Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv1 de grupo

La VPN de grupo es un conjunto de funciones necesarias para proteger el tráfico de grupo de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina en un dispositivo o fluye a través de él.

Información general sobre VPN en grupo v1

Una asociación de seguridad (SA) IPsec es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se deben usar para los algoritmos de autenticación y cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las implementaciones actuales de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad. El grupo VPNv1 amplía la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad (consulte Figura 1).

Figura 1: VPN IPsec estándar y VPN de grupo VPNv1VPN IPsec estándar y VPN de grupo VPNv1

El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con el grupo VPNv1, la conectividad de todos a todos se logra conservando las direcciones IP de origen y destino originales en el encabezado exterior. Los paquetes de multidifusión seguros se replican de la misma manera que los paquetes de multidifusión de texto sin cifrar en la red principal.

A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo v1 pueden interoperar con servidores VPN de grupo.

El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, El dominio de interpretación del grupo (GDOI). Para usar VPN de grupo sin limitaciones de propiedad, actualice a VPN de grupo v2. El grupo VPNv2 se admite en instancias de firewall virtual vSRX a partir de Junos OS versión 15.1X49-D30, firewalls serie SRX a partir de Junos OS versión 15.1X49-D40 y dispositivos serie MX a partir de Junos OS versión 15.1r2.

Descripción del protocolo GDOI para el grupo VPNv1

El grupo VPNv1 se basa en RFC 3547, El dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre los miembros del grupo y un servidor de grupo para establecer SA entre los miembros del grupo. Los mensajes GDOI crean, mantienen o eliminan SA para un grupo de dispositivos. El protocolo GDOI se ejecuta en el puerto 848.

El Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec de IKE de clave automática. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP. La fase 2 establece SA para otros protocolos de seguridad, como GDOI.

Con la VPN de grupo, la negociación de SA ISAKMP de fase 1 se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. En la fase 2, los intercambios GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro del grupo no necesita negociar IPsec con otros miembros del grupo. Los intercambios GDOI en la fase 2 deben estar protegidos por SA de fase 1 ISAKMP.

Hay dos tipos de intercambios GDOI:

  • El groupkey-pull intercambio permite a un miembro solicitar SA y claves compartidas por el grupo desde el servidor.

  • El groupkey-push intercambio es un mensaje de reclave única que permite al servidor enviar SA de grupo y claves a los miembros antes de que caduquen las SA de grupo existentes. Los mensajes de cambio de clave son mensajes no solicitados enviados desde el servidor a los miembros.

Descripción de las limitaciones de VPN de grupo v1

En esta versión no se admite lo siguiente para el grupo VPNv1:

  • Instancias de enrutamiento no predeterminadas

  • Clúster de chasis

  • Clústeres de servidores

  • VPN de grupo basada en rutas

  • Despliegue público basado en Internet

  • SNMP

  • Política de denegación del servidor Cisco GET VPN

  • Interfaz J-Web para configuración y monitoreo

A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores VPN de grupo. Al configurar miembros VPN de grupov1 para su uso con servidores VPN de grupo, tenga en cuenta las siguientes limitaciones:

  • El grupo VPNv2 admite el protocolo de detección de retraso de entrega IP del borrador de especificación IETF para un mecanismo antirreproducción basado en el tiempo. Por lo tanto, el antirreproducción basado en el protocolo de detección de retraso de entrega IP no se admite en los miembros de VPN de grupo v1 y debe deshabilitarse en el servidor VPN de grupo v2 con el deactivate security group-vpn server group group-name anti-replay-time-window comando.

  • El servidor VPNv2 de grupo no admite la colocación, donde el servidor de grupo y las funciones miembro del grupo existen en el mismo dispositivo.

  • El servidor VPN v2 de grupo no admite transmisiones de latidos. Heartbeat debe estar deshabilitado en el miembro VPN de grupo v1 con el deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold comando. Se recomienda usar clústeres de servidores VPN de grupo v2 para evitar el impacto del tráfico debido a reinicios u otras interrupciones en el servidor VPN de grupo.

  • Los mensajes de inserción de clave de grupo enviados desde el servidor VPNv2 de grupo se basan en RFC 6407, El dominio de interpretación de grupo (GDOI) y no se admiten en los miembros de VPN de grupo. Por lo tanto, los mensajes groupkey-push deben deshabilitarse en el servidor VPN de grupo v2 con el deactivate security group-vpn server group group-name server-member-communication comando.

    Las reclaves se admiten con mensajes de extracción de groupkey. Si hay problemas de escalado en los que los miembros de VPN de grupo no pueden completar la operación de extracción de claves de grupo antes de que caduque la duración dura de TEK, se recomienda aumentar la duración de TEK para que los miembros tengan tiempo suficiente para completar la operación de extracción de claves de grupo. Los números de escala de Juniper están calificados con una vida útil TEK de 2 horas.

  • Si el servidor VPNv2 de grupo se reinicia o se actualiza, o si se borran las SA del grupo, no se pueden agregar nuevos miembros a la red hasta que se produzca la siguiente reclave para los miembros existentes. Los miembros nuevos no pueden enviar tráfico a los miembros existentes que tienen claves antiguas. Como solución alternativa, borre las SA de los miembros VPN de grupo existentes con el clear security group-vpn member ipsec security-associations comando.

  • Dado que los miembros del grupo VPNv2 no admiten el tráfico de datos de multidifusión, no se puede usar el tráfico de datos de multidifusión cuando los miembros del grupo VPNv1 y del grupo VPNv2 coexisten en la red para el mismo grupo.

Descripción de los servidores VPNv1 de grupo y los miembros

El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las siguientes tareas:

  • Controla la pertenencia a grupos

  • Genera claves de cifrado

  • Administra las SA y las claves del grupo, y las distribuye a los miembros del grupo.

Los miembros del grupo cifran el tráfico en función de las SA de grupo y las claves proporcionadas por el servidor del grupo.

Un servidor de grupo puede dar servicio a varios grupos. Un único dispositivo de seguridad puede ser miembro de varios grupos.

Cada grupo está representado por un identificador de grupo, que es un número entre 1 y 65.535. El servidor de grupo y los miembros del grupo están vinculados entre sí por el identificador de grupo. Solo puede haber un identificador de grupo por grupo y varios grupos no pueden usar el mismo identificador de grupo.

La siguiente es una vista de alto nivel de las acciones del servidor VPN de grupo y de los miembros:

  1. El servidor de grupo escucha en el puerto UDP 848 para que los miembros se registren. Un dispositivo miembro debe proporcionar la autenticación de fase 1 de IKE correcta para unirse al grupo. Se admite la autenticación de clave previamente compartida por miembro.

  2. Tras una autenticación y registro satisfactorios, el dispositivo miembro recupera las SA y claves del grupo del servidor con un intercambio GDOI groupkey-pull .

  3. El servidor agrega el miembro a la pertenencia del grupo.

  4. Los miembros del grupo intercambian paquetes cifrados con claves SA de grupo.

El servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de cambio de clave se envían antes de que caduquen las SA; Esto garantiza que haya claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.

El servidor también envía mensajes de cambio de clave para proporcionar nuevas claves a los miembros cuando hay un cambio en la pertenencia al grupo o cuando la SA del grupo ha cambiado.

Descripción de la comunicación entre servidores y miembros de VPN de grupo

El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La comunicación servidor-miembro permite al servidor enviar mensajes GDOI groupkey-push a los miembros. Si la comunicación entre los miembros del servidor no está configurada para el grupo, los miembros pueden enviar mensajes GDOI groupkey-pull para registrarse y volver a registrarse en el servidor, pero el servidor no puede enviar mensajes de reclave a los miembros.

La comunicación entre los miembros del servidor se configura para el grupo mediante la server-member-communication instrucción de configuración en la jerarquía [edit security group-vpn server]. Se pueden definir las siguientes opciones:

  • Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc o des-cbc. No hay ningún algoritmo predeterminado.

  • Algoritmo de autenticación (md5 o sha1) utilizado para autenticar al miembro en el servidor. No hay ningún algoritmo predeterminado.

  • Si el servidor envía mensajes de reclave de unidifusión o multidifusión a los miembros del grupo y parámetros relacionados con el tipo de comunicación.

  • Intervalo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite al miembro determinar si el servidor se ha reiniciado, lo que requeriría que el miembro se vuelva a registrar en el servidor. El valor predeterminado es de 300 segundos.

  • Duración de la clave de cifrado de claves (KEK). El valor predeterminado es de 3600 segundos.

La configuración de la comunicación servidor-miembro es necesaria para que el servidor de grupo envíe mensajes de reclave a los miembros, pero puede haber situaciones en las que este comportamiento no sea deseado. Por ejemplo, si los miembros del grupo son pares dinámicos (como en una oficina en casa), los dispositivos no siempre están activos y la dirección IP de un dispositivo puede ser diferente cada vez que se enciende. La configuración de la comunicación entre los miembros del servidor para un grupo de pares dinámicos puede provocar transmisiones innecesarias por parte del servidor. Si desea que la negociación de SA de fase 1 de IKE siempre se realice para proteger la negociación de GGOI, no configure la comunicación entre los miembros del servidor.

Si la comunicación entre los miembros del servidor y un grupo no está configurada, la lista de pertenencia mostrada por el comando muestra los show security group-vpn server registered-members miembros del grupo que se han registrado en el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación entre los miembros del servidor y un grupo, se borra la lista de pertenencia al grupo. Si el tipo de comunicación está configurado como unidifusión, el show security group-vpn server registered-members comando sólo muestra los miembros activos. Si el tipo de comunicación está configurado como multidifusión, el comando muestra los show security group-vpn server registered-members miembros que se han registrado en el servidor después de la configuración; la lista de miembros no representa necesariamente a los miembros activos porque los miembros podrían abandonar después del registro.

Descripción de las operaciones de clave de grupo VPNv1 de grupo

Este tema contiene las siguientes secciones:

Claves de grupo

El servidor de grupo mantiene una base de datos para realizar un seguimiento de la relación entre los grupos VPN, los miembros del grupo y las claves de grupo. Hay dos tipos de claves de grupo que el servidor descarga a los miembros:

  • Clave de cifrado de clave (KEK): se utiliza para cifrar mensajes de reclave. Se admite una KEK por grupo.

  • Clave de cifrado de tráfico (TEK): se utiliza para cifrar y descifrar el tráfico de datos IPsec entre los miembros del grupo.

La clave asociada a una SA es aceptada por un miembro del grupo solo si hay una directiva de ámbito coincidente configurada en el miembro. Se instala una clave aceptada para la VPN de grupo, mientras que se descarta una clave rechazada.

Mensajes de reclave

Si el grupo está configurado para comunicaciones entre los miembros del servidor, el servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de cambio de clave (GDOI groupkey-push). Los mensajes de cambio de clave se envían antes de que caduquen las SA; Esto garantiza que haya claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.

El servidor también envía mensajes de cambio de clave para proporcionar nuevas claves a los miembros cuando hay un cambio en la pertenencia al grupo o la SA del grupo ha cambiado (por ejemplo, se agrega o elimina una directiva de grupo).

Las opciones de comunicación de los miembros del servidor deben configurarse en el servidor para permitir que el servidor envíe mensajes de cambio de clave a los miembros del grupo. Estas opciones especifican el tipo de mensaje y los intervalos en los que se envían los mensajes, como se explica en las secciones siguientes:

Hay dos tipos de mensajes de reclave:

  • Mensajes de reclave de unidifusión: el servidor del grupo envía una copia del mensaje de reclave a cada miembro del grupo. Al recibir el mensaje de cambio de clave, los miembros deben enviar un acuse de recibo (ACK) al servidor. Si el servidor no recibe una ACK de un miembro (incluida la retransmisión de mensajes de reclave), el servidor considera que el miembro está inactivo y lo elimina de la lista de miembros. El servidor deja de enviar mensajes de reclave al miembro.

    Las number-of-retransmission instrucciones y retransmission-period configuración para las comunicaciones entre los miembros del servidor controlan el reenvío de mensajes de reclave por parte del servidor cuando no se recibe ninguna ACK de un miembro.

  • Mensajes de reclave de multidifusión: el servidor de grupo envía una copia del mensaje de reclave desde la interfaz de salida especificada a la dirección de grupo de multidifusión configurada. Los miembros no envían acuse de recibo de mensajes de reclave de multidifusión. La lista de miembros registrados no representa necesariamente a los miembros activos porque los miembros pueden abandonar después del registro inicial. Todos los miembros del grupo deben estar configurados para admitir mensajes de multidifusión.

    Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. Para obtener información detallada acerca de la configuración de protocolos de multidifusión en dispositivos de Juniper Networks, consulte la Guía del usuario de protocolos de multidifusión .

El intervalo en el que el servidor envía mensajes de cambio de clave se calcula en función de los valores de las lifetime-seconds instrucciones de configuración y activation-time-delay en la jerarquía [edit security group-vpn server group]. El intervalo se calcula como lifetime-seconds minus 4*(activation-time-delay).

El lifetime-seconds para la KEK se configura como parte de las comunicaciones entre los miembros del servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds para el TEK está configurado para la propuesta IPsec; el valor predeterminado es 3600 segundos. El activation-time-delay está configurado para el grupo en el servidor; el valor predeterminado es 15 segundos. Con los valores predeterminados de lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de reclave es 3600 minus 4*15, o 3540 segundos.

Registro de miembros

Si un miembro del grupo no recibe una nueva clave SA del servidor antes de que caduque la clave actual, el miembro debe volver a registrarse en el servidor y obtener claves actualizadas con un intercambio GDOI groupkey-pull . En este caso, el intervalo en el que el servidor envía mensajes de reclave se calcula de la siguiente manera: lifetime-seconds menos 3*(activation-time-delay). Usando los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de reclave es 3600 menos 3*15 o 3555 segundos.

La reinscripción de miembros puede ocurrir por las siguientes razones:

  • El miembro detecta un reinicio del servidor por la ausencia de latidos recibidos del servidor.

  • El mensaje de cambio de clave del servidor de grupo se pierde o se retrasa, y la duración de TEK ha caducado.

Activación de claves

Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la clave para el cifrado. Este período de tiempo viene determinado por la activation-time-delay instrucción de configuración y por si la clave se recibe a través de un mensaje de reclave enviado desde el servidor o como resultado de que el miembro se vuelva a registrar en el servidor.

Si la clave se recibe a través de un mensaje de reclave enviado desde el servidor, el miembro espera 2*(activation-time-delay) segundos antes de usar la clave. Si la clave se recibe mediante el nuevo registro de miembros, el miembro espera el número de segundos especificado por el activation-time-delay valor.

Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo instalada en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el activation-time-delay valor después de activar la nueva clave.

El valor predeterminado de la instrucción de activation-time-delay configuración es de 15 segundos. Establecer este período de tiempo demasiado pequeño puede dar como resultado que un paquete se caiga en un miembro remoto del grupo antes de que se instale la nueva clave. Tenga en cuenta la topología de red y los retrasos en el transporte del sistema al cambiar el activation-time-delay valor. Para las transmisiones de unidifusión, el retraso de transporte del sistema es proporcional al número de miembros del grupo.

Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEK) a un miembro de VPNv1 de grupo en respuesta a una groupkey-pull solicitud. A continuación se describe cómo el miembro VPNv1 del grupo administra los TEK existentes y los TEK que recibe del servidor:

  • Si el miembro VPNv1 del grupo recibe dos o más TEK, contiene los dos TEK más recientes y elimina el TEK existente. De los dos TEK retenidos, el TEK anterior se activa inmediatamente y el TEK más nuevo se activa después de que haya transcurrido la activation-time-delay configuración en el servidor VPNv1 del grupo (el valor predeterminado es 15 segundos).

  • Si el miembro VPNv1 del grupo recibe solo un TEK, o si recibe un TEK a través de un groupkey-push mensaje del servidor, el TEK existente no se elimina hasta que expire la duración dura. La vida útil no se acorta para el TEK existente.

El miembro VPNv1 del grupo sigue instalando un TEK recibido incluso si la duración de TEK es inferior a dos veces el activation-time-delay valor.

Descripción de los mensajes de latido del grupo VPNv1

Cuando se configura la comunicación entre el servidor y los miembros, el servidor VPNv1 del grupo envía mensajes de latido a los miembros a intervalos especificados (el intervalo predeterminado es de 300 segundos). El mecanismo de latidos permite a los miembros volver a registrarse en el servidor si no se recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latidos durante el reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelven a registrar en el servidor.

Los latidos del corazón se transmiten a través de groupkey-push mensajes. El número de secuencia se incrementa en cada mensaje de latido, lo que protege a los miembros de ataques de respuesta. A diferencia de los mensajes de reclave, los mensajes de latido no son reconocidos por los destinatarios y no son retransmitidos por el servidor.

Los mensajes de latidos contienen la siguiente información:

  • Estado actual y configuración de las claves en el servidor

  • Tiempo relativo, si la antirreproducción está habilitada

Al comparar la información en los latidos, un miembro puede detectar si ha omitido información del servidor o mensajes de reclave. El miembro se vuelve a registrar para sincronizarse con el servidor.

Los mensajes de latidos pueden aumentar la congestión de la red y provocar reinicios innecesarios de los miembros. Por lo tanto, la detección de latidos del corazón se puede desactivar en el miembro si es necesario.

Descripción del modo de colocación de servidores VPNv1 de grupo

Las funciones de servidor de grupo y miembro del grupo son independientes y no se superponen. Las funciones de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se conoce como modo de colocación. En el modo de colocación, no hay cambios en términos de funcionalidad y comportamiento del servidor o de un miembro, pero el servidor y el miembro deben tener asignadas direcciones IP diferentes para que los paquetes puedan entregarse correctamente. En el modo de colocación, solo puede haber una dirección IP asignada al servidor y una dirección IP asignada al miembro en todos los grupos.

Información general sobre la configuración de VPNv1 de grupo

En este tema se describen las tareas principales para configurar el grupo VPNv1.

En el servidor de grupo, configure lo siguiente:

  1. Negociación IKE fase 1. Utilice la jerarquía [edit security group-vpn server ike] para configurar la SA fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de IKE para el grupo VPNv2 .
  2. SA IPsec de fase 2. Consulte Descripción de la configuración de SA IPsec para el grupo VPNv1.
  3. Grupo VPN. Consulte Información general sobre la configuración de VPN de grupo.

En el miembro del grupo, configure lo siguiente:

  1. Negociación IKE fase 1. Utilice la jerarquía [edit security group-vpn member ike] para configurar SA fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de IKE para el grupo VPNv1 .

  2. SA IPsec de fase 2. Consulte Descripción de la configuración de SA IPsec para el grupo VPNv1.

  3. Directiva de ámbito que determina qué directivas de grupo se instalan en el miembro. Consulte Descripción de las directivas dinámicas para el grupo VPNv1.

Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño de unidad máxima de transmisión (MTU) no mayor de 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.

El grupo VPN se configura en el servidor con la group instrucción configuration en la jerarquía [edit security group-vpn server].

La información del grupo consta de la siguiente información:

  • Identificador de grupo: un valor entre 1 y 65.535 que identifica al grupo VPN. Se debe configurar el mismo identificador de grupo en el miembro del grupo para Autokey IKE.

  • Miembros del grupo, configurados con la instrucción de ike-gateway configuración. Puede haber varias instancias de esta instrucción de configuración, una para cada miembro del grupo.

  • Dirección IP del servidor (se recomienda la dirección de interfaz de circuito cerrado).

  • Políticas de grupo: directivas que se van a descargar a los miembros. Las directivas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Descripción de las directivas dinámicas para el grupo VPNv1.

  • Comunicación entre el servidor y el miembro: configuración opcional que permite al servidor enviar mensajes de reclave a los miembros. Consulte Información general sobre VPN de grupo.

  • Antirreproducción: configuración opcional que detecta la interceptación y reproducción de paquetes. Consulte Descripción de Antirreproducción para el grupo VPNv1.

Descripción de la configuración de fase 1 de IKE para el grupo VPNv1

Una SA de fase 1 de IKE entre el servidor del grupo y un miembro del grupo establece un canal seguro en el que negociar SA IPsec compartidas por un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks, la configuración de SA de fase 1 consiste en especificar una propuesta, una política y una puerta de enlace de IKE. Para el grupo VPNv1, la configuración de SA de fase 1 de IKE es similar a la configuración de VPN IPsec estándar, pero se realiza en la jerarquía [edit security group-vpn].

En la configuración de la propuesta de IKE, se establece el método de autenticación y los algoritmos de autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la configuración de la política de IKE, defina el modo (principal o agresivo) en el que se negociará el canal de fase 1, especifique el tipo de intercambio de claves que se utilizará y haga referencia a la propuesta de fase 1. En la configuración de la puerta de enlace de IKE, se hace referencia a la política de fase 1.

Dado que VPN de grupo v2 solo admite algoritmos seguros, la opción de algoritmo de autenticación se admite para los miembros del sha-256 grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650. Cuando los miembros de VPN de grupo interoperan con servidores VPN de grupo, esta opción debe configurarse en los miembros de VPNv1 de grupo con el edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 comando. En el servidor VPN de grupo, authentication-algorithm sha-256 debe configurarse para propuestas de IKE y authentication-algorithm hmac-sha-256-128 debe configurarse para propuestas IPsec.

Si una puerta de enlace IKE en un miembro VPN v1 de grupo está configurada con más de una dirección de puerta de enlace, aparece el mensaje de error "Solo se permite configurar una dirección remota por configuración de puerta de enlace IKE" cuando se confirma la configuración.

La configuración de fase 1 de IKE en el servidor de grupo debe coincidir con la configuración de fase 1 de IKE en los miembros del grupo.

Descripción de la configuración de SA de IPsec para el grupo VPNv1

Después de que el servidor y el miembro hayan establecido un canal seguro y autenticado en la negociación de la Fase 1, avanzan a través de la Fase 2. La negociación de fase 2 establece las SA de IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración de SA de IPsec para VPN de grupo es similar a la configuración de VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.

La configuración IPsec de la fase 2 para el grupo VPNv1 consta de la siguiente información:

  • Una propuesta para el protocolo de seguridad, la autenticación y el algoritmo de cifrado que se utilizarán para la SA. La propuesta de SA IPsec se configura en el servidor de grupo con la proposal instrucción configuration en la jerarquía [edit security group-vpn server ipsec].

  • Una directiva de grupo que hace referencia a la propuesta. Una directiva de grupo especifica el tráfico (protocolo, dirección de origen, puerto de origen, dirección de destino y puerto de destino) al que se aplican la SA y las claves. La directiva de grupo se configura en el servidor con la ipsec-sa instrucción configuration en la jerarquía [edit security group-vpn server group ].

  • Un IKE de clave automática que hace referencia al identificador de grupo, al servidor de grupo (configurado con la instrucción de ike-gateway configuración) y a la interfaz utilizada por el miembro para conectarse al grupo. El IKE de clave automática se configura en el miembro con la ipsec vpn instrucción configuration en la jerarquía [edit security group-vpn member].

Descripción de las directivas dinámicas para VPN de grupo v1

El servidor de grupo distribuye las SA y las claves del grupo a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto de SA IPsec. Pero no todas las SA configuradas para un grupo se instalan en todos los miembros del grupo. La SA instalada en un miembro específico viene determinada por la directiva asociada a la SA del grupo y las directivas de seguridad configuradas en el miembro.

En un grupo VPN, cada SA de grupo y clave que el servidor inserta a un miembro está asociada a una directiva de grupo. La directiva de grupo describe el tráfico en el que se debe usar la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.

Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino, puerto de origen, puerto de destino y valores de protocolo) no pueden existir para un solo grupo. Se devuelve un error si intenta confirmar una configuración que contiene directivas de grupo idénticas para un grupo. Si este es el caso, debe eliminar una de las directivas de grupo idénticas.

En un miembro del grupo, se debe configurar una directiva de ámbito que defina el ámbito de la directiva de grupo descargada del servidor. Una directiva de grupo distribuida desde el servidor se compara con las directivas de ámbito configuradas en el miembro. Para que se instale una directiva de grupo en el miembro, se deben cumplir las siguientes condiciones:

  • Todas las direcciones especificadas en la directiva de grupo deben estar dentro del intervalo de direcciones especificado en la directiva de ámbito.

  • El puerto de origen, el puerto de destino y el protocolo especificados en la directiva de grupo deben coincidir con los configurados en la directiva de ámbito.

Una directiva de grupo que se instala en un miembro se denomina directiva dinámica.

Una política de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un contexto específico de zona y de zona. Junos OS realiza una búsqueda de políticas de seguridad en los paquetes entrantes a partir de la parte superior de la lista ordenada.

En función de la posición de la directiva de ámbito dentro de la lista ordenada de directivas de seguridad, existen varias posibilidades de búsqueda dinámica de directivas:

  • Si el paquete entrante coincide con una política de seguridad antes de considerar la directiva de ámbito, no se produce una búsqueda dinámica de directivas.

  • Si una política entrante coincide con una política de ámbito, continúa el proceso de búsqueda de una política dinámica coincidente. Si hay una política dinámica coincidente, se realiza esa acción de política (permiso). Si no hay ninguna directiva dinámica coincidente, el proceso de búsqueda continúa buscando las políticas debajo de la directiva de ámbito.

    En esta versión, solo se permite la acción para una política de tunnel ámbito. No se admiten otras acciones.

Una directiva de ámbito se configura en un miembro del grupo mediante la policies instrucción de configuración en la jerarquía [edit security]. Utilice la instrucción de ipsec-group-vpn configuración de la regla de túnel de permiso para hacer referencia a la VPN de grupo; esto permite a los miembros del grupo compartir una sola SA.

Descripción de Antirreproducción para el grupo VPNv1

Antirreproducción es una característica IPsec que puede detectar cuándo un paquete es interceptado y luego reproducido por los atacantes. La antirreproducción está habilitada de forma predeterminada para las VPN de grupo, pero se puede deshabilitar para un grupo con la no-anti-replay instrucción de configuración.

Cuando la antirreproducción está habilitada, el servidor de grupo sincroniza la hora entre los miembros del grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de tiempo del paquete se encuentra dentro del valor configurado anti-replay-time-window (el valor predeterminado es 100 segundos). Un paquete se descarta si la marca de tiempo supera el valor.

Ejemplo: Configuración del servidor VPNv1 de grupo y miembros

En este ejemplo se muestra cómo configurar el grupo VPNv1 para extender la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de empezar:

Descripción general

En Figura 2, una VPN de grupo consta de dos dispositivos miembros (miembro1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado en el servidor es 20.0.0.1). El identificador de grupo es 1.

Figura 2: Ejemplo de configuración de miembros del servidorEjemplo de configuración de miembros del servidor

Las SA VPN de grupo de fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de negociaciones de fase 1 de IKE tanto en el servidor de grupo como en los miembros del grupo. Además, se debe configurar el mismo identificador de grupo tanto en el servidor del grupo como en los miembros del grupo.

Las directivas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas para un grupo se descargan en los miembros del grupo. Las directivas de ámbito configuradas en un miembro del grupo determinan qué directivas de grupo están realmente instaladas en el miembro. En este ejemplo, se configuran las siguientes directivas de grupo en el servidor de grupo para descargarlas a todos los miembros del grupo:

  • p1: permite todo el tráfico desde 10.1.0.0/16 hasta 10.2.0.0./16

  • p2: permite todo el tráfico desde 10.2.0.0./16 hasta 10.1.0.0/16

  • p3: permite el tráfico de multidifusión desde 10.1.1.1/32

El dispositivo member1 está configurado con políticas de ámbito que permiten todo el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8. No hay ninguna política de ámbito configurada en el miembro1 para permitir el tráfico de multidifusión; por lo tanto, la directiva de SA p3 no está instalada en member1.

El dispositivo member2 está configurado con políticas de ámbito que eliminan el tráfico de 10.1.0.0/16 de la zona de confianza a la zona de no confianza y a 10.1.0.0/16 de la zona de no confianza a la zona de confianza. Por lo tanto, la política de SA p2 no está instalada en member2.

Configuración

Configuración del servidor de grupo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el servidor de grupo:

  1. Configure la dirección de circuito cerrado en el dispositivo.

  2. Configure la SA de fase 1 de IKE (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).

  3. Defina la política de IKE y establezca las puertas de enlace remotas.

  4. Configure el intercambio SA de fase 2.

  5. Configure el identificador de grupo y la puerta de enlace de IKE.

  6. Configure las comunicaciones de servidor a miembro.

  7. Configure las directivas de grupo que se descargarán a los miembros del grupo.

Resultados

Desde el modo de configuración, confírmela con el comando show security group-vpn server. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de miembro1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar member1:

  1. Configure SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).

  2. Defina la política de IKE y establezca las puertas de enlace remotas.

  3. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.

    Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no mayor de 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.

  4. Cree libretas de direcciones y adjunte zonas a ellas.

  5. Configure una política de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

  6. Configure una política de ámbito desde la zona de no confianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, escriba los comandos show security group-vpn member y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de miembro2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar member2:

  1. Configure SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).

  2. Defina la política de IKE y establezca la puerta de enlace remota.

  3. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member2.

    Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no mayor de 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.

  4. Cree una libreta de direcciones y adjúntela a la zona de confianza.

  5. Cree otra libreta de direcciones y adjúntela a la zona de no confianza.

  6. Configure una política de ámbito desde la zona de confianza a la zona de no confianza que bloquee el tráfico de 10.1.0.0/16.

  7. Configure una política de ámbito desde la zona de no confianza a la zona de confianza que bloquea el tráfico a 10.1.0.0/16.

Resultados

Desde el modo de configuración, escriba los comandos show security group-vpn member y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobación de políticas dinámicas para el miembro1

Propósito

Ver las políticas dinámicas instaladas en member1.

Acción

Después de que el servidor de grupo descargue las claves a member1, escriba el comando desde el show security dynamic-policies modo operativo.

Significado

La directiva de multidifusión p3 del servidor no está instalada en member1 porque no hay ninguna directiva de ámbito configurada en member1 que permita el tráfico de multidifusión.

Verificación de políticas dinámicas para miembros2

Propósito

Ver las políticas dinámicas instaladas en el miembro 2.

Acción

Después de que el servidor de grupo descargue las claves a member2, escriba el comando desde el show security dynamic-policies modo operativo.

Significado

La política p2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en member2, porque coincide con la política de seguridad de denegación 2 configurada en member2.

Ejemplo: Configuración de la comunicación entre el servidor VPN v1 de grupo para mensajes clave de redifusión

En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de reclave de unidifusión a los miembros del grupo para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de empezar:

  • Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE.

  • Configure el servidor de grupo y los miembros para SA IPsec de fase 2.

  • Configure el grupo g1 en el servidor del grupo.

Descripción general

En este ejemplo, se especifican los siguientes parámetros de comunicación servidor-miembro para el grupo g1:

  • El servidor envía mensajes de reclave de unidifusión a los miembros del grupo.

  • 3DES-CBC se utiliza para cifrar el tráfico entre el servidor y los miembros.

  • SHA1 se utiliza para la autenticación de miembros.

Los valores predeterminados se utilizan para los latidos del servidor, la duración de KEK y las retransmisiones.

Configuración

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la comunicación entre el miembro del servidor:

  1. Establezca el tipo de comunicación.

  2. Establezca el algoritmo de cifrado.

  3. Establezca la autenticación de miembro.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.

Ejemplo: Configuración de la comunicación entre el servidor VPN v1 de grupo para mensajes de reclave de multidifusión

En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de reclave de multidifusión a los miembros del grupo para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo, se especifica la siguiente comunicación de miembro del servidor para el grupo g1:

  • El servidor envía mensajes de reclave de multidifusión a los miembros del grupo por medio de la dirección de multidifusión 226.1.1.1 y la interfaz ge-0/0/1.0.

  • 3DES-CBC se utiliza para cifrar el tráfico entre el servidor y los miembros.

  • SHA1 se utiliza para la autenticación de miembros.

Los valores predeterminados se utilizan para los latidos del servidor, la duración de KEK y las retransmisiones.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la comunicación entre el servidor y los mensajes de reclave de multidifusión:

  1. Establezca el tipo de comunicación.

  2. Establezca el grupo de multidifusión.

  3. Establezca la interfaz para los mensajes de multidifusión salientes.

  4. Establezca el algoritmo de cifrado.

  5. Establezca la autenticación de miembro.

Resultados

Desde el modo de configuración, confírmela con el comando show security group-vpn server group g1 server-member-communication. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de la comunicación entre los miembros del servidor para mensajes de reclave de multidifusión

Propósito

Compruebe que los parámetros de comunicación entre los miembros del servidor para el mensaje de reclave de multidifusión estén configurados correctamente para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn server group g1 server-member-communication.

Ejemplo: Configuración del grupo VPNv1 con colocación de miembros del servidor

En este ejemplo se muestra cómo configurar un dispositivo para el modo de colocación, que permite que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de empezar:

Descripción general

Cuando se configura el modo de colocación, el servidor de grupo y las funciones miembro del grupo pueden coexistir en el mismo dispositivo. En el modo de colocación, el servidor y el miembro deben tener direcciones IP diferentes para que los paquetes se entreguen correctamente.

En Figura 3, una VPN de grupo (el identificador de grupo es 1) consta de dos miembros (miembro1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado es 20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor de grupo. En este ejemplo, a la interfaz que member1 utiliza para conectarse a la red MPLS (ge-0/1/0) se le asigna la dirección IP 10.1.0.1/32.

Figura 3: Ejemplo de colocación de miembros del servidorEjemplo de colocación de miembros del servidor

En las instrucciones de configuración de este tema se describe cómo configurar el dispositivo servidor de grupo1 para el modo de colocación. Para configurar member2, consulte Ejemplo: Configuración del servidor VPNv1 de grupo y de los miembros.

Para evitar problemas de fragmentación de paquetes, se recomienda configurar la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS para un tamaño de MTU no superior a 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar VPN de grupo con colocación de miembros del servidor:

  1. Configure la dirección de circuito cerrado en el dispositivo.

  2. Configure la interfaz que member1 utiliza para conectarse a la red MPLS.

  3. Configure la colocación de VPN de grupo en el dispositivo.

  4. Configure la SA de fase 1 de IKE para el servidor (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).

  5. Defina la política de IKE y establezca las puertas de enlace remotas.

  6. Configure el intercambio SA de fase 2 para el servidor.

  7. Configure el identificador de grupo, la puerta de enlace IKE, el tiempo de antireproducción y la dirección del servidor en el servidor.

  8. Configure las comunicaciones del servidor con los miembros.

  9. Configure las directivas de grupo que se descargarán a los miembros del grupo.

  10. Configure la SA de fase 1 para el miembro1 (esta configuración debe coincidir con la SA de fase 1 configurada para el servidor de grupo).

  11. Defina la política y establezca la puerta de enlace remota para member1.

  12. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.

  13. Cree libretas de direcciones y adjúntelas a zonas.

  14. Configure una política de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

  15. Configure una política de ámbito desde la zona de no confianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security group-vpn comando y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

En la lista de directivas de seguridad configuradas, asegúrese de que las directivas de ámbito aparecen antes que las directivas predeterminadas.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el registro de miembros de VPN de grupo

Propósito

Compruebe que los miembros del grupo VPN estén registrados correctamente.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn registered-members.

Verificación de asociaciones de seguridad de servidor VPN de grupo para IKE

Propósito

Compruebe las SA del servidor VPN de grupo para IKE.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn server ike security-associations.

Comprobación de asociaciones de seguridad de servidor VPN de grupo para IPsec

Propósito

Compruebe las SA del servidor VPN de grupo para IPsec.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn server ipsec security-associations.

Verificar asociaciones de seguridad de miembros de VPN de grupo para IKE

Propósito

Compruebe las SA de los miembros de VPN de grupo para IKE.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn member ike security-associations.

Comprobación de asociaciones de seguridad de miembros de VPN de grupo para IPsec

Propósito

Compruebe las SA de los miembros de VPN de grupo para IPsec.

Acción

Desde el modo operativo, ingrese el comando show security group-vpn member ipsec security-associations.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
12.3X48-D30
A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo v1 pueden interoperar con servidores VPN de grupo.
12.3X48-D30
A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores VPN de grupo.