Configuración de asociaciones de seguridad
Configuración de asociaciones de seguridad
El primer paso de configuración de IPsec es seleccionar un tipo de asociación de seguridad (SA) para la conexión IPsec. Debe configurar estáticamente todas las especificaciones de las SA manuales, pero puede confiar en algunos valores predeterminados al configurar una SA dinámica de IKE. Para configurar una asociación de seguridad, consulte las siguientes secciones.
Configuración manual de SA
En la PIC ES, configure una asociación de seguridad manual en el nivel de [edit security ipsec security-association name] jerarquía. Incluya sus opciones de autenticación, cifrado, dirección, modo, protocolo y SPI. Asegúrese de que estas opciones estén configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
En las PIC de AS y multiservicios, configure una asociación de seguridad manual en el nivel jerárquico [edit services ipsec-vpn rule rule-name] . Incluya sus opciones de autenticación, cifrado, dirección, protocolo y SPI. Asegúrese de que estas opciones estén configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Configuración de SA dinámicas de IKE
En la PIC ES, configure una SA dinámica de IKE en los niveles jerárquico [edit security ike] y [edit security ipsec] . Incluya sus opciones de políticas y propuestas de IKE, que incluyen opciones para algoritmos de autenticación, métodos de autenticación, grupos Diffie-Hellman, cifrado, modos IKE y claves previamente compartidas. La política de IKE debe utilizar la dirección IP del extremo remoto del túnel IPsec como nombre de política. Además, incluya sus opciones de políticas y propuestas de IPsec, que incluyen opciones de autenticación, cifrado, protocolos, confidencialidad directa perfecta (PFS) y modos IPsec. Asegúrese de que estas opciones estén configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
En las PIC de AS y multiservicios, configure una asociación de seguridad dinámica de IKE en los niveles , y [edit services ipsec-vpn rule rule-name] jerárquico.[edit services ipsec-vpn ike][edit services ipsec-vpn ipsec] Incluya sus opciones de políticas y propuestas de IKE, que incluyen opciones para algoritmos de autenticación, métodos de autenticación, grupos Diffie-Hellman, cifrado, modos IKE y claves previamente compartidas. Además, incluya sus opciones de políticas y propuestas de IPsec, que incluyen opciones para los modos de autenticación, cifrado, protocolos, PFS e IPsec. Asegúrese de que estas opciones estén configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.
Si decide no configurar explícitamente las políticas y propuestas de IKE e IPsec en las PIC de AS y multiservicios, la configuración puede tener de forma predeterminada algunos valores preestablecidos. Estos valores predeterminados se muestran en la Tabla 1.
Declaración de política de IKE |
Valor predeterminado |
|---|---|
modo |
principal |
Propuestas |
predeterminado |
| Declaración de la propuesta de IKE | Valor predeterminado |
algoritmo de autenticación |
sha1 |
método de autenticación |
claves precompartidas |
Grupo DH |
grupo2 |
algoritmo de cifrado |
3des-cbc |
Vida útil-segundos |
3600 (segundos) |
| Declaración de política IPsec | Valor predeterminado |
claves perfect-forward-secrecy |
grupo2 |
Propuestas |
predeterminado |
| Declaración de propuesta de IPsec | Valor predeterminado |
algoritmo de autenticación |
HMAC-SHA1-96 |
algoritmo de cifrado |
3des-cbc |
Vida útil-segundos |
28800 (segundos) |
protocolo |
Esp |
Si utiliza los valores predeterminados de propuesta y política IKE e IPsec preestablecidos en las PIC de AS y multiservicios, debe configurar explícitamente una directiva de IKE e incluir una clave previamente compartida. Esto se debe a que el método de autenticación de claves previamente compartidas es uno de los valores preestablecidos en la propuesta IKE predeterminada.
A partir de Junos OS versión 14.2, en un entorno en el que los enrutadores serie MX de Juniper Networks interoperan con dispositivos Cisco ASA, las asociaciones de seguridad (SA) ICR y las SA IPsec se eliminan inmediatamente en los dispositivos Cisco ASA, pero se conservan en los enrutadores serie MX. Como resultado, se produce una pérdida de tráfico del 100 por ciento en los enrutadores MX cuando el tráfico se inicia desde los enrutadores de la serie MX o los dispositivos Cisco ASA. Este problema de pérdida excesiva de tráfico se produce cuando se reinicia una PIC de servicio en enrutadores de la serie MX, se reinicia una tarjeta de línea en enrutadores de la serie MX o cuando se realiza una secuencia de comandos de apagado/sin apagado o un cambio en la configuración de velocidad en los dispositivos Cisco ASA. Para evitar este problema de conservación de las SA de IKE e IPsec en una implementación de este tipo, debe eliminar manualmente las SA de IPsec e IKE escribiendo los clear ipsec security-associations comandos y clear ike security-associations respectivamente.
Si decide configurar los valores manualmente, la siguiente información muestra la jerarquía completa de instrucciones y las opciones para las SA de IKE dinámicas en las PIC de AS y multiservicios:
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.