Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs IPsec baseadas em rota

Uma VPN baseada em rota é uma configuração na qual um túnel VPN IPsec criado entre dois pontos finais é referenciado por uma rota que determina qual tráfego é enviado pelo túnel com base em um endereço IP de destino.

Entendendo as VPNs IPsec baseadas em rota

Com VPNs baseadas em rota, você pode configurar dezenas de políticas de segurança para regular o tráfego fluindo por um único túnel VPN entre dois locais, e há apenas um conjunto de SAs IKE e IPsec em ação. Ao contrário das VPNs baseadas em políticas, para VPNs baseadas em rota, uma política refere-se a um endereço de destino, não a um túnel VPN. Quando o Junos OS olha para uma rota para encontrar a interface para usar para enviar tráfego para o endereço de destino do pacote, ele encontra uma rota através de uma interface de túnel segura (st0.x). A interface do túnel está vinculada a um túnel VPN específico, e o tráfego é roteado para o túnel se a ação de política for permissão.

Uma interface de túnel seguro (st0) oferece suporte a apenas um endereço IPv4 e um endereço IPv6 ao mesmo tempo. Isso se aplica a todas as VPNs baseadas em rota. A opção disable não é suportada em interfaces st0.

Nota:

Uma interface de túnel segura (st0) de st0.16000 a st0.16385 está reservada para alta disponibilidade de multinodos e para criptografia de enlace de controle de HA no Chassis Cluster. Essas interfaces não são interfaces configuráveis do usuário. Você só pode usar interfaces de st0.0 a st0.15999.

Exemplos de onde as VPNs baseadas em rota podem ser usadas:

  • Existem sub-redes sobrepostas ou endereços IP entre as duas LANs.

  • Uma topologia vpn hub-and-spoke é usada na rede, e o tráfego spoke-to-spoke é necessário.

  • VPNs primárias e de backup são necessárias.

  • Um protocolo de roteamento dinâmico (por exemplo, OSPF, RIP ou BGP) está sendo executado em toda a VPN.

    A configuração de circuitos de demanda RIP em interfaces VPN de ponto a multiponto não é suportada.

Recomendamos que você use VPN baseada em rota quando quiser configurar VPN entre vários locais remotos. A VPN baseada em rota permite o roteamento entre os spokes entre vários locais remotos; é mais fácil configurar, monitorar e solucionar problemas.

Exemplo: Configuração de uma VPN baseada em rota

Este exemplo mostra como configurar uma VPN IPsec baseada em rota para permitir que os dados sejam transferidos com segurança entre dois sites.

Requisitos

Este exemplo usa o seguinte hardware:

  • Qualquer firewall da Série SRX

    • Atualizado e revalidado usando o firewall virtual vSRX no Junos OS Release 20.4R1.
Nota:

Você tem interesse em ter uma experiência prática com os tópicos e operações abordados neste guia? Visite a demonstração de VPN baseada em rotas IPsec nos laboratórios virtuais da Juniper Networks e reserve sua caixa de areia gratuita hoje! Você encontrará a área de segurança baseada em rotas de VPN IPsec na categoria segurança.

Antes de começar, leia Visão geral do IPsec.

Visão geral

Neste exemplo, você configura uma VPN baseada em rota no SRX1 e SRX2. Host1 e Host2 usam a VPN para enviar tráfego com segurança pela Internet entre ambos os hosts.

Figura 1 mostra um exemplo de uma topologia vpn baseada em rota.

Figura 1: Topologia de VPN baseada em rotaTopologia de VPN baseada em rota

Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Em seguida, você configura parâmetros IKE, IPsec, política de segurança e TCP-MSS. Tabela 5 Veja Tabela 1 parâmetros de configuração específicos usados neste exemplo.

Tabela 1: Interface, rota estática, zona de segurança e informações de política de segurança para SRX1

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0,0

10.100.11.1/24

 

ge-0/0/1,0

172.16.13.1/24

 

st0.0 (interface de túnel)

10.100.200.1/24

Rotas estáticas

10.100.22.0/24

0,0,0,0/0

O próximo salto é st0.0.

O próximo salto é 172.16.13.2.

Zonas de segurança

confiança

  • A interface ge-0/0/0.0 está vinculada a essa zona.

 

desconfiança

  • A interface ge-0/0/1.0 está vinculada a essa zona.

 

VPN

  • A interface st0.0 está vinculada a essa zona.

Tabela 2: Parâmetros de configuração do IKE

Recursos

Nome

Parâmetros de configuração

Proposta

padrão

  • Método de autenticação: chaves pré-compartilhadas

Política

IKE-POL

  • Modo: principal

  • Referência da proposta: padrão

  • Método de autenticação de políticas IKE: chaves pré-compartilhadas

Porta

IKE-GW

  • Referência de política de IKE: IKE-POL

  • Interface externa: ge-0/0/1

  • Endereço do gateway: 172.16.23.1

Tabela 3: Parâmetros de configuração de IPsec

Recursos

Nome

Parâmetros de configuração

Proposta

padrão

  • Usando a configuração padrão

Política

IPSEC-POL

  • Referência da proposta: padrão

VPN

VPN para Host2

  • Referência de gateway IKE: IKE-GW

  • Referência de política de IPsec: IPSEC-POL

  • Vincule-se à interface: st0.0

  • estabelecer túneis imediatamente
Tabela 4: Parâmetros de configuração de políticas de segurança

Propósito

Nome

Parâmetros de configuração

A política de segurança permite o tráfego da zona de confiança até a zona de VPN.

VPN-OUT

  • Critérios de correspondência:

    • host1-Net de endereço fonte

    • Host2-Net de endereço de destino

    • qualquer aplicativo

  • Ação: permitir

A política de segurança permite o tráfego da zona de VPN até a zona de confiança.

VPN-IN

  • Critérios de correspondência:

    • host2-Net de endereço fonte

    • Host1-Net de endereço de destino

    • qualquer aplicativo

  • Ação: permitir

Tabela 5: Parâmetros de configuração do TCP-MSS

Propósito

Parâmetros de configuração

O TCP-MSS é negociado como parte do TCP de três vias e limita o tamanho máximo de um segmento de TCP para se adequar melhor aos limites de MTU em uma rede. Para o tráfego VPN, a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga do quadro, podem fazer com que o pacote ESP resultante exceda a MTU da interface física, o que causa fragmentação. A fragmentação aumenta a largura de banda e os recursos do dispositivo.

Recomendamos um valor de 1350 como ponto de partida para a maioria das redes baseadas em Ethernet com MTU de 1500 ou mais. Você pode precisar experimentar diferentes valores de TCP-MSS para obter o melhor desempenho. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver um MTU menor ou se houver alguma sobrecarga adicional, como PPP ou Frame Relay.

Valor do MSS: 1350

Configuração

Configure informações básicas de rede e zona de segurança

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar a interface, a rota estática e as informações da zona de segurança:

  1. Configure as interfaces.

  2. Configure as rotas estáticas.

  3. Atribua a interface voltada para a Internet à zona de segurança não confiável.

  4. Especifique os serviços de sistema permitidos para a zona de segurança não confiável.

  5. Atribua a interface voltada para o Host1 para a zona de segurança de confiança.

  6. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

  7. Atribua a interface de túnel seguro à zona de segurança vpn.

  8. Especifique os serviços de sistema permitidos para a zona de segurança vpn.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do IKE

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie a proposta IKE.

  2. Defina o método de autenticação da proposta de IKE.

  3. Crie uma política de IKE.

  4. Defina o modo de política de IKE.

  5. Especifique uma referência à proposta IKE.

  6. Defina o método de autenticação de políticas de IKE.

  7. Crie um gateway IKE e defina sua interface externa.

  8. Defina a referência da política de IKE.

  9. Defina o endereço de gateway IKE.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do IPsec

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de IPsec.

  2. Crie a política de IPsec.

  3. Especifique a referência da proposta de IPsec.

  4. Especifique o gateway IKE.

  5. Especifique a política de IPsec.

  6. Especifique a interface para vincular.

  7. Configure o túnel para estabelecer imediatamente.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração de políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente as políticas de segurança para o SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar políticas de segurança:

  1. Crie entradas de livros de endereços para as redes que serão usadas nas políticas de segurança.

  2. Crie uma política de segurança para permitir o tráfego da zona de confiança até a zona não confiável para o tráfego para a Internet.

  3. Crie uma política de segurança para permitir o tráfego do Host1 na zona de confiança destinada ao Host2 na zona de VPN.

  4. Crie uma política de segurança para permitir o tráfego do Host2 na zona de VPN até o Host1 na zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security address-book comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do TCP-MSS

Configuração rápida da CLI

Para configurar rapidamente o TCP MSS para SRX1, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar as informações do TCP-MSS:

  1. Configure as informações do TCP-MSS.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security flow comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do SRX2

Configuração rápida da CLI

Para referência, a configuração para o SRX2 é fornecida.

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]commit modo de configuração.

Verificação

Execute essas tarefas para confirmar que a configuração está funcionando corretamente:

Verifique o status do IKE

Propósito

Verifique o status do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todos os SAs IKE ativos. Se nenhum SAs estiver listado, houve um problema com o estabelecimento do IKE. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto.

  • Estado

    • UP — O IKE SA foi estabelecido.

    • DOWN — Havia um problema em estabelecer o IKE SA.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta (devem combinar com ambos os pares)

O show security ike security-associations index 1859340 detail comando lista informações adicionais sobre a associação de segurança com um número de índice de 1859340:

  • Algoritmos de autenticação e criptografia usados

  • vida

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações em andamento

Verifique o status do IPsec

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O número de ID é 131074. Use esse valor com o show security ipsec security-associations index comando para obter mais informações sobre este SA em particular.

  • Há um par de SA IPsec usando a porta 500, o que indica que nenhuma transversal de NAT é implementada. (A travessia de NAT usa a porta 4500 ou outra porta aleatória de alto número.)

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 3403/ilimitado indica que a vida útil expira em 3403 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil pode ser diferente da vida útil, já que o IPsec não depende do IKE após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída do show security ipsec security-associations index 131074 detail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para a SA.

    Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha de IPsec. Se nenhuma SA IPsec estiver listada, confirme que as propostas de IPsec, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.

  • Outra razão comum para falha de IPsec é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.

Teste o fluxo de tráfego em toda a VPN

Propósito

Verifique o fluxo de tráfego por toda a VPN.

Ação

Use o ping comando do dispositivo Host1 para testar o fluxo de tráfego para o Host2.

Significado

Se o ping comando falhar no Host1, pode haver um problema com o roteamento, políticas de segurança, host final ou criptografia e descriptografia de pacotes ESP.

Analise estatísticas e erros para uma associação de segurança IPsec

Propósito

Analise os contadores e erros de cabeçalho de autenticação e ESP para uma associação de segurança IPsec.

Ação

A partir do modo operacional, entre no show security ipsec statistics index index_number comando, usando o número de índice da VPN para a qual você deseja ver estatísticas.

Você também pode usar o show security ipsec statistics comando para revisar estatísticas e erros para todos os SAs.

Para limpar todas as estatísticas de IPsec, use o clear security ipsec statistics comando.

Significado

Se você ver problemas de perda de pacotes em uma VPN, execute ou show security ipsec statisticsshow security ipsec statistics detail comando várias vezes para confirmar se os contadores de pacotes criptografados e descriptografados estão aumentando. Veja na saída de comando qualquer contador de erros de incremento.