Túneles de pila dual a través de una interfaz externa
Los túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) son compatibles con VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede utilizar como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo.
Descripción de los modos de túnel VPN
En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original) dentro de un segundo datagrama IP. El encabezado IP externo contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las direcciones IP de origen y destino finales. Los encabezados IP externo e interno pueden tener un campo de protocolo IPv4 o IPv6. Los firewalls de la serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.
Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 dentro de paquetes IPv4, como se muestra en Figura 1. Los campos de protocolo para los encabezados externo e interno son IPv4.
Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 dentro de paquetes IPv6, como se muestra en Figura 2. Los campos de protocolo para los encabezados externo e interno son IPv6.
Los túneles IPv6 en IPv4 encapsulan paquetes IPv6 dentro de paquetes IPv4, como se muestra en Figura 3. El campo de protocolo para el encabezado externo es IPv4 y el campo de protocolo para el encabezado interno es IPv6.
Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 dentro de paquetes IPv6, como se muestra en Figura 4. El campo de protocolo para el encabezado externo es IPv6 y el campo de protocolo para el encabezado interno es IPv4.
Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar simultáneamente en los modos de túnel IPv4 en IPv4 e IPv6 en IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con y family inetfamily inet6.
Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para túneles IPv4 e IPv6 paralelos a un par en una VPN de sitio a sitio basada en ruta. Esta característica se conoce como túneles de doble pila y requiere interfaces st0 independientes para cada túnel.
Para las VPN basadas en políticas, IPv6 en IPv6 es el único modo de túnel admitido y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
Descripción de los túneles de doble pila a través de una interfaz externa
Los túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) son compatibles con VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede utilizar como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo. En Figura 5, las interfaces físicas reth0.0 y ge-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.
En Figura 5, se deben configurar interfaces de túnel seguro (st0) independientes para cada túnel VPN IPsec. No se admiten túneles IPv4 e IPv6 paralelos enlazados a la misma interfaz st0.
Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar simultáneamente en los modos de túnel IPv4 en IPv4 e IPv6 en IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con y family inetfamily inet6.
Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a un par VPN, se recomienda configurar local-address en el nivel de jerarquía [edit security ike gateway gateway-name].
Si local-address está configurado, la dirección IPv4 o IPv6 especificada se utiliza como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y una dirección IPv6 en una interfaz externa física, local-address no es necesario realizar la configuración.
El local-address valor debe ser una dirección IP configurada en una interfaz del firewall de la serie SRX. Se recomienda que local-address pertenezca a la interfaz externa de la puerta de enlace IKE. Si local-address no pertenece a la interfaz externa de la puerta de enlace IKE, esta debe estar en la misma zona que la interfaz externa de la puerta de enlace IKE y debe configurarse una política de seguridad dentro de la zona para permitir el tráfico.
El local-address valor y la dirección de puerta de enlace de IKE remoto deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.
Si local-address no está configurado, la dirección de la puerta de enlace local se basa en la dirección de la puerta de enlace remota. Si la dirección de puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local es la dirección IPv4 principal de la interfaz física externa. Si la dirección de puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local es la dirección IPv6 principal de la interfaz física externa.
Consulte también
Ejemplo: Configuración de túneles de doble pila a través de una interfaz externa
En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos a través de una única interfaz física externa a un par para VPN de sitio a sitio basadas en rutas.
Requisitos
Antes de comenzar, lea Descripción de los modos de túnel VPN.
La configuración que se muestra en este ejemplo solo se admite con VPN de sitio a sitio basadas en rutas.
Descripción general
En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo par:
El túnel IPv4 transporta tráfico IPv6; funciona en modo de túnel IPv6 en IPv4. La interfaz de túnel seguro st0.0 enlazada al túnel IPv4 está configurada únicamente con la familia inet6.
El túnel IPv6 transporta tráfico IPv4 e IPv6; funciona en los modos de túnel IPv4 en IPv6 e IPv6 en IPv6. La interfaz de túnel seguro st0.1 enlazada al túnel IPv6 está configurada con la familia inet y la familia inet6.
Tabla 1 muestra las opciones de fase 1 utilizadas en este ejemplo. La configuración de la opción Fase 1 incluye dos configuraciones de puerta de enlace IKE, una para el par IPv6 y la otra para el par IPv4.
La opción |
valor |
|---|---|
Propuesta de IKE |
ike_proposal |
Método de autenticación |
Claves previamente compartidas |
Algoritmo de autenticación |
MD5 |
Algoritmo de cifrado |
3DES CBC |
Vida |
3600 segundos |
Política de IKE |
ike_policy |
Modo |
Agresivo |
Propuesta de IKE |
ike_proposal |
Clave previamente compartida |
Texto ASCII |
Puerta de enlace IKE IPv6 |
ike_gw_v6 |
Política de IKE |
ike_policy |
Dirección de puerta de enlace |
2000::2 |
Interfaz externa |
reth1.0 |
Versión de IKE |
IKEv2 |
Puerta de enlace IKE IPv4 |
ike_gw_v4 |
Política de IKE |
ike_policy |
Dirección de puerta de enlace |
20.0.0.2 |
Interfaz externa |
reth1.0 |
Tabla 2 muestra las opciones de fase 2 utilizadas en este ejemplo. La configuración de la opción Fase 2 incluye dos configuraciones de VPN, una para el túnel IPv6 y la otra para el túnel IPv4.
La opción |
valor |
|---|---|
Propuesta IPsec |
ipsec_proposal |
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC SHA-1 96 |
Algoritmo de cifrado |
3DES CBC |
Directiva IPsec |
ipsec_policy |
Propuesta |
ipsec_proposal |
IPv6 VPN |
test_s2s_v6 |
Interfaz de enlace |
st0.1 |
Puerta de enlace IKE |
ike_gw_v6 |
Política IPsec de IKE |
ipsec_policy |
Establecer túneles |
Inmediatamente |
IPv4 VPN |
test_s2s_v4 |
Interfaz de enlace |
st0.0 |
Puerta de enlace IKE |
ike_gw_4 |
Política IPsec de IKE |
ipsec_policy |
Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:
Enrute el tráfico IPv6 de 3000::1/128 a st0.0.
Enrute el tráfico IPv6 de 3000::2/128 a st0.1.
Se configura una ruta estática en la tabla de enrutamiento predeterminada (IPv4) para enrutar el tráfico IPv4 de 30.0.0.0/24 a st0.1.
El procesamiento basado en flujos del tráfico IPv6 debe habilitarse con la opción de mode flow-based configuración en el nivel de jerarquía [edit security forwarding-options family inet6].
Topología
En Figura 6, el firewall A de la serie SRX admite túneles IPv4 e IPv6 al dispositivo B. El tráfico IPv6 a 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 a 3000::2/128 y el tráfico IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar túneles de doble pila:
Configure la interfaz externa.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Configure las interfaces de túnel seguro.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Configure las opciones de la fase 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Configure las opciones de la fase 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Configurar rutas estáticas.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Habilite el reenvío basado en flujos IPv6.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Resultados
Desde el modo de configuración, escriba los comandos , show security ike, show routing-optionsshow security ipsec, y show security forwarding-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de la fase 1 de IKE
- Comprobación del estado de fase 2 de IPsec
- Verificación de rutas
Verificación del estado de la fase 1 de IKE
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en los dispositivos del mismo nivel.
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Significado
El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en los dispositivos del mismo nivel.
Verificación de rutas
Propósito
Verificar rutas activas.
Acción
Desde el modo operativo, ingrese el comando show route.
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Significado
El show route comando enumera las entradas activas en las tablas de enrutamiento.