Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

IKE y ESP ALG

date_range 06-Jun-23

El intercambio de claves por internet (IKE) y la carga de seguridad de encapsulación (ESP) forman parte del protocolo de seguridad IP (IPsec). El tráfico de IKE y ESP se intercambia entre los clientes y el servidor. IKE y ESP ALG ayudan a resolver los problemas de vpn IPsec cuando la VPN IPsec pasa a través del dispositivo cuyo TDR está habilitado.

Descripción de IKE y ESP ALG

Un firewall serie NFX o serie SRX puede usarse únicamente como dispositivo de traducción de direcciones de red (TDR) cuando se coloca entre clientes VPN en el lado privado de la puerta de enlace TDR y las puertas de enlace de red privada virtual (VPN) en el lado público.

El tráfico de intercambio de claves por internet (IKE) y carga de seguridad de encapsulación (ESP) se intercambia entre los clientes y el servidor. Sin embargo, si los clientes no admiten TDR-Traversal (NAT-T) y si el dispositivo asigna la misma dirección IP generada por TDR a dos o más clientes, el dispositivo no podrá distinguir y enrutar correctamente el tráfico de retorno.

Nota:

Si el usuario desea admitir clientes compatibles con NAT-T y clientes que no son compatibles con NAT-T, entonces se requieren algunas configuraciones adicionales. Si hay clientes compatibles con TDR-T, el usuario debe habilitar la persistencia de dirección TDR de origen.

AlG para IKE y ESP monitorea el tráfico de IKE entre el cliente y el servidor y permite solo un intercambio de mensajes de fase 2 de IKE entre un determinado par de cliente y servidor, no solo un intercambio entre un cliente y un servidor.

Se creó ALG para el tráfico de IKE y ESP y se mejoró la TDR para implementar lo siguiente:

  • Para permitir que los dispositivos pasen tráfico de IKE y ESP con un grupo TDR de origen

  • Para permitir que el dispositivo se configure para devolver la misma dirección IP generada por TDR para la misma dirección IP sin TDR ("TDR persistente de dirección"). Como resultado, el dispositivo es capaz de asociar el tráfico de IKE saliente de un cliente con el tráfico de retorno del servidor, especialmente cuando el tiempo de espera de la sesión de IKE y debe restablecerse.

  • También se permite el tráfico ESP resultante entre el cliente y el servidor, especialmente en la dirección del servidor al cliente.

  • El tráfico ESP devuelto coincide con lo siguiente:

    • La dirección IP del servidor como IP de origen

    • La dirección IP del cliente como IP de destino

Nota:

En los dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX5600 o SRX5800, las negociaciones de IKE que implican el recorrido TDR no funcionan si el par IKE está detrás de un dispositivo TDR que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo TDR está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)

Descripción de la operación de IKE y ESP ALG

La puerta de enlace de capa de aplicación (ALG) para el intercambio de claves por internet (IKE) y el tráfico de carga de seguridad de encapsulación (ESP) tiene el siguiente comportamiento:

  • IKE y ESP ALG monitorean el tráfico de IKE entre el cliente y el servidor, y permiten solo un intercambio de mensajes de fase 2 de IKE entre el cliente y el servidor en un momento dado.

  • Para un mensaje de fase 2:

    • Si no se produce un intercambio de mensajes de fase 2 entre el cliente y el servidor, se abren las puertas ALG de IKE para el tráfico ESP relevante del cliente al servidor y del servidor al cliente.

    • Si las puertas ALG de IKE no se abren correctamente o si ya se produjo el intercambio de mensajes de fase 2, se pierde el mensaje de fase 2.

  • Cuando el tráfico ESP llega a las puertas ALG de IKE, se crean sesiones para capturar el tráfico de ESP subsiguiente y realizar la NATing adecuada (es decir, la traducción de la dirección IP de origen del cliente al tráfico del servidor y la traducción de la dirección IP de destino del servidor al tráfico del cliente).

  • Cuando el tráfico ESP no llega a ninguna de las puertas o a ambas, estas, naturalmente, tienen un tiempo de descanso.

  • Una vez que las puertas ALG de IKE se contraen o se contraen el tiempo de espera, se permite otro intercambio de mensajes de fase 2 de IKE.

  • El tráfico T-T de IKE en el puerto flotante 4500 no se procesa en una ALG IKE. Para admitir una combinación de clientes compatibles con TDR y clientes no capaces, debe habilitar la dirección TDR de origen persistente.

Ejemplo: Configuración de IKE y ESP ALG

En este ejemplo, se muestra cómo configurar IKE y ESP ALG para pasar a través del tráfico de IKE y ESP con un grupo TDR de origen en dispositivos de Juniper Networks.

Requisitos

Antes de empezar:

Visión general

En este ejemplo, ALG para IKE y ESP está configurado para supervisar y permitir el intercambio de tráfico de IKE y ESP entre los clientes y el servidor ubicado en lados opuestos de un dispositivo Juniper Networks.

En este ejemplo, se muestra cómo configurar un conjunto TDR de origen y un conjunto de reglas, configurar una aplicación personalizada para que admita IKE y ESP ALG, y asociar esta ALG a una política.

Si desea admitir una combinación de clientes compatibles con TDR-traversal (TDR-T) y clientes no capaces, debe habilitar la traducción TDR de origen persistente (de modo que una vez que un TDR de origen determinado se asocia con una dirección IP determinada, las traducciones TDR de origen posteriores usen la misma dirección IP). También debe configurar una aplicación transversal TDR personalizada de IKE para admitir la encapsulación de IKE y ESP en el puerto UDP 4500. Esta configuración permite que IKE y ESP pasen por el dispositivo habilitado para TDR.

Topología

Configuración

Configurar un conjunto de reglas y un grupo de fuentes TDR

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
set security zones security-zone green address-book address sa1 1.1.1.0/24
set security zones security-zone red address-book address da1 2.2.2.0/24
set security nat source rule-set rs1 from zone green 
set security nat source rule-set rs1 to zone red 
set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 
set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 
set security nat source rule-set rs1 rule r1 then source-nat pool pool1 
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo TDR de origen:

  1. Cree un grupo de fuentes TDR.

    content_copy zoom_out_map
    [edit ]
    user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
    
  2. Configure entradas de libreta de direcciones de zonas de seguridad.

    content_copy zoom_out_map
    [edit]
    user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24
    user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
    
  3. Cree un conjunto de reglas de origen TDR.

    content_copy zoom_out_map
    [edit security nat source rule-set rs1]
    user@host# set from zone green
    user@host# set to zone red
    user@host# set rule r1 match source-address 1.1.1.0/24
    user@host# set rule r1 match destination-address 2.2.2.0/24 
    user@host# set rule r1 then source-nat pool pool1 
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
user@host# show security nat
source {
    pool pool1 {
        address {
            10.10.10.1/32 to 10.10.10.10/32;
        }
    }
    rule-set rs1 {
        from zone green;
        to zone red;
        rule r1 {
            match {
                source-address 1.1.1.0/24;
                destination-address 2.2.2.0/24;
            }
            then {
                source-nat {
                    pool {
                        pool1;
                    }
                }
            }
        }
    }

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configurar una aplicación personalizada y asociarla a una política

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
set security policies from-zone green to-zone red policy pol1 match destination-address da1 
set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg 
set security policies from-zone green to-zone red policy pol1 then permit
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una aplicación personalizada y asociarla a una política:

  1. Configure una aplicación personalizada.

    content_copy zoom_out_map
    [edit]
    user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
    
  2. Asocie la aplicación personalizada a una política.

    content_copy zoom_out_map
    [edit security policies from-zone green to-zone red policy pol1]
    user@host# set match source-address sa1
    user@host# set match destination-address da1
    user@host# set match application custom-ike-alg
    user@host# set then permit
    
Resultados

Desde el modo de configuración, ingrese los comandos y show security zones para confirmar la show applications configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show applications
application custom-ike-alg {
    application-protocol ike-esp-nat;
    protocol udp;
    source-port 500;
    destination-port 500;
}
content_copy zoom_out_map
[edit]
user@host# show security zones
security-zone Trust {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        ge-0/0/1.0;
    }
}
security-zone green {
    address-book {
        address sa1 1.1.1.0/24;
    }
}
security-zone red {
    address-book {
        address da1 2.2.2.0/24;
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de la compatibilidad de IKE y ESP ALG para clientes compatibles y no compatibles con T-T

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat source address-persistent
set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 
set security policies from-zone green to-zone red policy pol1 match source-address sa1 
set security policies from-zone green to-zone red policy pol1 match destination-address da1 
set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt 
set security policies from-zone green to-zone red policy pol1 then permit 
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la compatibilidad con ALG IKE y ESP para clientes compatibles y no compatibles con T-T:

  1. Habilite globalmente la traducción TDR de origen persistente.

    content_copy zoom_out_map
    [edit]
    user@host# set security nat source address-persistent
    
  2. Configure la aplicación TDR-T de ICR.

    content_copy zoom_out_map
    [edit]
    user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
    
  3. Asocie la aplicación TDR-T mediante una política.

    content_copy zoom_out_map
    [edit security policies from-zone green to-zone red policy pol1]
    user@host# set match source-address sa1
    user@host# set match destination-address da1
    user@host# set match application custom-ike-natt
    user@host# set then permit
    
Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security nat
source {
    address-persistent;
}
content_copy zoom_out_map
[edit]
user@host# show security policies
from-zone green to-zone red {
    policy pol1 {
        match {
            source-address sa1;
            destination-address da1;
            application [ custom-ike-alg custom-ike-natt ];
        }
        then {
            permit;
        }
    }
}
default-policy {
    permit-all;
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar aplicaciones personalizadas de IKE y ESP ALG

Propósito

Verifique que las aplicaciones personalizadas para admitir IKE y ESP ALG estén habilitadas.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

content_copy zoom_out_map
user@host> show security alg status
content_copy zoom_out_map
ALG Status :
  DNS      : Enabled
  FTP      : Enabled
  H323     : Enabled
  MGCP     : Enabled
  MSRPC    : Enabled
  PPTP     : Enabled
  RSH      : Disabled
  RTSP     : Enabled
  SCCP     : Enabled
  SIP      : Enabled
  SQL      : Enabled
  SUNRPC   : Enabled
  TALK     : Enabled
  TFTP     : Enabled
  IKE-ESP  : Enabled
Significado

El resultado muestra el estado de ALG de la siguiente manera:

  • Habilitado: muestra que ALG está habilitado.

  • Deshabilitado(Deshabilitado): muestra que la ALG está deshabilitada.

Verificar las policías de seguridad de ALG

Propósito

Compruebe que la aplicación IKE ALG personalizada y la aplicación IKE NATT personalizados están configurados.

Acción

Desde el modo operativo, ingrese el show security policies comando.

content_copy zoom_out_map
user@host> show security policies
content_copy zoom_out_map
Default policy: permit-all
From zone: green, To zone: red
Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1
Source addresses: sa1
Destination addresses: da1
Applications: custom-ike-alg, custom-ike-natt
Action: permit
Significado

La salida de ejemplo muestra que se establecen aplicaciones IKE ALG e NATT IKE personalizadas.

Ejemplo: Habilitación de los tiempos de espera de IKE y ESP y configuración de los tiempos de espera

En este ejemplo, se muestra cómo habilitar IKE y ESP ALG y establecer los valores de tiempo de espera para permitir que la ALG procese la información de estado de ALG, puertas ESP y sesiones ESP.

Requisitos

Comprenda los conceptos detrás de ALG para IKE y ESP. Consulte Descripción de la operación de ICR y ESP ALG.

Visión general

IKE y ESP ALG procesa todo el tráfico especificado en cualquier política a la que se adjunta al ALG. En este ejemplo, configure la set security alg ike-esp-nat enable instrucción para que el comportamiento de paso a través de IPsec predeterminado actual esté deshabilitado para todo el tráfico de paso a través de IPsec, independientemente de la política.

A continuación, establezca los valores de tiempo de espera para que IKE y ESP ALG procesen la información de estado de ALG, las puertas de ESP y las sesiones de ESP. En este ejemplo, se establece el tiempo de espera de la información de estado ALG. El intervalo de tiempo de espera es de 180 a 86400 segundos. El tiempo de espera predeterminado es de 14400 segundos. A continuación, establezca el tiempo de espera de las puertas ESP creadas después de completar un intercambio de fase 2 de IKE. El intervalo de tiempo de espera es de 2 a 30 segundos. El tiempo de espera predeterminado es de 5 segundos. Por último, se establece el tiempo de espera de las sesiones ESP creadas a partir de las puertas IPsec. Si no hay tráfico que llega a la sesión, este queda envejecido después de este período de tiempo. El intervalo de tiempo de espera es de 60 a 2400 segundos. El tiempo de espera predeterminado es de 1800 segundos.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security alg ike-esp-nat enable
set security alg ike-esp-nat esp-gate-timeout 20 
set security alg ike-esp-nat esp-session-timeout 2400 
set security alg ike-esp-nat state-timeout 360 
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para habilitar IKE y ESP ALG y establecer los valores de tiempo de espera:

  1. Habilite IKE y ESP ALG.

    content_copy zoom_out_map
    [edit]
    user@host# set security alg ike-esp-nat enable
    
  2. Establezca el tiempo de espera para la información de estado alg.

    content_copy zoom_out_map
    [edit security alg ike-esp-nat]
    user@host# set state-timeout 360
    
  3. Establezca el tiempo de espera para las puertas ESP creadas después de completar un intercambio de fase 2 de ICR.

    content_copy zoom_out_map
    [edit security alg ike-esp-nat]
    user@host# set esp-gate-timeout 20
    
  4. Establezca el tiempo de espera inactivo para las sesiones ESP creadas a partir de las puertas IPsec.

    content_copy zoom_out_map
    [edit security alg ike-esp-nat]
    user@host# set esp-session-timeout 2400
    
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security alg configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security alg
ike-esp-nat {
    enable;
    state-timeout 360;
    esp-gate-timeout 20;
    esp-session-timeout 2400;
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración de ALG para IKE y ESP y tiempo de espera

Propósito

Compruebe que el ALG para IKE y ESP está habilitado y que la configuración de tiempo de espera de esta función sea correcta.

Acción

Desde el modo operativo, ingrese el show security alg ike-esp-nat comando.

external-footer-nav