Nesta página
Opções de configuração recomendadas para VPN de site a site com endereços IP estáticos
Opções de configuração recomendadas para VPNs de local a site ou dialup com endereços IP dinâmicos
Configuração de IDs IKE remotos para VPNs de site para local
Entendendo a autenticação OSPF e OSPFv3 em firewalls da Série SRX
Exemplo: Configurando a autenticação de IPsec para uma interface OSPF em um firewall da Série SRX
Visão geral da configuração de VPN IPsec
Uma conexão VPN pode vincular duas LANs (VPN de site para site) ou um usuário de discagem remota e uma LAN. O tráfego que flui entre esses dois pontos passa por recursos compartilhados, como roteadores, switches e outros equipamentos de rede que compõem a WAN pública. Um túnel IPsec é criado entre dois dispositivos participantes para proteger a comunicação de VPN.
VPN IPsec com visão geral da configuração do IKE autokey
A negociação de VPN IPsec ocorre em duas fases. Na Fase 1, os participantes estabelecem um canal seguro para negociar a associação de segurança IPsec (SA). Na Fase 2, os participantes negociam o IPsec SA para autenticar o tráfego que fluirá pelo túnel.
Essa visão geral descreve as etapas básicas para configurar uma VPN IPsec baseada em rotas ou baseada em políticas usando IKE autokey (chaves ou certificados pré-compartilhados).
Para configurar uma VPN IPsec baseada em rotas ou baseada em políticas usando IKE autokey:
Consulte também
Opções de configuração recomendadas para VPN de site a site com endereços IP estáticos
Tabela 1 lista as opções de configuração para uma VPN genérica entre dois dispositivos de segurança com endereços IP estáticos. A VPN pode ser baseada em rotas ou baseada em políticas.
Opção de configuração |
Comentário |
|---|---|
Opções de configuração de IKE: |
|
Modo principal |
Usado quando os pares têm endereços IP estáticos. |
Certificados RSA ou DSA |
Os certificados RSA ou DSA podem ser usados no dispositivo local. Especifique o tipo de certificado (PKCS7 ou X.509) no peer. |
Grupo Diffie-Hellman (DH) 14 |
O grupo DH 14 oferece mais segurança do que os grupos DH 1, 2 ou 5. |
Criptografia avançada de padrão de criptografia (AES) |
O AES é criptograficamente mais forte que o Data Encryption Standard (DES) e o Triple DES (3DES) quando os comprimentos de chave são iguais. Algoritmo de criptografia aprovado para padrões federais de processamento de informações (FIPS) e critérios comuns EAL4. |
Autenticação do algoritmo de hash seguro 256 (SHA-256) |
A SHA-256 oferece mais segurança criptográfica do que SHA-1 ou Message Digest 5 (MD5) . |
Opções de configuração de IPsec: |
|
Segredo de encaminhamento perfeito (PFS) grupo DH 14 |
O grupo PFS DH 14 oferece maior segurança porque os pares realizam uma segunda troca de DH para produzir a chave usada para criptografia e descriptografia IPsec. |
Protocolo de encapsulamento do Security Payload (ESP) |
O ESP fornece confidencialidade por criptografia e encapsulamento do pacote IP original e integridade por meio da autenticação. |
Criptografia AES |
O AES é criptograficamente mais forte que o DES e o 3DES quando os comprimentos de chave são iguais. Algoritmo de criptografia aprovado para padrões EAL4 de critérios comuns e FIPS. |
Autenticação SHA-256 |
A SHA-256 oferece mais segurança criptográfica do que SHA-1 ou MD5. |
Proteção anti-replay |
Habilitado por padrão. A desativação desse recurso pode resolver problemas de compatibilidade com pares de terceiros. |
Consulte também
Opções de configuração recomendadas para VPNs de local a site ou dialup com endereços IP dinâmicos
Tabela 2 lista as opções de configuração para uma VPN genérica de site para site ou dialup, onde os dispositivos peer têm endereços IP dinâmicos.
Opção de configuração |
Comentário |
|---|---|
Opções de configuração de IKE: |
|
Modo principal |
Usado com certificados. |
Certificados de 2048 bits |
Os certificados RSA ou DSA podem ser usados. Especifique o certificado a ser usado no dispositivo local. Especifique o tipo de certificado (PKCS7 ou X.509) no peer. |
Grupo Diffie-Hellman (DH) 14 |
O grupo DH 14 oferece mais segurança do que os grupos DH 1, 2 ou 5. |
Criptografia avançada de padrão de criptografia (AES) |
O AES é criptograficamente mais forte que o Data Encryption Standard (DES) e o Triple DES (3DES) quando os comprimentos de chave são iguais. Algoritmo de criptografia aprovado para padrões federais de processamento de informações (FIPS) e critérios comuns EAL4. |
Autenticação do algoritmo de hash seguro 256 (SHA-256) |
A SHA-256 oferece mais segurança criptográfica do que SHA-1 ou Message Digest 5 (MD5). |
Opções de configuração de IPsec: |
|
Segredo de encaminhamento perfeito (PFS) grupo DH 14 |
O grupo PFS DH 14 oferece maior segurança porque os pares realizam uma segunda troca de DH para produzir a chave usada para criptografia e descriptografia IPsec. |
Protocolo de encapsulamento do Security Payload (ESP) |
O ESP fornece confidencialidade por criptografia e encapsulamento do pacote IP original e integridade por meio da autenticação. |
Criptografia AES |
O AES é criptograficamente mais forte que o DES e o 3DES quando os comprimentos de chave são iguais. Algoritmo de criptografia aprovado para padrões EAL4 de critérios comuns e FIPS. |
Autenticação SHA-256 |
A SHA-256 oferece mais segurança criptográfica do que SHA-1 ou MD5. |
Proteção anti-replay |
Habilitado por padrão. A desativação disso pode resolver problemas de compatibilidade com colegas terceirizados. |
Consulte também
Entendendo as VPNs IPsec com endpoints dinâmicos
- Visão geral
- Identidade IKE
- Modo agressivo para a política IKEv1
- Políticas IKE e interfaces externas
- NAT
- IDs de IDs de IKE em grupo e compartilhados
Visão geral
Um peer VPN IPsec pode ter um endereço IP que não é conhecido pelo peer com o qual está estabelecendo a conexão VPN. Por exemplo, um peer pode ter um endereço IP atribuído dinamicamente por meio do Protocolo dinâmico de configuração de host (DHCP). Esse pode ser o caso de um cliente de acesso remoto em uma filial ou home office ou um dispositivo móvel que se move entre diferentes locais físicos. Ou, o peer pode estar localizado atrás de um dispositivo NAT que traduz o endereço IP de origem original do peer em um endereço diferente. Um peer VPN com um endereço IP desconhecido é referido como um endpoint dinâmico e uma VPN estabelecida com um endpoint dinâmico é referida como uma VPN de endpoint dinâmica.
Nos firewalls da Série SRX, o IKEv1 ou o IKEv2 contam com VPNs dinâmicas de endpoint. VPNs dinâmicas de endpoint em firewalls da Série SRX oferecem suporte ao tráfego IPv4 em túneis seguros. Começando pelo Junos OS Release 15.1X49-D80, VPNs de endpoint dinâmicas em firewalls da Série SRX oferecem suporte ao tráfego IPv6 em túneis seguros.
O tráfego IPv6 não é suportado para redes AutoVPN.
As seções a seguir descrevem itens a serem anotados ao configurar uma VPN com um endpoint dinâmico.
Identidade IKE
No endpoint dinâmico, uma identidade IKE deve ser configurada para que o dispositivo se identifique em seu peer. A identidade local do endpoint dinâmico é verificada no peer. Por padrão, o firewall da Série SRX espera que a identidade IKE seja uma das seguintes:
Quando os certificados são usados, um nome distinto (DN) pode ser usado para identificar usuários ou uma organização.
Um nome de host ou nome de domínio totalmente qualificado (FQDN) que identifica o endpoint.
Um nome de domínio totalmente qualificado (UFQDN), também conhecido como nome do usuário no host. Esta é uma sequência que segue o formato de endereço de e-mail.
Modo agressivo para a política IKEv1
Quando o IKEv1 é usado com VPNs dinâmicas de endpoint, a política de IKE deve ser configurada para um modo agressivo.
Políticas IKE e interfaces externas
Começando pelo Junos OS Release 12.3X48-D40, Junos OS Release 15.1X49-D70 e Junos OS Release 17.3R1, todos os gateways de endpoint dinâmicos configurados em firewalls da Série SRX que usam a mesma interface externa podem usar políticas de IKE diferentes, mas as políticas de IKE devem usar a mesma proposta de IKE. Isso se aplica ao IKEv1 e IKEv2.
NAT
Se o endpoint dinâmico estiver por trás de um dispositivo NAT, o NAT-T deve ser configurado no firewall da Série SRX. Os keepalives de NAT podem ser necessários para manter a tradução de NAT durante a conexão entre os pares de VPN. Por padrão, o NAT-T é habilitado em firewalls da Série SRX e os keepalives NAT são enviados em intervalos de 20 segundos.
IDs de IDs de IKE em grupo e compartilhados
Você pode configurar um túnel VPN individual para cada endpoint dinâmico. Para VPNs dinâmicas de endpoint IPv4, você pode usar o ID ID de IKE em grupo ou recursos de ID IKE compartilhados para permitir que vários endpoints dinâmicos compartilhem uma configuração de gateway IKE.
O ID IKE do grupo permite que você defina uma parte comum de um ID IKE completo para todos os endpoints dinâmicos, como "example.net". Uma parte específica do usuário, como o nome de usuário "Bob", concatenada com a parte comum forma um ID ID IKE completo (Bob.example.net) que identifica de forma única cada conexão do usuário.
O ID IKE compartilhado permite que endpoints dinâmicos compartilhem uma única ID IKE e uma chave pré-compartilhada.
Consulte também
Entender a configuração da identidade do IKE
A identificação de IKE (IKE ID) é usada para validação de dispositivos peer VPN durante a negociação do IKE. O ID IKE recebido pelo firewall da Série SRX de um peer remoto pode ser um endereço IPv4 ou IPv6, um nome de host, um nome de domínio totalmente qualificado (FQDN), um FQDN de usuário (UFQDN) ou um nome distinto (DN). O ID IKE enviado pelo peer remoto precisa corresponder ao esperado pelo firewall da Série SRX. Caso contrário, a validação do IKE ID falha e a VPN não está estabelecida.
- Tipos de ID IKE
- IDs IDs remotos e VPNs local a local
- IDs IDs remotos e VPNs de endpoint dinâmicos
- ID local de IKE do firewall da Série SRX
Tipos de ID IKE
Os firewalls da Série SRX oferecem suporte aos seguintes tipos de identidades IKE para pares remotos:
Um endereço IPv4 ou IPv6 é comumente usado com VPNs de site para local, onde o peer remoto tem um endereço IP estático.
Um nome de host é uma string que identifica o sistema de peer remoto. Isso pode ser um FQDN que se resolve em um endereço IP. Também pode ser uma FQDN parcial que é usada em conjunto com um tipo de usuário IKE para identificar um usuário remoto específico.
Quando um nome de host é configurado em vez de um endereço IP, a configuração comprometida e o estabelecimento subsequente do túnel são baseados no endereço IP atualmente resolvido. Se o endereço IP do peer remoto mudar, a configuração não será mais válida.
Uma UFQDN é uma string que segue o mesmo formato de um endereço de e-mail, como
user@example.com.DN é um nome usado com certificados digitais para identificar um usuário com exclusividade. Por exemplo, uma DN pode ser "CN=user, DC=exemplo, DC=com." Opcionalmente, você pode usar a
containerpalavra-chave para especificar que a ordem dos campos em uma DN e seus valores correspondem exatamente à DN configurada, ou usar awildcardpalavra-chave para especificar que os valores dos campos em uma DN devem corresponder, mas a ordem dos campos não importa.A partir do Junos OS Release 19.4R1, agora você pode configurar apenas um atributo DN dinâmico entre
container-stringewildcard-stringna[edit security ike gateway gateway_name dynamic distinguished-name]hierarquia. Se você tentar configurar o segundo atributo depois de configurar o primeiro atributo, o primeiro atributo será substituído pelo segundo atributo. Antes de atualizar seu dispositivo, você deve remover um dos atributos se tiver configurado ambos os atributos.Um tipo de usuário IKE pode ser usado com AutoVPN e VPNs de acesso remoto quando há vários pares remotos conectados ao mesmo gateway VPN no firewall da Série SRX. Configure
ike-user-type group-ike-idpara especificar um ID IKE em grupo ouike-user-type shared-ike-idespecificar um ID IKE compartilhado.
IDs IDs remotos e VPNs local a local
Para VPNs de site para site, o ID IKE do peer remoto pode ser o endereço IP da placa de interface de rede de saída, um endereço de loopback, um nome de host ou um ID ID IKE configurado manualmente, dependendo da configuração do dispositivo peer.
Por padrão, os firewalls da Série SRX esperam que o ID IKE do peer remoto seja o endereço IP configurado com a set security ike gateway gateway-name address configuração. Se a ID IKE do peer remoto for um valor diferente, você precisa configurar a remote-identity declaração no nível [edit security ike gateway gateway-name] de hierarquia.
Por exemplo, um gateway IKE nos firewalls da Série SRX está configurado com o set security ike gateway remote-gateway address 203.0.113.1 comando. No entanto, o ID IKE enviado pelo peer remoto é host.example.net. Há uma incompatibilidade entre o que o firewall da Série SRX espera para o ID IKE (203.0.113.1) do peer remoto e o ID ID IKE (host.example.netreal) enviado pelo peer. Neste caso, a validação do IKE ID falha. Use o set security ike gateway remote-gateway remote-identity hostname host.example.net para combinar com a ID IKE recebida do peer remoto.
IDs IDs remotos e VPNs de endpoint dinâmicos
Para VPNs dinâmicas de endpoint, o ID ID esperado do peer remoto está configurado com as opções no nível [edit security ike gateway gateway-name dynamic] de hierarquia. Para AutoVPN, hostname combinado com ike-user-type group-ike-id pode ser usado onde existem vários pares que têm um nome de domínio comum. Se os certificados forem usados para verificar o peer, um DN pode ser configurado.
ID local de IKE do firewall da Série SRX
Por padrão, o firewall da Série SRX usa o endereço IP de sua interface externa para o peer remoto como seu ID IKE. Esse ID IKE pode ser substituído configurando a local-identity declaração no nível [edit security ike gateway gateway-name] de hierarquia. Se você precisar configurar a local-identity declaração em um firewall da Série SRX, certifique-se de que o ID IKE configurado corresponda ao ID IKE esperado pelo peer remoto.
Consulte também
Configuração de IDs IKE remotos para VPNs de site para local
Por padrão, os firewalls da Série SRX validam o IKE ID recebido do peer com o endereço IP configurado para o gateway IKE. Em determinadas configurações de rede, o ID IKE recebido do peer (que pode ser um endereço IPv4 ou IPv6, nome de domínio totalmente qualificado [FQDN], nome distinto ou endereço de e-mail) não corresponde ao gateway IKE configurado no firewall da Série SRX. Isso pode levar a uma falha de validação da Fase 1.
Para modificar a configuração do firewall da Série SRX ou do dispositivo peer para o ID IKE que é usado:
No firewall da Série SRX, configure a
remote-identitydeclaração no nível [edit security ike gateway gateway-name] de hierarquia para combinar com o ID IKE que é recebido do peer. Os valores podem ser um endereço IPv4 ou IPv6, FQDN, nome distinto ou endereço de e-mail.Se você não configurar
remote-identity, o dispositivo usa o endereço IPv4 ou IPv6 que corresponde ao peer remoto por padrão.No dispositivo peer, certifique-se de que o IKE ID seja o mesmo que o
remote-identityconfigurado no firewall da Série SRX. Se o dispositivo peer for um firewall da Série SRX, configure alocal-identitydeclaração no nível [edit security ike gateway gateway-name] de hierarquia. Os valores podem ser um endereço IPv4 ou IPv6, FQDN, nome distinto ou endereço de e-mail.
Consulte também
Entendendo a autenticação OSPF e OSPFv3 em firewalls da Série SRX
O OSPFv3 não tem um método de autenticação integrado e conta com o pacote de segurança IP (IPsec) para fornecer essa funcionalidade. O IPsec oferece autenticação de origem, integridade de dados, confidencialidade, proteção de repetição e nãorepudiação da origem. Você pode usar o IPsec para proteger interfaces e links virtuais específicos do OSPFv3 e fornecer criptografia para pacotes OSPF.
O OSPFv3 usa o cabeçalho de autenticação IP (AH) e as partes de Ip Encapsulating Security Payload (ESP) do protocolo IPsec para autenticar informações de roteamento entre pares. A AH pode fornecer integridade sem conexão e autenticação de origem dos dados. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. O ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego ou integridade sem conexão, autenticação de origem dos dados e um serviço anti-replay.
O IPsec é baseado em associações de segurança (SAs). Um SA é um conjunto de especificações de IPsec que são negociadas entre dispositivos que estão estabelecendo uma relação IPsec. Essa conexão simplex oferece serviços de segurança aos pacotes transportados pela SA. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPsec a serem usados ao estabelecer a conexão IPsec. Um SA é usado para criptografar e autenticar um fluxo específico em uma direção. Portanto, no tráfego bidirecional normal, os fluxos são protegidos por um par de SAs. Um SA a ser usado com o OSPFv3 deve ser configurado manualmente e usar o modo de transporte. Os valores estáticos devem ser configurados em ambas as extremidades da SA.
Para configurar o IPsec para OSPF ou OSPFv3, primeiro defina uma SA manual com a opção security-association sa-name no nível [edit security ipsec] de hierarquia. Esse recurso oferece suporte apenas a SAs de chave manual bidirecional no modo de transporte. As SAs manuais não exigem nenhuma negociação entre os pares. Todos os valores, incluindo as chaves, são estáticos e especificados na configuração. Os SAs manuais definem estaticamente os valores, algoritmos e chaves do índice de parâmetros de segurança (SPI) a serem usados e exigem configurações correspondentes em ambos os endpoints (OSPF ou peers OSPFv3). Como resultado, cada peer deve ter as mesmas opções configuradas para a comunicação ocorrer.
A escolha real dos algoritmos de criptografia e autenticação cabe ao seu administrador IPsec; no entanto, temos as seguintes recomendações:
Use o ESP com criptografia nula para fornecer autenticação aos cabeçalhos de protocolo, mas não para o cabeçalho IPv6, cabeçalhos de extensão e opções. Com criptografia nula, você está optando por não fornecer criptografia em cabeçalhos de protocolo. Isso pode ser útil para fins de solução de problemas e depuração. Para obter mais informações sobre criptografia nula, veja RFC 2410, o algoritmo de criptografia NULL e seu uso com IPsec.
Use o ESP com DES ou 3DES para obter total confidencialidade.
Use a AH para fornecer autenticação a cabeçalhos de protocolo, campos imutáveis em cabeçalhos IPv6 e cabeçalhos e opções de extensão.
O SA configurado é aplicado às configurações OSPF ou OSPFv3 da seguinte forma:
Para uma interface OSPF ou OSPFv3, inclua a
ipsec-sa namedeclaração no nível [edit protocols ospf area area-id interface interface-name] ou [edit protocols ospf3 area area-id interface interface-name] hierarquia. Apenas um nome IPsec SA pode ser especificado para uma interface OSPF ou OSPFv3; no entanto, diferentes interfaces OSPF/OSPFv3 podem especificar o mesmo IPsec SA.Para um link virtual OSPF ou OSPFv3, inclua a
ipsec-sa namedeclaração no nível [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] ou [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] hierarquia. Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto.
As seguintes restrições se aplicam à autenticação IPsec para OSPF ou OSPFv3 em firewalls da Série SRX:
As configurações manuais de VPN configuradas no nível [
edit security ipsec vpn vpn-name manualda hierarquia] não podem ser aplicadas a interfaces OSPF ou OSPFv3 ou links virtuais para fornecer autenticação e confidencialidade IPsec.Você não pode configurar o IPsec para autenticação OSPF ou OSPFv3 se houver uma VPN IPsec existente configurada no dispositivo com os mesmos endereços locais e remotos.
A autenticação IPsec para OSPF ou OSPFv3 não é suportada em interfaces seguras de túnel st0.
A requisição de chaves manuais não é suportada.
Os SAs dinâmicos de troca de chave de Internet (IKE) não são suportados.
Apenas o modo de transporte IPsec é suportado. No modo de transporte, apenas a carga útil (os dados que você transfere) do pacote IP é criptografada, autenticada ou ambas. O modo túnel não é suportado.
Como apenas SAs manuais bidirecionais são suportados, todos os pares OSPFv3 devem ser configurados com o mesmo IPsec SA. Você configura uma SA bidirecional manual no nível [
edit security ipsec] de hierarquia.Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto.
Consulte também
Exemplo: Configurando a autenticação de IPsec para uma interface OSPF em um firewall da Série SRX
Este exemplo mostra como configurar e aplicar uma associação de segurança manual (SA) a uma interface OSPF.
Requisitos
Antes de começar:
Configure as interfaces do dispositivo.
Configure os identificadores do roteador para os dispositivos em sua rede OSPF.
Controle OSPF designado para eleição de roteador.
Configure uma rede OSPF de área única.
Configure uma rede OSPF multiárea.
Visão geral
Você pode usar a autenticação IPsec para OSPF e OSPFv3. Você configura o SA manual separadamente e o aplica à configuração OSPF aplicável. Tabela 3 lista os parâmetros e valores configurados para a SA manual neste exemplo.
Parâmetro |
Value |
|---|---|
Nome SA |
sa1 |
Modo |
transporte |
Direção |
bidirecional |
Protocolo |
AH |
SPI |
256 |
Algoritmo de autenticação Chave |
hmac-md5-96 (ASCII) 123456789012abc |
Algoritmo de criptografia Chave |
Des (ASCII) cba210987654321 |
Configuração
Configuração de um SA manual
Configuração rápida da CLI
Para configurar rapidamente um SA manual a ser usado para autenticação IPsec em uma interface OSPF, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível [edit] de hierarquia e, em seguida, entrar no commit modo de configuração.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um SA manual:
Especifique um nome para SA.
[edit] user@host# edit security ipsec security-association sa1
Especifique o modo da SA manual.
[edit security ipsec security-association sa1] user@host# set mode transport
Configure a direção da SA manual.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Configure o protocolo IPsec para usar.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Configure o valor do SPI.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Configure o algoritmo de autenticação e a chave.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Configure o algoritmo de criptografia e a chave.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Resultados
Confirme sua configuração inserindo o show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha que você configurou.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Habilitando a autenticação de IPsec para uma interface OSPF
Configuração rápida da CLI
Para aplicar rapidamente um SA manual usado para autenticação de IPsec em uma interface OSPF, copiar o comando a seguir, cole-o em um arquivo de texto, alterar todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar o comando no CLI no nível [edit] de hierarquia e, em seguida, entrar no commit modo de configuração.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procedimento passo a passo
Para permitir a autenticação de IPsec para uma interface OSPF:
Crie uma área de OSPF.
Para especificar o OSPFv3, inclua a
ospf3declaração no nível de[edit protocols]hierarquia.[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique a interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Aplique o SA manual de IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Resultados
Confirme sua configuração inserindo o show ospf interface detail comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Para confirmar sua configuração OSPFv3, entre no show protocols ospf3 comando.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as configurações da Associação de Segurança IPsec
- Verificando a Associação de Segurança IPsec na Interface OSPF
Verificando as configurações da Associação de Segurança IPsec
Propósito
Verifique as configurações configuradas da associação de segurança IPsec. Verifique as seguintes informações:
O campo de associação de segurança exibe o nome da associação de segurança configurada.
O campo SPI exibe o valor que você configurou.
O campo Mode exibe o modo de transporte.
O campo Type exibe manual como o tipo de associação de segurança.
Ação
A partir do modo operacional, entre no show ospf interface detail comando.
Verificando a Associação de Segurança IPsec na Interface OSPF
Propósito
Verifique se a associação de segurança IPsec que você configurou foi aplicada na interface OSPF. Confirme que o campo de nome IPsec SA exibe o nome da associação de segurança IPsec configurada.
Ação
A partir do modo operacional, insira o show ospf interface detail comando para OSPF e insira o show ospf3 interface detail comando para o OSPFv3.
Configuração de VPN IPsec usando o assistente VPN
O Assistente de VPN permite que você realize configurações básicas de VPN IPsec, incluindo a Fase 1 e a Fase 2. Para configuração mais avançada, use a interface J-Web ou a CLI. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.
Para configurar a VPN IPsec usando o assistente VPN:
- Selecione
Configure>Device Setup>VPNna interface J-Web. - Clique no botão Assistente de VPN de lançamento.
- Siga os prompts do assistente.
A área superior esquerda da página de assistente mostra onde você está no processo de configuração. A área inferior esquerda da página mostra ajuda sensível ao campo. Ao clicar em um link no título Recursos, o documento é aberto em seu navegador. Se o documento for aberto em uma nova guia, certifique-se de fechar apenas a guia (não a janela do navegador) quando você fechar o documento.
Consulte também
Exemplo: Configurando uma VPN hub-and-spoke
Este exemplo mostra como configurar uma VPN IPsec hub-and-spoke para uma implantação de classe empresarial. Para VPN IPSec de site para site com IKEv1 e IKEv2, veja VPN IPsec baseada em rota com IKEv1 e VPN IPsec baseada em rota com IKEv1 , respectivamente.
Requisitos
Este exemplo usa o seguinte hardware:
Dispositivo SRX240
dispositivo SRX5800
Dispositivo SSG140
Antes de começar, leia Visão geral do IPsec.
Visão geral
Este exemplo descreve como configurar uma VPN hub-and-spoke normalmente encontrada em implantações de filiais. O hub é o escritório corporativo, e há dois spokes — uma filial em Sunnyvale, Califórnia, e uma filial em Westford, Massachusetts. Os usuários das filiais usarão a VPN para transferir dados com segurança com o escritório corporativo.
Figura 1 mostra um exemplo de uma topologia de VPN hub-and-spoke. Nesta topologia, um dispositivo SRX5800 está localizado no escritório corporativo. Um firewall da Série SRX está localizado na filial de Westford, e um dispositivo SSG140 está localizado na filial de Sunnyvale.
Neste exemplo, você configura o hub de escritórios corporativos, o westford falou, e o Sunnyvale falou. Primeiro você configura interfaces, rotas estáticas e padrão IPv4, zonas de segurança e livros de endereços. Em seguida, você configura os parâmetros da Fase 1 e IPsec 2 e vincula a interface st0.0 à VPN IPsec. No hub, você configura o st0.0 para multiponto e adiciona uma entrada de tabela NHTB estática para o spoke Sunnyvale. Por fim, você configura a política de segurança e os parâmetros TCP-MSS. Tabela 8 Veja Tabela 4 parâmetros de configuração específicos usados neste exemplo.
Hub ou Spoke |
Recursos |
Nome |
Parâmetros de configuração |
|---|---|---|---|
Hub |
Interfaces |
ge-0/0/0,0 |
192.168.10.1/24 |
ge-0/0/3,0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Raio |
Interfaces |
ge-0/0/0,0 |
10.3.3.2/30 |
ge-0/0/3,0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
Hub |
Zonas de segurança |
confiança |
|
desconfiança |
|
||
VPN |
A interface st0.0 está vinculada a essa zona. |
||
Raio |
Zonas de segurança |
confiança |
|
desconfiança |
|
||
VPN |
A interface st0.0 está vinculada a essa zona. |
||
Hub |
Entradas da lista de endereços |
rede local |
|
sunnyvale-net |
|
||
westford-net |
|
||
Raio |
Entradas da lista de endereços |
rede local |
|
corp-net |
|
||
sunnyvale-net |
|
Hub ou Spoke |
Recursos |
Nome |
Parâmetros de configuração |
|---|---|---|---|
Hub |
Proposta |
ike-phase1-proposal |
|
Política |
política ike-phase1 |
|
|
Porta |
gw-westford |
|
|
gw-sunnyvale |
|
||
Raio |
Proposta |
ike-phase1-proposal |
|
Política |
política ike-phase1 |
|
|
Porta |
gw-corporativa |
|
Hub ou Spoke |
Recursos |
Nome |
Parâmetros de configuração |
|---|---|---|---|
Hub |
Proposta |
proposta ipsec-phase2 |
|
Política |
política ipsec-phase2 |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
Raio |
Proposta |
proposta ipsec-phase2 |
|
Política |
política ipsec-phase2 |
|
|
VPN |
vpn-corporativa |
|
Hub ou Spoke |
Propósito |
Nome |
Parâmetros de configuração |
|---|---|---|---|
Hub |
A política de segurança permite o tráfego da zona de confiança até a zona vpn. |
local-to-spokes |
|
A política de segurança permite o tráfego da zona vpn até a zona de confiança. |
spokes-to-local |
Critérios de correspondência:
|
|
A política de segurança permite tráfego intrazona. |
spoke-to-spoke |
Critérios de correspondência:
|
|
Raio |
A política de segurança permite o tráfego da zona de confiança até a zona vpn. |
para a corporação |
|
A política de segurança permite o tráfego da zona vpn até a zona de confiança. |
da corporação |
Critérios de correspondência:
|
|
A política de segurança permite o tráfego da zona não confiável para a zona de confiança. |
permitir-qualquer |
Critérios de correspondência:
|
Propósito |
Parâmetros de configuração |
|---|---|
O TCC-MSS é negociado como parte do TCP de três vias e limita o tamanho máximo de um segmento de TCP para se adequar melhor aos limites de MTU em uma rede. Para o tráfego VPN, a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga do quadro, podem fazer com que o pacote ESP resultante exceda a MTU da interface física, o que causa fragmentação. A fragmentação resulta em um aumento do uso de largura de banda e recursos de dispositivos. O valor de 1350 é um ponto de partida recomendado para a maioria das redes baseadas em Ethernet com MTU de 1500 ou mais. Você pode precisar experimentar diferentes valores de TCP-MSS para obter o melhor desempenho. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver um MTU menor ou se houver alguma sobrecarga adicional, como PPP ou Frame Relay. |
Valor do MSS: 1350 |
Configuração
- Configuração de informações básicas de rede, zona de segurança e agenda de endereços para o hub
- Configuração do IKE para o hub
- Configuração do IPsec para o hub
- Configuração de políticas de segurança para o hub
- Configuração do TCP-MSS para o hub
- Configuração de informações básicas de rede, zona de segurança e livro de endereços para o Westford Spoke
- Configuração do IKE para o Westford Spoke
- Configuração do IPsec para o Westford Spoke
- Configuração de políticas de segurança para o Westford Spoke
- Configuração do TCP-MSS para o Westford Spoke
- Configuração do Sunnyvale Spoke
Configuração de informações básicas de rede, zona de segurança e agenda de endereços para o hub
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar informações básicas de rede, zona de segurança e agenda de endereços para o hub:
Configure as informações da interface Ethernet.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configure informações de rota estáticas.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Configure a zona de segurança não confiável.
[edit ] user@hub# set security zones security-zone untrust
Atribua uma interface à zona de segurança não confiável.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Especifique os serviços de sistema permitidos para a zona de segurança não confiável.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Configure a zona de segurança de confiança.
[edit] user@hub# edit security zones security-zone trust
Atribua uma interface à zona de segurança de confiança.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Especifique os serviços de sistema permitidos para a zona de segurança de confiança.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Crie uma lista de endereços e anexe uma zona a ela.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Configure a zona de segurança vpn.
[edit] user@hub# edit security zones security-zone vpn
Atribua uma interface à zona de segurança vpn.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Crie outro catálogo de endereços e anexe uma zona a ela.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show routing-optionsshow security zonese show security address-book comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do IKE para o hub
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o IKE para o hub:
Crie a proposta da Fase 1 do IKE.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Defina o método de autenticação da proposta de IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Defina a proposta de IKE do grupo Diffie-Hellman.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Defina o algoritmo de autenticação de propostas de IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Defina o algoritmo de criptografia de propostas de IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Crie uma política de Fase 1 do IKE.
[edit security ike] user@hub# set policy ike-phase1-policy
Defina o modo de política da Fase 1 do IKE.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Especifique uma referência à proposta IKE.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Defina o método de autenticação de políticas da Fase 1 do IKE.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Crie um gateway IKE Fase 1 e defina sua interface externa.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Defina a referência de política da Fase 1 do IKE.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Defina o endereço de gateway da Fase 1 da IKE.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Crie um gateway IKE Fase 1 e defina sua interface externa.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Defina a referência de política da Fase 1 do IKE.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Defina o endereço de gateway da Fase 1 da IKE.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do IPsec para o hub
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o IPsec para o hub:
Crie uma proposta de Fase 2 do IPsec.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Especifique o protocolo de proposta da Fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Especifique o algoritmo de autenticação da proposta de fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Especifique o algoritmo de criptografia de propostas de Fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Crie a política de Fase 2 do IPsec.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Especifique a referência da proposta da Fase 2 do IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Especifique o IPsec Phase 2 PFS para usar o Grupo Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique os gateways IKE.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Especifique as políticas de Fase 2 do IPsec.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Especifique a interface para vincular.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Configure a interface st0 como multiponto.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Adicione entradas de tabela NHTB estáticas para os escritórios de Sunnyvale e Westford.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de políticas de segurança para o hub
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar políticas de segurança para o hub:
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Crie a política de segurança para permitir o tráfego de intrazona.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do TCP-MSS para o hub
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimento passo a passo
Para configurar as informações do TCP-MSS para o hub:
Configure as informações do TCP-MSS.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security flow comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de informações básicas de rede, zona de segurança e livro de endereços para o Westford Spoke
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar informações básicas de rede, zona de segurança e livro de endereços para o westford spoke:
Configure as informações da interface Ethernet.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Configure informações de rota estáticas.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Configure a zona de segurança não confiável.
[edit] user@spoke# set security zones security-zone untrust
Atribua uma interface à zona de segurança.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Especifique os serviços de sistema permitidos para a zona de segurança não confiável.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Configure a zona de segurança de confiança.
[edit] user@spoke# edit security zones security-zone trust
Atribua uma interface à zona de segurança de confiança.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Especifique os serviços de sistema permitidos para a zona de segurança de confiança.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Configure a zona de segurança vpn.
[edit] user@spoke# edit security zones security-zone vpn
Atribua uma interface à zona de segurança vpn.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Crie uma lista de endereços e anexe uma zona a ela.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Crie outro catálogo de endereços e anexe uma zona a ela.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show routing-optionsshow security zonese show security address-book comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do IKE para o Westford Spoke
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o IKE para o westford spoke:
Crie a proposta da Fase 1 do IKE.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Defina o método de autenticação da proposta de IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Defina a proposta de IKE do grupo Diffie-Hellman.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Defina o algoritmo de autenticação de propostas de IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Defina o algoritmo de criptografia de propostas de IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Crie uma política de Fase 1 do IKE.
[edit security ike] user@spoke# set policy ike-phase1-policy
Defina o modo de política da Fase 1 do IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Especifique uma referência à proposta IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Defina o método de autenticação de políticas da Fase 1 do IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Crie um gateway IKE Fase 1 e defina sua interface externa.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Defina a referência de política da Fase 1 do IKE.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Defina o endereço de gateway da Fase 1 da IKE.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do IPsec para o Westford Spoke
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o IPsec para o Westford spoke:
Crie uma proposta de Fase 2 do IPsec.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Especifique o protocolo de proposta da Fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Especifique o algoritmo de autenticação da proposta de fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Especifique o algoritmo de criptografia de propostas de Fase 2 do IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Crie a política de Fase 2 do IPsec.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Especifique a referência da proposta da Fase 2 do IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Especifique o IPsec Phase 2 PFS para usar o Grupo Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique o gateway IKE.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Especifique a política de Fase 2 do IPsec.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Especifique a interface para vincular.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de políticas de segurança para o Westford Spoke
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar políticas de segurança para o Westford spoke:
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do TCP-MSS para o Westford Spoke
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimento passo a passo
Para configurar o TCP-MSS para o westford spoke:
Configure as informações do TCP-MSS.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security flow comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do Sunnyvale Spoke
Configuração rápida da CLI
Este exemplo usa um dispositivo da Série SSG para o spoke Sunnyvale. Para referência, a configuração para o dispositivo da Série SSG é fornecida. Para obter informações sobre a configuração de dispositivos da Série SSG, veja o Concepts and Examples ScreenOS Reference Guide, que está localizado em https://www.juniper.net/documentation.
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]commit modo de configuração.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o status da Fase 1 do IKE
- Verificando o status da Fase 2 do IPsec
- Verificação de ligações de túneis de próximo salto
- Verificação de rotas estáticas para LANs locais remotas de peer
- Revisão de estatísticas e erros para uma associação de segurança IPsec
- Teste de fluxo de tráfego em toda a VPN
Verificando o status da Fase 1 do IKE
Propósito
Verifique o status da Fase 1 do IKE.
Ação
Antes de iniciar o processo de verificação, você precisa enviar tráfego de um host na rede 192.168.10/24 para um host nas redes 192.168.168/24 e 192.168.178/24 para criar os túneis. Para VPNs baseadas em rota, você pode enviar tráfego iniciado a partir do firewall da Série SRX pelo túnel. Recomendamos que, ao testar túneis IPsec, você envie tráfego de teste de um dispositivo separado de um lado da VPN para um segundo dispositivo do outro lado da VPN. Por exemplo, inicie um ping de 192.168,10,10 para 192.168.168,10.
A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneSignificado
O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.
Se os SAs estiverem listados, analise as seguintes informações:
Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no
show security ike security-associations index detailcomando para obter mais informações sobre a SA.Endereço remoto — Verifique se o endereço IP remoto está correto.
Estado
UP — A FASE 1 SA foi estabelecida.
DOWN — Havia um problema em estabelecer a Fase 1 SA.
Modo — Verifique se o modo correto está sendo usado.
Verifique se as seguintes informações estão corretas em sua configuração:
Interfaces externas (a interface deve ser a que recebe pacotes IKE)
Parâmetros de política de IKE
Informações-chave pré-compartilhadas
Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)
O show security ike security-associations index 1 detail comando lista informações adicionais sobre a associação de segurança com um índice de 1:
Algoritmos de autenticação e criptografia usados
Vida útil da fase 1
Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)
Informações da função de iniciador e respondente
A solução de problemas é melhor realizada no peer usando a função de resposta.
Número de SAs IPsec criados
Número de negociações da Fase 2 em andamento
Verificando o status da Fase 2 do IPsec
Propósito
Verifique o status da Fase 2 do IPsec.
Ação
A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Significado
A saída do show security ipsec security-associations comando lista as seguintes informações:
O número de ID é 16385. Use esse valor com o
show security ipsec security-associations indexcomando para obter mais informações sobre este SA em particular.Há um par de SA IPsec usando a porta 500, o que indica que nenhuma transversal de NAT é implementada. (A travessia de NAT usa a porta 4500 ou outra porta aleatória de alto número.)
As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor ilimitado de 28756 indica que a vida útil da Fase 2 expira em 28756 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.
O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.
O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.
A saída do show security ipsec security-associations index 16385 detail comando lista as seguintes informações:
A identidade local e a identidade remota compõem o ID proxy para a SA.
Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha na Fase 2. Se nenhuma SA IPsec estiver listada, confirme que as propostas da Fase 2, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.
Outra razão comum para falha na Fase 2 é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.
Verificação de ligações de túneis de próximo salto
Propósito
Após a Fase 2 ser concluída para todos os pares, verifique as ligações do túnel de próximo salto.
Ação
A partir do modo operacional, entre no show security ipsec next-hop-tunnels comando.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Significado
Os gateways de próximo salto são os endereços IP para as interfaces st0 de todos os pares spoke remotos. O próximo salto deve ser associado com o nome VPN IPsec correto. Se não houver nenhuma entrada NHTB, não há como o dispositivo hub diferenciar qual VPN IPsec está associada com qual próximo salto.
O campo Flag tem um dos seguintes valores:
Estático — o NHTB foi configurado manualmente nas configurações da interface st0.0, o que é necessário se o peer não for um firewall da Série SRX.
Auto— A NHTB não estava configurada, mas a entrada foi automaticamente povoada na tabela NHTB durante as negociações da Fase 2 entre dois firewalls da Série SRX
Não há nenhuma tabela NHTB para nenhum dos sites de spoke neste exemplo. Do ponto de vista do spoke, a interface st0 ainda é um link ponto a ponto com apenas uma vinculação de VPN IPsec.
Verificação de rotas estáticas para LANs locais remotas de peer
Propósito
Verifique se a rota estática faz referência ao endereço IP st0 do spoke peer.
Ação
A partir do modo operacional, entre no show route comando.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0O próximo salto é o endereço IP st0 do peer remoto, e ambas as rotas apontam para st0.0 como a interface de saída.
Revisão de estatísticas e erros para uma associação de segurança IPsec
Propósito
Analise os contadores e erros de cabeçalho de autenticação e ESP para uma associação de segurança IPsec.
Ação
A partir do modo operacional, entre no show security ipsec statistics index comando.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Você também pode usar o show security ipsec statistics comando para revisar estatísticas e erros para todos os SAs.
Para limpar todas as estatísticas de IPsec, use o clear security ipsec statistics comando.
Significado
Se você ver problemas de perda de pacotes em uma VPN, você pode executar o show security ipsec statistics ou show security ipsec statistics detail comandar várias vezes para confirmar que os contadores de pacotes criptografados e descriptografados estão aumentando. Você também deve verificar se os outros contadores de erro estão aumentando.
Teste de fluxo de tráfego em toda a VPN
Propósito
Verifique o fluxo de tráfego por toda a VPN.
Ação
Você pode usar o ping comando do firewall da Série SRX para testar o fluxo de tráfego para um PC host remoto. Certifique-se de especificar a interface de origem para que a busca por rotas esteja correta e que as zonas de segurança apropriadas sejam mencionadas durante a busca de políticas.
A partir do modo operacional, entre no ping comando.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Você também pode usar o ping comando do dispositivo da Série SSG.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Significado
Se o ping comando falhar na Série SRX ou dispositivo da Série SSG, pode haver um problema com o roteamento, políticas de segurança, host final ou criptografia e descriptografia de pacotes ESP.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.
container-string e wildcard-string na [edit security ike gateway gateway_name dynamic distinguished-name] hierarquia. Se você tentar configurar o segundo atributo depois de configurar o primeiro atributo, o primeiro atributo será substituído pelo segundo atributo. Antes de atualizar seu dispositivo, você deve remover um dos atributos se tiver configurado ambos os atributos.