Configuración de interfaces de cifrado
Configuración de interfaces de cifrado
Cuando configure la interfaz de cifrado, asociará la SA configurada con una interfaz lógica. Esta configuración define el túnel, incluida la unidad lógica, las direcciones de túnel, la unidad máxima de transmisión (MTU), las direcciones de interfaz opcionales y el nombre de la SA de IPsec que se aplicará al tráfico. Para configurar una interfaz de cifrado, incluya las siguientes instrucciones en el nivel de [edit interfaces es-fpc/pic/port unit logical-unit-number] jerarquía:
family inet { ipsec-sa ipsec-sa; # name of security association to apply to packet address address; # local interface address inside local VPN destination address; # destination address inside remote VPN } tunnel { source source-address; destination destination-address; }
Las direcciones configuradas como origen y destino del túnel son las direcciones que se encuentran en el encabezado IP exterior del túnel.
Debe configurar la dirección de origen del túnel localmente en el enrutador y la dirección de destino del túnel debe ser una dirección válida para la puerta de enlace de seguridad que termina el túnel.
La tarjeta de interfaz física (PIC) de ES es compatible con los enrutadores serie M y T.
La SA debe ser una SA en modo de túnel válida. La dirección de interfaz y la dirección de destino enumeradas son opcionales. La dirección de destino permite al usuario configurar una ruta estática para cifrar el tráfico. Si una ruta estática utiliza esa dirección de destino como próximo salto, el tráfico se reenvía a través de la parte del túnel en la que se produce el cifrado.
- Especificación del nombre de asociación de seguridad para interfaces de cifrado
- Configuración de la MTU para interfaces de cifrado
- Ejemplo: configuración de una interfaz de cifrado
Especificación del nombre de asociación de seguridad para interfaces de cifrado
La asociación de seguridad es el conjunto de propiedades que define los protocolos para cifrar el tráfico de Internet. Para configurar interfaces de cifrado, especifique el nombre SA asociado a la interfaz incluyendo la ipsec-sa instrucción en el nivel de [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] jerarquía:
ipsec-sa sa-name;
Para obtener información acerca de cómo configurar la asociación de seguridad, consulte Configuración de filtros para el tráfico que transita por la PIC de ES.
Configuración de la MTU para interfaces de cifrado
El valor de MTU de protocolo para interfaces de cifrado siempre debe ser menor que el valor predeterminado de MTU de interfaz de 3900 bytes; La configuración no se confirma si selecciona un valor mayor. Para establecer el valor de MTU, incluya la mtu instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number family inet] jerarquía:
mtu bytes;
Para obtener más información, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.
Ejemplo: configuración de una interfaz de cifrado
Configure un túnel IPsec como interfaz lógica en la PIC ES. La interfaz lógica especifica el túnel por el que viaja el tráfico cifrado. La ipsec-sa instrucción asocia el perfil de seguridad a la interfaz.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa manual-sa1; # name of security association to apply to packet
mtu 3800;
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuración de filtros para el tráfico que transita por la PIC de ES
Esta sección contiene los siguientes temas:
- Descripción general del tráfico
- Configuración de la asociación de seguridad
- Configuración de un filtro de tráfico saliente
- Aplicación del filtro de tráfico saliente
- Configuración de un filtro de tráfico entrante
- Aplicación del filtro de tráfico entrante a la interfaz de cifrado
Descripción general del tráfico
La configuración de tráfico define el tráfico que debe fluir a través del túnel. Configure filtros de firewall de entrada y salida, que identifican y dirigen el tráfico que se va a cifrar y confirman que los parámetros de tráfico descifrado coinciden con los definidos para el túnel dado. El filtro saliente se aplica a la interfaz LAN o WAN para el tráfico entrante que desea cifrar. El filtro entrante se aplica a la PIC de ES para comprobar la directiva del tráfico procedente del host remoto. Debido a la complejidad de configurar un enrutador para reenviar paquetes, no se realiza ninguna comprobación automática para garantizar que la configuración sea correcta.
Las instrucciones de filtros de firewall válidas para IPsec son destination-port, source-port, protocol, destination-addressy source-address.
En la figura 1, la puerta de enlace A protege la red 10.1.1.0/24y la puerta de enlace B protege la red 10.2.2.0/24. Las puertas de enlace están conectadas por un túnel IPsec. Para obtener más información acerca de los firewalls, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
seguridad
La interfaz SA y ES para la puerta de enlace de seguridad A se configuran de la siguiente manera:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
Configuración de la asociación de seguridad
Para configurar la SA, incluya la security-association instrucción en el nivel de [edit security] jerarquía:
security-association name {
mode (tunnel | transport);
manual {
direction (inbound | outbound | bi-directional) {
auxiliary-spi auxiliary-spi-value;
spi spi-value;
protocol (ah | esp | bundle);
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
}
dynamic {
replay-window-size (32 | 64);
ipsec-policy policy-name;
}
}
}
Para obtener más información acerca de la configuración de una SA, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento. Para obtener información acerca de cómo aplicar la SA a una interfaz, consulte 147531Especificación del nombre de asociación de seguridad para interfaces de cifrado.
Configuración de un filtro de tráfico saliente
Para configurar el filtro de tráfico saliente, incluya la filter instrucción en el nivel de [edit firewall] jerarquía:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Para obtener más información, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico.
Ejemplo: configuración de un filtro de tráfico saliente
Los filtros de firewall para el tráfico saliente dirigen el tráfico a través del túnel IPsec deseado y garantizan que el tráfico tunelizado salga de la interfaz adecuada (consulte la figura 1). Aquí, se crea un filtro de firewall saliente en la puerta de enlace de seguridad A; identifica el tráfico que se va a cifrar y lo agrega al lado de entrada de la interfaz que transporta el tráfico interno de la red privada virtual (VPN):
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
La dirección de origen, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de destino, el puerto y el protocolo del filtro de tráfico entrante. La dirección de destino, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de origen, el puerto y el protocolo del filtro de tráfico entrante.
Aplicación del filtro de tráfico saliente
Después de configurar el filtro de firewall de salida, aplíquelo incluyendo la filter instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number family inet] jerarquía:
filter { input filter-name; }
Ejemplo: aplicación del filtro de tráfico saliente
Aplique el filtro de tráfico saliente. El filtro de salida se aplica en la interfaz de Fast Ethernet en el nivel jerárquico [edit interfaces fe-0/0/1 unit 0 family inet] . Cualquier paquete que coincida con el término de acción IPsec (term 1) en el filtro de entrada (ipsec-encrypt-policy-filter), configurado en la interfaz Fast Ethernet, se dirige a la interfaz PIC de ES en el nivel jerárquico [edit interfaces es-0/1/0 unit 0 family inet] . Por lo tanto, si un paquete llega desde la dirección 10.1.1.0/24 de origen y va a la dirección 10.2.2.0/24de destino, el motor de reenvío de paquetes dirige el paquete a la interfaz PIC de ES, que está configurada con la manual-sa1 SA. La PIC de ES recibe el paquete, aplica la manual-sa1 SA y envía el paquete a través del túnel.
El enrutador debe tener una ruta al punto final del túnel; Agregue una ruta estática si es necesario.
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Configuración de un filtro de tráfico entrante
Para configurar un filtro de tráfico entrante, incluya la filter instrucción en el nivel de [edit firewall] jerarquía:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Para obtener más información, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico.
Ejemplo: configuración de un filtro de tráfico entrante
Configure un filtro de firewall de entrada. Este filtro realiza la comprobación final de la política IPsec y se crea en la puerta de enlace de seguridad A. La comprobación de directiva garantiza que solo se acepten los paquetes que coincidan con el tráfico configurado para este túnel.
[edit firewall]
filter ipsec-decrypt-policy-filter {
term term1 { # perform policy check
from {
source-address { # remote network
10.2.2.0/24;
}
destination-address { # local network
10.1.1.0/24;
}
then accept;
Aplicación del filtro de tráfico entrante a la interfaz de cifrado
Después de crear el filtro de firewall de entrada, puede aplicarlo a la PIC ES. Para aplicar el filtro a la PIC ES, incluya la filter instrucción en el nivel de [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] jerarquía:
filter {
input filter;
}
El filtro de entrada es el nombre del filtro aplicado al tráfico recibido. Para obtener un ejemplo de configuración, consulte Ejemplo: Configuración de un filtro de tráfico entrante. Para obtener más información acerca de los filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Ejemplo: aplicar el filtro de tráfico entrante a la interfaz de cifrado
Aplique el filtro de firewall entrante (ipsec-decrypt-policy-filter) al paquete descifrado para realizar la comprobación final de la directiva. Se hace referencia a la SA IPsec manual-sa1 en el nivel de [edit interfaces es-1/2/0 unit 0 family inet] jerarquía y descifra el paquete entrante.
El motor de reenvío de paquetes dirige los paquetes IPsec a la PIC ES. Utiliza el índice de parámetros de seguridad (SPI) del paquete, el protocolo y la dirección de destino para buscar la SA configurada en una de las interfaces ES. Se hace referencia a la SA IPsec manual-sa1 en el nivel de [edit interfaces es-1/2/0 unit 0 family inet] jerarquía y se utiliza para descifrar el paquete entrante. Cuando se procesan los paquetes (descifrados, autenticados o ambos), se aplica el filtro de firewall de entrada (ipsec-decrypt-policy-filter) al paquete descifrado para realizar la comprobación final de la política. term1 Define el tráfico descifrado (y verificado) y realiza la comprobación de políticas necesaria. Para obtener información acerca de term1, consulte Ejemplo: Configuración de un filtro de tráfico entrante.
El filtro de tráfico entrante se aplica después de que la PIC de ES haya procesado el paquete, por lo que el tráfico descifrado se define como cualquier tráfico que la puerta de enlace remota cifre y envíe a este enrutador. IKE utiliza este filtro para determinar la política necesaria para un túnel. Esta política se utiliza durante la negociación con la puerta de enlace remota para encontrar la configuración de SA correspondiente.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuración de una interfaz de túnel ES para una VPN de capa 3
Para configurar una interfaz de túnel ES para una VPN de capa 3, debe configurar una interfaz de túnel ES en el enrutador perimetral del proveedor (PE) y en el enrutador perimetral del cliente (CE). También debe configurar IPsec en los enrutadores PE y CE. Para obtener más información acerca de cómo configurar un túnel ES para una VPN de capa 3, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.
Configuración de la redundancia de PIC de ES
Puede configurar la redundancia de PIC de ES en enrutadores serie M y T que tengan varias PIC de ES. Con la redundancia de ES PIC, una PIC de ES está activa y otra PIC de ES está en espera. Cuando la PIC principal de ES tiene un error de servicio, la copia de seguridad se activa, hereda todos los túneles y SA, y actúa como el nuevo próximo salto para el tráfico IPsec. El restablecimiento de túneles en la PIC de ES de copia de seguridad no requiere nuevas negociaciones de intercambio de claves por Internet (IKE). Si la PIC principal de ES se conecta, permanece en modo de espera y no tiene preferencia sobre la copia de seguridad. Para determinar qué PIC está activo actualmente, utilice el show ipsec redundancy comando.
La redundancia de ES PIC es compatible con los enrutadores serie M y T.
Para configurar una PIC de ES como copia de seguridad, incluya la backup-interface instrucción en el nivel de [edit interfaces fpc/pic/port es-options] jerarquía:
backup-interface es-fpc/pic/port;
Ejemplo: configuración de la redundancia de PIC de ES
Después de crear el filtro de firewall de entrada, aplíquelo a la PIC de ES principal. Aquí, el filtro de firewall entrante (ipsec-decrypt-policy-filter) se aplica al paquete descifrado para realizar la comprobación final de la política. Se hace referencia a la SA IPsec manual-sa1 en el nivel de [edit interfaces es-1/2/0 unit 0 family inet] jerarquía y descifra el paquete entrante. En este ejemplo no se muestra SA ni la configuración de filtros. Para obtener información acerca de SA y la configuración de filtros, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento, la Guía del usuario de Políticas de enrutamiento, filtros de firewall y Controladores de tráfico, y Ejemplo: Configuración de un filtro de tráfico entrante.
[edit interfaces]
es-1/2/0 {
es-options {
backup-interface es-1/0/0;
}
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
filter {
input ipsec-decrypt-policy-filter;
}
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
}
Configuración de la redundancia de túnel IPsec
Puede configurar la redundancia de túnel IPsec especificando una dirección de destino de copia de seguridad. El enrutador local envía keepalives para determinar la accesibilidad del sitio remoto. Cuando ya no se puede acceder al par, se establece un nuevo túnel. Durante un máximo de 60 segundos durante la conmutación por error, el tráfico se interrumpe sin que se envíe una notificación. La figura 2 muestra los túneles primarios y de respaldo de IPsec.
de túnel IPsec
Para configurar la redundancia de túnel IPsec, incluya la backup-destination instrucción en el nivel de [edit interfaces unit logical-unit-number tunnel] jerarquía:
backup-destinationaddress; destination address; source address;
La redundancia de túnel se admite en los enrutadores serie M y T.
Los destinos principal y de respaldo deben estar en enrutadores diferentes.
Los túneles deben ser distintos entre sí y las políticas deben coincidir.
Para obtener más información acerca de los túneles, consulte Descripción general de la configuración de la interfaz de túnel en los enrutadores de la serie MX.