Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Túneles de pila dual a través de una interfaz externa

Los túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) son compatibles con VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede utilizar como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo.

Descripción de los modos de túnel VPN

En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original) dentro de un segundo datagrama IP. El encabezado IP externo contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las direcciones IP de origen y destino finales. Los encabezados IP externo e interno pueden tener un campo de protocolo IPv4 o IPv6. Los firewalls de la serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.

Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 dentro de paquetes IPv4, como se muestra en Figura 1. Los campos de protocolo para los encabezados externo e interno son IPv4.

Figura 1: Túnel IPv4 en IPv4Túnel IPv4 en IPv4

Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 dentro de paquetes IPv6, como se muestra en Figura 2. Los campos de protocolo para los encabezados externo e interno son IPv6.

Figura 2: Túnel IPv6 en IPv6Túnel IPv6 en IPv6

Los túneles IPv6 en IPv4 encapsulan paquetes IPv6 dentro de paquetes IPv4, como se muestra en Figura 3. El campo de protocolo para el encabezado externo es IPv4 y el campo de protocolo para el encabezado interno es IPv6.

Figura 3: Túnel IPv6 en IPv4Túnel IPv6 en IPv4

Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 dentro de paquetes IPv6, como se muestra en Figura 4. El campo de protocolo para el encabezado externo es IPv6 y el campo de protocolo para el encabezado interno es IPv4.

Figura 4: Túnel IPv4 en IPv6Túnel IPv4 en IPv6

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar simultáneamente en los modos de túnel IPv4 en IPv4 e IPv6 en IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con y family inetfamily inet6.

Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para túneles IPv4 e IPv6 paralelos a un par en una VPN de sitio a sitio basada en ruta. Esta característica se conoce como túneles de doble pila y requiere interfaces st0 independientes para cada túnel.

Para las VPN basadas en políticas, IPv6 en IPv6 es el único modo de túnel admitido y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Descripción de los túneles de doble pila a través de una interfaz externa

Los túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) son compatibles con VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede utilizar como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo. En Figura 5, las interfaces físicas reth0.0 y ge-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.

Figura 5: Túneles de doble pilaTúneles de doble pila

En Figura 5, se deben configurar interfaces de túnel seguro (st0) independientes para cada túnel VPN IPsec. No se admiten túneles IPv4 e IPv6 paralelos enlazados a la misma interfaz st0.

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar simultáneamente en los modos de túnel IPv4 en IPv4 e IPv6 en IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con y family inetfamily inet6.

Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a un par VPN, se recomienda configurar local-address en el nivel de jerarquía [edit security ike gateway gateway-name].

Si local-address está configurado, la dirección IPv4 o IPv6 especificada se utiliza como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y una dirección IPv6 en una interfaz externa física, local-address no es necesario realizar la configuración.

El local-address valor debe ser una dirección IP configurada en una interfaz del firewall de la serie SRX. Se recomienda que local-address pertenezca a la interfaz externa de la puerta de enlace IKE. Si local-address no pertenece a la interfaz externa de la puerta de enlace IKE, esta debe estar en la misma zona que la interfaz externa de la puerta de enlace IKE y debe configurarse una política de seguridad dentro de la zona para permitir el tráfico.

El local-address valor y la dirección de puerta de enlace de IKE remoto deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.

Si local-address no está configurado, la dirección de la puerta de enlace local se basa en la dirección de la puerta de enlace remota. Si la dirección de puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local es la dirección IPv4 principal de la interfaz física externa. Si la dirección de puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local es la dirección IPv6 principal de la interfaz física externa.

Ejemplo: Configuración de túneles de doble pila a través de una interfaz externa

En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos a través de una única interfaz física externa a un par para VPN de sitio a sitio basadas en rutas.

Requisitos

Antes de comenzar, lea Descripción de los modos de túnel VPN.

La configuración que se muestra en este ejemplo solo se admite con VPN de sitio a sitio basadas en rutas.

Descripción general

En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo par:

  • El túnel IPv4 transporta tráfico IPv6; funciona en modo de túnel IPv6 en IPv4. La interfaz de túnel seguro st0.0 enlazada al túnel IPv4 está configurada únicamente con la familia inet6.

  • El túnel IPv6 transporta tráfico IPv4 e IPv6; funciona en los modos de túnel IPv4 en IPv6 e IPv6 en IPv6. La interfaz de túnel seguro st0.1 enlazada al túnel IPv6 está configurada con la familia inet y la familia inet6.

Tabla 1 muestra las opciones de fase 1 utilizadas en este ejemplo. La configuración de la opción Fase 1 incluye dos configuraciones de puerta de enlace IKE, una para el par IPv6 y la otra para el par IPv4.

Tabla 1: Opciones de fase 1 para la configuración de túnel de doble pila

La opción

valor

Propuesta de IKE

ike_proposal

Método de autenticación

Claves previamente compartidas

Algoritmo de autenticación

MD5

Algoritmo de cifrado

3DES CBC

Vida

3600 segundos

Política de IKE

ike_policy

Modo

Agresivo

Propuesta de IKE

ike_proposal

Clave previamente compartida

Texto ASCII

Puerta de enlace IKE IPv6

ike_gw_v6

Política de IKE

ike_policy

Dirección de puerta de enlace

2000::2

Interfaz externa

reth1.0

Versión de IKE

IKEv2

Puerta de enlace IKE IPv4

ike_gw_v4

Política de IKE

ike_policy

Dirección de puerta de enlace

20.0.0.2

Interfaz externa

reth1.0

Tabla 2 muestra las opciones de fase 2 utilizadas en este ejemplo. La configuración de la opción Fase 2 incluye dos configuraciones de VPN, una para el túnel IPv6 y la otra para el túnel IPv4.

Tabla 2: Opciones de fase 2 para la configuración de túnel de doble pila

La opción

valor

Propuesta IPsec

ipsec_proposal

Protocolo

ESP

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

3DES CBC

Directiva IPsec

ipsec_policy

Propuesta

ipsec_proposal

IPv6 VPN

test_s2s_v6

Interfaz de enlace

st0.1

Puerta de enlace IKE

ike_gw_v6

Política IPsec de IKE

ipsec_policy

Establecer túneles

Inmediatamente

IPv4 VPN

test_s2s_v4

Interfaz de enlace

st0.0

Puerta de enlace IKE

ike_gw_4

Política IPsec de IKE

ipsec_policy

Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:

  • Enrute el tráfico IPv6 de 3000::1/128 a st0.0.

  • Enrute el tráfico IPv6 de 3000::2/128 a st0.1.

Se configura una ruta estática en la tabla de enrutamiento predeterminada (IPv4) para enrutar el tráfico IPv4 de 30.0.0.0/24 a st0.1.

El procesamiento basado en flujos del tráfico IPv6 debe habilitarse con la opción de mode flow-based configuración en el nivel de jerarquía [edit security forwarding-options family inet6].

Topología

En Figura 6, el firewall A de la serie SRX admite túneles IPv4 e IPv6 al dispositivo B. El tráfico IPv6 a 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 a 3000::2/128 y el tráfico IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.

Figura 6: Ejemplo de túnel de doble pilaEjemplo de túnel de doble pila

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar túneles de doble pila:

  1. Configure la interfaz externa.

  2. Configure las interfaces de túnel seguro.

  3. Configure las opciones de la fase 1.

  4. Configure las opciones de la fase 2.

  5. Configurar rutas estáticas.

  6. Habilite el reenvío basado en flujos IPv6.

Resultados

Desde el modo de configuración, escriba los comandos , show security ike, show routing-optionsshow security ipsec, y show security forwarding-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en los dispositivos del mismo nivel.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en los dispositivos del mismo nivel.

Verificación de rutas

Propósito

Verificar rutas activas.

Acción

Desde el modo operativo, ingrese el comando show route.

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento.