN e dispositivos eNodeB devem ter os mesmos valores. Tabela 20 mostra os valores usados neste exemplo:

Tabela 20: Opções de fase 1 e fase 2 para hubs autoVPN georedundant

Opção

Value

Proposta de IKE:

Método de autenticação

rsa-assinaturas

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticação

sha-1

Algoritmo de criptografia

aes-256-cbc

Política de IKE:

Certificado

certificado local

Gateway IKE:

Dinâmico

nome distinto curinga DC=Common_component

Tipo de usuário IKE

ID do grupo IKE

Detecção de peer inativo

túnel ocioso da sonda

Identidade local

nome distinto

Versão

somente v2

Proposta de IPsec:

Protocolo

Esp

Algoritmo de autenticação

hmac-sha1-96

Algoritmo de criptografia

aes-256-cbc

Política de IPsec:

Grupo Perfect Forward Secrecy (PFS)

grupo5

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança. Para simplificar, a configuração dos firewalls da Série SRX permite todos os tipos de tráfego de entrada; essa configuração não é recomendada para implantações de produção.

Topologia

Figura 9 mostra que os firewalls da Série SRX serão configurados para este exemplo.

Figura 9: Gateways de VPN IPsec georedundant para dispositivos eNodeBGateways de VPN IPsec georedundant para dispositivos eNodeB

Configuração

Configuração do hub A

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o hub A:

  1. Configure interfaces.

  2. Configure as opções de Fase 1.

  3. Configure as opções de Fase 2.

  4. Configure o protocolo de roteamento BGP.

  5. Configure opções de roteamento.

  6. Configure as informações do certificado.

  7. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces show security ikeshow policy-optionsshow protocols bgpshow security pkishow security ipsecshow security zonescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do Hub B

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o hub B:

  1. Configure interfaces.

  2. Configure as opções de Fase 1.

  3. Configure as opções de Fase 2.

  4. Configure o protocolo de roteamento BGP.

  5. Configure opções de roteamento.

  6. Configure as informações do certificado.

  7. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces show security ikeshow security ipsecshow security pkishow protocols bgpshow security zonescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do eNodeB (configuração de amostra)

Procedimento passo a passo
  1. A configuração eNodeB neste exemplo é fornecida para referência. Informações detalhadas da configuração do eNodeB estão além do escopo deste documento. A configuração do eNodeB deve incluir as seguintes informações:

    • Informações de identidade local (X.509v3) e IKE

    • Informações de identidade de IKE da Série SRX e endereço IP público

    • Propostas de fase 1 e Fase 2 que combinam com as configurações dos hubs da Série SRX

Resultados

Os dispositivos eNodeB neste exemplo usam um software de código aberto strongSwan para conexões VPN baseadas em IPsec:

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação de túneis nos hubs AutoVPN

Propósito

Verifique se os túneis estão estabelecidos entre o hub AutoVPN e os dispositivos eNodeB.

Ação

A partir do modo operacional, entre no show security ike security-associations e show security ipsec security-associations comanda no hub.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. O hub mostra dois túneis ativos, um para cada dispositivo eNodeB.

Se nenhum SAs estiver listado para a Fase 1 do IKE, então houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com os dispositivos hub e eNodeB.

Se nenhum SAs estiver listado para a Fase 2 do IKE, então houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com os dispositivos hub e eNodeB.

Verificação de seletores de tráfego

Propósito

Verifique os seletores de tráfego.

Ação

A partir do modo operacional, entre no show security ipsec traffic-selector interface-name st0.1 comando.

Significado

Um seletor de tráfego é um acordo entre os pares da IKE para permitir o tráfego através de um túnel se o tráfego combinar com um par especificado de endereços locais e remotos. Somente o tráfego em conformidade com um seletor de tráfego é permitido por meio de um SA. Os seletores de tráfego são negociados entre o iniciador e o respondente (o hub da Série SRX).

Verificação de rotas de ARI

Propósito

Verifique se as rotas de ARI são adicionadas à tabela de roteamento.

Ação

A partir do modo operacional, entre no show route comando.

Significado

A inserção automática de rotas (ARI) insere automaticamente uma rota estática para a rede remota e hosts protegidos por um endpoint de túnel remoto. Uma rota é criada com base no endereço IP remoto configurado no seletor de tráfego. No caso dos seletores de tráfego, o endereço remoto configurado é inserido como uma rota na instância de roteamento associada à interface st0 que está vinculada à VPN.

Rotas estáticas para os destinos eNodeB 10.30,1,0/24 e 10.50.1.0/24 são adicionados à tabela de roteamento no hub da Série SRX. Essas rotas podem ser alcançadas pela interface st0.1.

Exemplo: Configuração de autoVPN com chave pré-compartilhada

Este exemplo mostra como configurar diferentes chaves pré-compartilhadas de IKE usadas pelo gateway VPN para autenticar o peer remoto. Da mesma forma, para configurar a mesma chave pré-compartilhada de IKE usada pelo gateway VPN para autenticar o peer remoto.

Consulte outros exemplos neste tópico para a configuração de ponta a ponta da AutoVPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • MX240, MX480 e MX960 com MX-SPC3 e Junos OS Versão 21.1R1 que oferece suporte a AutoVPN
  • ou SRX5000 linha com o SPC3 e o Junos OS Release 21.2R1 que oferecem suporte a AutoVPN
  • ou firewall virtual vSRX executando processo iked (com o junos-ike pacote) e Junos OS Versão 21.2R1 que oferece suporte a AutoVPN

Configure diferentes chaves pré-compartilhadas de IKE

Para configurar diferentes chaves de IKE pré-compartilhadas que o gateway VPN usa para autenticar o peer remoto, execute essas tarefas.

  1. Configure o pré-compartilhamento semeado para a política de IKE no dispositivo com o hub AutoVPN.

    ou

    Por exemplo:

    ou

  2. Exibir para pre-shared key peer remoto usando nome do gateway e id do usuário.

    Por exemplo:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure o PSK gerado ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" na etapa 2) na política de ike no dispositivo peer remoto.

    Por exemplo:

  4. (Opcional) Para ignorar a validação do IKE ID e permitir que todos os tipos de ID IKE configurem general-ikeid a declaração de configuração sob o nível de hierarquia [editar a dinâmica do gateway gateway_name ike de segurança] no gateway.

Resultado

A partir do modo de configuração, confirme sua configuração entrando no comando de segurança do show. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configure a mesma chave pré-compartilhada do IKE

Para configurar a mesma chave pré-compartilhada de IKE que o gateway VPN usa para autenticar o peer remoto, execute essas tarefas.

  1. Configure o comum pre-shared-key para a política de ike no dispositivo com o hub AutoVPN.

    Por exemplo:

  2. Configure o comum pre-shared-key na política de ike para dispositivos peer remotos.

    Por exemplo:

  3. (Opcional) Para ignorar a validação do IKE ID e permitir que todos os tipos de ID IKE configurem general-ikeid a declaração de configuração sob o nível de hierarquia [editar a dinâmica do gateway gateway_name ike de segurança] no gateway.

Resultado

A partir do modo de configuração, confirme sua configuração entrando no comando de segurança do show. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configure o suporte multicast na infraestrutura P2MP

Neste tópico, você aprenderá como habilitar o suporte multicast na infraestrutura P2MP.

Antes de habilitar o suporte multicast, certifique-se de atender às considerações listadas no suporte multicast usando PIM.

Veja as seções a seguir para configurar e verificar o suporte multicast.

Configure a interface multicast

  • Para habilitar o PIM na interface st0.0, use o set protocols pim interface interface-name command:

    Aqui, st0.0 está a interface de túnel segura.

  • Para habilitar o multiponto na interface st0.0 para o comando de uso set interfaces interface-name unit unit-number multipoint do modo P2MP:

  • Para definir o endereço IPv4 para a interface st0.0, use o set interfaces interface-name unit unit-number family inet address IPv4 address comando:

    Aqui, 192.168.1.3/24 é o endereço IP da interface.

  • Para desativar o PIM na interface st0.0, use a opção disable:

Comandos CLI para verificar a configuração multicast

Você pode verificar a configuração multicast usando os seguintes comandos.

  • Para listar as interfaces PIM, use o show pim interfaces comando.

  • Para listar os vizinhos que se juntaram ao grupomulticast, use o show pim join extensive comando.

  • Para ver as entradas na tabela de encaminhamento IP multicast, use o show multicast route comando.

  • Para ver os detalhes do próximo salto multicast, use o show multicast next-hops detail comando.

  • Para ver as estatísticas de IP multicast, use o show multicast statistics comando.

  • Para ver as entradas da tabela de encaminhamento, use o show route forwarding-table extensive comando.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
24.2R1
O suporte para tráfego multicast (endereço IPv4) com AutoVPN para firewalls que executam o processo iked é adicionado no Junos OS Release 24.2R1.
17.4R1
Começando pelo Junos OS Release 17.4R1, o endereço IPv6 é suportado no AutoVPN.
17.4R1
A partir do Junos OS Release 17.4R1, as redes AutoVPN que usam interfaces de túnel seguras no modo ponto a ponto oferecem suporte a endereços IPv6 para seletores de tráfego e para pares IKE.
15.1X49-D120
Começando pelo Junos OS Release 15.1X49-D120, você pode configurar a opção reject-duplicate-connection CLI no nível [edit security ike gateway gateway-name dynamic] de hierarquia para manter uma sessão de túnel existente e rejeitar pedidos de negociação para um novo túnel com o mesmo ID IKE.