Túneis dual stack em uma interface externa
Os túneis de pilha dupla — túneis IPv4 e IPv6 paralelos em uma única interface física para um peer — são suportados para VPNs baseadas em rota até o local. Uma interface física configurada com endereços IPv4 e IPv6 pode ser usada como uma interface externa para gateways IPv4 e IPv6 no mesmo peer ou em diferentes pares ao mesmo tempo.
Entendendo os modos de túnel VPN
No modo de túnel VPN, o IPsec encapsula o datagrama IP original — incluindo o cabeçalho IP original — em um segundo datagrama de IP. O cabeçalho IP externo contém o endereço IP do gateway, enquanto o cabeçalho interno contém os endereços IP de origem e destino definitivos. Os cabeçalhos IP externos e internos podem ter um campo de protocolo de IPv4 ou IPv6. Os firewalls da Série SRX oferecem suporte a quatro modos de túnel para VPNs baseadas em rota até o local.
Os túneis IPv4-in-IPv4 encapsulam pacotes IPv4 dentro de pacotes IPv4, como mostrado em Figura 1. Os campos de protocolo para os cabeçalhos externos e internos são IPv4.
Os túneis IPv6-in-IPv6 encapsulam pacotes IPv6 dentro de pacotes IPv6, como mostrado em Figura 2. Os campos de protocolo para cabeçalhos externos e internos são IPv6.
Os túneis IPv6-in-IPv4 encapsulam pacotes IPv6 dentro de pacotes IPv4, como mostrado em Figura 3. O campo de protocolo para o cabeçalho externo é IPv4 e o campo de protocolo para o cabeçalho interno é IPv6.
Os túneis IPv4-in-IPv6 encapsulam pacotes IPv4 dentro de pacotes IPv6, como mostrado em Figura 4. O campo de protocolo para o cabeçalho externo é IPv6 e o campo de protocolo para o cabeçalho interno é IPv4.
Um único túnel VPN IPsec pode transportar tráfego IPv4 e IPv6. Por exemplo, um túnel IPv4 pode operar nos modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 ao mesmo tempo. Para permitir o tráfego IPv4 e IPv6 em um único túnel VPN IPsec, a interface st0 vinculada a esse túnel deve ser configurada com ambos family inet e family inet6.
Uma interface física configurada com endereços IPv4 e IPv6 pode ser usada como interface externa para túneis IPv4 e IPv6 paralelos para um peer em uma VPN de site para local baseada em rota. Esse recurso é conhecido como túneis de pilha dupla e requer interfaces st0 separadas para cada túnel.
Para VPNs baseadas em políticas, o IPv6-in-IPv6 é o único modo de túnel suportado e só é suportado em dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.
Entendendo túneis dual-stack em uma interface externa
Os túneis de pilha dupla — túneis IPv4 e IPv6 paralelos em uma única interface física para um peer — são suportados para VPNs baseadas em rota até o local. Uma interface física configurada com endereços IPv4 e IPv6 pode ser usada como interface externa para gateways IPv4 e IPv6 no mesmo peer ou em diferentes pares ao mesmo tempo. In Figura 5, as interfaces físicas reth0.0 e ge-0/0/0.1 oferecem suporte a túneis IPv4 e IPv6 paralelos entre dois dispositivos.
Em Figura 5interfaces de túnel seguro (st0) separadas devem ser configuradas para cada túnel VPN IPsec. Os túneis IPv4 e IPv6 paralelos que estão vinculados à mesma interface st0 não são suportados.
Um único túnel VPN IPsec pode transportar tráfego IPv4 e IPv6. Por exemplo, um túnel IPv4 pode operar nos modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 ao mesmo tempo. Para permitir o tráfego IPv4 e IPv6 em um único túnel VPN IPsec, a interface st0 vinculada a esse túnel deve ser configurada com ambos family inet e family inet6.
Se vários endereços da mesma família de endereços estiverem configurados na mesma interface externa para um peer VPN, recomendamos que você configure local-address no nível [edit security ike gateway gateway-name] de hierarquia.
Se local-address estiver configurado, o endereço IPv4 ou IPv6 especificado é usado como endereço de gateway local. Se apenas um IPv4 e um endereço IPv6 estiverem configurados em uma interface externa física, local-address a configuração não será necessária.
O local-address valor deve ser um endereço IP configurado em uma interface no firewall da Série SRX. Recomendamos que local-address pertença à interface externa do gateway IKE. Se local-address não pertencer à interface externa do gateway IKE, a interface deve estar na mesma zona que a interface externa do gateway IKE e uma política de segurança intra-zona deve ser configurada para permitir o tráfego.
O local-address valor e o endereço de gateway IKE remoto devem estar na mesma família de endereços, seja IPv4 ou IPv6.
Se local-address não estiver configurado, o endereço de gateway local é baseado no endereço remoto do gateway. Se o endereço de gateway remoto for um endereço IPv4, o endereço de gateway local é o endereço IPv4 principal da interface física externa. Se o endereço de gateway remoto for um endereço IPv6, o endereço de gateway local é o endereço IPv6 principal da interface física externa.
Consulte também
Exemplo: Configuração de túneis dual-stack em uma interface externa
Este exemplo mostra como configurar túneis IPv4 e IPv6 paralelos em uma única interface física externa para um peer para VPNs baseadas em rota até o local.
Requisitos
Antes de começar, leia Entenda os modos de túnel VPN.
A configuração mostrada neste exemplo só é suportada com VPNs baseadas em rota até o local.
Visão geral
Neste exemplo, uma interface Ethernet redundante no dispositivo local oferece suporte a túneis IPv4 e IPv6 paralelos a um dispositivo peer:
O túnel IPv4 transporta tráfego IPv6; opera no modo de túnel IPv6-in-IPv4. A interface de túnel seguro st0.0 vinculada ao túnel IPv4 é configurada apenas com inet6 da família.
O túnel IPv6 transporta tráfego IPv4 e IPv6; opera em modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. A interface de túnel seguro st0.1 vinculada ao túnel IPv6 é configurada com inet da família e inet6 da família.
Tabela 1 mostra as opções de Fase 1 usadas neste exemplo. A configuração de opção de Fase 1 inclui duas configurações de gateway IKE, uma para o peer IPv6 e outra para o peer IPv4.
Opção |
Value |
|---|---|
Proposta de IKE |
ike_proposal |
Método de autenticação |
Chaves pré-compartilhadas |
Algoritmo de autenticação |
MD5 |
Algoritmo de criptografia |
3DES CBC |
Vida |
3600 segundos |
Política de IKE |
ike_policy |
Modo |
Agressivo |
Proposta de IKE |
ike_proposal |
Chave pré-compartilhada |
Texto da ASCII |
Gateway IPv6 IKE |
ike_gw_v6 |
Política de IKE |
ike_policy |
Endereço do gateway |
2000::2 |
Interface externa |
reth1.0 |
Versão IKE |
IKEv2 |
Gateway IPv4 IKE |
ike_gw_v4 |
Política de IKE |
ike_policy |
Endereço do gateway |
20.0.0.2 |
Interface externa |
reth1.0 |
Tabela 2 mostra as opções de Fase 2 usadas neste exemplo. A configuração da opção de Fase 2 inclui duas configurações de VPN, uma para o túnel IPv6 e outra para o túnel IPv4.
Opção |
Value |
|---|---|
Proposta de IPsec |
ipsec_proposal |
Protocolo |
ESP |
Algoritmo de autenticação |
HMAC SHA-1 96 |
Algoritmo de criptografia |
3DES CBC |
Política de IPsec |
ipsec_policy |
Proposta |
ipsec_proposal |
IPv6 VPN |
test_s2s_v6 |
Interface de vinculação |
st0.1 |
Gateway IKE |
ike_gw_v6 |
Política IKE IPsec |
ipsec_policy |
Estabelecer túneis |
Imediatamente |
IPv4 VPN |
test_s2s_v4 |
Interface de vinculação |
st0.0 |
Gateway IKE |
ike_gw_4 |
Política IKE IPsec |
ipsec_policy |
As seguintes rotas estáticas estão configuradas na tabela de roteamento IPv6:
Rotee o tráfego IPv6 para 3000:1/128 até st0.0.
Rotee o tráfego IPv6 para 3000:2/128 até st0.1.
Uma rota estática está configurada na tabela de roteamento padrão (IPv4) para rotear o tráfego IPv4 para 30.0.0.0/24 até st0.1.
O processamento baseado em fluxo do tráfego IPv6 deve ser habilitado com a opção mode flow-based de configuração no nível [edit security forwarding-options family inet6] de hierarquia.
Topologia
In Figura 6, o firewall da Série SRX oferece suporte a túneis IPv4 e IPv6 para o dispositivo B. O tráfego IPv6 para 3000:1/128 é roteado pelo túnel IPv4, enquanto o tráfego IPv6 para 3000:2/128 e o tráfego IPv4 para 30.0.0.0/24 são roteado pelo túnel IPv6.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar túneis de pilha dupla:
Configure a interface externa.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Configure as interfaces de túnel seguras.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Configure as opções de Fase 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Configure as opções de Fase 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Configure rotas estáticas.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Habilite o encaminhamento baseado em fluxo IPv6.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow routing-optionsshow security ikeshow security ipseccomandos e show security forwarding-options os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação do status da Fase 1 do IKE
Propósito
Verifique o status da Fase 1 do IKE.
Ação
A partir do modo operacional, entre no show security ike security-associations comando.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Significado
O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 1 devem ser compatíveis com os dispositivos peer.
Verificando o status da Fase 2 do IPsec
Propósito
Verifique o status da Fase 2 do IPsec.
Ação
A partir do modo operacional, entre no show security ipsec security-associations comando.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Significado
O show security ipsec security-associations comando lista todos os SAs ativos da Fase 2 da IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Os parâmetros da proposta da fase 2 devem ser compatíveis com os dispositivos peer.
Verificação de rotas
Propósito
Verifique as rotas ativas.
Ação
A partir do modo operacional, entre no show route comando.
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Significado
O show route comando lista entradas ativas nas tabelas de roteamento.