Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN baseada em rotas com IKEv2

Internet Key Exchange versão 2 (IKEv2) é um protocolo de tunelamento baseado em IPsec que fornece um canal de comunicação VPN seguro entre dispositivos VPN peer e define negociação e autenticação para associações de segurança IPsec (SAs) de forma protegida.

Tabela 1 descreve os valores IPsec Radius xAuth ou CP.

Tabela 1: Valores de IPsec Radius xAuth ou CP
Atributo Radius ID do atributo Nome do atributo ID do fornecedor (Um único fornecedor) ID do atributo do fornecedor Valor do atributo Tipo
Padrão 8 Endereço IP emoldurado NA NA Endereço IP Endereço IPv4
Padrão 9 Massa de rede IP emoldurada NA NA Endereço IP Endereço IPv4
Padrão 88 Grupo emoldurado NA NA Nome Texto
Padrão 100 Pool IPv6 emoldurado NA NA Nome Texto
Fornecedor 26 DNS primária 4874 (Juniper ERX) 4 Endereço IP Endereço IPv4
Fornecedor 26 DNS secundária 4874 (Juniper ERX) 5 Endereço IP Endereço IPv4
Fornecedor 26 GANHOs primários (NBNS) 4874 (Juniper ERX) 6 Endereço IP Endereço IPv4
Fornecedor 26 GANHOs secundários (NBNS) 4874 (Juniper ERX) 7 Endereço IP Endereço IPv4
Fornecedor 26 DNS primária IPv6 4874 (Juniper ERX) 47 Endereço IP hex-string ou octets
Fornecedor 26 DNS secundária IPv6 4874 (Juniper ERX) 48 Endereço IP hex-string ou octets

Exemplo: Configurando uma VPN baseada em rota para iKEv2

Este exemplo mostra como configurar uma VPN IPsec baseada em rota para permitir que os dados sejam transferidos com segurança entre uma filial e um escritório corporativo.

Requisitos

Este exemplo usa o seguinte hardware:

  • Dispositivo SRX240

  • Dispositivo SSG140

Antes de começar, leia Visão geral do IPsec.

Visão geral

Neste exemplo, você configura uma VPN baseada em rota para uma filial em Chicago, Illinois, porque você deseja conservar recursos de túneis, mas ainda assim obter restrições granulares no tráfego de VPN. Os usuários do escritório de Chicago usarão a VPN para se conectar à sede corporativa em Sunnyvale, Califórnia.

Neste exemplo, você configura interfaces, uma rota padrão IPv4, zonas de segurança e livros de endereços. Em seguida, você configura a Fase 1, A Fase 2 do IPsec, uma política de segurança e parâmetros TCP-MSS. Tabela 6 Veja Tabela 2 parâmetros de configuração específicos usados neste exemplo.

Tabela 2: Informações sobre interface, rota estática, zona de segurança e livro de endereços

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0,0

192.168.10.1/24

ge-0/0/3,0

10.1.1.2/30

st0.0 (interface de túnel)

10.11.11.10/24

Rotas estáticas

0,0,0,0/0 (rota padrão)

O próximo salto é 10.1.1.1.

192.168.168.0/24

O próximo salto é st0.0.

Zonas de segurança

confiança

  • Todos os serviços do sistema são permitidos.

  • A interface ge-0/0/0.0 está vinculada a essa zona.

desconfiança

  • O IKE é o único serviço de sistema permitido.

  • A interface ge-0/0/3.0 está vinculada a essa zona.

vpn-chicago

A interface st0.0 está vinculada a essa zona.

Entradas da lista de endereços

Sunnyvale

  • Este endereço é para a lista de endereços da zona de confiança.

  • O endereço para esta entrada na lista de endereços é 192.168.10.0/24.

Chicago

  • Este endereço é para a lista de endereços da zona não confiável.

  • O endereço para esta inscrição no livro de endereços é 192.168.168.0/24.

Tabela 3: Parâmetros de configuração da Fase 1 do IKE

Recursos

Nome

Parâmetros de configuração

Proposta

ike-phase1-proposal

  • Método de autenticação: chaves pré-compartilhadas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticação: sha1

  • Algoritmo de criptografia: aes-128-cbc

Política

política ike-phase1

  • Modo: principal

  • Referência da proposta: ike-phase1-proposal

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Porta

gw-chicago

  • Referência de política de IKE: política ike-phase1

  • Interface externa: ge-0/0/3,0

  • Endereço do gateway: 10.2.2.2.2

Tabela 4: Parâmetros de configuração da Fase 2 do IPsec

Recursos

Nome

Parâmetros de configuração

Proposta

proposta ipsec-phase2

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-sha1-96

  • Algoritmo de criptografia: aes-128-cbc

Política

política ipsec-phase2

  • Referência da proposta: proposta ipsec-phase2

  • PFS: Grupo Diffie-Hellman2

VPN

ipsec-vpn-chicago

  • Referência de gateway IKE: gw-chicago

  • Referência de política de IPsec: política ipsec-phase2

  • Vincule-se à interface: st0.0

Tabela 5: Parâmetros de configuração de políticas de segurança

Propósito

Nome

Parâmetros de configuração

A política de segurança permite o tráfego da zona de confiança até a zona vpn-chicago.

vpn-tr-chi

  • Critérios de correspondência:

    • endereço-fonte sunnyvale

    • endereço de destino chicago

    • qualquer aplicativo

  • Ação: permitir

A política de segurança permite o tráfego da zona vpn-chicago para a zona de confiança.

vpn-chi-tr

  • Critérios de correspondência:

    • endereço-fonte chicago

    • endereço de destino sunnyvale

    • qualquer aplicativo

  • Ação: permitir

Tabela 6: Parâmetros de configuração do TCP-MSS

Propósito

Parâmetros de configuração

O TCP-MSS é negociado como parte do TCP de três vias e limita o tamanho máximo de um segmento de TCP para se adequar melhor aos limites de MTU em uma rede. Para o tráfego VPN, a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga do quadro, podem fazer com que o pacote ESP resultante exceda a MTU da interface física, o que causa fragmentação. A fragmentação aumenta a largura de banda e os recursos do dispositivo.

Recomendamos um valor de 1350 como ponto de partida para a maioria das redes baseadas em Ethernet com MTU de 1500 ou mais. Você pode precisar experimentar diferentes valores de TCP-MSS para obter o melhor desempenho. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver um MTU menor ou se houver alguma sobrecarga adicional, como PPP ou Frame Relay.

Valor do MSS: 1350

Configuração

Configuração de interface, rota estática, zona de segurança e informações do livro de endereços

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar a interface, a rota estática, a zona de segurança e as informações do livro de endereços:

  1. Configure as informações da interface Ethernet.

  2. Configure informações de rota estáticas.

  3. Configure a zona de segurança não confiável.

  4. Atribua uma interface à zona de segurança.

  5. Especifique os serviços de sistema permitidos para a zona de segurança.

  6. Configure a zona de segurança de confiança.

  7. Atribua uma interface à zona de segurança de confiança.

  8. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

  9. Configure a entrada da lista de endereços para a zona de segurança de confiança.

  10. Configure a zona de segurança vpn-Chicago.

  11. Atribua uma interface à zona de segurança.

  12. Configure a entrada do livro de endereços para a zona vpn-chicago.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie a proposta da Fase 1 do IKE.

  2. Defina o método de autenticação da proposta de IKE.

  3. Defina a proposta de IKE do grupo Diffie-Hellman.

  4. Defina o algoritmo de autenticação de propostas de IKE.

  5. Defina o algoritmo de criptografia de propostas de IKE.

  6. Crie uma política de Fase 1 do IKE.

  7. Especifique uma referência à proposta IKE.

  8. Defina o método de autenticação de políticas da Fase 1 do IKE.

  9. Crie um gateway IKE Fase 1 e defina sua interface externa.

  10. Defina a referência de política da Fase 1 do IKE.

  11. Defina o endereço de gateway da Fase 1 da IKE.

  12. Defina a versão de gateway da Fase 1 do IKE.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IPsec

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de Fase 2 do IPsec.

  2. Especifique o protocolo de proposta da Fase 2 do IPsec.

  3. Especifique o algoritmo de autenticação da proposta de fase 2 do IPsec.

  4. Especifique o algoritmo de criptografia de propostas de Fase 2 do IPsec.

  5. Crie a política de Fase 2 do IPsec.

  6. Especifique a referência da proposta da Fase 2 do IPsec.

  7. Especifique o IPsec Phase 2 PFS para usar o Grupo Diffie-Hellman 2.

  8. Especifique o gateway IKE.

  9. Especifique a política de Fase 2 do IPsec.

  10. Especifique a interface para vincular.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar políticas de segurança:

  1. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn-chicago.

  2. Crie a política de segurança para permitir o tráfego da zona vpn-chicago para a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do TCP-MSS

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar as informações do TCP-MSS:

  1. Configure as informações do TCP-MSS.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security flow comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do dispositivo da Série SSG

Configuração rápida da CLI

Para referência, a configuração para o dispositivo da Série SSG é fornecida. Para obter informações sobre a configuração de dispositivos da Série SSG, veja o Concepts & Examples ScreenOS Reference Guide, que está localizado em https://www.juniper.net/documentation.

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Antes de iniciar o processo de verificação, você precisa enviar tráfego de um host na rede 192.168.10/24 para um host na rede 192.168.168/24. Para VPNs baseadas em rota, o tráfego pode ser iniciado pelo firewall da Série SRX através do túnel. Recomendamos que, ao testar túneis IPsec, o tráfego de teste seja enviado de um dispositivo separado de um lado da VPN para um segundo dispositivo do outro lado da VPN. Por exemplo, inicie um ping de 192.168,10,10 para 192.168.168,10.

A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto.

  • Estado

    • UP — A FASE 1 SA foi estabelecida.

    • DOWN — Havia um problema em estabelecer a Fase 1 SA.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE).

  • Parâmetros de política de IKE.

  • Informações chave pré-compartilhadas.

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares).

O show security ike security-associations index 1 detail comando lista informações adicionais sobre a SA com um índice de 1:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O número de ID é 16384. Use esse valor com o show security ipsec security-associations index comando para obter mais informações sobre este SA em particular.

  • Há um par de SA IPsec usando a porta 500.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 3363/ilimitado indica que a vida útil da Fase 2 expira em 3363 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, porque a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O vsys é o sistema raiz, e ele está sempre listado como 0.

  • O IKEv2 permite conexões de uma versão 2 peer e iniciará uma negociação versão 2.

A saída do show security ipsec security-associations index 16384 detail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para a SA.

    Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha na Fase 2. Se nenhuma SA IPsec estiver listada, confirme que as propostas da Fase 2, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.

  • Outra razão comum para falha na Fase 2 é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.

Revisão de estatísticas e erros para uma associação de segurança IPsec

Propósito

Analise os contadores e erros de cabeçalho de autenticação e ESP para um SA IPsec.

Ação

A partir do modo operacional, entre no show security ipsec statistics index index_number comando, usando o número de índice da VPN para a qual você deseja ver estatísticas.

Você também pode usar o show security ipsec statistics comando para revisar estatísticas e erros para todos os SAs.

Para limpar todas as estatísticas de IPsec, use o clear security ipsec statistics comando.

Significado

Se você ver problemas de perda de pacotes em uma VPN, você pode executar o show security ipsec statistics ou show security ipsec statistics detail comandar várias vezes para confirmar que os contadores de pacotes criptografados e descriptografados estão aumentando. Você também deve verificar se os outros contadores de erros estão aumentando.

Teste de fluxo de tráfego em toda a VPN

Propósito

Verifique o fluxo de tráfego por toda a VPN.

Ação

Você pode usar o ping comando do firewall da Série SRX para testar o fluxo de tráfego para um PC host remoto. Certifique-se de especificar a interface de origem para que a busca por rotas esteja correta e que as zonas de segurança apropriadas sejam mencionadas durante a busca de políticas.

A partir do modo operacional, entre no ping comando.

Você também pode usar o ping comando do dispositivo da Série SSG.

Significado

Se o ping comando falhar na Série SRX ou dispositivo da Série SSG, pode haver um problema com o roteamento, políticas de segurança, host final ou criptografia e descriptografia de pacotes ESP.

Exemplo: Configuração da Série SRX para provisionamento de células pico com carga útil de configuração IKEv2

Em redes onde muitos dispositivos estão sendo implantados, o gerenciamento da rede precisa ser simples. O recurso de carga de configuração IKEv2 oferece suporte ao provisionamento desses dispositivos sem tocar na configuração do dispositivo ou na configuração da Série SRX. Este exemplo mostra como configurar uma Série SRX para oferecer suporte ao provisionamento de células pico usando o recurso de carga de configuração IKEv2.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX configurados em um cluster de chassi

  • Um firewall da Série SRX configurado como um roteador intermediário

  • Dois clientes da pico cell

  • Um servidor RADIUS configurado com informações de provisionamento de clientes pico cell

  • Junos OS Release 12.1X46-D10 ou posterior para suporte de carga de configuração IKEv2

Visão geral

Neste exemplo, uma Série SRX usa o recurso de carga útil de configuração IKEv2 para propagar informações de provisionamento a uma série de células pico. As células pico são enviadas da fábrica com uma configuração padrão que lhes permite se conectar à Série SRX, mas as informações de provisionamento de células pico são armazenadas em um servidor RADIUS externo. As células pico recebem informações completas de provisionamento depois de estabelecer conexões seguras com servidores de provisionamento em uma rede protegida. A carga de configuração do IKEv2 é compatível com IPv4 e IPV6. Este exemplo abrange a carga de configuração IKEv2 para IPv4, no entanto, você também pode configurar com endereços IPv6.

A partir do Junos OS Release 20.3R1, oferecemos suporte à carga de configuração IKEv2 IPv6 para atribuir endereço IPv6 em SRX5000 processo iked de linha em execução. O mesmo suporte está incluído no firewall virtual vSRX que executa processo iked a partir do Junos OS Release 21.1R1.

Figura 1 mostra uma topologia na qual a Série SRX oferece suporte ao provisionamento de células pico usando o recurso de carga de configuração IKEv2.

Figura 1: Suporte da Série SRX para provisionamento de células pico com carga útil de configuração IKEv2Suporte da Série SRX para provisionamento de células pico com carga útil de configuração IKEv2

Cada célula pico nesta topologia inicia duas VPNs IPsec: um para gerenciamento e outro para dados. Neste exemplo, o tráfego de gerenciamento usa o túnel OAM com rótulo de túnel, enquanto o tráfego de dados flui pelo túnel rotulado de Túnel 3GPP. Cada túnel oferece suporte a conexões com servidores de provisionamento OAM e 3GPP em redes configuráveis separadas, exigindo instâncias de roteamento e VPNs separadas. Este exemplo fornece as opções de Fase 1 e Fase 2 do IKE para estabelecer as OAM e as VPNs 3GPP.

Neste exemplo, a Série SRX atua como o servidor de carga útil de configuração IKEv2, adquirindo informações de provisionamento do servidor RADIUS e fornecendo essas informações aos clientes pico cell. A Série SRX devolve as informações de provisionamento para cada cliente autorizado na carga de configuração IKEv2 durante a negociação do túnel. A Série SRX não pode ser usada como um dispositivo cliente.

Além disso, a Série SRX usa as informações de carga útil da configuração IKEv2 para atualizar os valores do iniciador seletor de tráfego (TSi) e do respondente seletor de tráfego (TSr) trocados com o cliente durante a negociação do túnel. A carga de configuração usa os valores TSi e TSr que estão configurados na Série SRX usando a proxy-identity declaração no nível [edit security ipsec vpn vpn-name ike] de hierarquia. Os valores do TSi e do TSr definem o tráfego de rede para cada VPN.

O roteador intermediário roteia o tráfego pico cell para as interfaces apropriadas na Série SRX.

O processo a seguir descreve a sequência de conexão:

  1. A célula pico inicia um túnel IPsec com a Série SRX usando a configuração de fábrica.

  2. A Série SRX autentica o cliente usando as informações do certificado do cliente e o certificado raiz do CA que está inscrito na Série SRX. Após a autenticação, a Série SRX passa as informações de identidade do IKE do certificado do cliente para o servidor RADIUS em uma solicitação de autorização.

  3. Após autorizar o cliente, o servidor RADIUS responde à Série SRX com as informações de provisionamento do cliente:

    • Endereço IP (valor TSi)

    • Máscara de sub-rede IP (opcional; o padrão é de 32 bits)

    • Endereço DNS (opcional)

  4. A Série SRX devolve as informações de provisionamento na carga de configuração IKEv2 para cada conexão do cliente, e troca os valores finais de TSi e TSr com as células pico. Neste exemplo, a Série SRX fornece as seguintes informações de TSi e TSr para cada VPN:

    Conexão VPN

    Valores de TSi/TSr fornecidos pelo SRX

    Pico 1 OAM

    Eti: 10.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Eti: 10.13.1.201/32, TSr: 192.168.3.0/24, TSr: 10.13.0.0/16

    Pico 2 OAM

    Eti: 10.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Eti: 10.13.1.205/32, TSr: 192.168.3.0/24, TSr: 10.13.0.0/16

    Se as informações de provisionamento fornecidas pelo servidor RADIUS incluirem uma máscara de sub-rede, a Série SRX devolverá um segundo valor de TSr para a conexão do cliente que inclui a sub-rede IP. Isso permite a comunicação intrapeer para dispositivos nessa sub-rede. Neste exemplo, a comunicação intrapeer é habilitada para a sub-rede associada à VPN 3GPP (13.13.0.0/16).

    O recurso de carga de configuração IKEv2 é suportado tanto para interfaces de túnel seguro de ponto a multiponto (st0) quanto para interfaces ponto a ponto. Para interfaces de ponto a multiponto, as interfaces devem ser numeradas, e os endereços fornecidos na carga de configuração devem estar dentro da faixa de sub-rede da interface ponto a multiponto associada.

    A partir do Junos OS Release 20.1R1, oferecemos suporte ao recurso de carga de configuração IKEv2 com interfaces ponto a ponto em SRX5000 linha e firewall virtual vSRX em execução iked.

Tabela 7 mostra as opções de Fase 1 e Fase 2 configuradas na Série SRX, incluindo informações para estabelecer túneis OAM e 3GPP.

Tabela 7: Opções de Fase 1 e Fase 2 para a Série SRX

Opção

Value

Proposta de IKE:

Nome da proposta

IKE_PROP

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 256 CBC

Política de IKE:

Nome da política de IKE

IKE_POL

Certificado local

Example_SRX

Gateway IKE (OAM):

Política de IKE

IKE_POL

Endereço IP remoto

dinâmico

Tipo de usuário IKE

grupo ike-id

Local IKE ID

nome de host srx_series.example.net

ID remoto de IKE

nome de host .pico_cell.net

Interface externa

reth0.0

Perfil de acesso

radius_pico

Versão IKE

somente v2

Gateway IKE (3GPP):

Política de IKE

IKE_POL

Endereço IP remoto

Dinâmico

Tipo de usuário IKE

grupo ike-id

Local IKE ID

OU=srx_series curinga de nome distinto

ID remoto de IKE

OU=pico_cell curinga de nome distinto

Interface externa

reth1

Perfil de acesso

radius_pico

Versão IKE

somente v2

Proposta de IPsec:

Nome da proposta

IPSEC_PROP

Protocolo

ESP

Algoritmo de autenticação

HMAC SHA-1 96

Algoritmo de criptografia

AES 256 CBC

Política de IPsec:

Nome da política

IPSEC_POL

Chaves perfeitas de sigilo de encaminhamento (PFS)

grupo5

Propostas de IPsec

IPSEC_PROP

VPN IPsec (OAM):

Interface de vinculação

st0.0

Gateway IKE

OAM_GW

Identidade de proxy local

192.168.2.0/24

Identidade de proxy remota

0.0.0.0/0

Política de IPsec

IPSEC_POL

VPN IPsec (3GPP):

Interface de vinculação

st0.1

Gateway IKE

3GPP_GW

Identidade de proxy local

192.168.3,0/24

Identidade de proxy remota

0.0.0.0/0

Política de IPsec

IPSEC_POL

Os certificados são armazenados nas células pico e na Série SRX.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Configuração

Configuração da Série SRX

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar a Série SRX:

  1. Configure o cluster do chassi.

  2. Configure interfaces.

  3. Configure opções de roteamento.

  4. Especifique zonas de segurança.

  5. Crie o perfil RADIUS.

  6. Configure as opções de Fase 1.

  7. Especifique as opções de Fase 2.

  8. Especifique as instâncias de roteamento.

  9. Especifique as políticas de segurança para permitir o tráfego local a local.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show chassis clustershow security ikeshow interfacesshow access profile radius_picoshow security ipsecshow security zonesshow routing-instancescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do roteador intermediário

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o roteador intermediário:

  1. Configure interfaces.

  2. Configure opções de roteamento.

  3. Especifique zonas de segurança.

  4. Especifique as políticas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show routing-optionsshow security zonese show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração da célula pico (configuração de amostra)

Procedimento passo a passo

As informações da célula pico neste exemplo são fornecidas para referência. As informações detalhadas da configuração da célula pico estão além do escopo deste documento. A configuração da fábrica de células pico deve incluir as seguintes informações:

  • Informações de identidade local (X.509v3) e IKE

  • Valores de seletor de tráfego (TSi, TSr) definidos para qualquer/qualquer (0.0.0.0/0)

  • Informações de identidade de IKE da Série SRX e endereço IP público

  • Propostas de Fase 1 e Fase 2 que combinam com a configuração da Série SRX

As células pico neste exemplo usam um software de código aberto strongSwan para conexões VPN baseadas em IPsec. Essas informações são usadas pela Série SRX para o provisionamento de células pico usando o recurso de carga de configuração IKEv2. Em redes onde muitos dispositivos estão sendo implantados, a configuração da célula pico pode ser idêntica, exceto pelas informações de certificado (leftcert) e identidade (leftid). As configurações de amostra a seguir ilustram as configurações de fábrica.

  1. Analise a configuração do Pico 1:

    Pico 1: Configuração de amostra

  2. Analise a configuração do Pico 2:

    Configuração de amostra do Pico 2

Configuração do servidor RADIUS (Configuração de amostra usando um FreeRADIUS)

Procedimento passo a passo

As informações do servidor RADIUS neste exemplo são fornecidas para referência. As informações completas de configuração do servidor RADIUS estão além do escopo deste documento. As informações a seguir são devolvidas à Série SRX pelo servidor RADIUS:

  • Endereço IP emoldurado

  • Massa de rede IP emoldurada (opcional)

  • DNS primária e DNS secundária (opcional)

Neste exemplo, o servidor RADIUS tem informações de provisionamento separadas para as conexões OAM e 3GPP. O nome do usuário é extraído das informações do certificado do cliente fornecidas na solicitação de autorização da Série SRX.

Se o servidor RADIUS adquirir informações de provisionamento de clientes de um servidor DHCP, as informações de identidade do cliente transmitidas ao servidor DHCP pelo servidor RADIUS devem ser consistentes com as informações de identidade de IKE do cliente transmitidas ao servidor RADIUS pelo firewall da Série SRX. Isso garante a continuidade da identidade do cliente em todos os vários protocolos.

O canal de comunicação entre o firewall da Série SRX e o servidor RADIUS é protegido por um segredo compartilhado RADIUS.

  1. Analise a configuração RADIUS para a VPN Pico 1 OAM. O servidor RADIUS tem as seguintes informações:

    Configuração DE AMOSTRA RADIUS no Junos OS Versões 12.3X48 e Junos OS antes de 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 e 18.1R3-S2:

    Exemplo de configuração do FreeRADIUS:

    Configuração de RADIUS de amostra a partir das versões Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 e 18.1R3-S2:

    Exemplo de configuração do FreeRADIUS:

    Neste caso, o servidor RADIUS oferece a máscara de sub-rede padrão (255.255.255.255), que bloqueia o tráfego intrapeer.

  2. Analise a configuração RADIUS para a VPN Pico 1 3GPP. O servidor RADIUS tem as seguintes informações:

    Configuração DE AMOSTRA RADIUS no Junos OS Versões 12.3X48 e Junos OS antes de 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 e 18.1R3-S2:

    Exemplo de configuração do FreeRADIUS:

    Configuração de RADIUS de amostra a partir das versões Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 e 18.1R3-S2:

    Exemplo de configuração do FreeRADIUS:

    Neste caso, o servidor RADIUS oferece um valor de máscara de sub-rede (255.255.0.0), que permite o tráfego intrapeer.

    A partir do Junos OS Release 20.1R1, você pode configurar uma senha comum para solicitações de carga de configuração IKEv2 para uma configuração de gateway IKE. A senha comum na faixa de 1 a 128 caracteres permite que o administrador defina uma senha comum. Essa senha é usada entre o firewall da Série SRX e o servidor RADIUS quando o firewall da Série SRX solicita um endereço IP em nome de um peer IPsec remoto usando a carga de configuração IKEv2. O servidor RADIUS valida as credenciais antes de fornecer qualquer informação de IP ao firewall da Série SRX para a solicitação de carga de configuração. Você pode configurar a senha comum usando config-payload-password configured-password a declaração de configuração no [edit security ike gateway gateway-name aaa access-profile access-profile-name] nível de hierarquia. Além disso, este exemplo cria dois túneis a partir do mesmo certificado de cliente usando diferentes partes do certificado para informações de nome de usuário (identidade IKE).

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o status da Fase 1 do IKE para a Série SRX

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Do modo operacional no nó 0, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE com dispositivos pico cells. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração. Este exemplo mostra apenas a IKE Phase 1 SA para a VPN OAM; no entanto, uma SA IKE Fase 1 separada será exibida mostrando os parâmetros da Fase 1 do IKE para a VPN 3GPP.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada IKE SA: você pode usar o show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP local está correto e que a porta 500 está sendo usada para comunicação peer-to-peer.

  • Estado de resposta a funções:

    • Ativação — a SA da Fase 1 foi estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

  • ID de IKE por peer (remoto) — Verifique se as informações do certificado estão corretas.

  • Identidade local e identidade remota — Verifique se esses endereços estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se os seguintes itens estão corretos em sua configuração:

  • Interfaces externas (a interface deve ser a que envia pacotes IKE)

  • Parâmetros de política de IKE

  • Parâmetros da proposta da fase 1 (devem combinar entre pares)

O show security ike security-associations comando lista as seguintes informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando associações de segurança IPsec para a Série SRX

Propósito

Verifique o status do IPsec.

Ação

Do modo operacional no nó 0, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations detail comando.

Significado

Esses exemplos mostram os SAs ativos da Fase 2 do IKE para o Pico 1. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 2. Verifique os parâmetros de política IPsec em sua configuração. Para cada SA da Fase 2 (OAM e 3GPP), as informações são fornecidas na direção de entrada e saída. A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço IP de 10.1.1.1.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O 3529/ valor indica que a vida útil da Fase 2 expira em 3529 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da Fase 2 pode ser diferente da vida útil da Fase 1, porque a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída acima do show security ipsec security-associations index index_id detail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para a SA.

    Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha na Fase 2. Se nenhuma SA IPsec estiver listada, confirme que as propostas da Fase 2, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.

  • Algoritmos de autenticação e criptografia usados.

  • Parâmetros da proposta da fase 2 (devem combinar entre pares).

  • Ligações de túnel seguro (st0.0 e st0.1) aos gateways OAM e 3GPP.

Política de IKE com um CA confiável

Este exemplo mostra como vincular um servidor CA confiável a uma política de IKE do peer.

Antes de começar, você deve ter uma lista de todos os CAs confiáveis que deseja associar à política de IKE dos peer.

Você pode associar uma política de IKE a um único perfil de CA confiável ou a um grupo de CA confiável. Para estabelecer uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado. Um certificado emitido por qualquer fonte que não seja o CA confiável ou grupo de CA confiável não é validado. Se houver uma solicitação de validação de certificado vinda de uma política de IKE, então o perfil ca associado da política de IKE validará o certificado. Se uma política de IKE não estiver associada a nenhum CA, então, por padrão, o certificado será validado por qualquer um dos perfis de CA configurados.

Neste exemplo, um perfil de CA nomeado root-ca é criado e um root-ca-identity está associado ao perfil.

Você pode configurar um máximo de 20 perfis de CA que deseja adicionar a um grupo de CA confiável. Você não pode confirmar sua configuração se configurar mais de 20 perfis de CA em um grupo de CA confiável.

  1. Crie um perfil de CA e associe um identificador de CA ao perfil.
  2. Defina uma proposta de IKE e o método de autenticação de propostas de IKE.
  3. Definir o grupo Diffie-Hellman, algoritmo de autenticação, um algoritmo de criptografia para a proposta IKE.
  4. Configure uma política de IKE e associe a política à proposta de IKE.
  5. Configure um identificador de certificado local para a política de IKE.
  6. Definir o CA a ser usado para a política de IKE.

Para visualizar os perfis de CA e os grupos de CA confiáveis configurados em seu dispositivo, execute show security pki o comando.

O show security ike comando exibe o grupo de perfil de CA sob a política de IKE nomeada ike_policy e o certificado associado à política de IKE.