Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN en dispositivos radiales

AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como punto de terminación único para múltiples túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para radios actuales y futuros.

Descripción de AutoVPN

AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como punto de terminación único para múltiples túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para radios actuales y futuros. No es necesario realizar cambios de configuración en el concentrador cuando se agregan o eliminan dispositivos radiales, lo que permite a los administradores flexibilidad para administrar despliegues de red a gran escala.

Modos de túnel seguro

AutoVPN se admite en VPN IPsec basadas en rutas. Para las VPN basadas en rutas, configure una interfaz de túnel seguro (st0) y la vincule a un túnel VPN IPsec. Las interfaces st0 en las redes AutoVPN se pueden configurar en uno de dos modos:

  • Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía [edit interfaces st0 unit x] está en modo punto a punto. A partir de Junos OS versión 17.4R1, la dirección IPv6 es compatible con AutoVPN.

  • Modo punto a multipunto: en este modo, la multipoint opción se configura en el nivel jerárquico [edit interfaces st0 unit x] tanto en el concentrador como en los radios AutoVPN. Las interfaces st0 del concentrador y los radios deben estar numeradas y la dirección IP configurada en un radio debe existir en la subred de la interfaz st0 del concentrador.

Tabla 1 compara los modos de interfaz de túnel seguro punto a punto y punto a multipunto de AutoVPN.

Tabla 1: Comparación entre los modos de túnel seguro punto a punto y punto a multipunto de AutoVPN

Modo punto a punto

Modo punto a multipunto

Admite IKEv1 o IKEv2.

Admite IKEv1 o IKEv2.

Soporta tráfico IPv4 e IPv6.

Soporta IPv4 o IPv6.

Selectores de tráfico

Protocolos de enrutamiento dinámico (OSPF, OSPFv3 e iBGP)

Detección de pares muertos

Detección de pares muertos

Permite que los dispositivos radiales sean de la serie SRX o de terceros.

Este modo solo se admite con firewalls de la serie SRX.

autentificación

Las AutoVPN admiten métodos de autenticación basados en certificados y claves previamente compartidas.

Para la autenticación basada en certificados en concentradores y radios AutoVPN, puede usar certificados de infraestructura de clave pública (PKI) X.509. El tipo de usuario IKE de grupo configurado en el concentrador permite especificar cadenas para que coincidan con el campo de asunto alternativo de los certificados hablados. También se pueden especificar coincidencias parciales para los campos de asunto en los certificados radiales. Consulte Descripción de la autenticación radial en las implementaciones de AutoVPN.

A partir de Junos OS versión 21.2R1, SRX5000 línea con la tarjeta SPC3 y el firewall virtual vSRX que ejecuta el proceso iked admite AutoVPN con clave precompartida inicializada.

Nota:

La línea SRX5000 con la tarjeta SPC3 y el firewall virtual vSRX admite AutoVPN con PSK, solo si instala el junos-ike paquete.

Admitimos AutoVPN con las siguientes dos opciones:

  • PSK sembrado de AutoVPN: Varios pares que se conectan a la misma puerta de enlace con diferentes claves precompartidas.
  • AutoVPN ha compartido PSK: Varios pares que se conectan a la misma puerta de enlace con la misma clave precompartida.

El PSK sembrado es diferente del PSK sin semilla (es decir, el mismo PSK compartido). El PSK semilla utiliza la clave maestra para generar el PSK compartido para el par. Por lo tanto, cada par tendrá un PSK diferente que se conectará a la misma puerta de enlace. Por ejemplo: Considere un escenario en el que el par 1 con el ID user1@juniper.net de IKE y el par 2 con ID de IKE user2@juniper.net intentan conectarse a la puerta de enlace. En este escenario, la puerta de enlace configurada como HUB_GW que contiene la clave maestra configurada como ThisIsMySecretPreSharedkey tendrá los PSK diferentes de la siguiente manera:

Par 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Par 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Esto significa que, para diferentes usuarios con diferente ID de usuario y la misma clave maestra, se generará una clave previamente compartida diferente o única.

Puede usar para pre-shared-key Auto-VPN seeded-pre-shared-key PSK:

  • Clave precompartida diferente: Si se seeded-pre-shared-key establece, la puerta de enlace VPN utiliza una clave IKE previamente compartida diferente para autenticar cada par remoto. Las claves previamente compartidas del par se generan mediante el master-key conjunto en la puerta de enlace de IKE y se comparten entre los pares.

    Para permitir que la puerta de enlace VPN use una clave previamente compartida (PSK) IKE diferente para autenticar a cada par remoto, utilice los nuevos comandos seeded-pre-shared-key ascii-text de CLI o seeded-pre-shared-key hexadecimal en el nivel de [edit security ike policy policy_name] jerarquía.

    Este comando es mutuamente excluyente con pre-shared-key comando bajo la misma jerarquía.

    Consulte la política.

  • Clave compartida/misma previamente compartida: Si pre-shared-key-type no está configurado, el PSK se considera compartido. La misma clave IKE previamente compartida es utilizada por la puerta de enlace VPN para autenticar a todos los pares remotos.

    Para permitir que la puerta de enlace VPN utilice el mismo PSK de IKE para autenticar a todos los pares remotos, utilice los comandos pre-sharedkey ascii-text de CLI existentes o pre-shared-key hexadecimal.

En la puerta de enlace VPN, puede omitir la validación del ID de IKE mediante la instrucción de general-ikeid configuración situada en el nivel de [edit security ike gateway gateway_name dynamic] jerarquía. Si esta opción está configurada, durante la autenticación del par remoto, la puerta de enlace VPN permite cualquier conexión remota de ID de IKE. Consulte general-ikeid.

La línea SRX5000 con la tarjeta SPC3 y el firewall virtual vSRX ejecutando el proceso iked (con el junos-ike paquete) admite los siguientes modos IKE:

Tabla 2: Soporte de AutoVPN PSK

Modo IKE

SRX5000 línea con la tarjeta SPC3 y el firewall virtual vSRX ejecutando el proceso iked

PSK compartido

Sembrado-PSK

IKEv2

IKEv2 con cualquier-remote-id

Modo agresivo IKEv1

Modo agresivo IKEv1 con any-remote-id/general-ikeid

Modo principal IKEv1

No

Modo principal IKEv1 con cualquier identificación remota/general-ikeid

No

Consulte Ejemplo: Configuración de AutoVPN con clave precompartida.

Configuración y administración

AutoVPN se configura y administra en firewalls de la serie SRX mediante la CLI. Se pueden configurar varios concentradores AutoVPN en un único firewall de la serie SRX. El número máximo de radios admitidos por un concentrador configurado es específico del modelo de firewall de la serie SRX.

Compatibilidad con multidifusión mediante PIM

La multidifusión IP entrega tráfico a más de un receptor previsto mediante la replicación de los paquetes de datos. Puede utilizar datos de multidifusión para aplicaciones como la transmisión de vídeo. El firewall admite multidifusión independiente del protocolo (PIM) en modo punto a multipunto (P2MP). Puede habilitar PIM en el túnel seguro del firewall, st0, interfaz con modo P2MP. El protocolo detecta la interfaz P2MP desde la configuración de interfaz y admite tráfico de multidifusión. Para comprender PIM, consulte Descripción general de PIM.

Figura 1 ilustra la topología de multidifusión en la infraestructura P2MP.

Figura 1: Topología de multidifusión en infraestructura P2MP Topología de multidifusión en infraestructura P2MP

La topología muestra que uno de los firewalls de la serie SRX actúa como concentrador y el resto de los tres actúan como radios. También puede tener dos radios en su topología. Normalmente, el emisor de multidifusión reside detrás del concentrador, mientras que los receptores de multidifusión están detrás de los radios. Para la compatibilidad con multidifusión, observe que la interfaz lógica st0 de túnel seguro en los dispositivos radiales está configurada con el modo PIM P2MP. En cada uno de estos dispositivos, la interfaz st0 P2MP rastrea todas las uniones PIM por vecino para garantizar que el reenvío o la replicación de multidifusión ocurran solo a aquellos vecinos que están en estado unido.

Los firewalls de la serie SRX admiten tráfico de multidifusión IP en modo disperso PIM a través de las interfaces st0 P2MP. El concentrador actúa como el enrutador de primer salto (FHR) o el punto de encuentro (RP). Los radios pueden actuar como enrutadores de último salto (LHR) en la red P2MP. Los dispositivos de la red replican los paquetes de datos de multidifusión a los vecinos que se unen al grupo de multidifusión.

Tenga en cuenta las siguientes consideraciones al configurar la compatibilidad con tráfico de multidifusión:

  • Para el servicio VPN IPsec con el proceso kmd, debe ejecutar Junos OS versión 19.2R1 o posterior. Puede utilizar las plataformas SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (con 2 vCPU) y vSRX 3.0 (con 2 vCPU).

  • Para el servicio VPN IPsec con el proceso iked, debe ejecutar Junos OS versión 24.2R1 o posterior. Puede utilizar las plataformas SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600 y vSRX 3.0.

  • No puede configurar la multidifusión IPv6 en interfaces P2MP.

  • Para que la configuración de multidifusión IP funcione, debe deshabilitar PowerMode IPsec (PMI).

  • No puede realizar ping de multidifusión desde o hacia interfaces P2MP.

  • Tenga en cuenta que IGMP se habilita de forma predeterminada cuando habilita PIM, pero no funciona en la interfaz P2MP.

Para obtener más información sobre cómo configurar la compatibilidad de multidifusión en la infraestructura P2MP, consulte Configurar la compatibilidad de multidifusión en la infraestructura P2MP.

Descripción de las limitaciones de AutoVPN

Las siguientes características no son compatibles con AutoVPN:

  • No se admiten VPN basadas en políticas.

  • El protocolo de enrutamiento dinámico RIP no es compatible con los túneles AutoVPN.

  • No se admiten las claves manuales ni la IKE de clave automática con claves previamente compartidas.

  • No se admite la configuración del enlace de túnel estático del próximo salto (NHTB) en el concentrador de radios.

  • No se admite ulticast IPv6 m.

  • El tipo de usuario ID de IKE de grupo no es compatible con una dirección IP como ID de IKE.

  • Cuando se utiliza el tipo de usuario ID de IKE de grupo, el ID de IKE no debe superponerse con otras puertas de enlace de IKE configuradas en la misma interfaz externa.

Descripción de AutoVPN con selectores de tráfico

Los concentradores de AutoVPN se pueden configurar con varios selectores de tráfico para proteger el tráfico a los radios. Esta característica proporciona los siguientes beneficios:

  • Una sola configuración de VPN puede admitir muchos pares diferentes.

  • Los pares VPN pueden ser firewalls que no sean de la serie SRX.

  • Un solo par puede establecer varios túneles con la misma VPN.

  • Se puede admitir un mayor número de túneles que con AutoVPN con protocolos de enrutamiento dinámico.

A partir de Junos OS versión 17.4R1, las redes AutoVPN que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE.

Cuando se establece el túnel de concentrador a radio, el concentrador utiliza la inserción automática de rutas (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la ruta al prefijo radial en su tabla de enrutamiento. La ruta ARI se puede importar a protocolos de enrutamiento y distribuirse a la red central.

AutoVPN con selectores de tráfico se puede configurar con la interfaz de túnel seguro (st0) en modo punto a punto tanto para IKEv1 como para IKEv2.

Los protocolos de enrutamiento dinámico no se admiten en interfaces st0 cuando se configuran selectores de tráfico.

Tenga en cuenta las siguientes advertencias al configurar AutoVPN con selectores de tráfico:

  • Los protocolos de enrutamiento dinámico no son compatibles con selectores de tráfico con interfaces st0 en modo punto a punto.

  • La carga útil de configuración de Autodiscovery VPN e IKEv2 no se puede configurar con AutoVPN con selectores de tráfico.

  • Los radios pueden ser firewalls que no sean de la serie SRX; Sin embargo, tenga en cuenta las siguientes diferencias:

    • En IKEv2, un radio que no sea de la serie SRX puede proponer múltiples selectores de tráfico en una sola negociación SA. Esto no se admite en los firewalls de la serie SRX y se rechaza la negociación.

    • Un radio que no sea de la serie SRX puede identificar puertos o protocolos específicos para el uso del selector de tráfico. Los puertos y protocolos no se admiten con los selectores de tráfico en los firewalls de la serie SRX y se rechaza la negociación.

Descripción de la autenticación radial en implementaciones de AutoVPN

En las implementaciones de AutoVPN, los dispositivos radiales deben tener cargados certificados PKI X.509 válidos. Puede usar el show security pki local-certificate detail comando para mostrar información sobre los certificados cargados en un dispositivo.

En este tema se trata la configuración del concentrador que permite a los radios autenticarse y conectarse al concentrador mediante certificados:

Configuración del ID de IKE de grupo en el hub

La función ID de IKE de grupo permite que varios dispositivos radiales compartan una configuración de IKE en el hub. La identificación del titular del certificado, en los campos de asunto o asunto alternativo del certificado X.509 de cada radio, debe contener una parte que sea común a todos los radios; la parte común de la identificación del certificado se especifica para la configuración de IKE en el hub.

Por ejemplo, el ID example.net de IKE se puede configurar en el concentrador para identificar los radios con los nombres device1.example.netde host , device2.example.net, y device3.example.net. El certificado en cada radio debe contener una identidad de nombre de host en el campo de asunto alternativo con example.net en la parte más a la derecha del campo; por ejemplo, device1.example.net. En este ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ID de IKE. Durante la negociación de IKE, el ID de IKE de un radio se utiliza para que coincida con la parte común de la identidad de IKE del mismo nivel configurada en el concentrador. Un certificado válido autentica el radio.

La parte común de la identificación del certificado puede ser una de las siguientes:

  • Un nombre de host parcial en la parte más a la derecha del campo de asunto alternativo del certificado, por ejemplo example.net.

  • Una dirección de correo electrónico parcial en la parte más a la derecha del campo de asunto alternativo del certificado, por ejemplo @example.net.

  • Una cadena de contenedor, un conjunto de caracteres comodín o ambos para que coincidan con los campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado digital en formato de nombre distinguido (DN) de la notación de sintaxis abstracta uno (ASN.1). Los campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.

    Para configurar un ID de IKE de grupo para que coincida con los campos de asunto de los certificados, puede especificar los siguientes tipos de coincidencias de identidad:

    • Contenedor: el hub autentica el ID de IKE del radio si los campos de asunto del certificado del radio coinciden exactamente con los valores configurados en el hub. Se pueden especificar varias entradas para cada campo de asunto (por ejemplo, ou=eng,ou=sw). El orden de los valores de los campos debe coincidir.

    • Comodín: el concentrador autentica el ID de IKE del radio si los campos de asunto del certificado del radio coinciden con los valores configurados en el concentrador. La coincidencia de comodines solo admite un valor por campo (por ejemplo, ou=eng o ou=sw pero no ou=eng,ou=sw). El orden de los campos es intrascendente.

En el ejemplo siguiente se configura un ID IKE de grupo con el nombre example.net de host parcial en el campo de asunto alternativo del certificado.

En este ejemplo, example.net es la parte común de la identificación del nombre de host utilizada para todos los radios. Todos los certificados X.509 en los radios deben contener una identidad de nombre de host en el campo de asunto alternativo con example.net en la parte más a la derecha. Todos los radios deben utilizar la identidad del nombre de host en la carga del ID de IKE.

En el ejemplo siguiente se configura un ID de IKE de grupo con caracteres comodín para que coincida con los valores sales de la unidad organizativa y example de los campos de asunto de la organización del certificado.

En este ejemplo, los campos ou=sales,o=example son la parte común del campo de asunto en los certificados esperados de los radios. Durante la negociación IKE, si un radio presenta un certificado con los campos cn=alice,ou=sales,o=example de asunto en su certificado, la autenticación se realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos cn=thomas,ou=engineer,o=example de asunto en su certificado, el hub rechaza el certificado, ya que la unidad organizativa debe ser sales.

Exclusión de una conexión radial

Para excluir un radio en particular de la conexión al concentrador, se debe revocar el certificado de ese radio. El concentrador necesita recuperar la lista de revocación de certificados (CRL) más reciente de la CA que contiene el número de serie del certificado revocado. El hub rechazará una conexión VPN desde el radio revocado. Hasta que la última CRL esté disponible en el concentrador, el concentrador podría seguir estableciendo un túnel desde el radio revocado. Para obtener más información, vea Descripción del protocolo de estado de certificado en línea y las listas de revocación de certificados y Descripción de los perfiles de entidad emisora de certificados.

Descripción general de la configuración de AutoVPN

Los siguientes pasos describen las tareas básicas para configurar AutoVPN en dispositivos radiales. El concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.

Para configurar el concentrador AutoVPN:

  1. Inscriba un certificado de CA y el certificado local en el dispositivo.
    • Puede usar la autenticación basada en claves previamente compartidas si no tiene certificados de CA.

  2. Cree una interfaz de túnel seguro (st0) y configúrela en modo punto a multipunto.
  3. Configure una única política de IKE.
  4. Configure una puerta de enlace IKE con un ID de IKE de grupo que sea común a todos los radiales.
  5. Configure una única política IPsec y VPN.
  6. Configure un protocolo de enrutamiento dinámico.

Para configurar un dispositivo radial AutoVPN serie SRX:

  1. Inscriba un certificado de CA y el certificado local en el dispositivo.

    • Use el método de autenticación basada en claves previamente compartidas si configura la autenticación de clave previamente compartida en el concentrador.

  2. Cree una interfaz st0 y configúrela en modo punto a multipunto.

  3. Configure una política de IKE para que coincida con la política de IKE configurada en el hub.

  4. Configure una puerta de enlace IKE con un ID para que coincida con el ID de IKE de grupo configurado en el concentrador.

  5. Configure una directiva IPsec para que coincida con la directiva IPsec configurada en el concentrador.

  6. Configure un protocolo de enrutamiento dinámico.

Los ejemplos enumerados en este tema utilizan firewalls de la serie SRX que ejecutan Junos OS para las configuraciones radiales. Si los dispositivos radiales no ejecutan Junos OS, debe configurar el enlace de túnel de salto siguiente. Para obtener más información, consulte Ejemplo: Configuración de la configuración de VPN multipunto con enlace de túnel del próximo salto.

Ejemplo: Configuración de AutoVPN básica con iBGP

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura iBGP para reenviar paquetes a través de los túneles VPN y se utiliza la autenticación basada en certificados.

Para la autenticación con clave previamente compartida, consulte el paso "Configurar opciones de fase 1" en el Procedimiento paso a paso hub para configurar el hub, Procedimiento paso a paso spoke1 para configurar el spoke1 y el Procedimiento paso a paso spoke2 para configurar el spoke2.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres firewalls de la serie SRX compatibles como concentrador y radios AutoVPN

  • Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte Información general sobre los protocolos de enrutamiento.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.

Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 3 muestra las opciones utilizadas en este ejemplo.

Tabla 3: Opciones de fase 1 y fase 2 para configuraciones radiales de AutoVPN

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 4 muestra las opciones configuradas en el hub y en todos los radios.

Tabla 4: Configuración de AutoVPN para Hub y todos los radios

La opción

Concentrador

Todos los radios

Puerta de enlace IKE:

Dirección IP remota

Dinámico

1 0.1.1.1

ID de IKE remoto

Nombre distintivo (DN) en el certificado del radio con la cadena SLT en el campo Unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/1.0

Habló 1: fe-0/0/1.0

Habló 2: ge-0/0/1.0

VPN:

Interfaz de enlace

st0.0

st0.0

Establecer túneles

(no configurado)

Confirmación de configuración inmediatamente después

Tabla 5 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 5: Comparación entre las configuraciones de los radios

La opción

Habló 1

Habló 2

Interfaz st0.0

10.10.10.2/24

10.10.10.3/24

Interfaz con la red interna

(FE-0,0/4,0) 10.60.60.1/24

(FE-0,0/4,0) 10.70.70.1/24

Interfaz a Internet

(FE-0/0/1.0) 10.2.2.1/30

(GE-0/0/1.0) 10.3.3.1/30

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 2 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 2: Implementación básica de AutoVPN con iBGP Implementación básica de AutoVPN con iBGP

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales. Ignore este paso, si está utilizando PSK.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 2:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

    Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración:

    • En la propuesta ike, en el nivel de jerarquía [edit security ike proposal ike-proposal], sustitúyala authentication-method rsa-signatures por el authentication-method pre-shared-keysarchivo .

      Para obtener más información sobre las opciones, consulte propuesta (IKE de seguridad).

    • En la política ike, en el nivel de jerarquía [edit security ike policy policy-name], sustitúyala certificate local-certificate Local1 por el pre-shared-key ascii-text keyarchivo .

      • Por ejemplo set pre-shared-key ascii-text juniper123

      Para obtener más información sobre las opciones, consulte Directiva (IKE de seguridad).

    • En la puerta de enlace ike, en el nivel jerárquico [edit security ike gateway hub-to-spoke-gw],

      • Reemplazar dynamic distinguished-name wildcard OU=SLT por el dynamic hostname domain-namearchivo .

        • Por ejemplo set dynamic hostname juniper.net

          Asegúrese de que su dispositivo pueda resolver el nombre de host. Alternativamente, puede usar set dynamic general-ikeid y set dynamic ike-user-type group-ike-id para la identidad dinámica de radio.

      • Reemplazar local-identity distinguished-name por el local-identity hostname hub-hostnamearchivo .

        • Por ejemplo, set local-identity hostname hub.juniper.net.

          Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar inet ip-address como en set local-identity inet 192.168.1.100.

      Para obtener más información sobre las opciones, consulte puerta de enlace (IKE de seguridad).

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA. Ignore este paso, si está utilizando PSK.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

    Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración.

    • En la propuesta ike, en el nivel de jerarquía [edit security ike proposal ike-proposal], sustitúyala authentication-method rsa-signatures por el authentication-method pre-shared-keysarchivo .

    • En la política ike, en el nivel de jerarquía [edit security ike policy policy-name], sustitúyala certificate local-certificate Local1 por el pre-shared-key ascii-text keyarchivo .

    • En la puerta de enlace ike, en el nivel jerárquico [edit security ike gateway hub-to-spoke-gw],

      • Reemplazar local-identity distinguished-name por el local-identity hostname spoke1-hostnamearchivo .

        • Por ejemplo, set local-identity hostname spoke1.juniper.net.

      • Reemplazar remote-identity distinguished-name por el remote-identity hostname hub-hostnamearchivo .

        • Por ejemplo set remote-identity hostname hub.juniper.net

      Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar inet ip-address como en set local-identity inet 172.16.1.100 y set remote-identity inet 192.168.1.100.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA. Ignore este paso, si está utilizando PSK.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

    Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración.

    • En la propuesta ike, en el nivel de jerarquía [edit security ike proposal ike-proposal], sustitúyala authentication-method rsa-signatures por el authentication-method pre-shared-keysarchivo .

    • En la política ike, en el nivel de jerarquía [edit security ike policy policy-name], sustitúyala certificate local-certificate Local1 por el pre-shared-key ascii-text keyarchivo .

    • En la puerta de enlace ike, en el nivel jerárquico [edit security ike gateway hub-to-spoke-gw],

      • Reemplazar local-identity distinguished-name por el local-identity hostname spoke2-hostnamearchivo .

        • Por ejemplo set local-identity hostname spoke2.juniper.net

      • Reemplazar remote-identity distinguished-name por el remote-identity hostname hub-hostnamearchivo .

        • Por ejemplo set remote-identity hostname hub.juniper.net

      Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar inet ip-address como en set local-identity inet 10.0.1.100 y set remote-identity inet 192.168.1.100.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA. Ignore este paso, si está utilizando PSK.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando security ipsec security-associations .

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.

Comprobación de túneles del próximo salto IPsec

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Comprobación de BGP

Propósito

Compruebe que BGP hace referencia a las direcciones IP de las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el comando show bgp summary.

Verificación de rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas a los radios.

Acción

Desde el modo operativo, ingrese el comando show route 10.60.60.0 .

Desde el modo operativo, ingrese el comando show route 10.70.70.0 .

Ejemplo: Configuración de AutoVPN básica con iBGP para tráfico IPv6

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura AutoVPN para un entorno IPv6 mediante iBGP para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres firewalls compatibles de la serie SRX como concentrador y radios AutoVPN.

  • Junos OS versión 18.1R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte Información general sobre los protocolos de enrutamiento.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.

Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 6 muestra las opciones utilizadas en este ejemplo.

Tabla 6: Opciones de fase 1 y fase 2 para configuraciones radiales de AutoVPN

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Segundos de por vida

3000

Algoritmo de cifrado

AES 256 GCM

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 7 muestra las opciones configuradas en el hub y en todos los radios.

Tabla 7: Configuración de AutoVPN para Hub y todos los radios

La opción

Concentrador

Todos los radios

Puerta de enlace IKE:

Dirección IP remota

Dinámico

2001:db8:2000::1

ID de IKE remoto

Nombre distintivo (DN) en el certificado del radio con la cadena SLT en el campo Unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/0

Habló 1: ge-0/0/0.0

Habló 2: ge-0/0/0.0

VPN:

Interfaz de enlace

st0.1

st0.1

Establecer túneles

(no configurado)

establecer túneles en el tráfico

Tabla 8 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 8: Comparación entre las configuraciones de los radios

La opción

Habló 1

Habló 2

Interfaz st0.0

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz con la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 3 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 3: Implementación básica de AutoVPN con iBGPImplementación básica de AutoVPN con iBGP

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 2:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de IKE

Propósito

Verifique el estado de ICR.

Acción

Desde el modo operativo, ingrese el comando show security ike sa.

Significado

El show security ike sa comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Comprobación del estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec sa.

Significado

El show security ipsec sa comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.

Comprobación de túneles del próximo salto IPsec

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Comprobación de BGP

Propósito

Compruebe que BGP hace referencia a las direcciones IP de las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el comando show bgp summary.

Ejemplo: Configuración de AutoVPN con iBGP y ECMP

En este ejemplo se muestra cómo configurar dos túneles VPN IPsec entre un concentrador AutoVPN radial. En este ejemplo se configura iBGP con multiruta de acceso (ECMP) de igual costo para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX compatibles como concentrador y centro AutoVPN radial

  • Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de la unidad organizativa (OU) "SLT" en el nombre distintivo (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU. El otro certificado para el radio contiene el valor de la unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo OU.

El radio establece conexiones VPN IPsec con el concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores.Tabla 9 muestra las opciones utilizadas en este ejemplo.

Tabla 9: Opciones de fase 1 y fase 2 para configuraciones de ECMP iBGP radial y de concentrador AutoVPN

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 10 muestra las opciones configuradas en el hub y en el radio.

Tabla 10: Configuración ECMP de iBGP de AutoVPN para Hub and Spoke 1

La opción

Concentrador

Habló 1

Puerta de enlace IKE:

Dirección IP remota

hub-to-spoke-gw-1: Dinámico

hub-to-spoke-gw-2: Dinámico

spoke-to-hub-gw-1: 1 0.1.1.1

spoke-to-hub-gw-2: 10.1.2.1

ID de IKE remoto

hub-to-spoke-gw-1: DN en el certificado del radio con la cadena SLT en el campo OU

hub-to-spoke-gw-2: DN en el certificado del radio con la cadena SBU en el campo OU

spoke-to-hub-gw-1: DN en el certificado del hub

spoke-to-hub-gw-2: DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VPN:

Interfaz de enlace

vpn-to-spoke-vpn-1: st0.0

vpn-to-spoke-vpn-2: st0.1

Spoke-to-Hub-1: st0.0

Spoke-to-Hub-2: st0.1

Establecer túneles

(no configurado)

Confirmación de configuración inmediatamente después

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 4 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 4: Despliegue de AutoVPN con iBGP y ECMP Despliegue de AutoVPN con iBGP y ECMP

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscribir los certificados locales.

  5. Compruebe los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscribir los certificados locales.

  5. Compruebe los certificados locales.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT para Local1 y SBU para Local2. Las configuraciones de IKE en el hub incluyen OU=SLT e OU=SBU identifican el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando security ipsec security-associations .

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.

Comprobación de túneles del próximo salto IPsec

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Comprobación de BGP

Propósito

Verifique que BGP hace referencia a las direcciones IP de las st0 interfaces del radio.

Acción

Desde el modo operativo, ingrese el comando show bgp summary.

Verificación de rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas hacia el radio.

Acción

Desde el modo operativo, ingrese el comando show route 10.60.60.0 detail.

Verificar la instalación de la ruta en la tabla de reenvío

Propósito

Verifique que las rutas al radio se hayan instalado en la tabla de reenvío.

Acción

Desde el modo operativo, ingrese el comando show route forwarding-table matching 10.60.60.0.

Ejemplo: Configuración de AutoVPN con iBGP y túneles de copia de seguridad activa

En este ejemplo se muestra cómo configurar túneles VPN IPsec activos y de respaldo entre un concentrador AutoVPN radial. En este ejemplo se configura iBGP para reenviar tráfico a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX compatibles como concentrador y centro AutoVPN radial

  • Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de la unidad organizativa (OU) "SLT" en el nombre distintivo (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU. El otro certificado para el radio contiene el valor de la unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo OU.

El radio establece conexiones VPN IPsec con el concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores. Tabla 11 muestra las opciones utilizadas en este ejemplo.

Tabla 11: Opciones de fase 1 y fase 2 para configuraciones de túnel de copia de seguridad activa de iBGP radial

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 12 muestra las opciones configuradas en el hub y en el radio.

Tabla 12: Configuración del túnel de copia de seguridad activa del IBGP de AutoVPN para Hub and Spoke 1

La opción

Concentrador

Habló 1

Puerta de enlace IKE:

Dirección IP remota

hub-to-spoke-gw-1: Dinámico

hub-to-spoke-gw-2: Dinámico

spoke-to-hub-gw-1: 1 0.1.1.1

spoke-to-hub-gw-2: 10.1.2.1

ID de IKE remoto

hub-to-spoke-gw-1: DN en el certificado del radio con la cadena SLT en el campo OU

hub-to-spoke-gw-2: DN en el certificado del radio con la cadena SBU en el campo OU

spoke-to-hub-gw-1: DN en el certificado del hub

spoke-to-hub-gw-2: DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VPN:

Interfaz de enlace

vpn-to-spoke-vpn-1: st0.0

vpn-to-spoke-vpn-2: st0.1

Spoke-to-Hub-1: st0.0

Spoke-to-Hub-2: st0.1

Monitor VPN

vpn-to-spoke-vpn-1: ge-0/0/1.0 (interfaz de origen)

vpn-to-spoke-vpn-2: ge-0/0/2.0 (interfaz de origen)

Spoke-to-Hub-1: 10.1.1.1 (IP de destino)

Spoke-to-Hub-2: 10.1.2.1 (IP de destino)

Establecer túneles

(no configurado)

Confirmación de configuración inmediatamente después

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 5 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 5: Implementación de AutoVPN con iBGP y túneles de copia de seguridad activa Implementación de AutoVPN con iBGP y túneles de copia de seguridad activa

En este ejemplo, se establecen dos túneles VPN IPsec entre el concentrador y el radio 1. La información de enrutamiento se intercambia a través de sesiones de iBGP en cada túnel. La coincidencia de prefijo más larga para la ruta a 10.60.60.0/24 es a través de la interfaz st0.0 en el concentrador. Por lo tanto, el túnel principal para la ruta es a través de las interfaces st0.0 en el concentrador y radial 1. La ruta predeterminada es a través del túnel de respaldo en las interfaces st0.1 del concentrador y radial 1.

La supervisión de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por ejemplo, no se puede acceder a la puerta de enlace del túnel remoto), el estado del túnel cambia a abajo y los datos destinados a 10.60.60.0/24 se redirigen a través del túnel de reserva.

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscribir los certificados locales.

  5. Compruebe los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscribir los certificados locales.

  5. Compruebe los certificados locales.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT para Local1 y SBU para Local2. Las configuraciones de IKE en el hub incluyen OU=SLT e OU=SBU identifican el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show policy-options, show protocols, show security policiesshow security ipsecshow security zonesshow routing-optionsshow security ikey .show security pki Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE (ambos túneles están activos)

Propósito

Verifique el estado de la fase 1 de IKE cuando ambos túneles VPN IPSec estén activos.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.

Comprobación del estado de fase 2 de IPsec (ambos túneles están activos)

Propósito

Compruebe el estado de fase 2 de IPsec cuando ambos túneles VPN IPsec estén activos.

Acción

Desde el modo operativo, ingrese el comando security ipsec security-associations .

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.

Comprobación de túneles de próximo salto IPsec (ambos túneles están activos)

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces del radio. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Verificación de BGP (ambos túneles están activos)

Propósito

Verifique que BGP haga referencia a las direcciones IP de las st0 interfaces del radio cuando ambos túneles VPN IPsec estén activos.

Acción

Desde el modo operativo, ingrese el comando show bgp summary.

Verificación de rutas aprendidas (ambos túneles están activos)

Propósito

Verifique que se hayan aprendido las rutas hacia el radio cuando ambos túneles estén activos. La ruta a 10.60.60.0/24 es a través de la interfaz st0.0 y la ruta predeterminada es a través de la interfaz st0.1.

Acción

Desde el modo operativo, ingrese el comando show route 10.60.60.0 .

Desde el modo operativo, ingrese el comando show route 0.0.0.0.

Verificación del estado de la fase 1 de IKE (el túnel principal está inactivo)

Propósito

Verifique el estado de la fase 1 de IKE cuando el túnel principal esté inactivo.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.

Comprobación del estado de fase 2 de IPsec (el túnel principal está inactivo)

Propósito

Compruebe el estado de fase 2 de IPsec cuando el túnel principal está inactivo.

Acción

Desde el modo operativo, ingrese el comando security ipsec security-associations .

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.

Comprobación de túneles de próximo salto IPsec (el túnel principal está inactivo)

Propósito

Compruebe el túnel del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces del radio. El siguiente salto debe estar asociado con el nombre de VPN IPsec correcto, en este caso el túnel VPN de reserva.

Verificar BGP (el túnel principal está inactivo)

Propósito

Verifique que BGP haga referencia a las direcciones IP de las st0 interfaces del radio cuando el túnel principal esté inactivo.

Acción

Desde el modo operativo, ingrese el comando show bgp summary.

Verificación de rutas aprendidas (el túnel principal está inactivo)

Propósito

Verifique que se hayan aprendido las rutas al radio cuando el túnel principal está inactivo. Tanto la ruta a 10.60.60.0/24 como la ruta predeterminada se realizan a través de la interfaz st0.1.

Acción

Desde el modo operativo, ingrese el comando show route 10.60.60.0 .

Desde el modo operativo, ingrese el comando show route 0.0.0.0.

Ejemplo: Configuración de AutoVPN básica con OSPF

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura OSPF para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres firewalls de la serie SRX compatibles como concentrador y radios AutoVPN

  • Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.

Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 13 muestra las opciones utilizadas en este ejemplo.

Tabla 13: Opciones de fase 1 y fase 2 para configuraciones básicas de OSPF radial

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 14 muestra las opciones configuradas en el hub y en todos los radios.

Tabla 14: Configuración básica de OSPF de AutoVPN para el concentrador y todos los radios

La opción

Concentrador

Todos los radios

Puerta de enlace IKE:

Dirección IP remota

Dinámico

1 0.1.1.1

ID de IKE remoto

Nombre distintivo (DN) en el certificado del radio con la cadena SLT en el campo Unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/1.0

Habló 1: fe-0/0/1.0

Habló 2: ge-0/0/1.0

VPN:

Interfaz de enlace

st0.0

st0.0

Establecer túneles

(no configurado)

Confirmación de configuración inmediatamente después

Tabla 15 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 15: Comparación entre las configuraciones básicas de radios OSPF

La opción

Habló 1

Habló 2

Interfaz st0.0

10.10.10.2/24

10.10.10.3/24

Interfaz con la red interna

FE-0.0/4.0: 100.60.60.1/24

FE-0.0/4.0: 10.70.70.1/24

Interfaz a Internet

fe-0/0/1.0: 10.2.2.1/30

GE-0/0/1.0: 10.3.3.1/30

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 6 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 6: Implementación básica de AutoVPN con OSPF Implementación básica de AutoVPN con OSPF

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 2:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando security ipsec security-associations .

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.

Comprobación de túneles del próximo salto IPsec

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Verificación de OSPF

Propósito

Compruebe que OSPF hace referencia a las direcciones IP de las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el comando show ospf neighbor .

Verificación de rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas a los radios.

Acción

Desde el modo operativo, ingrese el comando show route 60.60.60.0 .

Desde el modo operativo, ingrese el comando show route 10.70.70.0 .

Ejemplo: Configuración de AutoVPN con OSPFv3 para tráfico IPv6

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura AutoVPN para el entorno IPv6 mediante OSPFv3 para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres firewalls compatibles de la serie SRX como concentrador y radios AutoVPN.

  • Junos OS versión 18.1R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de una AutoVPN con protocolo de enrutamiento OSPFv3 en el hub y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.

Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 16 muestra las opciones utilizadas en este ejemplo.

Tabla 16: Opciones de fase 1 y fase 2 para configuraciones básicas de OSPFv3 radial

La opción

valor

Propuesta de IKE:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Política de IKE:

Modo

Principal

Propuesta IPsec:

Protocolo

ESP

Segundos de por vida

3000

Algoritmo de cifrado

AES 256 GCM

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Tabla 17 muestra las opciones configuradas en el hub y en todos los radios.

Tabla 17: Configuración de OSPFv3 de AutoVPN para Hub y todos los radios

La opción

Concentrador

Todos los radios

Puerta de enlace IKE:

Dirección IP remota

Dinámico

2001:db8:2000::1

ID de IKE remoto

Nombre distintivo (DN) en el certificado del radio con la cadena SLT en el campo Unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/0

Habló 1: ge-0/0/0.0

Habló 2: ge-0/0/0.0

VPN:

Interfaz de enlace

st0.1

st0.1

Establecer túneles

(no configurado)

Confirmación de configuración inmediatamente después

Tabla 18 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 18: Comparación entre las configuraciones de radios OSPFv3

La opción

Habló 1

Habló 2

Interfaz st0.1

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz con la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 7 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 7: Implementación básica de AutoVPN con OSPFv3Implementación básica de AutoVPN con OSPFv3

Configuración

Para configurar AutoVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 1:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 2:

  1. Configure la CA.

  2. Inscriba el certificado de CA.

    Escriba yes en el símbolo del sistema para cargar el certificado de CA.

  3. Generar un par de claves.

  4. Inscribir el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) que se muestra en el campo de asunto es SLT. La configuración de IKE en el hub incluye ou=SLT para identificar el radio.

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de Spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el radio 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar zonas.

  6. Configure la directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, escriba los comandos , show protocols, show routing-options, show security zonesshow security ipsecshow security ikeshow security policies, y show security pki para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de IKE

Propósito

Verifique el estado de ICR.

Acción

Desde el modo operativo, ingrese el comando show security ike sa.

Significado

El show security ike sa comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Comprobación del estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec sa .

Significado

El show security ipsec sa comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.

Comprobación de túneles del próximo salto IPsec

Propósito

Compruebe los túneles del próximo salto IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.

Comprobación de OSPFv3

Propósito

Compruebe que OSPFv3 hace referencia a las direcciones IP de las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el comando show ospf3 neighbor detail.

Concentrador:

Habló 1:

Habló 2:

Ejemplo: Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico

En este ejemplo se muestra cómo configurar selectores de tráfico, en lugar de protocolos de enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación de AutoVPN. Cuando se configuran selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en modo punto a punto. Los selectores de tráfico se configuran tanto en el concentrador como en los dispositivos radiales. El ejemplo es usar la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador AutoVPN.

  • Un firewall de la serie SRX configurado como un radio AutoVPN.

  • Junos OS versión 12.3X48-D10 o posterior.

  • Certificados digitales inscritos en el hub y en los dispositivos radiales que permiten que los dispositivos se autentiquen entre sí.

Antes de empezar:

Descripción general

En este ejemplo, los selectores de tráfico se configuran en el concentrador y radial AutoVPN. Solo el tráfico que se ajusta al selector de tráfico configurado se reenvía a través del túnel. En el hub, el selector de tráfico se configura con la dirección IP local 192.0.0.0/8 y la dirección IP remota 172.0.0.0/8. En el radio, el selector de tráfico se configura con la dirección IP local 172.0.0.0/8 y la dirección IP remota 192.0.0.0/8.

Las direcciones IP del selector de tráfico configuradas en el radio pueden ser un subconjunto de las direcciones IP del selector de tráfico configuradas en el hub. Esto se conoce como coincidencia flexible del selector de tráfico.

Algunas opciones de túnel IKE de fase 1 y fase 2 configuradas en los concentradores y radios de AutoVPN deben tener los mismos valores. Tabla 19 muestra los valores utilizados en este ejemplo:

Tabla 19: Opciones de fase 1 y fase 2 para concentradores y radios AutoVPN con selectores de tráfico

La opción

valor

Propuesta de IKE:

Método de autenticación

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Política de IKE:

Modo

principal

Certificado

certificado local

Puerta de enlace IKE:

Dinámico

nombre distinguido comodín DC=Common_component

Tipo de usuario de IKE

ID IKE de grupo

Identidad local

Nombre distintivo

Versión

Solo v1

Propuesta IPsec:

Protocolo

esp

Algoritmo de autenticación

HMAC-SHA1-96

Algoritmo de cifrado

AES-192-CBC

Vida

3600 segundos

150.000 kilobytes

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

grupo5

Topología

Figura 8 muestra los firewalls de la serie SRX que se van a configurar para este ejemplo.

Figura 8: AutoVPN con selectores de tráfico AutoVPN con selectores de tráfico

Configuración

Configuración del concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

A partir de Junos OS versión 15.1X49-D120, puede configurar la opción reject-duplicate-connection CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic] para conservar una sesión de túnel existente y rechazar solicitudes de negociación para un nuevo túnel con el mismo ID de IKE. De forma predeterminada, un túnel existente se desactiva cuando se establece un túnel nuevo con el mismo ID de IKE. La reject-duplicate-connection opción solo se admite cuando ike-user-type group-ike-id está ike-user-type shared-ike-id configurada para la puerta de enlace de IKE; la aaa access-profile profile-name configuración no se admite con esta opción.

Utilice la opción reject-duplicate-connection CLI solo cuando esté seguro de que se debe rechazar el restablecimiento de un nuevo túnel con el mismo ID de IKE.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el hub:

  1. Configurar interfaces.

  2. Configure las opciones de la fase 1.

  3. Configure las opciones de la fase 2.

  4. Configure la información del certificado.

  5. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ike, show security zonesshow security ipsecshow security pki, , y show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del radial

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el hub:

  1. Configurar interfaces.

  2. Configure las opciones de la fase 1.

  3. Configure las opciones de la fase 2.

  4. Configure la información del certificado.

  5. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ike, show security zonesshow security ipsecshow security pki, , y show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación de túneles

Propósito

Verifique que haya túneles establecidos entre el concentrador AutoVPN y el radial.

Acción

Desde el modo operativo, escriba los show security ike security-associations comandos y show security ipsec security-associations en el concentrador.

Desde el modo operativo, introduzca los show security ike security-associations comandos y show security ipsec security-associations en el radio.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El hub muestra un túnel activo al radio, mientras que el radiel muestra un túnel activo al hub.

Si no se enumera ninguna SA para la fase 1 de IKE, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.

Si no se enumera ninguna SA para la fase 2 de IKE, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.

Verificación de selectores de tráfico

Propósito

Compruebe los selectores de tráfico.

Acción

Desde el modo operativo, escriba el show security ipsec traffic-selector interface-name st0.1 comando en el concentrador.

Desde el modo operativo, ingrese el show security ipsec traffic-selector interface-name st0.1 comando en el radio.

Significado

Un selector de tráfico es un acuerdo entre pares IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).

Ejemplo: Garantizar la disponibilidad del túnel VPN con AutoVPN y selectores de tráfico

La redundancia geográfica es el despliegue de varios sitios geográficamente distantes para que el tráfico pueda seguir fluyendo a través de la red de un proveedor, incluso si hay un corte de energía, un desastre natural u otro evento catastrófico que afecte a un sitio. En una red de proveedor de telefonía móvil, se pueden conectar varios dispositivos del nodo evolucionado B (eNodeB) a la red principal a través de puertas de enlace VPN IPsec georedundantes en firewalls de la serie SRX. Las rutas alternativas a los dispositivos eNodeB se distribuyen a la red central mediante un protocolo de enrutamiento dinámico.

En este ejemplo se configuran concentradores de AutoVPN con varios selectores de tráfico en los firewalls de la serie SRX para garantizar que haya puertas de enlace VPN IPsec georedundantes para los dispositivos eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar automáticamente rutas hacia los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. Las rutas de ARI se distribuyen a la red central del proveedor a través de BGP. El ejemplo es usar la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador A de AutoVPN.

  • Un firewall de la serie SRX configurado como concentrador B de AutoVPN.

  • Junos OS versión 12.3X48-D10 o posterior.

  • Dispositivos eNodeB que pueden establecer túneles VPN IPsec con concentradores AutoVPN. Los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con concentradores AutoVPN.

  • Certificados digitales inscritos en los hubs y en los dispositivos eNodeB que permiten que los dispositivos se autentiquen entre sí.

Antes de empezar:

En este ejemplo se utiliza el protocolo de enrutamiento dinámico BGP para anunciar rutas hacia los dispositivos eNodeB a la red principal.

Descripción general

En este ejemplo, se configuran dos concentradores AutoVPN con varios selectores de tráfico en los firewalls de la serie SRX para proporcionar puertas de enlace VPN IPsec georedundantes a los dispositivos eNodeB. ARI inserta automáticamente rutas a los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. Las rutas de ARI se distribuyen a la red central del proveedor a través de BGP.

Algunas opciones de túnel IKE de fase 1 y fase 2 configuradas en los concentradores AutoVPN y dispositivos eNodeB deben tener los mismos valores. Tabla 20 muestra los valores utilizados en este ejemplo:

Tabla 20: Opciones de fase 1 y fase 2 para concentradores AutoVPN con redundancia geográfica

La opción

valor

Propuesta de IKE:

Método de autenticación

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Política de IKE:

Certificado

certificado local

Puerta de enlace IKE:

Dinámico

nombre distinguido comodín DC=Common_component

Tipo de usuario de IKE

ID IKE de grupo

Detección de pares muertos

túnel inactivo de la sonda

Identidad local

Nombre distintivo

Versión

Solo v2

Propuesta IPsec:

Protocolo

esp

Algoritmo de autenticación

HMAC-SHA1-96

Algoritmo de cifrado

aes-256-cbc

Directiva IPsec:

Grupo Perfect Forward Secrecy (PFS)

grupo5

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad. Para simplificar, la configuración de los firewalls de la serie SRX permite todo tipo de tráfico entrante; Esta configuración no se recomienda para implementaciones de producción.

Topología

Figura 9 muestra los firewalls de la serie SRX que se van a configurar para este ejemplo.

Figura 9: Puertas de enlace VPN IPsec georedundantes a dispositivos eNodeBPuertas de enlace VPN IPsec georedundantes a dispositivos eNodeB

Configuración

Configuración del concentrador A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el hub A:

  1. Configurar interfaces.

  2. Configure las opciones de la fase 1.

  3. Configure las opciones de la fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configure la información del certificado.

  7. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ipsec, show protocols bgp, show security zonesshow policy-optionsshow security pki, y show security policies para confirmar la show interfaces show security ikeconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del concentrador B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el concentrador B:

  1. Configurar interfaces.

  2. Configure las opciones de la fase 1.

  3. Configure las opciones de la fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configure la información del certificado.

  7. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ipsec, show security zonesshow protocols bgpshow security pki, , y show security policies para confirmar la show interfaces show security ikeconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de eNodeB (configuración de ejemplo)

Procedimiento paso a paso
  1. La configuración de eNodeB en este ejemplo se proporciona como referencia. La información detallada de configuración de eNodeB está fuera del alcance de este documento. La configuración de eNodeB debe incluir la siguiente información:

    • Certificado local (X.509v3) e información de identidad de IKE

    • Información de identidad IKE serie SRX y dirección IP pública

    • Propuestas de fase 1 y fase 2 que coinciden con las configuraciones de los concentradores de la serie SRX

Resultados

Los dispositivos eNodeB de este ejemplo utilizan el software de código abierto strongSwan para conexiones VPN basadas en IPsec:

Verificación

Confirme que la configuración funcione correctamente.

Verificación de túneles en los concentradores de AutoVPN

Propósito

Verifique que haya túneles establecidos entre el concentrador AutoVPN y los dispositivos eNodeB.

Acción

Desde el modo operativo, escriba los show security ike security-associations comandos y show security ipsec security-associations en el concentrador.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El hub muestra dos túneles activos, uno para cada dispositivo eNodeB.

Si no se enumera ninguna SA para la fase 1 de IKE, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y en los dispositivos eNodeB.

Si no se enumera ninguna SA para la fase 2 de IKE, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y en los dispositivos eNodeB.

Verificación de selectores de tráfico

Propósito

Compruebe los selectores de tráfico.

Acción

Desde el modo operativo, ingrese el comando show security ipsec traffic-selector interface-name st0.1.

Significado

Un selector de tráfico es un acuerdo entre pares IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).

Verificación de rutas ARI

Propósito

Compruebe que las rutas ARI se agregan a la tabla de enrutamiento.

Acción

Desde el modo operativo, ingrese el comando show route.

Significado

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como una ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Rutas estáticas a los destinos de eNodeB 10.30.1.0/24 y 10.Se agregan 50.1.0/24 a la tabla de enrutamiento del concentrador de la serie SRX. Se puede acceder a estas rutas a través de la interfaz st0.1.

Ejemplo: Configuración de AutoVPN con clave precompartida

En este ejemplo se muestra cómo configurar diferentes claves previamente compartidas IKE utilizadas por la puerta de enlace VPN para autenticar el par remoto. Del mismo modo, para configurar la misma clave previamente compartida IKE utilizada por la puerta de enlace VPN para autenticar el par remoto.

Consulte otros ejemplos en este tema para la configuración integral de AutoVPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • MX240, MX480 y MX960 con MX-SPC3 y Junos OS versión 21.1R1 compatibles con AutoVPN
  • o SRX5000 línea con SPC3 y Junos OS versión 21.2R1 que admiten AutoVPN
  • o el firewall virtual vSRX ejecutando el proceso iked (con el junos-ike paquete) y Junos OS versión 21.2R1 que admita AutoVPN

Configurar diferentes claves previamente compartidas de IKE

Para configurar una clave IKE previamente compartida diferente que la puerta de enlace VPN utiliza para autenticar al par remoto, realice estas tareas.

  1. Configure la política sembrada previamente compartida para IKE en el dispositivo con el concentrador AutoVPN.

    o

    Por ejemplo:

    o

  2. Mostrar el par remoto for mediante el nombre de puerta de enlace y el pre-shared key identificador de usuario.

    Por ejemplo:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure el PSK generado ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" en el paso 2) en la política ike en el dispositivo par remoto.

    Por ejemplo:

  4. (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure general-ikeid la instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway_name dynamic] en la puerta de enlace.

Resultado

Desde el modo de configuración, confirme su configuración introduciendo el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Configurar la misma clave previamente compartida de IKE

Para configurar la misma clave previamente compartida IKE que la puerta de enlace VPN utiliza para autenticar el par remoto, realice estas tareas.

  1. Configure la política común pre-shared-key para ike en el dispositivo con el concentrador AutoVPN.

    Por ejemplo:

  2. Configure la política común pre-shared-key en el ike para el dispositivo par remoto.

    Por ejemplo:

  3. (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure general-ikeid la instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway_name dynamic] en la puerta de enlace.

Resultado

Desde el modo de configuración, confirme su configuración introduciendo el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Configurar la compatibilidad con multidifusión en infraestructura P2MP

En este tema, aprenderá a habilitar la compatibilidad con multidifusión en la infraestructura P2MP.

Antes de habilitar la compatibilidad con multidifusión, asegúrese de que cumple las consideraciones enumeradas en Compatibilidad con multidifusión mediante PIM.

Consulte las siguientes secciones para configurar y comprobar la compatibilidad con la multidifusión.

Configurar interfaz de multidifusión

  • Para habilitar PIM en la interfaz st0.0, utilice el set protocols pim interface interface-name commandcomando :

    st0.0 Aquí está la interfaz de túnel seguro.

  • Para habilitar multipunto en la interfaz st0.0 para el modo P2MP, use set interfaces interface-name unit unit-number multipoint el comando:

  • Para establecer la dirección IPv4 para la interfaz st0.0, utilice el set interfaces interface-name unit unit-number family inet address IPv4 address comando:

    Aquí, 192.168.1.3/24 es la dirección IP de la interfaz.

  • Para desactivar PIM en la interfaz st0.0, utilice la opción disable:

Comandos de CLI para verificar la configuración de multidifusión

Puede comprobar la configuración de multidifusión mediante los siguientes comandos.

  • Para enumerar las interfaces PIM, utilice el show pim interfaces comando.

  • Para enumerar los vecinos que se unieron al grupode multidifusión s, use el show pim join extensive comando.

  • Para ver las entradas en la tabla de reenvío de multidifusión IP, utilice el show multicast route comando.

  • Para ver los detalles del próximo salto de multidifusión, utilice el show multicast next-hops detail comando.

  • Para ver las estadísticas de multidifusión IP, utilice el show multicast statistics comando.

  • Para ver las entradas de la tabla de reenvío, utilice el show route forwarding-table extensive comando.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
24.2R1
La compatibilidad con tráfico de multidifusión (dirección IPv4) con AutoVPN para firewalls que ejecutan el proceso iked se agregó en Junos OS versión 24.2R1.
17.4R1
A partir de Junos OS versión 17.4R1, la dirección IPv6 es compatible con AutoVPN.
17.4R1
A partir de Junos OS versión 17.4R1, las redes AutoVPN que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE.
15.1X49-D120
A partir de Junos OS versión 15.1X49-D120, puede configurar la opción reject-duplicate-connection CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic] para conservar una sesión de túnel existente y rechazar solicitudes de negociación para un nuevo túnel con el mismo ID de IKE.