VPNs IPsec baseadas em rota
Uma VPN baseada em rota é uma configuração na qual um túnel VPN IPsec criado entre dois pontos finais é referenciado por uma rota que determina qual tráfego é enviado pelo túnel com base em um endereço IP de destino.
Entendendo as VPNs IPsec baseadas em rota
Com VPNs baseadas em rota, você pode configurar dezenas de políticas de segurança para regular o tráfego fluindo por um único túnel VPN entre dois locais, e há apenas um conjunto de SAs IKE e IPsec em ação. Ao contrário das VPNs baseadas em políticas, para VPNs baseadas em rota, uma política refere-se a um endereço de destino, não a um túnel VPN. Quando o Junos OS olha para uma rota para encontrar a interface para usar para enviar tráfego para o endereço de destino do pacote, ele encontra uma rota através de uma interface de túnel segura (st0.x). A interface do túnel está vinculada a um túnel VPN específico, e o tráfego é roteado para o túnel se a ação de política for permissão.
Uma interface de túnel seguro (st0) oferece suporte a apenas um endereço IPv4 e um endereço IPv6 ao mesmo tempo. Isso se aplica a todas as VPNs baseadas em rota. A opção disable
não é suportada em interfaces st0.
Uma interface de túnel segura (st0) de st0.16000 a st0.16385 está reservada para alta disponibilidade de multinodos e para criptografia de enlace de controle de HA no Chassis Cluster. Essas interfaces não são interfaces configuráveis do usuário. Você só pode usar interfaces de st0.0 a st0.15999.
Exemplos de onde as VPNs baseadas em rota podem ser usadas:
Existem sub-redes sobrepostas ou endereços IP entre as duas LANs.
Uma topologia vpn hub-and-spoke é usada na rede, e o tráfego spoke-to-spoke é necessário.
VPNs primárias e de backup são necessárias.
Um protocolo de roteamento dinâmico (por exemplo, OSPF, RIP ou BGP) está sendo executado em toda a VPN.
A configuração de circuitos de demanda RIP em interfaces VPN de ponto a multiponto não é suportada.
Recomendamos que você use VPN baseada em rota quando quiser configurar VPN entre vários locais remotos. A VPN baseada em rota permite o roteamento entre os spokes entre vários locais remotos; é mais fácil configurar, monitorar e solucionar problemas.
Consulte também
Exemplo: Configuração de uma VPN baseada em rota
Este exemplo mostra como configurar uma VPN IPsec baseada em rota para permitir que os dados sejam transferidos com segurança entre dois sites.
Requisitos
Este exemplo usa o seguinte hardware:
-
Qualquer firewall da Série SRX
- Atualizado e revalidado usando o firewall virtual vSRX no Junos OS Release 20.4R1.
Você tem interesse em ter uma experiência prática com os tópicos e operações abordados neste guia? Visite a demonstração de VPN baseada em rotas IPsec nos laboratórios virtuais da Juniper Networks e reserve sua caixa de areia gratuita hoje! Você encontrará a área de segurança baseada em rotas de VPN IPsec na categoria segurança.
Antes de começar, leia Visão geral do IPsec.
Visão geral
Neste exemplo, você configura uma VPN baseada em rota no SRX1 e SRX2. Host1 e Host2 usam a VPN para enviar tráfego com segurança pela Internet entre ambos os hosts.
Figura 1 mostra um exemplo de uma topologia vpn baseada em rota.
Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Em seguida, você configura parâmetros IKE, IPsec, política de segurança e TCP-MSS. Tabela 5 Veja Tabela 1 parâmetros de configuração específicos usados neste exemplo.
Recursos |
Nome |
Parâmetros de configuração |
---|---|---|
Interfaces |
ge-0/0/0,0 |
10.100.11.1/24 |
ge-0/0/1,0 |
172.16.13.1/24 |
|
st0.0 (interface de túnel) |
10.100.200.1/24 |
|
Rotas estáticas |
10.100.22.0/24 0,0,0,0/0 |
O próximo salto é st0.0. O próximo salto é 172.16.13.2. |
Zonas de segurança |
confiança |
|
desconfiança |
|
|
VPN |
|
Recursos |
Nome |
Parâmetros de configuração |
---|---|---|
Proposta |
padrão |
|
Política |
IKE-POL |
|
Porta |
IKE-GW |
|
Recursos |
Nome |
Parâmetros de configuração |
---|---|---|
Proposta |
padrão |
|
Política |
IPSEC-POL |
|
VPN |
VPN para Host2 |
|
Propósito |
Nome |
Parâmetros de configuração |
---|---|---|
A política de segurança permite o tráfego da zona de confiança até a zona de VPN. |
VPN-OUT |
|
A política de segurança permite o tráfego da zona de VPN até a zona de confiança. |
VPN-IN |
|
Propósito |
Parâmetros de configuração |
---|---|
O TCP-MSS é negociado como parte do TCP de três vias e limita o tamanho máximo de um segmento de TCP para se adequar melhor aos limites de MTU em uma rede. Para o tráfego VPN, a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga do quadro, podem fazer com que o pacote ESP resultante exceda a MTU da interface física, o que causa fragmentação. A fragmentação aumenta a largura de banda e os recursos do dispositivo. Recomendamos um valor de 1350 como ponto de partida para a maioria das redes baseadas em Ethernet com MTU de 1500 ou mais. Você pode precisar experimentar diferentes valores de TCP-MSS para obter o melhor desempenho. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver um MTU menor ou se houver alguma sobrecarga adicional, como PPP ou Frame Relay. |
Valor do MSS: 1350 |
Configuração
- Configure informações básicas de rede e zona de segurança
- Configuração do IKE
- Configuração do IPsec
- Configuração de políticas de segurança
- Configuração do TCP-MSS
- Configuração do SRX2
Configure informações básicas de rede e zona de segurança
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set interfaces st0 unit 0 family inet address 10.100.200.1/24 set routing-options static route 10.100.22.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar a interface, a rota estática e as informações da zona de segurança:
-
Configure as interfaces.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32 user@SRX1# set interfaces st0 unit 0 family inet address 10.100.200.1/24
-
Configure as rotas estáticas.
[edit] user@SRX1# set routing-options static route 10.100.22.0/24 next-hop st0.0 user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Atribua a interface voltada para a Internet à zona de segurança não confiável.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Especifique os serviços de sistema permitidos para a zona de segurança não confiável.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Atribua a interface voltada para o Host1 para a zona de segurança de confiança.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Especifique os serviços de sistema permitidos para a zona de segurança de confiança.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
-
Atribua a interface de túnel seguro à zona de segurança vpn.
[edit security zones security-zone VPN] user@SRX1# set interfaces st0.0
-
Especifique os serviços de sistema permitidos para a zona de segurança vpn.
[edit security zones security-zone VPN] user@SRX1# set host-inbound-traffic system-services ping
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces
, show routing-options
e show security zones
comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@SRX1# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.100.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.13.1/24; } } } lo0 { unit 0 { family inet { address 10.100.100.1/32; } } } st0 { unit 0 { family inet { address 10.100.200.1/24; } } }
[edit]
user@SRX1# show routing-options
static {
route 10.100.22.0/24 next-hop st0.0;
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
Configuração do IKE
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit modo de configuração.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar o IKE:
-
Crie a proposta IKE.
[edit security ike] user@SRX1# set proposal standard
-
Defina o método de autenticação da proposta de IKE.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Crie uma política de IKE.
[edit security ike] user@SRX1# set policy IKE-POL
-
Defina o modo de política de IKE.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Especifique uma referência à proposta IKE.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Defina o método de autenticação de políticas de IKE.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Crie um gateway IKE e defina sua interface externa.
[edit security ike] user@SRX1# set gateway IKE-GW external-interface ge-0/0/1
-
Defina a referência da política de IKE.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
-
Defina o endereço de gateway IKE.
[edit security ike gateway IKE-GW] user@SRX1# set address 172.16.23.1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ike
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@SRX1# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Configuração do IPsec
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit modo de configuração.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 bind-interface st0.0 set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar o IPsec:
-
Crie uma proposta de IPsec.
[edit] user@SRX1# set security ipsec proposal standard
-
Crie a política de IPsec.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Especifique a referência da proposta de IPsec.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Especifique o gateway IKE.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Especifique a política de IPsec.
[edit security ipsec] user@host# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Especifique a interface para vincular.
[edit security ipsec] user@host# set vpn VPN-to-Host2 bind-interface st0.0
-
Configure o túnel para estabelecer imediatamente.
[edit security ipsec] user@host# set vpn VPN-to-Host2 establish-tunnels immediately
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security ipsec
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
bind-interface st0.0;
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Configuração de políticas de segurança
Configuração rápida da CLI
Para configurar rapidamente as políticas de segurança para o SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit modo de configuração.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone VPN set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar políticas de segurança:
-
Crie entradas de livros de endereços para as redes que serão usadas nas políticas de segurança.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone VPN
-
Crie uma política de segurança para permitir o tráfego da zona de confiança até a zona não confiável para o tráfego para a Internet.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Crie uma política de segurança para permitir o tráfego do Host1 na zona de confiança destinada ao Host2 na zona de VPN.
[edit security policies from-zone trust to-zone VPN] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit
-
Crie uma política de segurança para permitir o tráfego do Host2 na zona de VPN até o Host1 na zona de confiança.
[edit security policies from-zone VPN to-zone trust] user@host# set policy VPN-IN match source-address Host2-Net user@host# set policy VPN-IN match destination-address Host1-Net user@host# set policy VPN-IN match application any user@host# set policy VPN-IN then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security address-book
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security address-book Host1 { address Host1-Net 10.100.11.0/24; attach { zone trust; } } Host2 { address Host2-Net 10.100.22.0/24; attach { zone VPN; } } user@host# show security policies from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone VPN { policy VPN-OUT { match { source-address Host1-Net; destination-address Host2-Net; application any; } then { permit; } } } from-zone VPN to-zone trust { policy VPN-IN { match { source-address Host2-Net; destination-address Host1-Net; application any; } then { permit; } } }
Configuração do TCP-MSS
Configuração rápida da CLI
Para configurar rapidamente o TCP MSS para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit modo de configuração.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar as informações do TCP-MSS:
-
Configure as informações do TCP-MSS.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security flow
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@SRX1# show security flow tcp-mss { ipsec-vpn { mss 1350; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Configuração do SRX2
Configuração rápida da CLI
Para referência, a configuração para o SRX2 é fornecida.
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit modo de configuração.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 bind-interface st0.0 set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone VPN set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set interfaces st0 unit 0 family inet address 10.100.200.2/24 set routing-options static route 10.100.11.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Verificação
Execute essas tarefas para confirmar que a configuração está funcionando corretamente:
- Verifique o status do IKE
- Verifique o status do IPsec
- Teste o fluxo de tráfego em toda a VPN
- Analise estatísticas e erros para uma associação de segurança IPsec
Verifique o status do IKE
Propósito
Verifique o status do IKE.
Ação
A partir do modo operacional, entre no show security ike security-associations
comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail
comando.
user@SRX1> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1859340 UP b153dc24ec214da9 5af2ee0c2043041a Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859340 detail IKE peer 172.16.23.1, Index 1859340, Gateway Name: IKE-GW Role: Responder, State: UP Initiator cookie: b153dc24ec214da9, Responder cookie: 5af2ee0c2043041a Exchange type: Main, Authentication method: Pre-shared-keys Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Lifetime: Expires in 23038 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 172.16.23.1 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1236 Output bytes : 868 Input packets: 9 Output packets: 5 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 2 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Local identity: 172.16.13.1 Remote identity: 172.16.23.1 Flags: IKE SA is created
Significado
O show security ike security-associations
comando lista todos os SAs IKE ativos. Se nenhum SAs estiver listado, houve um problema com o estabelecimento do IKE. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.
Se os SAs estiverem listados, analise as seguintes informações:
-
Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no
show security ike security-associations index detail
comando para obter mais informações sobre a SA. -
Endereço remoto — Verifique se o endereço IP remoto está correto.
-
Estado
-
UP — O IKE SA foi estabelecido.
-
DOWN — Havia um problema em estabelecer o IKE SA.
-
-
Modo — Verifique se o modo correto está sendo usado.
Verifique se o seguinte está correto em sua configuração:
-
Interfaces externas (a interface deve ser a que recebe pacotes IKE)
-
Parâmetros de política de IKE
-
Informações-chave pré-compartilhadas
-
Parâmetros da proposta (devem combinar com ambos os pares)
O show security ike security-associations index 1859340 detail
comando lista informações adicionais sobre a associação de segurança com um número de índice de 1859340:
-
Algoritmos de autenticação e criptografia usados
-
vida
-
Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)
-
Informações sobre funções
A solução de problemas é melhor realizada no peer usando a função de resposta.
-
Informações do iniciador e do respondente
-
Número de SAs IPsec criados
-
Número de negociações em andamento
Verifique o status do IPsec
Propósito
Verifique o status do IPsec.
Ação
A partir do modo operacional, entre no show security ipsec security-associations
comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail
comando.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 912f9063 3403/ unlim - root 500 172.16.23.1 >131074 ESP:3des/sha1 71dbaa56 3403/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 131074 detail ID: 131074 Virtual-system: root, VPN Name: VPN-to-Host2 Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0 Port: 500, Nego#: 26, Fail#: 0, Def-Del#: 0 Flag: 0x600a29 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Fri Jul 23 2021 10:46:34 -0700: IPSec SA negotiation successfully completed (23 times) Fri Jul 23 2021 09:07:24 -0700: IKE SA negotiation successfully completed (3 times) Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times) Thu Jul 22 2021 16:33:50 -0700: Tunnel configuration changed. Corresponding IKE/IPSec SAs are deleted (1 times) Thu Jul 22 2021 16:23:49 -0700: IPSec SA negotiation successfully completed (2 times) Thu Jul 22 2021 15:34:12 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Thu Jul 22 2021 15:33:25 -0700: IPSec SA negotiation successfully completed (1 times) Thu Jul 22 2021 15:33:25 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Thu Jul 22 2021 15:33:25 -0700: External interface's address received. Information updated (1 times) Thu Jul 22 2021 15:33:25 -0700: Bind-interface's zone received. Information updated (1 times) Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times) Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times) Direction: inbound, SPI: 912f9063, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3302 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2729 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 71dbaa56, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3302 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2729 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Significado
A saída do show security ipsec security-associations
comando lista as seguintes informações:
-
O número de ID é 131074. Use esse valor com o
show security ipsec security-associations index
comando para obter mais informações sobre este SA em particular. -
Há um par de SA IPsec usando a porta 500, o que indica que nenhuma transversal de NAT é implementada. (A travessia de NAT usa a porta 4500 ou outra porta aleatória de alto número.)
-
As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 3403/ilimitado indica que a vida útil expira em 3403 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil pode ser diferente da vida útil, já que o IPsec não depende do IKE após o aumento da VPN.
-
O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.
-
O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.
A saída do show security ipsec security-associations index 131074 detail
comando lista as seguintes informações:
-
A identidade local e a identidade remota compõem o ID proxy para a SA.
Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha de IPsec. Se nenhuma SA IPsec estiver listada, confirme que as propostas de IPsec, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.
-
Outra razão comum para falha de IPsec é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.
Teste o fluxo de tráfego em toda a VPN
Propósito
Verifique o fluxo de tráfego por toda a VPN.
Ação
Use o ping
comando do dispositivo Host1 para testar o fluxo de tráfego para o Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.146/3.824/6.193/0.402 ms
Significado
Se o ping
comando falhar no Host1, pode haver um problema com o roteamento, políticas de segurança, host final ou criptografia e descriptografia de pacotes ESP.
Analise estatísticas e erros para uma associação de segurança IPsec
Propósito
Analise os contadores e erros de cabeçalho de autenticação e ESP para uma associação de segurança IPsec.
Ação
A partir do modo operacional, entre no show security ipsec statistics index index_number
comando, usando o número de índice da VPN para a qual você deseja ver estatísticas.
user@SRX1> show security ipsec statistics index 131074 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Você também pode usar o show security ipsec statistics
comando para revisar estatísticas e erros para todos os SAs.
Para limpar todas as estatísticas de IPsec, use o clear security ipsec statistics
comando.
Significado
Se você ver problemas de perda de pacotes em uma VPN, execute ou show security ipsec statistics
show security ipsec statistics detail
comando várias vezes para confirmar se os contadores de pacotes criptografados e descriptografados estão aumentando. Veja na saída de comando qualquer contador de erros de incremento.