EN ESTA PÁGINA
Descripción de la autenticación radial en implementaciones de AutoVPN
Ejemplo: Configuración de AutoVPN básica con iBGP para tráfico IPv6
Ejemplo: Configuración de AutoVPN con iBGP y túneles de copia de seguridad activa
Ejemplo: Configuración de AutoVPN con OSPFv3 para tráfico IPv6
Ejemplo: Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico
Ejemplo: Garantizar la disponibilidad del túnel VPN con AutoVPN y selectores de tráfico
Configurar la compatibilidad con multidifusión en infraestructura P2MP
AutoVPN en dispositivos radiales
AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como punto de terminación único para múltiples túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para radios actuales y futuros.
Descripción de AutoVPN
AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como punto de terminación único para múltiples túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para radios actuales y futuros. No es necesario realizar cambios de configuración en el concentrador cuando se agregan o eliminan dispositivos radiales, lo que permite a los administradores flexibilidad para administrar despliegues de red a gran escala.
- Modos de túnel seguro
- autentificación
- Configuración y administración
- Compatibilidad con multidifusión mediante PIM
- Descripción de las limitaciones de AutoVPN
- Descripción de AutoVPN con selectores de tráfico
Modos de túnel seguro
AutoVPN se admite en VPN IPsec basadas en rutas. Para las VPN basadas en rutas, configure una interfaz de túnel seguro (st0) y la vincule a un túnel VPN IPsec. Las interfaces st0 en las redes AutoVPN se pueden configurar en uno de dos modos:
-
Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía [
edit interfaces st0 unit x
] está en modo punto a punto. A partir de Junos OS versión 17.4R1, la dirección IPv6 es compatible con AutoVPN. -
Modo punto a multipunto: en este modo, la
multipoint
opción se configura en el nivel jerárquico [edit interfaces st0 unit x
] tanto en el concentrador como en los radios AutoVPN. Las interfaces st0 del concentrador y los radios deben estar numeradas y la dirección IP configurada en un radio debe existir en la subred de la interfaz st0 del concentrador.
Tabla 1 compara los modos de interfaz de túnel seguro punto a punto y punto a multipunto de AutoVPN.
Modo punto a punto |
Modo punto a multipunto |
---|---|
Admite IKEv1 o IKEv2. |
Admite IKEv1 o IKEv2. |
Soporta tráfico IPv4 e IPv6. |
Soporta IPv4 o IPv6. |
Selectores de tráfico |
Protocolos de enrutamiento dinámico (OSPF, OSPFv3 e iBGP) |
Detección de pares muertos |
Detección de pares muertos |
Permite que los dispositivos radiales sean de la serie SRX o de terceros. |
Este modo solo se admite con firewalls de la serie SRX. |
autentificación
Las AutoVPN admiten métodos de autenticación basados en certificados y claves previamente compartidas.
Para la autenticación basada en certificados en concentradores y radios AutoVPN, puede usar certificados de infraestructura de clave pública (PKI) X.509. El tipo de usuario IKE de grupo configurado en el concentrador permite especificar cadenas para que coincidan con el campo de asunto alternativo de los certificados hablados. También se pueden especificar coincidencias parciales para los campos de asunto en los certificados radiales. Consulte Descripción de la autenticación radial en las implementaciones de AutoVPN.
A partir de Junos OS versión 21.2R1, SRX5000 línea con la tarjeta SPC3 y el firewall virtual vSRX que ejecuta el proceso iked admite AutoVPN con clave precompartida inicializada.
La línea SRX5000 con la tarjeta SPC3 y el firewall virtual vSRX admite AutoVPN con PSK, solo si instala el junos-ike
paquete.
Admitimos AutoVPN con las siguientes dos opciones:
- PSK sembrado de AutoVPN: Varios pares que se conectan a la misma puerta de enlace con diferentes claves precompartidas.
- AutoVPN ha compartido PSK: Varios pares que se conectan a la misma puerta de enlace con la misma clave precompartida.
El PSK sembrado es diferente del PSK sin semilla (es decir, el mismo PSK compartido). El PSK semilla utiliza la clave maestra para generar el PSK compartido para el par. Por lo tanto, cada par tendrá un PSK diferente que se conectará a la misma puerta de enlace. Por ejemplo: Considere un escenario en el que el par 1 con el ID user1@juniper.net de IKE y el par 2 con ID de IKE user2@juniper.net intentan conectarse a la puerta de enlace. En este escenario, la puerta de enlace configurada como HUB_GW
que contiene la clave maestra configurada como ThisIsMySecretPreSharedkey
tendrá los PSK diferentes de la siguiente manera:
Par 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a
Par 2: 3db8385746f3d1e639435a882579a9f28464e5c7
Esto significa que, para diferentes usuarios con diferente ID de usuario y la misma clave maestra, se generará una clave previamente compartida diferente o única.
Puede usar para pre-shared-key
Auto-VPN seeded-pre-shared-key
PSK:
- Clave precompartida diferente: Si se
seeded-pre-shared-key
establece, la puerta de enlace VPN utiliza una clave IKE previamente compartida diferente para autenticar cada par remoto. Las claves previamente compartidas del par se generan mediante elmaster-key
conjunto en la puerta de enlace de IKE y se comparten entre los pares.Para permitir que la puerta de enlace VPN use una clave previamente compartida (PSK) IKE diferente para autenticar a cada par remoto, utilice los nuevos comandos
seeded-pre-shared-key ascii-text
de CLI oseeded-pre-shared-key hexadecimal
en el nivel de[edit security ike policy policy_name]
jerarquía.Este comando es mutuamente excluyente con
pre-shared-key
comando bajo la misma jerarquía.Consulte la política.
- Clave compartida/misma previamente compartida: Si
pre-shared-key-type
no está configurado, el PSK se considera compartido. La misma clave IKE previamente compartida es utilizada por la puerta de enlace VPN para autenticar a todos los pares remotos.Para permitir que la puerta de enlace VPN utilice el mismo PSK de IKE para autenticar a todos los pares remotos, utilice los comandos
pre-sharedkey ascii-text
de CLI existentes opre-shared-key hexadecimal
.
En la puerta de enlace VPN, puede omitir la validación del ID de IKE mediante la instrucción de general-ikeid
configuración situada en el nivel de [edit security ike gateway gateway_name dynamic]
jerarquía. Si esta opción está configurada, durante la autenticación del par remoto, la puerta de enlace VPN permite cualquier conexión remota de ID de IKE. Consulte general-ikeid.
La línea SRX5000 con la tarjeta SPC3 y el firewall virtual vSRX ejecutando el proceso iked (con el junos-ike
paquete) admite los siguientes modos IKE:
Modo IKE |
SRX5000 línea con la tarjeta SPC3 y el firewall virtual vSRX ejecutando el proceso iked |
|
---|---|---|
PSK compartido |
Sembrado-PSK |
|
IKEv2 |
Sí |
Sí |
IKEv2 con cualquier- |
Sí |
Sí |
Modo agresivo IKEv1 |
Sí |
Sí |
Modo agresivo IKEv1 con |
Sí |
Sí |
Modo principal IKEv1 |
Sí |
No |
Modo principal IKEv1 con cualquier identificación remota/ |
Sí |
No |
Consulte Ejemplo: Configuración de AutoVPN con clave precompartida.
Configuración y administración
AutoVPN se configura y administra en firewalls de la serie SRX mediante la CLI. Se pueden configurar varios concentradores AutoVPN en un único firewall de la serie SRX. El número máximo de radios admitidos por un concentrador configurado es específico del modelo de firewall de la serie SRX.
Compatibilidad con multidifusión mediante PIM
La multidifusión IP entrega tráfico a más de un receptor previsto mediante la replicación de los paquetes de datos. Puede utilizar datos de multidifusión para aplicaciones como la transmisión de vídeo. El firewall admite multidifusión independiente del protocolo (PIM) en modo punto a multipunto (P2MP). Puede habilitar PIM en el túnel seguro del firewall, st0, interfaz con modo P2MP. El protocolo detecta la interfaz P2MP desde la configuración de interfaz y admite tráfico de multidifusión. Para comprender PIM, consulte Descripción general de PIM.
Figura 1 ilustra la topología de multidifusión en la infraestructura P2MP.
La topología muestra que uno de los firewalls de la serie SRX actúa como concentrador y el resto de los tres actúan como radios. También puede tener dos radios en su topología. Normalmente, el emisor de multidifusión reside detrás del concentrador, mientras que los receptores de multidifusión están detrás de los radios. Para la compatibilidad con multidifusión, observe que la interfaz lógica st0 de túnel seguro en los dispositivos radiales está configurada con el modo PIM P2MP. En cada uno de estos dispositivos, la interfaz st0 P2MP rastrea todas las uniones PIM por vecino para garantizar que el reenvío o la replicación de multidifusión ocurran solo a aquellos vecinos que están en estado unido.
Los firewalls de la serie SRX admiten tráfico de multidifusión IP en modo disperso PIM a través de las interfaces st0 P2MP. El concentrador actúa como el enrutador de primer salto (FHR) o el punto de encuentro (RP). Los radios pueden actuar como enrutadores de último salto (LHR) en la red P2MP. Los dispositivos de la red replican los paquetes de datos de multidifusión a los vecinos que se unen al grupo de multidifusión.
Tenga en cuenta las siguientes consideraciones al configurar la compatibilidad con tráfico de multidifusión:
-
Para el servicio VPN IPsec con el proceso kmd, debe ejecutar Junos OS versión 19.2R1 o posterior. Puede utilizar las plataformas SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (con 2 vCPU) y vSRX 3.0 (con 2 vCPU).
-
Para el servicio VPN IPsec con el proceso iked, debe ejecutar Junos OS versión 24.2R1 o posterior. Puede utilizar las plataformas SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600 y vSRX 3.0.
-
No puede configurar la multidifusión IPv6 en interfaces P2MP.
-
Para que la configuración de multidifusión IP funcione, debe deshabilitar PowerMode IPsec (PMI).
-
No puede realizar ping de multidifusión desde o hacia interfaces P2MP.
-
Tenga en cuenta que IGMP se habilita de forma predeterminada cuando habilita PIM, pero no funciona en la interfaz P2MP.
Para obtener más información sobre cómo configurar la compatibilidad de multidifusión en la infraestructura P2MP, consulte Configurar la compatibilidad de multidifusión en la infraestructura P2MP.
Descripción de las limitaciones de AutoVPN
Las siguientes características no son compatibles con AutoVPN:
-
No se admiten VPN basadas en políticas.
-
El protocolo de enrutamiento dinámico RIP no es compatible con los túneles AutoVPN.
-
No se admiten las claves manuales ni la IKE de clave automática con claves previamente compartidas.
-
No se admite la configuración del enlace de túnel estático del próximo salto (NHTB) en el concentrador de radios.
-
No se admite ulticast IPv6 m.
-
El tipo de usuario ID de IKE de grupo no es compatible con una dirección IP como ID de IKE.
-
Cuando se utiliza el tipo de usuario ID de IKE de grupo, el ID de IKE no debe superponerse con otras puertas de enlace de IKE configuradas en la misma interfaz externa.
Descripción de AutoVPN con selectores de tráfico
Los concentradores de AutoVPN se pueden configurar con varios selectores de tráfico para proteger el tráfico a los radios. Esta característica proporciona los siguientes beneficios:
-
Una sola configuración de VPN puede admitir muchos pares diferentes.
-
Los pares VPN pueden ser firewalls que no sean de la serie SRX.
-
Un solo par puede establecer varios túneles con la misma VPN.
-
Se puede admitir un mayor número de túneles que con AutoVPN con protocolos de enrutamiento dinámico.
A partir de Junos OS versión 17.4R1, las redes AutoVPN que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE.
Cuando se establece el túnel de concentrador a radio, el concentrador utiliza la inserción automática de rutas (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la ruta al prefijo radial en su tabla de enrutamiento. La ruta ARI se puede importar a protocolos de enrutamiento y distribuirse a la red central.
AutoVPN con selectores de tráfico se puede configurar con la interfaz de túnel seguro (st0) en modo punto a punto tanto para IKEv1 como para IKEv2.
Los protocolos de enrutamiento dinámico no se admiten en interfaces st0 cuando se configuran selectores de tráfico.
Tenga en cuenta las siguientes advertencias al configurar AutoVPN con selectores de tráfico:
-
Los protocolos de enrutamiento dinámico no son compatibles con selectores de tráfico con interfaces st0 en modo punto a punto.
-
La carga útil de configuración de Autodiscovery VPN e IKEv2 no se puede configurar con AutoVPN con selectores de tráfico.
-
Los radios pueden ser firewalls que no sean de la serie SRX; Sin embargo, tenga en cuenta las siguientes diferencias:
-
En IKEv2, un radio que no sea de la serie SRX puede proponer múltiples selectores de tráfico en una sola negociación SA. Esto no se admite en los firewalls de la serie SRX y se rechaza la negociación.
-
Un radio que no sea de la serie SRX puede identificar puertos o protocolos específicos para el uso del selector de tráfico. Los puertos y protocolos no se admiten con los selectores de tráfico en los firewalls de la serie SRX y se rechaza la negociación.
-
Consulte también
Descripción de la autenticación radial en implementaciones de AutoVPN
En las implementaciones de AutoVPN, los dispositivos radiales deben tener cargados certificados PKI X.509 válidos. Puede usar el show security pki local-certificate detail
comando para mostrar información sobre los certificados cargados en un dispositivo.
En este tema se trata la configuración del concentrador que permite a los radios autenticarse y conectarse al concentrador mediante certificados:
Configuración del ID de IKE de grupo en el hub
La función ID de IKE de grupo permite que varios dispositivos radiales compartan una configuración de IKE en el hub. La identificación del titular del certificado, en los campos de asunto o asunto alternativo del certificado X.509 de cada radio, debe contener una parte que sea común a todos los radios; la parte común de la identificación del certificado se especifica para la configuración de IKE en el hub.
Por ejemplo, el ID example.net
de IKE se puede configurar en el concentrador para identificar los radios con los nombres device1.example.net
de host , device2.example.net
, y device3.example.net
. El certificado en cada radio debe contener una identidad de nombre de host en el campo de asunto alternativo con example.net
en la parte más a la derecha del campo; por ejemplo, device1.example.net
. En este ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ID de IKE. Durante la negociación de IKE, el ID de IKE de un radio se utiliza para que coincida con la parte común de la identidad de IKE del mismo nivel configurada en el concentrador. Un certificado válido autentica el radio.
La parte común de la identificación del certificado puede ser una de las siguientes:
Un nombre de host parcial en la parte más a la derecha del campo de asunto alternativo del certificado, por ejemplo
example.net
.Una dirección de correo electrónico parcial en la parte más a la derecha del campo de asunto alternativo del certificado, por ejemplo
@example.net
.Una cadena de contenedor, un conjunto de caracteres comodín o ambos para que coincidan con los campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado digital en formato de nombre distinguido (DN) de la notación de sintaxis abstracta uno (ASN.1). Los campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.
Para configurar un ID de IKE de grupo para que coincida con los campos de asunto de los certificados, puede especificar los siguientes tipos de coincidencias de identidad:
Contenedor: el hub autentica el ID de IKE del radio si los campos de asunto del certificado del radio coinciden exactamente con los valores configurados en el hub. Se pueden especificar varias entradas para cada campo de asunto (por ejemplo,
ou=eng,ou=sw
). El orden de los valores de los campos debe coincidir.Comodín: el concentrador autentica el ID de IKE del radio si los campos de asunto del certificado del radio coinciden con los valores configurados en el concentrador. La coincidencia de comodines solo admite un valor por campo (por ejemplo,
ou=eng
oou=sw
pero noou=eng,ou=sw
). El orden de los campos es intrascendente.
En el ejemplo siguiente se configura un ID IKE de grupo con el nombre example.net
de host parcial en el campo de asunto alternativo del certificado.
[edit] security { ike { policy common-cert-policy { proposals common-ike-proposal; certificate { local-certificate hub-local-certificate; } } gateway common-gateway-to-all-spoke-peer { ike-policy common-cert-policy; dynamic { hostname example.net; ike-user-type group-ike-id; } external-interface fe-0/0/2; } } }
En este ejemplo, example.net
es la parte común de la identificación del nombre de host utilizada para todos los radios. Todos los certificados X.509 en los radios deben contener una identidad de nombre de host en el campo de asunto alternativo con example.net
en la parte más a la derecha. Todos los radios deben utilizar la identidad del nombre de host en la carga del ID de IKE.
En el ejemplo siguiente se configura un ID de IKE de grupo con caracteres comodín para que coincida con los valores sales
de la unidad organizativa y example
de los campos de asunto de la organización del certificado.
[edit] security { ike { policy common-cert-policy { proposals common-ike-proposal; certificate { local-certificate hub-local-certificate; } } gateway common-gateway-to-all-spoke-peer { ike-policy common-cert-policy; dynamic { distinguished-name { wildcard ou=sales,o=example; } ike-user-type group-ike-id; } external-interface fe-0/0/2; } } }
En este ejemplo, los campos ou=sales,o=example
son la parte común del campo de asunto en los certificados esperados de los radios. Durante la negociación IKE, si un radio presenta un certificado con los campos cn=alice,ou=sales,o=example
de asunto en su certificado, la autenticación se realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos cn=thomas,ou=engineer,o=example
de asunto en su certificado, el hub rechaza el certificado, ya que la unidad organizativa debe ser sales
.
Exclusión de una conexión radial
Para excluir un radio en particular de la conexión al concentrador, se debe revocar el certificado de ese radio. El concentrador necesita recuperar la lista de revocación de certificados (CRL) más reciente de la CA que contiene el número de serie del certificado revocado. El hub rechazará una conexión VPN desde el radio revocado. Hasta que la última CRL esté disponible en el concentrador, el concentrador podría seguir estableciendo un túnel desde el radio revocado. Para obtener más información, vea Descripción del protocolo de estado de certificado en línea y las listas de revocación de certificados y Descripción de los perfiles de entidad emisora de certificados.
Consulte también
Descripción general de la configuración de AutoVPN
Los siguientes pasos describen las tareas básicas para configurar AutoVPN en dispositivos radiales. El concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.
Para configurar el concentrador AutoVPN:
Para configurar un dispositivo radial AutoVPN serie SRX:
Inscriba un certificado de CA y el certificado local en el dispositivo.
Use el método de autenticación basada en claves previamente compartidas si configura la autenticación de clave previamente compartida en el concentrador.
Cree una interfaz st0 y configúrela en modo punto a multipunto.
Configure una política de IKE para que coincida con la política de IKE configurada en el hub.
Configure una puerta de enlace IKE con un ID para que coincida con el ID de IKE de grupo configurado en el concentrador.
Configure una directiva IPsec para que coincida con la directiva IPsec configurada en el concentrador.
Configure un protocolo de enrutamiento dinámico.
Los ejemplos enumerados en este tema utilizan firewalls de la serie SRX que ejecutan Junos OS para las configuraciones radiales. Si los dispositivos radiales no ejecutan Junos OS, debe configurar el enlace de túnel de salto siguiente. Para obtener más información, consulte Ejemplo: Configuración de la configuración de VPN multipunto con enlace de túnel del próximo salto.
Consulte también
Ejemplo: Configuración de AutoVPN básica con iBGP
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura iBGP para reenviar paquetes a través de los túneles VPN y se utiliza la autenticación basada en certificados.
Para la autenticación con clave previamente compartida, consulte el paso "Configurar opciones de fase 1" en el Procedimiento paso a paso hub para configurar el hub, Procedimiento paso a paso spoke1 para configurar el spoke1 y el Procedimiento paso a paso spoke2 para configurar el spoke2.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres firewalls de la serie SRX compatibles como concentrador y radios AutoVPN
-
Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte Información general sobre los protocolos de enrutamiento.
Descripción general
En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.
Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 3 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
2 |
Algoritmo de autenticación |
SHA-1 |
Algoritmo de cifrado |
AES 128 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC MD5 96 |
Algoritmo de cifrado |
DES CBC |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
14 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 4 muestra las opciones configuradas en el hub y en todos los radios.
La opción |
Concentrador |
Todos los radios |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
Dinámico |
1 0.1.1.1 |
ID de IKE remoto |
Nombre distintivo (DN) en el certificado del radio con la cadena |
DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
ge-0/0/1.0 |
Habló 1: fe-0/0/1.0 Habló 2: ge-0/0/1.0 |
VPN: |
||
Interfaz de enlace |
st0.0 |
st0.0 |
Establecer túneles |
(no configurado) |
Confirmación de configuración inmediatamente después |
Tabla 5 muestra las opciones de configuración que son diferentes en cada radio.
La opción |
Habló 1 |
Habló 2 |
---|---|---|
Interfaz st0.0 |
10.10.10.2/24 |
10.10.10.3/24 |
Interfaz con la red interna |
(FE-0,0/4,0) 10.60.60.1/24 |
(FE-0,0/4,0) 10.70.70.1/24 |
Interfaz a Internet |
(FE-0/0/1.0) 10.2.2.1/30 |
(GE-0/0/1.0) 10.3.3.1/30 |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 2 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales. Ignore este paso, si está utilizando PSK.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
- Configuración de Spoke 2
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 2:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.1 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp cluster 10.2.3.4 set protocols bgp group ibgp peer-as 65010 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement bgp_nh_self term 1 from protocol bgp set policy-options policy-statement bgp_nh_self term 1 then next-hop self set policy-options policy-statement bgp_nh_self term 1 then accept set protocols bgp group ibgp export bgp_nh_self set protocols bgp group ibgp allow 10.10.10.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.1.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement bgp_nh_self term 1 from protocol bgp user@host# set policy-statement bgp_nh_self term 1 then next-hop self user@host# set policy-statement bgp_nh_self term 1 then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.1 user@host# set group ibgp export lan_nw user@host# set group ibgp cluster 10.2.3.4 user@host# set group ibgp peer-as 65010 user@host# set group ibgp allow 10.10.10.0/24 user@host# set group ibgp export bgp_nh_self [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.1.2 user@host# set autonomous-system 65010
-
Configure las opciones de la fase 1.
Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración:
En la propuesta ike, en el nivel de jerarquía [
edit security ike proposal ike-proposal
], sustitúyalaauthentication-method rsa-signatures
por elauthentication-method pre-shared-keys
archivo .Para obtener más información sobre las opciones, consulte propuesta (IKE de seguridad).
En la política ike, en el nivel de jerarquía [
edit security ike policy policy-name
], sustitúyalacertificate local-certificate Local1
por elpre-shared-key ascii-text key
archivo .Por ejemplo
set pre-shared-key ascii-text juniper123
Para obtener más información sobre las opciones, consulte Directiva (IKE de seguridad).
En la puerta de enlace ike, en el nivel jerárquico [
edit security ike gateway hub-to-spoke-gw
],Reemplazar
dynamic distinguished-name wildcard OU=SLT
por eldynamic hostname domain-name
archivo .Por ejemplo
set dynamic hostname juniper.net
Asegúrese de que su dispositivo pueda resolver el nombre de host. Alternativamente, puede usar
set dynamic general-ikeid
yset dynamic ike-user-type group-ike-id
para la identidad dinámica de radio.
Reemplazar
local-identity distinguished-name
por ellocal-identity hostname hub-hostname
archivo .Por ejemplo,
set local-identity hostname hub.juniper.net
.Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar
inet ip-address
como enset local-identity inet 192.168.1.100
.
Para obtener más información sobre las opciones, consulte puerta de enlace (IKE de seguridad).
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA. Ignore este paso, si está utilizando PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } } [edit] user@host# show policy-options policy-statement bgp_nh_self { term 1 { from protocol bgp; then { next-hop self; accept; } } } policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; peer-as 65010; allow 10.10.10.0/24; export bgp_nh_self; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.1.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway hub-to-spoke-gw { ike-policy ike-policy1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn { bind-interface st0.0; ike { gateway hub-to-spoke-gw; ipsec-policy vpn-policy1; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.2 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.2 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set autonomous-system 10
-
Configure las opciones de la fase 1.
Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración.
En la propuesta ike, en el nivel de jerarquía [
edit security ike proposal ike-proposal
], sustitúyalaauthentication-method rsa-signatures
por elauthentication-method pre-shared-keys
archivo .En la política ike, en el nivel de jerarquía [
edit security ike policy policy-name
], sustitúyalacertificate local-certificate Local1
por elpre-shared-key ascii-text key
archivo .En la puerta de enlace ike, en el nivel jerárquico [
edit security ike gateway hub-to-spoke-gw
],Reemplazar
local-identity distinguished-name
por ellocal-identity hostname spoke1-hostname
archivo .Por ejemplo,
set local-identity hostname spoke1.juniper.net
.
Reemplazar
remote-identity distinguished-name
por elremote-identity hostname hub-hostname
archivo .Por ejemplo
set remote-identity hostname hub.juniper.net
Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar
inet ip-address
como enset local-identity inet 172.16.1.100
yset remote-identity inet 192.168.1.100
.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA. Ignore este paso, si está utilizando PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.2/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.3 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 10.1.1.0/30 next-hop 10.3.3.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 2:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.3 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.3.3.2 user@host# set autonomous-system 10
-
Configure las opciones de la fase 1.
Si desea utilizar claves previamente compartidas en lugar de certificados para la autenticación, realice los siguientes cambios en la configuración.
En la propuesta ike, en el nivel de jerarquía [
edit security ike proposal ike-proposal
], sustitúyalaauthentication-method rsa-signatures
por elauthentication-method pre-shared-keys
archivo .En la política ike, en el nivel de jerarquía [
edit security ike policy policy-name
], sustitúyalacertificate local-certificate Local1
por elpre-shared-key ascii-text key
archivo .En la puerta de enlace ike, en el nivel jerárquico [
edit security ike gateway hub-to-spoke-gw
],Reemplazar
local-identity distinguished-name
por ellocal-identity hostname spoke2-hostname
archivo .Por ejemplo
set local-identity hostname spoke2.juniper.net
Reemplazar
remote-identity distinguished-name
por elremote-identity hostname hub-hostname
archivo .Por ejemplo
set remote-identity hostname hub.juniper.net
Asegúrese de que su dispositivo pueda resolver el nombre de host. Como alternativa, puede utilizar
inet ip-address
como enset local-identity inet 10.0.1.100
yset remote-identity inet 192.168.1.100
.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA. Ignore este paso, si está utilizando PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.70.70.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.3/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.3; export lan_nw; neighbor 10.10.10.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.3.3.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de la fase 1 de IKE
- Comprobación del estado de fase 2 de IPsec
- Comprobación de túneles del próximo salto IPsec
- Comprobación de BGP
- Verificación de rutas aprendidas
Verificación del estado de la fase 1 de IKE
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations .
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480163 UP a558717f387074ab 6d0135c5ecaed61d Main 10.3.3.1 5480162 UP 7a63d16a5a723df1 c471f7ae166d3a34 Main 10.2.2.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el comando security ipsec security-associations .
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 9bf33bc7 3567/ unlim - root 500 10.2.2.1 >268173400 ESP:des/ md5 aae5196b 3567/ unlim - root 500 10.2.2.1 <268173401 ESP:des/ md5 69c24d81 622/ unlim - root 500 10.3.3.1 >268173401 ESP:des/ md5 e3fe0231 622/ unlim - root 500 10.3.3.1
Significado
El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Comprobación de BGP
Propósito
Compruebe que BGP hace referencia a las direcciones IP de las st0
interfaces de los radios.
Acción
Desde el modo operativo, ingrese el comando show bgp summary.
user@host> show bgp summary Groups: 1 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 10 116 119 0 0 50:25 1/1/1/0 0/0/0/0 10.10.10.3 10 114 114 0 0 50:04 1/1/1/0 0/0/0/0
Verificación de rutas aprendidas
Propósito
Verifique que se hayan aprendido las rutas a los radios.
Acción
Desde el modo operativo, ingrese el comando show route 10.60.60.0 .
user@host> show route 10.60.60.0 inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.60.60.0/24 *[BGP/170] 00:50:57, localpref 100 AS path: I > to 10.10.10.2 via st0.0
Desde el modo operativo, ingrese el comando show route 10.70.70.0 .
user@host> show route 10.70.70.0 inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.70.70.0/24 *[BGP/170] 00:50:42, localpref 100 AS path: I > to 10.10.10.3 via st0.0
Ejemplo: Configuración de AutoVPN básica con iBGP para tráfico IPv6
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura AutoVPN para un entorno IPv6 mediante iBGP para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres firewalls compatibles de la serie SRX como concentrador y radios AutoVPN.
-
Junos OS versión 18.1R1 y versiones posteriores.
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte Información general sobre los protocolos de enrutamiento.
Descripción general
En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.
Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 6 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
19 |
Algoritmo de autenticación |
SHA-384 |
Algoritmo de cifrado |
AES 256 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Segundos de por vida |
3000 |
Algoritmo de cifrado |
AES 256 GCM |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
19 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 7 muestra las opciones configuradas en el hub y en todos los radios.
La opción |
Concentrador |
Todos los radios |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
Dinámico |
2001:db8:2000::1 |
ID de IKE remoto |
Nombre distintivo (DN) en el certificado del radio con la cadena |
DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
ge-0/0/0 |
Habló 1: ge-0/0/0.0 Habló 2: ge-0/0/0.0 |
VPN: |
||
Interfaz de enlace |
st0.1 |
st0.1 |
Establecer túneles |
(no configurado) |
establecer túneles en el tráfico |
Tabla 8 muestra las opciones de configuración que son diferentes en cada radio.
La opción |
Habló 1 |
Habló 2 |
---|---|---|
Interfaz st0.0 |
2001:db8:7000::2/64 |
2001:db8:7000::3/64 |
Interfaz con la red interna |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Interfaz a Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 3 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
- Configuración de Spoke 2
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 2:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 set routing-options autonomous-system 100 set routing-options forwarding-table export load_balance set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::1 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp cluster 10.1.3.4 set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp multipath set protocols bgp group ibgp allow 2001:db8:9000::/64 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept set policy-options policy-statement load_balance then load-balance per-packet
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::1 user@host# set group ibgp export ibgp user@host# set group ibgp cluster 10.1.3.4 user@host# set group ibgp peer-as 100 user@host# set group ibgp multipath user@host# set group ibgp allow 2001:db8:9000::/64 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 user@host# set autonomous-system 100 user@host# set forwarding-table export load_balance
-
Configure las opciones de la fase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:2000::1/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1000::2/64; } } } st0 { unit 1{ multipoint; family inet6 { address 2001:db8:7000::1/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } policy-statement load_balance { then { load-balance per-packet; } } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::1; export ibgp; cluster 10.1.3.4; peer-as 100; multipath; allow 2001:db8:9000::/64; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:3000::/64 next-hop 2001:db8:2000::2; route 2001:db8:5000::/64 next-hop 2001:db8:2000::2; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::2 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::2 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 user@host# set autonomous-system 100
-
Configure las opciones de la fase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1{ family inet6 { address 2001:db8:7000::2/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::2; export ibgp; peer-as 100; neighbor 2001:db8:9000::1; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:2000::/64 next-hop 2001:db8:3000::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GWA_SPOKE1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GWA_SPOKE_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::3 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 2:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::3 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 user@host# set autonomous-system 100
-
Configure las opciones de la fase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1{ family inet6 { address 2001:db8:7000::3/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::3; export ibgp; peer-as 100; neighbor 2001:db8:9000::1; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:2000::/64 next-hop 2001:db8:5000::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GWA_SPOKE2 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GWA_SPOKE_2; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de IKE
- Comprobación del estado de IPsec
- Comprobación de túneles del próximo salto IPsec
- Comprobación de BGP
Verificación del estado de IKE
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el comando show security ike sa.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Significado
El show security ike sa
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Comprobación del estado de IPsec
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec sa.
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Significado
El show security ipsec sa
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Comprobación de BGP
Propósito
Compruebe que BGP hace referencia a las direcciones IP de las st0
interfaces de los radios.
Acción
Desde el modo operativo, ingrese el comando show bgp summary.
user@host> show bgp summary Groups: 1 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet6.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State 2001:db8:9000::2 100 4 4 0 0 32 Establ inet6.0: 1/1/1/0 2001:db8:9000::3 100 4 4 0 0 8 Establ inet6.0: 1/1/1/0
Ejemplo: Configuración de AutoVPN con iBGP y ECMP
En este ejemplo se muestra cómo configurar dos túneles VPN IPsec entre un concentrador AutoVPN radial. En este ejemplo se configura iBGP con multiruta de acceso (ECMP) de igual costo para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Dos firewalls de la serie SRX compatibles como concentrador y centro AutoVPN radial
-
Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de la unidad organizativa (OU) "SLT" en el nombre distintivo (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU. El otro certificado para el radio contiene el valor de la unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo OU.
El radio establece conexiones VPN IPsec con el concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores.Tabla 9 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
2 |
Algoritmo de autenticación |
SHA-1 |
Algoritmo de cifrado |
AES 128 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC MD5 96 |
Algoritmo de cifrado |
DES CBC |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
14 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 10 muestra las opciones configuradas en el hub y en el radio.
La opción |
Concentrador |
Habló 1 |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
hub-to-spoke-gw-1: Dinámico hub-to-spoke-gw-2: Dinámico |
spoke-to-hub-gw-1: 1 0.1.1.1 spoke-to-hub-gw-2: 10.1.2.1 |
ID de IKE remoto |
hub-to-spoke-gw-1: DN en el certificado del radio con la cadena hub-to-spoke-gw-2: DN en el certificado del radio con la cadena |
spoke-to-hub-gw-1: DN en el certificado del hub spoke-to-hub-gw-2: DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
hub-to-spoke-gw-1: ge-0/0/1.0 hub-to-spoke-gw-2: ge-0/0/2.0 |
spoke-to-hub-gw-1: fe-0/0/1.0 spoke-to-hub-gw-2: fe-0/0/2.0 |
VPN: |
||
Interfaz de enlace |
vpn-to-spoke-vpn-1: st0.0 vpn-to-spoke-vpn-2: st0.1 |
Spoke-to-Hub-1: st0.0 Spoke-to-Hub-2: st0.1 |
Establecer túneles |
(no configurado) |
Confirmación de configuración inmediatamente después |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 4 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Genere un par de claves para cada certificado.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscribir los certificados locales.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 10.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe los certificados locales.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bengaluru, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 10.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Genere un par de claves para cada certificado.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscribir los certificados locales.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe los certificados locales.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
para Local1 ySBU
para Local2. Las configuraciones de IKE en el hub incluyenOU=SLT
eOU=SBU
identifican el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement load_balance then load-balance per-packet set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 10.2.3.4 set protocols bgp group ibgp-1 multipath set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 10.2.3.5 set protocols bgp group ibgp-2 multipath set protocols bgp group ibgp-2 allow 10.20.20.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.2.2 set routing-options autonomous-system 65010 set routing-options forwarding-table export load_balance set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 10.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.20.20.1/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 10.2.3.4 user@host# set group ibgp-1 multipath user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 10.2.3.5 user@host# set group ibgp-2 multipath user@host# set group ibgp-2 allow 10.20.20.0/24 [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.2.2 user@host# set autonomous-system 65010 user@host# set forwarding-table export load_balance
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/2 { unit 0 { family inet { address 10.1.2.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } unit 1 { multipoint; family inet { address 10.20.20.1/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } policy-statement load_balance { then { load-balance per-packet; } } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; multipath; allow 10.10.10.0/24; } group ibgp-2 { type internal; local-address 10.20.20.1; export lan_nw; cluster 10.2.3.5; multipath; allow 10.20.20.0/24; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.2.2; } autonomous-system 65010; forwarding-table { export load_balance; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway hub-to-spoke-gw-1 { ike-policy ike-policy-1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } gateway hub-to-spoke-gw-2 { ike-policy ike-policy-2; dynamic { distinguished-name { wildcard OU=SBU; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/2.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn-1 { bind-interface st0.0; ike { gateway hub-to-spoke-gw-1; ipsec-policy vpn-policy; } } vpn hub-to-spoke-vpn-2 { bind-interface st0.1; ike { gateway hub-to-spoke-gw-2; ipsec-policy vpn-policy; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; ge-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 10.20.20.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.2 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 neighbor 10.20.20.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options static route 10.1.2.0/30 next-hop 10.3.3.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 10.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 10.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 10.20.20.2/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.2 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 neighbor 10.20.20.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set static route 10.1.2.0/30 next-hop 10.3.3.2 user@host# set autonomous-system 65010
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 10.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/2 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { family inet { address 10.10.10.2/24; } } unit 1 { family inet { address 10.20.20.2/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } group ibgp-2 { type internal; local-address 10.20.20.2; export lan_nw; neighbor 10.20.20.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; route 10.1.2.0/30 next-hop 10.3.3.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway spoke-to-hub-gw-1 { ike-policy ike-policy-1; address 1o.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } gateway spoke-to-hub-gw-2 { ike-policy ike-policy-2; address 1o.1.2.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/2.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub-1 { bind-interface st0.0; ike { gateway spoke-to-hub-gw-1; ipsec-policy vpn-policy; } establish-tunnels immediately; } vpn spoke-to-hub-2 { bind-interface st0.1; ike { gateway spoke-to-hub-gw-2; ipsec-policy vpn-policy; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; fe-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de la fase 1 de IKE
- Comprobación del estado de fase 2 de IPsec
- Comprobación de túneles del próximo salto IPsec
- Comprobación de BGP
- Verificación de rutas aprendidas
- Verificar la instalación de la ruta en la tabla de reenvío
Verificación del estado de la fase 1 de IKE
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations .
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733049 UP bc9686796c2e52e9 1fbe46eee168f24e Main 10.2.2.1 3733048 UP a88db7ed23ec5f6b c88b81dff52617a5 Main 10.3.3.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el comando security ipsec security-associations .
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173315 ESP:des/ md5 93cfb417 1152/ unlim - root 500 10.2.2.1 >268173315 ESP:des/ md5 101de6f7 1152/ unlim - root 500 10.2.2.1 <268173313 ESP:des/ md5 272e29c0 1320/ unlim - root 500 10.3.3.1 >268173313 ESP:des/ md5 a3bf8fad 1320/ unlim - root 500 10.3.3.1
Significado
El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Comprobación de BGP
Propósito
Verifique que BGP hace referencia a las direcciones IP de las st0
interfaces del radio.
Acción
Desde el modo operativo, ingrese el comando show bgp summary.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 65010 4819 4820 0 2 1d 12:15:14 1/1/1/0 0/0/0/0 10.20.20.2 65010 4926 4928 0 0 1d 13:03:03 1/1/1/0 0/0/0/0
Verificación de rutas aprendidas
Propósito
Verifique que se hayan aprendido las rutas hacia el radio.
Acción
Desde el modo operativo, ingrese el comando show route 10.60.60.0 detail.
user@host> show route 10.60.60.0 detail inet.0: 47 destinations, 48 routes (46 active, 0 holddown, 1 hidden) 10.60.60.0/24 (2 entries, 1 announced) *BGP Preference: 170/-101 Next hop type: Indirect Address: 0x167407c Next-hop reference count: 3 Source: 10.10.10.2 Next hop type: Router Next hop: 10.10.10.2 via st0.0 Next hop type: Router Next hop: 10.20.20.2 via st0.1, selected Protocol next hop: 10.10.10.2 Indirect next hop: 15c8000 262142 Protocol next hop: 10.20.20.2 Indirect next hop: 15c80e8 262143 State: <Act Int Ext> Local AS: 65010 Peer AS: 65010 Age: 1d 12:16:25 Metric2: 0 Task: BGP_10.10.10.10.2+53120 Announcement bits (2): 0-KRT 3-Resolve tree 1 AS path: I Accepted Multipath Localpref: 100 Router ID: 10.207.36.182 BGP Preference: 170/-101 Next hop type: Indirect Address: 0x15b8ac0 Next-hop reference count: 1 Source: 10.20.20.2 Next hop type: Router Next hop: 10.20.20.2 via st0.1, selected Protocol next hop: 10.20.20.2 Indirect next hop: 15c80e8 262143 State: <NotBest Int Ext> Inactive reason: Not Best in its group - Update source Local AS: 65010 Peer AS: 65010 Age: 1d 13:04:14 Metric2: 0 Task: BGP_10.20.20.20.2+50733 AS path: I Accepted MultipathContrib Localpref: 100 Router ID: 10.207.36.182
Verificar la instalación de la ruta en la tabla de reenvío
Propósito
Verifique que las rutas al radio se hayan instalado en la tabla de reenvío.
Acción
Desde el modo operativo, ingrese el comando show route forwarding-table matching 10.60.60.0.
user@host> show route forwarding-table matching 60.60.60.0 Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif 10.60.60.0/24 user 0 ulst 262144 1 indr 262142 2 10.10.10.2 ucst 572 3 st0.0 indr 262143 2 10.20.20.2 ucst 573 3 st0.1
Ejemplo: Configuración de AutoVPN con iBGP y túneles de copia de seguridad activa
En este ejemplo se muestra cómo configurar túneles VPN IPsec activos y de respaldo entre un concentrador AutoVPN radial. En este ejemplo se configura iBGP para reenviar tráfico a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Dos firewalls de la serie SRX compatibles como concentrador y centro AutoVPN radial
-
Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de la unidad organizativa (OU) "SLT" en el nombre distintivo (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU. El otro certificado para el radio contiene el valor de la unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo OU.
El radio establece conexiones VPN IPsec con el concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores. Tabla 11 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
2 |
Algoritmo de autenticación |
SHA-1 |
Algoritmo de cifrado |
AES 128 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC MD5 96 |
Algoritmo de cifrado |
DES CBC |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
14 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 12 muestra las opciones configuradas en el hub y en el radio.
La opción |
Concentrador |
Habló 1 |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
hub-to-spoke-gw-1: Dinámico hub-to-spoke-gw-2: Dinámico |
spoke-to-hub-gw-1: 1 0.1.1.1 spoke-to-hub-gw-2: 10.1.2.1 |
ID de IKE remoto |
hub-to-spoke-gw-1: DN en el certificado del radio con la cadena hub-to-spoke-gw-2: DN en el certificado del radio con la cadena |
spoke-to-hub-gw-1: DN en el certificado del hub spoke-to-hub-gw-2: DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
hub-to-spoke-gw-1: ge-0/0/1.0 hub-to-spoke-gw-2: ge-0/0/2.0 |
spoke-to-hub-gw-1: fe-0/0/1.0 spoke-to-hub-gw-2: fe-0/0/2.0 |
VPN: |
||
Interfaz de enlace |
vpn-to-spoke-vpn-1: st0.0 vpn-to-spoke-vpn-2: st0.1 |
Spoke-to-Hub-1: st0.0 Spoke-to-Hub-2: st0.1 |
Monitor VPN |
vpn-to-spoke-vpn-1: ge-0/0/1.0 (interfaz de origen) vpn-to-spoke-vpn-2: ge-0/0/2.0 (interfaz de origen) |
Spoke-to-Hub-1: 10.1.1.1 (IP de destino) Spoke-to-Hub-2: 10.1.2.1 (IP de destino) |
Establecer túneles |
(no configurado) |
Confirmación de configuración inmediatamente después |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 5 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
En este ejemplo, se establecen dos túneles VPN IPsec entre el concentrador y el radio 1. La información de enrutamiento se intercambia a través de sesiones de iBGP en cada túnel. La coincidencia de prefijo más larga para la ruta a 10.60.60.0/24 es a través de la interfaz st0.0 en el concentrador. Por lo tanto, el túnel principal para la ruta es a través de las interfaces st0.0 en el concentrador y radial 1. La ruta predeterminada es a través del túnel de respaldo en las interfaces st0.1 del concentrador y radial 1.
La supervisión de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por ejemplo, no se puede acceder a la puerta de enlace del túnel remoto), el estado del túnel cambia a abajo y los datos destinados a 10.60.60.0/24 se redirigen a través del túnel de reserva.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Genere un par de claves para cada certificado.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscribir los certificados locales.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 10.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe los certificados locales.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bengaluru, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 10.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Genere un par de claves para cada certificado.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscribir los certificados locales.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe los certificados locales.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
para Local1 ySBU
para Local2. Las configuraciones de IKE en el hub incluyenOU=SLT
eOU=SBU
identifican el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 10.2.3.4 set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 10.2.3.5 set protocols bgp group ibgp-2 allow 10.20.20.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.2.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 vpn-monitor source-interface ge-0/0/1.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 vpn-monitor source-interface ge-0/0/2.0 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 10.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.20.20.1/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 10.2.3.4 user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 10.2.3.5 user@host# set group ibgp-2 allow 10.20.20.0/24 [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.2.2 user@host# set autonomous-system 65010
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
-
Configure las opciones de la fase 2.
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor source-interface ge-0/0/1.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor source-interface ge-0/0/2.0 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/2 { unit 0 { family inet { address 10.1.2.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } unit 1 { multipoint; family inet { address 10.20.20.1/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; allow 10.10.10.0/24; } group ibgp-2 { type internal; local-address 10.20.20.1; export lan_nw; cluster 10.2.3.5; allow 10.20.20.0/24; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.2.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway hub-to-spoke-gw-1 { ike-policy ike-policy-1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } gateway hub-to-spoke-gw-2 { ike-policy ike-policy-2; dynamic { distinguished-name { wildcard OU=SBU; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/2.0; } [edit] user@host# show security ipsec vpn-monitor-options { interval 5; threshold 2; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn-1 { bind-interface st0.0; vpn-monitor { source-interface ge-0/0/1.0; } ike { gateway hub-to-spoke-gw-1; ipsec-policy vpn-policy; } } vpn hub-to-spoke-vpn-2 { bind-interface st0.1; vpn-monitor { source-interface ge-0/0/2.0; } ike { gateway hub-to-spoke-gw-2; ipsec-policy vpn-policy; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; ge-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 10.20.20.2/24 set policy-options policy-statement default_route from protocol static set policy-options policy-statement default_route from route-filter 0.0.0.0/0 exact set policy-options policy-statement default_route then accept set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.2 set protocols bgp group ibgp-2 export default_route set protocols bgp group ibgp-2 neighbor 10.20.20.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options static route 10.1.2.0/30 next-hop 10.3.3.2 set routing-options static route 0.0.0.0/0 next-hop st0.1 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 10.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 10.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 vpn-monitor destination-ip 10.1.1.1 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 vpn-monitor destination-ip 10.1.2.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 10.20.20.2/24
-
Configure el protocolo de enrutamiento.
[edit policy-options] user@host# set policy-statement default_route from protocol static user@host# set policy-statement default_route from route-filter 0.0.0.0/0 exact user@host# set policy-statement default_route then accept user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.2 user@host# set group ibgp-2 export default_route user@host# set group ibgp-2 neighbor 10.20.20.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set static route 10.1.2.0/30 next-hop 10.3.3.2 user@host# set static route 0.0.0.0/0 next-hop st0.1 user@host# set autonomous-system 65010
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 10.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
-
Configure las opciones de la fase 2.
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor destination-ip 10.1.1.1 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor destination-ip 10.1.2.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show policy-options
, show protocols
, show security policies
show security ipsec
show security zones
show routing-options
show security ike
y .show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/2 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { family inet { address 10.10.10.2/24; } } unit 1 { family inet { address 10.20.20.2/24; } } } [edit] user@host# show policy-options policy-statement default_route { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } group ibgp-2 { type internal; local-address 10.20.20.2; export default_route; neighbor 10.20.20.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; route 10.1.2.0/30 next-hop 10.3.3.2; route 0.0.0.0/0 next-hop st0.1; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway spoke-to-hub-gw-1 { ike-policy ike-policy-1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } gateway spoke-to-hub-gw-2 { ike-policy ike-policy-2; address 10.1.2.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/2.0; } [edit] user@host# show security ipsec vpn-monitor-options { interval 5; threshold 2; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub-1 { bind-interface st0.0; vpn-monitor { destination-ip 10.1.1.1; } ike { gateway spoke-to-hub-gw-1; ipsec-policy vpn-policy; } establish-tunnels immediately; } vpn spoke-to-hub-2 { bind-interface st0.1; vpn-monitor { destination-ip 10.1.2.1; } ike { gateway spoke-to-hub-gw-2; ipsec-policy vpn-policy; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; fe-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de la fase 1 de IKE (ambos túneles están activos)
- Comprobación del estado de fase 2 de IPsec (ambos túneles están activos)
- Comprobación de túneles de próximo salto IPsec (ambos túneles están activos)
- Verificación de BGP (ambos túneles están activos)
- Verificación de rutas aprendidas (ambos túneles están activos)
- Verificación del estado de la fase 1 de IKE (el túnel principal está inactivo)
- Comprobación del estado de fase 2 de IPsec (el túnel principal está inactivo)
- Comprobación de túneles de próximo salto IPsec (el túnel principal está inactivo)
- Verificar BGP (el túnel principal está inactivo)
- Verificación de rutas aprendidas (el túnel principal está inactivo)
Verificación del estado de la fase 1 de IKE (ambos túneles están activos)
Propósito
Verifique el estado de la fase 1 de IKE cuando ambos túneles VPN IPSec estén activos.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations .
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 10.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 10.2.2.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.
Comprobación del estado de fase 2 de IPsec (ambos túneles están activos)
Propósito
Compruebe el estado de fase 2 de IPsec cuando ambos túneles VPN IPsec estén activos.
Acción
Desde el modo operativo, ingrese el comando security ipsec security-associations .
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173316 ESP:des/ md5 3cd96946 3555/ unlim U root 500 10.2.2.1 >268173316 ESP:des/ md5 1c09b9b 3555/ unlim U root 500 10.2.2.1 <268173313 ESP:des/ md5 7c6ffca3 3340/ unlim U root 500 10.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3340/ unlim U root 500 10.3.3.1
Significado
El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.
Comprobación de túneles de próximo salto IPsec (ambos túneles están activos)
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces del radio. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Verificación de BGP (ambos túneles están activos)
Propósito
Verifique que BGP haga referencia a las direcciones IP de las st0
interfaces del radio cuando ambos túneles VPN IPsec estén activos.
Acción
Desde el modo operativo, ingrese el comando show bgp summary.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 65010 5 6 0 0 54 1/1/1/0 0/0/0/0 10.20.20.2 65010 13 16 0 0 4:29 1/1/1/0 0/0/0/0
Verificación de rutas aprendidas (ambos túneles están activos)
Propósito
Verifique que se hayan aprendido las rutas hacia el radio cuando ambos túneles estén activos. La ruta a 10.60.60.0/24 es a través de la interfaz st0.0 y la ruta predeterminada es a través de la interfaz st0.1.
Acción
Desde el modo operativo, ingrese el comando show route 10.60.60.0 .
user@host> show route 10.60.60.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 60.60.60.0/24 *[BGP/170] 00:01:11, localpref 100 AS path: I > to 10.10.10.2 via st0.0
Desde el modo operativo, ingrese el comando show route 0.0.0.0.
user@host> show route 0.0.0.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:04:55, localpref 100 AS path: I > to 10.20.20.2 via st0.1
Verificación del estado de la fase 1 de IKE (el túnel principal está inactivo)
Propósito
Verifique el estado de la fase 1 de IKE cuando el túnel principal esté inactivo.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations .
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 10.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 10.2.2.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.
Comprobación del estado de fase 2 de IPsec (el túnel principal está inactivo)
Propósito
Compruebe el estado de fase 2 de IPsec cuando el túnel principal está inactivo.
Acción
Desde el modo operativo, ingrese el comando security ipsec security-associations .
user@host> security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173313 ESP:des/ md5 7c6ffca3 3156/ unlim U root 500 10.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3156/ unlim U root 500 10.3.3.1
Significado
El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.
Comprobación de túneles de próximo salto IPsec (el túnel principal está inactivo)
Propósito
Compruebe el túnel del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces del radio. El siguiente salto debe estar asociado con el nombre de VPN IPsec correcto, en este caso el túnel VPN de reserva.
Verificar BGP (el túnel principal está inactivo)
Propósito
Verifique que BGP haga referencia a las direcciones IP de las st0
interfaces del radio cuando el túnel principal esté inactivo.
Acción
Desde el modo operativo, ingrese el comando show bgp summary.
user@host> show bgp summary Groups: 2 Peers: 1 Down peers: 0 Unconfigured peers: 1 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.20.20.2 10 20 24 0 0 7:24 1/1/1/0 0/0/0/0
Verificación de rutas aprendidas (el túnel principal está inactivo)
Propósito
Verifique que se hayan aprendido las rutas al radio cuando el túnel principal está inactivo. Tanto la ruta a 10.60.60.0/24 como la ruta predeterminada se realizan a través de la interfaz st0.1.
Acción
Desde el modo operativo, ingrese el comando show route 10.60.60.0 .
user@host> show route 60.60.60.0 inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:07:41, localpref 100 AS path: I > to 10.20.20.2 via st0.1
Desde el modo operativo, ingrese el comando show route 0.0.0.0.
user@host> show route 0.0.0.0 inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:07:47, localpref 100 AS path: I > to 10.20.20.2 via st0.1
Ejemplo: Configuración de AutoVPN básica con OSPF
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura OSPF para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres firewalls de la serie SRX compatibles como concentrador y radios AutoVPN
-
Junos OS versión 12.1X44-D10 y posteriores compatibles con AutoVPN
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.
Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 13 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
2 |
Algoritmo de autenticación |
SHA-1 |
Algoritmo de cifrado |
AES 128 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC MD5 96 |
Algoritmo de cifrado |
DES CBC |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
14 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Junos OS solo admite un único nivel de jerarquía de certificados.
Tabla 14 muestra las opciones configuradas en el hub y en todos los radios.
La opción |
Concentrador |
Todos los radios |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
Dinámico |
1 0.1.1.1 |
ID de IKE remoto |
Nombre distintivo (DN) en el certificado del radio con la cadena |
DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
ge-0/0/1.0 |
Habló 1: fe-0/0/1.0 Habló 2: ge-0/0/1.0 |
VPN: |
||
Interfaz de enlace |
st0.0 |
st0.0 |
Establecer túneles |
(no configurado) |
Confirmación de configuración inmediatamente después |
Tabla 15 muestra las opciones de configuración que son diferentes en cada radio.
La opción |
Habló 1 |
Habló 2 |
---|---|---|
Interfaz st0.0 |
10.10.10.2/24 |
10.10.10.3/24 |
Interfaz con la red interna |
FE-0.0/4.0: 100.60.60.1/24 |
FE-0.0/4.0: 10.70.70.1/24 |
Interfaz a Internet |
fe-0/0/1.0: 10.2.2.1/30 |
GE-0/0/1.0: 10.3.3.1/30 |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 6 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
- Configuración de Spoke 2
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 2:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/3.0 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.1.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
-
Configure el protocolo de enrutamiento.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/3.0 [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 10.1.1.2
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/3.0; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.1.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway hub-to-spoke-gw { ike-policy ike-policy1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec traceoptions { flag all; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn { bind-interface st0.0; ike { gateway hub-to-spoke-gw; ipsec-policy vpn-policy1; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
-
Configure el protocolo de enrutamiento.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.2/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; neighbor 10.10.10.1; } interface fe-0/0/4.0; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 10.1.1.1/32 next-hop 10.3.3.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 2:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
-
Configure el protocolo de enrutamiento.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 10.1.1.1/32 next-hop 10.3.3.2
-
Configure las opciones de la fase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.70.70.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.3/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; neighbor 10.10.10.1; } interface fe-0/0/4.0; } } [edit] user@host# show routing-options static { route 10.1.1.1/32 next-hop 10.3.3.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de la fase 1 de IKE
- Comprobación del estado de fase 2 de IPsec
- Comprobación de túneles del próximo salto IPsec
- Verificación de OSPF
- Verificación de rutas aprendidas
Verificación del estado de la fase 1 de IKE
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations .
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480159 UP 22432fb6f7fbc389 412b751f79b45099 Main 10.2.2.1 5480161 UP d455050707bc3eaf b3dde111232270d2 Main 10.3.3.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el comando security ipsec security-associations .
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 f38eea12 2954/ unlim - root 500 10.2.2.1 >268173400 ESP:des/ md5 bb48d228 2954/ unlim - root 500 10.2.2.1 <268173401 ESP:des/ md5 bcd1390b 3530/ unlim - root 500 10.3.3.1 >268173401 ESP:des/ md5 77fcf6e2 3530/ unlim - root 500 10.3.3.1
Significado
El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels .
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Verificación de OSPF
Propósito
Compruebe que OSPF hace referencia a las direcciones IP de las st0
interfaces de los radios.
Acción
Desde el modo operativo, ingrese el comando show ospf neighbor .
user@host> show ospf neighbor Address Interface State ID Pri Dead 10.10.10.3 st0.0 Full 10.255.226.179 128 32 10.10.10.2 st0.0 Full 10.207.36.182 128 38
Verificación de rutas aprendidas
Propósito
Verifique que se hayan aprendido las rutas a los radios.
Acción
Desde el modo operativo, ingrese el comando show route 60.60.60.0 .
user@host> show route 10.60.60.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.60.60.0/24 *[OSPF/10] 00:51:13, metric 2 > to 10.10.10.2 via st0.0
Desde el modo operativo, ingrese el comando show route 10.70.70.0 .
user@host> show route 10.70.70.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.70.70.0/24 *[OSPF/10] 00:51:48, metric 2 > to 10.10.10.3 via st0.0
Ejemplo: Configuración de AutoVPN con OSPFv3 para tráfico IPv6
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, configurar dos radios para que actúen como túneles a sitios remotos. En este ejemplo se configura AutoVPN para el entorno IPv6 mediante OSPFv3 para reenviar paquetes a través de los túneles VPN mediante la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres firewalls compatibles de la serie SRX como concentrador y radios AutoVPN.
-
Junos OS versión 18.1R1 y versiones posteriores.
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestra la configuración de una AutoVPN con protocolo de enrutamiento OSPFv3 en el hub y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.
Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 16 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
19 |
Algoritmo de autenticación |
SHA-384 |
Algoritmo de cifrado |
AES 256 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Segundos de por vida |
3000 |
Algoritmo de cifrado |
AES 256 GCM |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
19 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Tabla 17 muestra las opciones configuradas en el hub y en todos los radios.
La opción |
Concentrador |
Todos los radios |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
Dinámico |
2001:db8:2000::1 |
ID de IKE remoto |
Nombre distintivo (DN) en el certificado del radio con la cadena |
DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
ge-0/0/0 |
Habló 1: ge-0/0/0.0 Habló 2: ge-0/0/0.0 |
VPN: |
||
Interfaz de enlace |
st0.1 |
st0.1 |
Establecer túneles |
(no configurado) |
Confirmación de configuración inmediatamente después |
Tabla 18 muestra las opciones de configuración que son diferentes en cada radio.
La opción |
Habló 1 |
Habló 2 |
---|---|---|
Interfaz st0.1 |
2001:db8:7000::2/64 |
2001:db8:7000::3/64 |
Interfaz con la red interna |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Interfaz a Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
Topología
Figura 7 muestra los firewalls de la serie SRX que se configurarán para AutoVPN en este ejemplo.
Configuración
Para configurar AutoVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
- Configuración de Spoke 2
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2020 09:39 Not after: 11- 6-2021 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2020 09:40 Not after: 11- 6-2021 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 2:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba yes en el símbolo del sistema para cargar el certificado de CA.
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2020 10:02 Not after: 11- 6-2021 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es
SLT
. La configuración de IKE en el hub incluyeou=SLT
para identificar el radio.
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/l..0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::1 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::1 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::1
-
Configure las opciones de la fase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:2000::1/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1000::2/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::1/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:3000::/64 next-hop 2001:db8::1; route 2001:db8:5000::/64 next-hop 2001:db8::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm aes-256-gcm; set lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::2 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::2
-
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::2/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GW_SPOKE_1 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_1; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 2:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
-
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , show protocols
, show routing-options
, show security zones
show security ipsec
show security ike
show security policies
, y show security pki
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::3/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GW_SPOKE_2 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_2; ipsec-policy IPSEC_POL; } establish-tunnels on-traffic; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de IKE
- Comprobación del estado de IPsec
- Comprobación de túneles del próximo salto IPsec
- Comprobación de OSPFv3
Verificación del estado de IKE
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el comando show security ike sa.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Significado
El show security ike sa
comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Comprobación del estado de IPsec
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec sa .
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Significado
El show security ipsec sa
comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las st0
interfaces de los radios. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Comprobación de OSPFv3
Propósito
Compruebe que OSPFv3 hace referencia a las direcciones IP de las st0
interfaces de los radios.
Acción
Desde el modo operativo, ingrese el comando show ospf3 neighbor detail.
Concentrador:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:2 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:18a1 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:35, adjacent 00:01:31 Hello suppressed 00:01:31 ago 2001:db8:7000:3 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:163c Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:41, adjacent 00:01:37 Hello suppressed 00:01:37 ago
Habló 1:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:1 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:05:38, adjacent 00:05:38 Hello suppressed 00:05:34 ago
Habló 2:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:1 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:04:44, adjacent 00:04:44 Hello suppressed 00:04:40 ago
Ejemplo: Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico
En este ejemplo se muestra cómo configurar selectores de tráfico, en lugar de protocolos de enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación de AutoVPN. Cuando se configuran selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en modo punto a punto. Los selectores de tráfico se configuran tanto en el concentrador como en los dispositivos radiales. El ejemplo es usar la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos firewalls de la serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador AutoVPN.
Un firewall de la serie SRX configurado como un radio AutoVPN.
Junos OS versión 12.3X48-D10 o posterior.
Certificados digitales inscritos en el hub y en los dispositivos radiales que permiten que los dispositivos se autentiquen entre sí.
Antes de empezar:
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de las solicitudes de certificados locales.
Inscribir los certificados digitales en cada dispositivo. Consulte Ejemplo: Cargar certificados locales y de CA manualmente.
Descripción general
En este ejemplo, los selectores de tráfico se configuran en el concentrador y radial AutoVPN. Solo el tráfico que se ajusta al selector de tráfico configurado se reenvía a través del túnel. En el hub, el selector de tráfico se configura con la dirección IP local 192.0.0.0/8 y la dirección IP remota 172.0.0.0/8. En el radio, el selector de tráfico se configura con la dirección IP local 172.0.0.0/8 y la dirección IP remota 192.0.0.0/8.
Las direcciones IP del selector de tráfico configuradas en el radio pueden ser un subconjunto de las direcciones IP del selector de tráfico configuradas en el hub. Esto se conoce como coincidencia flexible del selector de tráfico.
Algunas opciones de túnel IKE de fase 1 y fase 2 configuradas en los concentradores y radios de AutoVPN deben tener los mismos valores. Tabla 19 muestra los valores utilizados en este ejemplo:
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
rsa-signatures |
Grupo Diffie-Hellman (DH) |
group5 |
Algoritmo de autenticación |
sha-1 |
Algoritmo de cifrado |
aes-256-cbc |
Política de IKE: |
|
Modo |
principal |
Certificado |
certificado local |
Puerta de enlace IKE: |
|
Dinámico |
nombre distinguido comodín DC=Common_component |
Tipo de usuario de IKE |
ID IKE de grupo |
Identidad local |
Nombre distintivo |
Versión |
Solo v1 |
Propuesta IPsec: |
|
Protocolo |
esp |
Algoritmo de autenticación |
HMAC-SHA1-96 |
Algoritmo de cifrado |
AES-192-CBC |
Vida |
3600 segundos 150.000 kilobytes |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
grupo5 |
Topología
Figura 8 muestra los firewalls de la serie SRX que se van a configurar para este ejemplo.
Configuración
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 10.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.168.81.1/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Hub_ID set security ike gateway HUB_GW ike-policy ikepol1 set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Domain_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 192.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 172.0.0.0/8 set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
A partir de Junos OS versión 15.1X49-D120, puede configurar la opción reject-duplicate-connection
CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic
] para conservar una sesión de túnel existente y rechazar solicitudes de negociación para un nuevo túnel con el mismo ID de IKE. De forma predeterminada, un túnel existente se desactiva cuando se establece un túnel nuevo con el mismo ID de IKE. La reject-duplicate-connection
opción solo se admite cuando ike-user-type group-ike-id
está ike-user-type shared-ike-id
configurada para la puerta de enlace de IKE; la aaa access-profile profile-name
configuración no se admite con esta opción.
Utilice la opción reject-duplicate-connection
CLI solo cuando esté seguro de que se debe rechazar el restablecimiento de un nuevo túnel con el mismo ID de IKE.
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el hub:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 10.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.168.81.1/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.2.2.1/24 user@host# set st0 unit 1 family inet
Configure las opciones de la fase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Hub_ID [edit security ike gateway HUB_GW] user@host# set ike-policy ikepol1 user@host# set dynamic distinguished-name wildcard DC=Domain_component user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v1-only
Configure las opciones de la fase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 192.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 172.0.0.0/8
Configure la información del certificado.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Configure zonas de seguridad.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show security ike
, show security zones
show security ipsec
show security pki
, , y show security policies
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-0/0/3 { gigether-options { redundant-parent reth0; } } lo0 { unit 0 { family inet { address 10.100.1.100/24; } } redundant-pseudo-interface-options { redundancy-group 1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.168.81.1/8; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.2.2.1/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ikepol1 { mode main; proposals prop_ike; certificate { local-certificate Hub_ID; } } gateway HUB_GW { ike-policy ikepol1; dynamic distinguished-name wildcard DC=Domain_component; dynamic ike-user-type group-ike-id; local-identity distinguished-name; external-interface reth1; version v1-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-192-cbc; lifetime-seconds 3600; lifetime-kilobytes 150000; } policy ipsecpol1 { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ipsecpol1; } traffic-selector ts1 { local-ip 192.0.0.0/8; remote-ip 172.0.0.0/8; } } [edit] user@host# show security pki ca-profile rsa { ca-identity rsa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lo0.0; reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración del radial
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.2.2.253/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Spoke1_ID set security ike gateway SPOKE_GW ike-policy ikepol1 set security ike gateway SPOKE_GW address 10.2.2.1 set security ike gateway SPOKE_GW local-identity distinguished-name set security ike gateway SPOKE_GW remote-identity distinguished-name container DC=Domain_component set security ike gateway SPOKE_GW external-interface ge-0/0/3.0 set security ike gateway SPOKE_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn SPOKE_VPN bind-interface st0.1 set security ipsec vpn SPOKE_VPN ike gateway SPOKE_GW set security ipsec vpn SPOKE_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn SPOKE_VPN traffic-selector ts1 local-ip 172.0.0.0/8 set security ipsec vpn SPOKE_VPN traffic-selector ts1 remote-ip 192.0.0.0/8 set security ipsec vpn SPOKE_VPN establish-tunnels immediately set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el hub:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 172.16.1.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.2.2.253/24 user@host# set st0 unit 1 family inet
Configure las opciones de la fase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Spoke1_ID [edit security ike gateway SPOKE_GW] user@host# set ike-policy ikepol1 user@host# set address 10.2.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container DC=Domain_component user@host# set external-interface ge-0/0/3.0 user@host# set version v1-only
Configure las opciones de la fase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec SPOKE_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SPOKE_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 172.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 192.0.0.0/8 user@host# set establish-tunnels immediately
Configure la información del certificado.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Configure zonas de seguridad.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/3.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show security ike
, show security zones
show security ipsec
show security pki
, , y show security policies
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 172.16.1.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 10.2.2.253/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ikepol1 { mode main; proposals prop_ike; certificate { local-certificate Spoke1_ID; } } gateway SPOKE_GW { ike-policy ikepol1; address 10.2.2.1; local-identity distinguished-name; remote-identity distinguished-name container DC=Domain_component; external-interface ge-0/0/3.0; version v1-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-192-cbc; lifetime-seconds 3600; lifetime-kilobytes 150000; } policy ipsecpol1 { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn SPOKE_VPN { bind-interface st0.1; ike { gateway SPOKE_GW; ipsec-policy ipsecpol1; } traffic-selector ts1 { local-ip 172.0.0.0/8; remote-ip 192.0.0.0/8; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile rsa { ca-identity rsa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; ge-0/0/3.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Verificación de túneles
Propósito
Verifique que haya túneles establecidos entre el concentrador AutoVPN y el radial.
Acción
Desde el modo operativo, escriba los show security ike security-associations
comandos y show security ipsec security-associations
en el concentrador.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 1350248074 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.253 user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77594650 ESP:aes-cbc-192/sha1 ac97cb1 2799/ 150000 - root 500 10.2.2.253 >77594650 ESP:aes-cbc-192/sha1 828dc013 2798/ 150000 - root 500 10.2.2.253 user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 77594650 Virtual-system: root, VPN Name: HUB_VPN Local Gateway: 10.2.2.1, Remote Gateway: 10.2.2.253 Traffic Selector Name: ts1 Local Identity: ipv4(192.0.0.0-192.255.255.255) Remote Identity: ipv4(172.0.0.0-172.255.255.255) Version: IKEv1 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x24608b29 Tunnel events: Tue Dec 30 2014 11:30:21 -0800: IPSec SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:30:20 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (3 times) Location: FPC 5, PIC 0, KMD-Instance 1 Direction: inbound, SPI: ac97cb1, AUX-SPI: 0 Hard lifetime: Expires in 2796 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2211 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 5, PIC 0, KMD-Instance 1 Direction: outbound, SPI: 828dc013, AUX-SPI: 0 Hard lifetime: Expires in 2796 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2211 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Desde el modo operativo, introduzca los show security ike security-associations
comandos y show security ipsec security-associations
en el radio.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 276505646 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.1 user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <69206018 ESP:aes-cbc-192/sha1 828dc013 2993/ 150000 - root 500 10.2.2.1 >69206018 ESP:aes-cbc-192/sha1 ac97cb1 2993/ 150000 - root 500 10.2.2.1 user@host> show security ipsec security-associations detail ID: 69206018 Virtual-system: root, VPN Name: SPOKE_VPN Local Gateway: 10.2.2.253, Remote Gateway: 10.2.2.1 Traffic Selector Name: ts1 Local Identity: ipv4(172.0.0.0-172.255.255.255) Remote Identity: ipv4(192.0.0.0-192.255.255.255) Version: IKEv1 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29 Tunnel events: Tue Dec 30 2014 11:30:20 -0800: IPSec SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:26:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Location: FPC 1, PIC 0, KMD-Instance 1 Direction: inbound, SPI: 828dc013, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2369 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 1, PIC 0, KMD-Instance 1 Direction: outbound, SPI: ac97cb1, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2369 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. El hub muestra un túnel activo al radio, mientras que el radiel muestra un túnel activo al hub.
Si no se enumera ninguna SA para la fase 1 de IKE, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y radial.
Si no se enumera ninguna SA para la fase 2 de IKE, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en el hub and spoke.
Verificación de selectores de tráfico
Propósito
Compruebe los selectores de tráfico.
Acción
Desde el modo operativo, escriba el show security ipsec traffic-selector interface-name st0.1
comando en el concentrador.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 192.0.0.0-192.255.255.255 172.0.0.0-172.255.255.255 st0.1 77594650 DC=Domain_component, CN=Spoke1_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Desde el modo operativo, ingrese el show security ipsec traffic-selector interface-name st0.1
comando en el radio.
user@host> show security ipsec traffic-selector interface-name st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 172.0.0.0-172.255.255.255 192.0.0.0-192.255.255.255 st0.1 69206018 DC=Domain_component, CN=Hub_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Significado
Un selector de tráfico es un acuerdo entre pares IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).
Ejemplo: Garantizar la disponibilidad del túnel VPN con AutoVPN y selectores de tráfico
La redundancia geográfica es el despliegue de varios sitios geográficamente distantes para que el tráfico pueda seguir fluyendo a través de la red de un proveedor, incluso si hay un corte de energía, un desastre natural u otro evento catastrófico que afecte a un sitio. En una red de proveedor de telefonía móvil, se pueden conectar varios dispositivos del nodo evolucionado B (eNodeB) a la red principal a través de puertas de enlace VPN IPsec georedundantes en firewalls de la serie SRX. Las rutas alternativas a los dispositivos eNodeB se distribuyen a la red central mediante un protocolo de enrutamiento dinámico.
En este ejemplo se configuran concentradores de AutoVPN con varios selectores de tráfico en los firewalls de la serie SRX para garantizar que haya puertas de enlace VPN IPsec georedundantes para los dispositivos eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar automáticamente rutas hacia los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. Las rutas de ARI se distribuyen a la red central del proveedor a través de BGP. El ejemplo es usar la autenticación basada en certificados. Para la autenticación con clave previamente compartida, configure una configuración similar que se muestra en Ejemplo: Configuración de AutoVPN básica con iBGP.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Dos firewalls de la serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador A de AutoVPN.
-
Un firewall de la serie SRX configurado como concentrador B de AutoVPN.
-
Junos OS versión 12.3X48-D10 o posterior.
-
Dispositivos eNodeB que pueden establecer túneles VPN IPsec con concentradores AutoVPN. Los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con concentradores AutoVPN.
-
Certificados digitales inscritos en los hubs y en los dispositivos eNodeB que permiten que los dispositivos se autentiquen entre sí.
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de las solicitudes de certificados locales.
-
Inscribir los certificados digitales en cada dispositivo. Consulte Ejemplo: Cargar certificados locales y de CA manualmente.
En este ejemplo se utiliza el protocolo de enrutamiento dinámico BGP para anunciar rutas hacia los dispositivos eNodeB a la red principal.
Descripción general
En este ejemplo, se configuran dos concentradores AutoVPN con varios selectores de tráfico en los firewalls de la serie SRX para proporcionar puertas de enlace VPN IPsec georedundantes a los dispositivos eNodeB. ARI inserta automáticamente rutas a los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. Las rutas de ARI se distribuyen a la red central del proveedor a través de BGP.
Algunas opciones de túnel IKE de fase 1 y fase 2 configuradas en los concentradores AutoVPN y dispositivos eNodeB deben tener los mismos valores. Tabla 20 muestra los valores utilizados en este ejemplo:
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
rsa-signatures |
Grupo Diffie-Hellman (DH) |
group5 |
Algoritmo de autenticación |
sha-1 |
Algoritmo de cifrado |
aes-256-cbc |
Política de IKE: |
|
Certificado |
certificado local |
Puerta de enlace IKE: |
|
Dinámico |
nombre distinguido comodín DC=Common_component |
Tipo de usuario de IKE |
ID IKE de grupo |
Detección de pares muertos |
túnel inactivo de la sonda |
Identidad local |
Nombre distintivo |
Versión |
Solo v2 |
Propuesta IPsec: |
|
Protocolo |
esp |
Algoritmo de autenticación |
HMAC-SHA1-96 |
Algoritmo de cifrado |
aes-256-cbc |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
grupo5 |
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad. Para simplificar, la configuración de los firewalls de la serie SRX permite todo tipo de tráfico entrante; Esta configuración no se recomienda para implementaciones de producción.
Topología
Figura 9 muestra los firewalls de la serie SRX que se van a configurar para este ejemplo.
Configuración
- Configuración del concentrador A
- Configuración del concentrador B
- Configuración de eNodeB (configuración de ejemplo)
Configuración del concentrador A
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 10.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 172.16.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubA_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 10.50.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 10.30.0.0/16 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.16.2.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set protocols bgp group internal-peers neighbor 172.16.2.4 set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 10.50.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 10.50.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el hub A:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 10.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 172.16.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.2.2.1/24 user@host# set st0 unit 1 family inet
-
Configure las opciones de la fase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubA_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.16.0.0/16 user@host# set traffic-selector ts1 remote-ip 10.50.0.0/16 user@host# set traffic-selector ts2 local-ip 172.16.0.0/16 user@host# set traffic-selector ts2 remote-ip 10.30.0.0/16
-
Configure el protocolo de enrutamiento BGP.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.16.2.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.16.2.4
-
Configure las opciones de enrutamiento.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 10.30.2.0/24 orlonger user@host# set term cp_allow from route-filter 10.30.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 10.50.1.0/24 orlonger user@host# set term mp_allow from route-filter 10.50.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.16.1.0/24 orlonger user@host# set term up_allow from route-filter 172.16.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
-
Configure la información del certificado.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
-
Configure zonas de seguridad.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show security ipsec
, show protocols bgp
, show security zones
show policy-options
show security pki
, y show security policies
para confirmar la show interfaces
show security ike
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-8/0/2 { gigether-options { redundant-parent reth1; } } ge-8/0/3 { gigether-options { redundant-parent reth0; } } lo0 { unit 0 { family inet { address 10.100.1.100/24; } } redundant-pseudo-interface-options { redundancy-group 1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 172.16.2.1/16; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.2.2.1/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ph1_ike_policy { proposals prop_ike; certificate { local-certificate HubA_certificate; } } gateway HUB_GW { ike-policy ph1_ike_policy; dynamic { distinguished-name { wildcard DC=Common_component; } ike-user-type group-ike-id; } dead-peer-detection { probe-idle-tunnel; } local-identity distinguished-name; external-interface reth1; version v2-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy ph2_ipsec_policy { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ph2_ipsec_policy; } traffic-selector ts1 { local-ip 172.16.0.0/16; remote-ip 10.50.0.0/16; } traffic-selector ts2 { local-ip 172.16.0.0/16; remote-ip 10.30.0.0/16; } } [edit] user@host# show protocols bgp group internal-peers { type internal; local-address 172.16.2.1; export [ inject_ts1_routes inject_ts2_routes inject_up_routes ]; neighbor 172.16.2.4; } [edit] user@host# show policy-options policy-statement inject_ts1_routes { term cp_allow { from { protocol static; route-filter 10.30.2.0/24 orlonger; route-filter 10.30.1.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_ts2_routes { term mp_allow { from { protocol static; route-filter 10.50.1.0/24 orlonger; route-filter 10.50.2.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_up_routes { term up_allow { from { protocol static; route-filter 172.16.1.0/24 orlonger; route-filter 172.16.2.0/24 orlonger; } then { next-hop self; accept; } } } [edit] user@host# show security pki ca-profile csa { ca-identity csa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lo0.0; reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración del concentrador B
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.4.4.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/16 set interfaces lo0 unit 0 family inet address 10.100.1.101/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubB_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface ge-0/0/1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 10.50.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 10.30.0.0/8 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.16.1.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.2.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 10.50.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 10.50.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el concentrador B:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.4.4.1/24 user@host# set ge-0/0/2 unit 0 family inet address 172.16.1.1/16 user@host# set lo0 unit 0 family inet address 10.100.1.101/24 user@host# set st0 unit 1 family inet
-
Configure las opciones de la fase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubB_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1 user@host# set version v2-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.16.0.0/16 user@host# set traffic-selector ts1 remote-ip 10.50.0.0/16 user@host# set traffic-selector ts2 local-ip 172.16.0.0/16 user@host# set traffic-selector ts2 remote-ip 10.30.0.0/16
-
Configure el protocolo de enrutamiento BGP.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.16.1.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.16.1.2
-
Configure las opciones de enrutamiento.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 10.30.2.0/24 orlonger user@host# set term cp_allow from route-filter 10.30.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 10.50.1.0/24 orlonger user@host# set term mp_allow from route-filter 10.50.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.16.1.0/24 orlonger user@host# set term up_allow from route-filter 172.16.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
-
Configure la información del certificado.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
-
Configure zonas de seguridad.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/2.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show security ipsec
, show security zones
show protocols bgp
show security pki
, , y show security policies
para confirmar la show interfaces
show security ike
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.4.4.1/24; } } } ge-0/0/2 { unit 0 { family inet { address 172.16.1.1/16; } } } lo0 { unit 0 { family inet { address 10.100.1.101/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ph1_ike_policy { proposals prop_ike; certificate { local-certificate HubB_certificate; } } gateway HUB_GW { ike-policy ph1_ike_policy; dynamic { distinguished-name { wildcard DC=Common_component; } ike-user-type group-ike-id; } dead-peer-detection { probe-idle-tunnel; } local-identity distinguished-name; external-interface reth1; version v2-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy ph2_ipsec_policy { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ph2_ipsec_policy; } traffic-selector ts1 { local-ip 172.16.0.0/16; remote-ip 10.50.0.0/16; } traffic-selector ts2 { local-ip 172.16.0.0/16; remote-ip 10.30.0.0/16; } } [edit] user@host# show protocols bgp group internal-peers { type internal; local-address 172.16.1.1; export [ inject_ts1_routes inject_ts2_routes inject_up_routes ]; neighbor 172.16.1.2; } user@host# show policy-options policy-statement inject_ts1_routes { term cp_allow { from { protocol static; route-filter 10.30.2.0/24 orlonger; route-filter 10.30.1.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_ts2_routes { term mp_allow { from { protocol static; route-filter 10.50.1.0/24 orlonger; route-filter 10.50.2.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_up_routes { term up_allow { from { protocol static; route-filter 172.16.1.0/24 orlonger; route-filter 172.16.2.0/24 orlonger; } then { next-hop self; accept; } } } [edit] user@host# show security pki ca-profile csa { ca-identity csa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; lo0.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de eNodeB (configuración de ejemplo)
Procedimiento paso a paso
-
La configuración de eNodeB en este ejemplo se proporciona como referencia. La información detallada de configuración de eNodeB está fuera del alcance de este documento. La configuración de eNodeB debe incluir la siguiente información:
-
Certificado local (X.509v3) e información de identidad de IKE
-
Información de identidad IKE serie SRX y dirección IP pública
-
Propuestas de fase 1 y fase 2 que coinciden con las configuraciones de los concentradores de la serie SRX
-
Resultados
Los dispositivos eNodeB de este ejemplo utilizan el software de código abierto strongSwan para conexiones VPN basadas en IPsec:
config setup plutostart=yes plutodebug=all charondebug="ike 4, cfg 4, chd 4, enc 1" charonstart=yes #ikev2 deamon" nat_traversal=yes #<======= need to enable even no nat_t conn %default ikelifetime=60m keylife=45m rekeymargin=2m keyingtries=4 mobike=no conn Hub_A keyexchange=ikev2 authby=pubkey ike=aes256-sha-modp1536 esp=aes256-sha1-modp1536 leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt left=10.5.5.1 # self if leftsubnet=10.1.1.0/24 # left subnet leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id right=10.2.2.1 # peer if rightsubnet=10.1.1.0/24 # peer net for proxy id rightid="DC=Domain_component, CN=HubA_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id auto=add leftfirewall=yes dpdaction=restart dpddelay=10 dpdtimeout=120 rekeyfuzz=10% reauth=no conn Hub_B keyexchange=ikev2 authby=pubkey ike=aes256-sha-modp1536 esp=aes192-sha1-modp1536 leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt left=10.5.5.1 # self if leftsubnet=10.1.1.0/24 # self net for proxy id leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id right=10.4.4.1 # peer if rightsubnet=10.1.1.0/24 # peer net for proxy id rightid="DC=Domain_component, CN=HubB_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id auto=add leftfirewall=yes dpdaction=restart dpddelay=10 dpdtimeout=120 rekeyfuzz=10% reauth=no
Verificación
Confirme que la configuración funcione correctamente.
- Verificación de túneles en los concentradores de AutoVPN
- Verificación de selectores de tráfico
- Verificación de rutas ARI
Verificación de túneles en los concentradores de AutoVPN
Propósito
Verifique que haya túneles establecidos entre el concentrador AutoVPN y los dispositivos eNodeB.
Acción
Desde el modo operativo, escriba los show security ike security-associations
comandos y show security ipsec security-associations
en el concentrador.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 276505706 UP 16d6e53f0866b5cc ccd8ca944da7b63e IKEv2 10.5.5.1 1350247532 UP d5f0cb3a3b18cb92 91269f05527217a0 IKEv2 10.1.1.1 user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77594626 ESP:aes-cbc-192/sha1 a82bbc3 3600/ 64 - root 500 10.1.1.1 >77594626 ESP:aes-cbc-192/sha1 c930a858 3600/ 64 - root 500 10.1.1.1 <69206018 ESP:aes-cbc-192/sha1 2b437fc 3600/ 64 - root 500 10.5.5.1 >69206018 ESP:aes-cbc-192/sha1 c6e02755 3600/ 64 - root 500 10.5.5.1
Significado
El show security ike security-associations
comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations
comando enumera todas las SA de fase 2 de IKE activas. El hub muestra dos túneles activos, uno para cada dispositivo eNodeB.
Si no se enumera ninguna SA para la fase 1 de IKE, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y en los dispositivos eNodeB.
Si no se enumera ninguna SA para la fase 2 de IKE, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y en los dispositivos eNodeB.
Verificación de selectores de tráfico
Propósito
Compruebe los selectores de tráfico.
Acción
Desde el modo operativo, ingrese el comando show security ipsec traffic-selector interface-name st0.1
.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 10.1.1.0-10.1.1.255 10.1.1.0-10.1.1.255 st0.1 69206018 DC=Common_component, CN=enodebA, OU=Dept, O=Company, L=City, ST=CA, C=US 10.1.1.0-10.1.1.255 10.1.1.0-10.1.1.255 st0.1 77594626 DC=Common_component, CN=enodebB, OU=Dept, O=Company, L=City, ST=CA, C=US
Significado
Un selector de tráfico es un acuerdo entre pares IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).
Verificación de rutas ARI
Propósito
Compruebe que las rutas ARI se agregan a la tabla de enrutamiento.
Acción
Desde el modo operativo, ingrese el comando show route
.
user@host> show route inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.1.0.0/16 *[Static/5] 02:57:57 > to 2.2.2.253 via reth1.0 10.2.2.0/24 *[Direct/0] 02:58:43 > via reth1.0 10.2.2.1/32 *[Local/0] 02:59:25 Local via reth1.0 10.5.0.0/16 *[Static/5] 02:57:57 > to 2.2.2.253 via reth1.0 10.157.64.0/19 *[Direct/0] 21:54:52 > via fxp0.0 10.157.75.117/32 *[Local/0] 21:54:52 Local via fxp0.0 10.254.75.117/32 *[Direct/0] 21:54:52 > via lo0.0 10.30.1.0/24 *[ARI-TS/5] 02:28:10 [ARI route added based on TSi] > via st0.1 10.50.1.0/24 *[ARI-TS/5] 02:28:26 > via st0.1 10.80.0.0/16 *[Direct/0] 02:57:57 > via reth0.0 10.80.1.1/32 *[Local/0] 02:57:57 Local via reth0.0 10.100.1.0/24 *[Direct/0] 02:57:57 > via lo0.0 10.100.1.100/32 *[Local/0] 02:57:57 Local via lo0.0 10.102.1.0/24 *[Static/5] 02:57:57 > to 10.2.2.253 via reth1.0 10.104.1.0/24 *[Static/5] 02:57:57 > to 10.2.2.253 via reth1.0 172.16.0.0/12 *[Static/5] 21:54:52
Significado
La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como una ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.
Rutas estáticas a los destinos de eNodeB 10.30.1.0/24 y 10.Se agregan 50.1.0/24 a la tabla de enrutamiento del concentrador de la serie SRX. Se puede acceder a estas rutas a través de la interfaz st0.1.
Ejemplo: Configuración de AutoVPN con clave precompartida
En este ejemplo se muestra cómo configurar diferentes claves previamente compartidas IKE utilizadas por la puerta de enlace VPN para autenticar el par remoto. Del mismo modo, para configurar la misma clave previamente compartida IKE utilizada por la puerta de enlace VPN para autenticar el par remoto.
Consulte otros ejemplos en este tema para la configuración integral de AutoVPN.
- Requisitos
- Configurar diferentes claves previamente compartidas de IKE
- Configurar la misma clave previamente compartida de IKE
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
- MX240, MX480 y MX960 con MX-SPC3 y Junos OS versión 21.1R1 compatibles con AutoVPN
- o SRX5000 línea con SPC3 y Junos OS versión 21.2R1 que admiten AutoVPN
- o el firewall virtual vSRX ejecutando el proceso iked (con el
junos-ike
paquete) y Junos OS versión 21.2R1 que admita AutoVPN
Configurar diferentes claves previamente compartidas de IKE
Para configurar una clave IKE previamente compartida diferente que la puerta de enlace VPN utiliza para autenticar al par remoto, realice estas tareas.
- Configure la política sembrada previamente compartida para IKE en el dispositivo con el concentrador AutoVPN.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
o
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
Por ejemplo:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
o
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- Mostrar el par remoto for mediante el nombre de puerta de enlace y el
pre-shared key
identificador de usuario.[edit] user@host> show security ike pre-shared-key gateway gateway-name user-id user-id
Por ejemplo:
user@host> show security ike pre-shared-key gateway-name HUB_GW user-id user1@juniper.net
Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- Configure el PSK generado ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" en el paso 2) en la política ike en el dispositivo par remoto.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
Por ejemplo:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure
general-ikeid
la instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway_name dynamic] en la puerta de enlace.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Resultado
Desde el modo de configuración, confirme su configuración introduciendo el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity hostname hub.juniper.net; external-interface lo0.0; local-address 11.0.0.1; version v2-only; } }
Configurar la misma clave previamente compartida de IKE
Para configurar la misma clave previamente compartida IKE que la puerta de enlace VPN utiliza para autenticar el par remoto, realice estas tareas.
- Configure la política común
pre-shared-key
para ike en el dispositivo con el concentrador AutoVPN.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Por ejemplo:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- Configure la política común
pre-shared-key
en el ike para el dispositivo par remoto.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Por ejemplo:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure
general-ikeid
la instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway_name dynamic] en la puerta de enlace.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Resultado
Desde el modo de configuración, confirme su configuración introduciendo el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity user-at-hostname user1@juniper.net; external-interface lo0; local-address 11.0.0.1; version v2-only; } }
Configurar la compatibilidad con multidifusión en infraestructura P2MP
Antes de habilitar la compatibilidad con multidifusión, asegúrese de que cumple las consideraciones enumeradas en Compatibilidad con multidifusión mediante PIM.
Consulte las siguientes secciones para configurar y comprobar la compatibilidad con la multidifusión.
- Configurar interfaz de multidifusión
- Comandos de CLI para verificar la configuración de multidifusión
Configurar interfaz de multidifusión
-
Para habilitar PIM en la interfaz st0.0, utilice el
set protocols pim interface interface-name command
comando :[edit] user@host# set protocols pim interface st0.0
st0.0
Aquí está la interfaz de túnel seguro. -
Para habilitar multipunto en la interfaz st0.0 para el modo P2MP, use
set interfaces interface-name unit unit-number multipoint
el comando:[edit] user@host# set interfaces st0.0 unit 0 multipoint
-
Para establecer la dirección IPv4 para la interfaz st0.0, utilice el
set interfaces interface-name unit unit-number family inet address IPv4 address
comando:[edit] user@host# set interfaces st0.0 unit 0 family inet address 192.168.1.3/24
Aquí, 192.168.1.3/24 es la dirección IP de la interfaz.
-
Para desactivar PIM en la interfaz st0.0, utilice la opción
disable
:[edit] user@host# set protocols pim interface st0.0 disable
Comandos de CLI para verificar la configuración de multidifusión
Puede comprobar la configuración de multidifusión mediante los siguientes comandos.
-
Para enumerar las interfaces PIM, utilice el
show pim interfaces
comando. -
Para enumerar los vecinos que se unieron al grupode multidifusión s, use el
show pim join extensive
comando. -
Para ver las entradas en la tabla de reenvío de multidifusión IP, utilice el
show multicast route
comando. -
Para ver los detalles del próximo salto de multidifusión, utilice el
show multicast next-hops detail
comando. -
Para ver las estadísticas de multidifusión IP, utilice el
show multicast statistics
comando. -
Para ver las entradas de la tabla de reenvío, utilice el
show route forwarding-table extensive
comando.
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
reject-duplicate-connection
CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic
] para conservar una sesión de túnel existente y rechazar solicitudes de negociación para un nuevo túnel con el mismo ID de IKE.