EN ESTA PÁGINA
Información general sobre la configuración de VPNv1 de grupo
Descripción de la configuración de fase 1 de IKE para el grupo VPNv1
Descripción de la configuración de SA de IPsec para el grupo VPNv1
Descripción de las directivas dinámicas para VPN de grupo v1
Ejemplo: Configuración del servidor VPNv1 de grupo y miembros
Ejemplo: Configuración del grupo VPNv1 con colocación de miembros del servidor
VPNv1 de grupo
La VPN de grupo es un conjunto de funciones necesarias para proteger el tráfico de grupo de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina en un dispositivo o fluye a través de él.
Información general sobre VPN en grupo v1
Una asociación de seguridad (SA) IPsec es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se deben usar para los algoritmos de autenticación y cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las implementaciones actuales de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad. El grupo VPNv1 amplía la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad (consulte Figura 1).
El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con el grupo VPNv1, la conectividad de todos a todos se logra conservando las direcciones IP de origen y destino originales en el encabezado exterior. Los paquetes de multidifusión seguros se replican de la misma manera que los paquetes de multidifusión de texto sin cifrar en la red principal.
A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo v1 pueden interoperar con servidores VPN de grupo.
El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, El dominio de interpretación del grupo (GDOI). Para usar VPN de grupo sin limitaciones de propiedad, actualice a VPN de grupo v2. El grupo VPNv2 se admite en instancias de firewall virtual vSRX a partir de Junos OS versión 15.1X49-D30, firewalls serie SRX a partir de Junos OS versión 15.1X49-D40 y dispositivos serie MX a partir de Junos OS versión 15.1r2.
- Descripción del protocolo GDOI para el grupo VPNv1
- Descripción de las limitaciones de VPN de grupo v1
- Descripción de los servidores VPNv1 de grupo y los miembros
- Descripción de la comunicación entre servidores y miembros de VPN de grupo
- Descripción de las operaciones de clave de grupo VPNv1 de grupo
- Descripción de los mensajes de latido del grupo VPNv1
- Descripción del modo de colocación de servidores VPNv1 de grupo
Descripción del protocolo GDOI para el grupo VPNv1
El grupo VPNv1 se basa en RFC 3547, El dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre los miembros del grupo y un servidor de grupo para establecer SA entre los miembros del grupo. Los mensajes GDOI crean, mantienen o eliminan SA para un grupo de dispositivos. El protocolo GDOI se ejecuta en el puerto 848.
El Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec de IKE de clave automática. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP. La fase 2 establece SA para otros protocolos de seguridad, como GDOI.
Con la VPN de grupo, la negociación de SA ISAKMP de fase 1 se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. En la fase 2, los intercambios GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro del grupo no necesita negociar IPsec con otros miembros del grupo. Los intercambios GDOI en la fase 2 deben estar protegidos por SA de fase 1 ISAKMP.
Hay dos tipos de intercambios GDOI:
El
groupkey-pullintercambio permite a un miembro solicitar SA y claves compartidas por el grupo desde el servidor.El
groupkey-pushintercambio es un mensaje de reclave única que permite al servidor enviar SA de grupo y claves a los miembros antes de que caduquen las SA de grupo existentes. Los mensajes de cambio de clave son mensajes no solicitados enviados desde el servidor a los miembros.
Descripción de las limitaciones de VPN de grupo v1
En esta versión no se admite lo siguiente para el grupo VPNv1:
Instancias de enrutamiento no predeterminadas
Clúster de chasis
Clústeres de servidores
VPN de grupo basada en rutas
Despliegue público basado en Internet
SNMP
Política de denegación del servidor Cisco GET VPN
Interfaz J-Web para configuración y monitoreo
A partir de Junos OS versión 12.3X48-D30, los miembros de VPN de grupo en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores VPN de grupo. Al configurar miembros VPN de grupov1 para su uso con servidores VPN de grupo, tenga en cuenta las siguientes limitaciones:
El grupo VPNv2 admite el protocolo de detección de retraso de entrega IP del borrador de especificación IETF para un mecanismo antirreproducción basado en el tiempo. Por lo tanto, el antirreproducción basado en el protocolo de detección de retraso de entrega IP no se admite en los miembros de VPN de grupo v1 y debe deshabilitarse en el servidor VPN de grupo v2 con el
deactivate security group-vpn server group group-name anti-replay-time-windowcomando.El servidor VPNv2 de grupo no admite la colocación, donde el servidor de grupo y las funciones miembro del grupo existen en el mismo dispositivo.
El servidor VPN v2 de grupo no admite transmisiones de latidos. Heartbeat debe estar deshabilitado en el miembro VPN de grupo v1 con el
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdcomando. Se recomienda usar clústeres de servidores VPN de grupo v2 para evitar el impacto del tráfico debido a reinicios u otras interrupciones en el servidor VPN de grupo.Los mensajes de inserción de clave de grupo enviados desde el servidor VPNv2 de grupo se basan en RFC 6407, El dominio de interpretación de grupo (GDOI) y no se admiten en los miembros de VPN de grupo. Por lo tanto, los mensajes groupkey-push deben deshabilitarse en el servidor VPN de grupo v2 con el
deactivate security group-vpn server group group-name server-member-communicationcomando.Las reclaves se admiten con mensajes de extracción de groupkey. Si hay problemas de escalado en los que los miembros de VPN de grupo no pueden completar la operación de extracción de claves de grupo antes de que caduque la duración dura de TEK, se recomienda aumentar la duración de TEK para que los miembros tengan tiempo suficiente para completar la operación de extracción de claves de grupo. Los números de escala de Juniper están calificados con una vida útil TEK de 2 horas.
Si el servidor VPNv2 de grupo se reinicia o se actualiza, o si se borran las SA del grupo, no se pueden agregar nuevos miembros a la red hasta que se produzca la siguiente reclave para los miembros existentes. Los miembros nuevos no pueden enviar tráfico a los miembros existentes que tienen claves antiguas. Como solución alternativa, borre las SA de los miembros VPN de grupo existentes con el
clear security group-vpn member ipsec security-associationscomando.Dado que los miembros del grupo VPNv2 no admiten el tráfico de datos de multidifusión, no se puede usar el tráfico de datos de multidifusión cuando los miembros del grupo VPNv1 y del grupo VPNv2 coexisten en la red para el mismo grupo.
Descripción de los servidores VPNv1 de grupo y los miembros
El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las siguientes tareas:
Controla la pertenencia a grupos
Genera claves de cifrado
Administra las SA y las claves del grupo, y las distribuye a los miembros del grupo.
Los miembros del grupo cifran el tráfico en función de las SA de grupo y las claves proporcionadas por el servidor del grupo.
Un servidor de grupo puede dar servicio a varios grupos. Un único dispositivo de seguridad puede ser miembro de varios grupos.
Cada grupo está representado por un identificador de grupo, que es un número entre 1 y 65.535. El servidor de grupo y los miembros del grupo están vinculados entre sí por el identificador de grupo. Solo puede haber un identificador de grupo por grupo y varios grupos no pueden usar el mismo identificador de grupo.
La siguiente es una vista de alto nivel de las acciones del servidor VPN de grupo y de los miembros:
El servidor de grupo escucha en el puerto UDP 848 para que los miembros se registren. Un dispositivo miembro debe proporcionar la autenticación de fase 1 de IKE correcta para unirse al grupo. Se admite la autenticación de clave previamente compartida por miembro.
Tras una autenticación y registro satisfactorios, el dispositivo miembro recupera las SA y claves del grupo del servidor con un intercambio GDOI
groupkey-pull.El servidor agrega el miembro a la pertenencia del grupo.
Los miembros del grupo intercambian paquetes cifrados con claves SA de grupo.
El servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de cambio de clave se envían antes de que caduquen las SA; Esto garantiza que haya claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.
El servidor también envía mensajes de cambio de clave para proporcionar nuevas claves a los miembros cuando hay un cambio en la pertenencia al grupo o cuando la SA del grupo ha cambiado.
Descripción de la comunicación entre servidores y miembros de VPN de grupo
El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La comunicación servidor-miembro permite al servidor enviar mensajes GDOI groupkey-push a los miembros. Si la comunicación entre los miembros del servidor no está configurada para el grupo, los miembros pueden enviar mensajes GDOI groupkey-pull para registrarse y volver a registrarse en el servidor, pero el servidor no puede enviar mensajes de reclave a los miembros.
La comunicación entre los miembros del servidor se configura para el grupo mediante la server-member-communication instrucción de configuración en la jerarquía [edit security group-vpn server]. Se pueden definir las siguientes opciones:
Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc o des-cbc. No hay ningún algoritmo predeterminado.
Algoritmo de autenticación (md5 o sha1) utilizado para autenticar al miembro en el servidor. No hay ningún algoritmo predeterminado.
Si el servidor envía mensajes de reclave de unidifusión o multidifusión a los miembros del grupo y parámetros relacionados con el tipo de comunicación.
Intervalo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite al miembro determinar si el servidor se ha reiniciado, lo que requeriría que el miembro se vuelva a registrar en el servidor. El valor predeterminado es de 300 segundos.
Duración de la clave de cifrado de claves (KEK). El valor predeterminado es de 3600 segundos.
La configuración de la comunicación servidor-miembro es necesaria para que el servidor de grupo envíe mensajes de reclave a los miembros, pero puede haber situaciones en las que este comportamiento no sea deseado. Por ejemplo, si los miembros del grupo son pares dinámicos (como en una oficina en casa), los dispositivos no siempre están activos y la dirección IP de un dispositivo puede ser diferente cada vez que se enciende. La configuración de la comunicación entre los miembros del servidor para un grupo de pares dinámicos puede provocar transmisiones innecesarias por parte del servidor. Si desea que la negociación de SA de fase 1 de IKE siempre se realice para proteger la negociación de GGOI, no configure la comunicación entre los miembros del servidor.
Si la comunicación entre los miembros del servidor y un grupo no está configurada, la lista de pertenencia mostrada por el comando muestra los show security group-vpn server registered-members miembros del grupo que se han registrado en el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación entre los miembros del servidor y un grupo, se borra la lista de pertenencia al grupo. Si el tipo de comunicación está configurado como unidifusión, el show security group-vpn server registered-members comando sólo muestra los miembros activos. Si el tipo de comunicación está configurado como multidifusión, el comando muestra los show security group-vpn server registered-members miembros que se han registrado en el servidor después de la configuración; la lista de miembros no representa necesariamente a los miembros activos porque los miembros podrían abandonar después del registro.
Descripción de las operaciones de clave de grupo VPNv1 de grupo
Este tema contiene las siguientes secciones:
Claves de grupo
El servidor de grupo mantiene una base de datos para realizar un seguimiento de la relación entre los grupos VPN, los miembros del grupo y las claves de grupo. Hay dos tipos de claves de grupo que el servidor descarga a los miembros:
Clave de cifrado de clave (KEK): se utiliza para cifrar mensajes de reclave. Se admite una KEK por grupo.
Clave de cifrado de tráfico (TEK): se utiliza para cifrar y descifrar el tráfico de datos IPsec entre los miembros del grupo.
La clave asociada a una SA es aceptada por un miembro del grupo solo si hay una directiva de ámbito coincidente configurada en el miembro. Se instala una clave aceptada para la VPN de grupo, mientras que se descarta una clave rechazada.
Mensajes de reclave
Si el grupo está configurado para comunicaciones entre los miembros del servidor, el servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de cambio de clave (GDOI groupkey-push). Los mensajes de cambio de clave se envían antes de que caduquen las SA; Esto garantiza que haya claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.
El servidor también envía mensajes de cambio de clave para proporcionar nuevas claves a los miembros cuando hay un cambio en la pertenencia al grupo o la SA del grupo ha cambiado (por ejemplo, se agrega o elimina una directiva de grupo).
Las opciones de comunicación de los miembros del servidor deben configurarse en el servidor para permitir que el servidor envíe mensajes de cambio de clave a los miembros del grupo. Estas opciones especifican el tipo de mensaje y los intervalos en los que se envían los mensajes, como se explica en las secciones siguientes:
Hay dos tipos de mensajes de reclave:
Mensajes de reclave de unidifusión: el servidor del grupo envía una copia del mensaje de reclave a cada miembro del grupo. Al recibir el mensaje de cambio de clave, los miembros deben enviar un acuse de recibo (ACK) al servidor. Si el servidor no recibe una ACK de un miembro (incluida la retransmisión de mensajes de reclave), el servidor considera que el miembro está inactivo y lo elimina de la lista de miembros. El servidor deja de enviar mensajes de reclave al miembro.
Las
number-of-retransmissioninstrucciones yretransmission-periodconfiguración para las comunicaciones entre los miembros del servidor controlan el reenvío de mensajes de reclave por parte del servidor cuando no se recibe ninguna ACK de un miembro.Mensajes de reclave de multidifusión: el servidor de grupo envía una copia del mensaje de reclave desde la interfaz de salida especificada a la dirección de grupo de multidifusión configurada. Los miembros no envían acuse de recibo de mensajes de reclave de multidifusión. La lista de miembros registrados no representa necesariamente a los miembros activos porque los miembros pueden abandonar después del registro inicial. Todos los miembros del grupo deben estar configurados para admitir mensajes de multidifusión.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. Para obtener información detallada acerca de la configuración de protocolos de multidifusión en dispositivos de Juniper Networks, consulte la Guía del usuario de protocolos de multidifusión .
El intervalo en el que el servidor envía mensajes de cambio de clave se calcula en función de los valores de las lifetime-seconds instrucciones de configuración y activation-time-delay en la jerarquía [edit security group-vpn server group]. El intervalo se calcula como lifetime-seconds minus 4*(activation-time-delay).
El lifetime-seconds para la KEK se configura como parte de las comunicaciones entre los miembros del servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds para el TEK está configurado para la propuesta IPsec; el valor predeterminado es 3600 segundos. El activation-time-delay está configurado para el grupo en el servidor; el valor predeterminado es 15 segundos. Con los valores predeterminados de lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de reclave es 3600 minus 4*15, o 3540 segundos.
Registro de miembros
Si un miembro del grupo no recibe una nueva clave SA del servidor antes de que caduque la clave actual, el miembro debe volver a registrarse en el servidor y obtener claves actualizadas con un intercambio GDOI groupkey-pull . En este caso, el intervalo en el que el servidor envía mensajes de reclave se calcula de la siguiente manera: lifetime-seconds menos 3*(activation-time-delay). Usando los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de reclave es 3600 menos 3*15 o 3555 segundos.
La reinscripción de miembros puede ocurrir por las siguientes razones:
El miembro detecta un reinicio del servidor por la ausencia de latidos recibidos del servidor.
El mensaje de cambio de clave del servidor de grupo se pierde o se retrasa, y la duración de TEK ha caducado.
Activación de claves
Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la clave para el cifrado. Este período de tiempo viene determinado por la activation-time-delay instrucción de configuración y por si la clave se recibe a través de un mensaje de reclave enviado desde el servidor o como resultado de que el miembro se vuelva a registrar en el servidor.
Si la clave se recibe a través de un mensaje de reclave enviado desde el servidor, el miembro espera 2*(activation-time-delay) segundos antes de usar la clave. Si la clave se recibe mediante el nuevo registro de miembros, el miembro espera el número de segundos especificado por el activation-time-delay valor.
Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo instalada en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el activation-time-delay valor después de activar la nueva clave.
El valor predeterminado de la instrucción de activation-time-delay configuración es de 15 segundos. Establecer este período de tiempo demasiado pequeño puede dar como resultado que un paquete se caiga en un miembro remoto del grupo antes de que se instale la nueva clave. Tenga en cuenta la topología de red y los retrasos en el transporte del sistema al cambiar el activation-time-delay valor. Para las transmisiones de unidifusión, el retraso de transporte del sistema es proporcional al número de miembros del grupo.
Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEK) a un miembro de VPNv1 de grupo en respuesta a una groupkey-pull solicitud. A continuación se describe cómo el miembro VPNv1 del grupo administra los TEK existentes y los TEK que recibe del servidor:
Si el miembro VPNv1 del grupo recibe dos o más TEK, contiene los dos TEK más recientes y elimina el TEK existente. De los dos TEK retenidos, el TEK anterior se activa inmediatamente y el TEK más nuevo se activa después de que haya transcurrido la
activation-time-delayconfiguración en el servidor VPNv1 del grupo (el valor predeterminado es 15 segundos).Si el miembro VPNv1 del grupo recibe solo un TEK, o si recibe un TEK a través de un
groupkey-pushmensaje del servidor, el TEK existente no se elimina hasta que expire la duración dura. La vida útil no se acorta para el TEK existente.
El miembro VPNv1 del grupo sigue instalando un TEK recibido incluso si la duración de TEK es inferior a dos veces el activation-time-delay valor.
Descripción de los mensajes de latido del grupo VPNv1
Cuando se configura la comunicación entre el servidor y los miembros, el servidor VPNv1 del grupo envía mensajes de latido a los miembros a intervalos especificados (el intervalo predeterminado es de 300 segundos). El mecanismo de latidos permite a los miembros volver a registrarse en el servidor si no se recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latidos durante el reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelven a registrar en el servidor.
Los latidos del corazón se transmiten a través de groupkey-push mensajes. El número de secuencia se incrementa en cada mensaje de latido, lo que protege a los miembros de ataques de respuesta. A diferencia de los mensajes de reclave, los mensajes de latido no son reconocidos por los destinatarios y no son retransmitidos por el servidor.
Los mensajes de latidos contienen la siguiente información:
Estado actual y configuración de las claves en el servidor
Tiempo relativo, si la antirreproducción está habilitada
Al comparar la información en los latidos, un miembro puede detectar si ha omitido información del servidor o mensajes de reclave. El miembro se vuelve a registrar para sincronizarse con el servidor.
Los mensajes de latidos pueden aumentar la congestión de la red y provocar reinicios innecesarios de los miembros. Por lo tanto, la detección de latidos del corazón se puede desactivar en el miembro si es necesario.
Descripción del modo de colocación de servidores VPNv1 de grupo
Las funciones de servidor de grupo y miembro del grupo son independientes y no se superponen. Las funciones de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se conoce como modo de colocación. En el modo de colocación, no hay cambios en términos de funcionalidad y comportamiento del servidor o de un miembro, pero el servidor y el miembro deben tener asignadas direcciones IP diferentes para que los paquetes puedan entregarse correctamente. En el modo de colocación, solo puede haber una dirección IP asignada al servidor y una dirección IP asignada al miembro en todos los grupos.
Consulte también
Información general sobre la configuración de VPNv1 de grupo
En este tema se describen las tareas principales para configurar el grupo VPNv1.
En el servidor de grupo, configure lo siguiente:
- Negociación IKE fase 1. Utilice la jerarquía [
edit security group-vpn server ike] para configurar la SA fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de IKE para el grupo VPNv2 . - SA IPsec de fase 2. Consulte Descripción de la configuración de SA IPsec para el grupo VPNv1.
- Grupo VPN. Consulte Información general sobre la configuración de VPN de grupo.
En el miembro del grupo, configure lo siguiente:
Negociación IKE fase 1. Utilice la jerarquía [
edit security group-vpn member ike] para configurar SA fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de IKE para el grupo VPNv1 .SA IPsec de fase 2. Consulte Descripción de la configuración de SA IPsec para el grupo VPNv1.
Directiva de ámbito que determina qué directivas de grupo se instalan en el miembro. Consulte Descripción de las directivas dinámicas para el grupo VPNv1.
Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño de unidad máxima de transmisión (MTU) no mayor de 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.
El grupo VPN se configura en el servidor con la group instrucción configuration en la jerarquía [edit security group-vpn server].
La información del grupo consta de la siguiente información:
Identificador de grupo: un valor entre 1 y 65.535 que identifica al grupo VPN. Se debe configurar el mismo identificador de grupo en el miembro del grupo para Autokey IKE.
Miembros del grupo, configurados con la instrucción de
ike-gatewayconfiguración. Puede haber varias instancias de esta instrucción de configuración, una para cada miembro del grupo.Dirección IP del servidor (se recomienda la dirección de interfaz de circuito cerrado).
Políticas de grupo: directivas que se van a descargar a los miembros. Las directivas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Descripción de las directivas dinámicas para el grupo VPNv1.
Comunicación entre el servidor y el miembro: configuración opcional que permite al servidor enviar mensajes de reclave a los miembros. Consulte Información general sobre VPN de grupo.
Antirreproducción: configuración opcional que detecta la interceptación y reproducción de paquetes. Consulte Descripción de Antirreproducción para el grupo VPNv1.
Descripción de la configuración de fase 1 de IKE para el grupo VPNv1
Una SA de fase 1 de IKE entre el servidor del grupo y un miembro del grupo establece un canal seguro en el que negociar SA IPsec compartidas por un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks, la configuración de SA de fase 1 consiste en especificar una propuesta, una política y una puerta de enlace de IKE. Para el grupo VPNv1, la configuración de SA de fase 1 de IKE es similar a la configuración de VPN IPsec estándar, pero se realiza en la jerarquía [edit security group-vpn].
En la configuración de la propuesta de IKE, se establece el método de autenticación y los algoritmos de autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la configuración de la política de IKE, defina el modo (principal o agresivo) en el que se negociará el canal de fase 1, especifique el tipo de intercambio de claves que se utilizará y haga referencia a la propuesta de fase 1. En la configuración de la puerta de enlace de IKE, se hace referencia a la política de fase 1.
Dado que VPN de grupo v2 solo admite algoritmos seguros, la opción de algoritmo de autenticación se admite para los miembros del sha-256 grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650. Cuando los miembros de VPN de grupo interoperan con servidores VPN de grupo, esta opción debe configurarse en los miembros de VPNv1 de grupo con el edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 comando. En el servidor VPN de grupo, authentication-algorithm sha-256 debe configurarse para propuestas de IKE y authentication-algorithm hmac-sha-256-128 debe configurarse para propuestas IPsec.
Si una puerta de enlace IKE en un miembro VPN v1 de grupo está configurada con más de una dirección de puerta de enlace, aparece el mensaje de error "Solo se permite configurar una dirección remota por configuración de puerta de enlace IKE" cuando se confirma la configuración.
La configuración de fase 1 de IKE en el servidor de grupo debe coincidir con la configuración de fase 1 de IKE en los miembros del grupo.
Descripción de la configuración de SA de IPsec para el grupo VPNv1
Después de que el servidor y el miembro hayan establecido un canal seguro y autenticado en la negociación de la Fase 1, avanzan a través de la Fase 2. La negociación de fase 2 establece las SA de IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración de SA de IPsec para VPN de grupo es similar a la configuración de VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.
La configuración IPsec de la fase 2 para el grupo VPNv1 consta de la siguiente información:
Una propuesta para el protocolo de seguridad, la autenticación y el algoritmo de cifrado que se utilizarán para la SA. La propuesta de SA IPsec se configura en el servidor de grupo con la
proposalinstrucción configuration en la jerarquía [edit security group-vpn server ipsec].Una directiva de grupo que hace referencia a la propuesta. Una directiva de grupo especifica el tráfico (protocolo, dirección de origen, puerto de origen, dirección de destino y puerto de destino) al que se aplican la SA y las claves. La directiva de grupo se configura en el servidor con la
ipsec-sainstrucción configuration en la jerarquía [edit security group-vpn server group].Un IKE de clave automática que hace referencia al identificador de grupo, al servidor de grupo (configurado con la instrucción de
ike-gatewayconfiguración) y a la interfaz utilizada por el miembro para conectarse al grupo. El IKE de clave automática se configura en el miembro con laipsec vpninstrucción configuration en la jerarquía [edit security group-vpn member].
Descripción de las directivas dinámicas para VPN de grupo v1
El servidor de grupo distribuye las SA y las claves del grupo a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto de SA IPsec. Pero no todas las SA configuradas para un grupo se instalan en todos los miembros del grupo. La SA instalada en un miembro específico viene determinada por la directiva asociada a la SA del grupo y las directivas de seguridad configuradas en el miembro.
En un grupo VPN, cada SA de grupo y clave que el servidor inserta a un miembro está asociada a una directiva de grupo. La directiva de grupo describe el tráfico en el que se debe usar la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.
Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino, puerto de origen, puerto de destino y valores de protocolo) no pueden existir para un solo grupo. Se devuelve un error si intenta confirmar una configuración que contiene directivas de grupo idénticas para un grupo. Si este es el caso, debe eliminar una de las directivas de grupo idénticas.
En un miembro del grupo, se debe configurar una directiva de ámbito que defina el ámbito de la directiva de grupo descargada del servidor. Una directiva de grupo distribuida desde el servidor se compara con las directivas de ámbito configuradas en el miembro. Para que se instale una directiva de grupo en el miembro, se deben cumplir las siguientes condiciones:
Todas las direcciones especificadas en la directiva de grupo deben estar dentro del intervalo de direcciones especificado en la directiva de ámbito.
El puerto de origen, el puerto de destino y el protocolo especificados en la directiva de grupo deben coincidir con los configurados en la directiva de ámbito.
Una directiva de grupo que se instala en un miembro se denomina directiva dinámica.
Una política de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un contexto específico de zona y de zona. Junos OS realiza una búsqueda de políticas de seguridad en los paquetes entrantes a partir de la parte superior de la lista ordenada.
En función de la posición de la directiva de ámbito dentro de la lista ordenada de directivas de seguridad, existen varias posibilidades de búsqueda dinámica de directivas:
Si el paquete entrante coincide con una política de seguridad antes de considerar la directiva de ámbito, no se produce una búsqueda dinámica de directivas.
Si una política entrante coincide con una política de ámbito, continúa el proceso de búsqueda de una política dinámica coincidente. Si hay una política dinámica coincidente, se realiza esa acción de política (permiso). Si no hay ninguna directiva dinámica coincidente, el proceso de búsqueda continúa buscando las políticas debajo de la directiva de ámbito.
En esta versión, solo se permite la acción para una política de
tunnelámbito. No se admiten otras acciones.
Una directiva de ámbito se configura en un miembro del grupo mediante la policies instrucción de configuración en la jerarquía [edit security]. Utilice la instrucción de ipsec-group-vpn configuración de la regla de túnel de permiso para hacer referencia a la VPN de grupo; esto permite a los miembros del grupo compartir una sola SA.
Consulte también
Descripción de Antirreproducción para el grupo VPNv1
Antirreproducción es una característica IPsec que puede detectar cuándo un paquete es interceptado y luego reproducido por los atacantes. La antirreproducción está habilitada de forma predeterminada para las VPN de grupo, pero se puede deshabilitar para un grupo con la no-anti-replay instrucción de configuración.
Cuando la antirreproducción está habilitada, el servidor de grupo sincroniza la hora entre los miembros del grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de tiempo del paquete se encuentra dentro del valor configurado anti-replay-time-window (el valor predeterminado es 100 segundos). Un paquete se descarta si la marca de tiempo supera el valor.
Consulte también
Ejemplo: Configuración del servidor VPNv1 de grupo y miembros
En este ejemplo se muestra cómo configurar el grupo VPNv1 para extender la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure los dispositivos de seguridad de Juniper Networks para la comunicación de red.
Configure interfaces de red en dispositivos servidor y miembro. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En Figura 2, una VPN de grupo consta de dos dispositivos miembros (miembro1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado en el servidor es 20.0.0.1). El identificador de grupo es 1.
Las SA VPN de grupo de fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de negociaciones de fase 1 de IKE tanto en el servidor de grupo como en los miembros del grupo. Además, se debe configurar el mismo identificador de grupo tanto en el servidor del grupo como en los miembros del grupo.
Las directivas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas para un grupo se descargan en los miembros del grupo. Las directivas de ámbito configuradas en un miembro del grupo determinan qué directivas de grupo están realmente instaladas en el miembro. En este ejemplo, se configuran las siguientes directivas de grupo en el servidor de grupo para descargarlas a todos los miembros del grupo:
p1: permite todo el tráfico desde 10.1.0.0/16 hasta 10.2.0.0./16
p2: permite todo el tráfico desde 10.2.0.0./16 hasta 10.1.0.0/16
p3: permite el tráfico de multidifusión desde 10.1.1.1/32
El dispositivo member1 está configurado con políticas de ámbito que permiten todo el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8. No hay ninguna política de ámbito configurada en el miembro1 para permitir el tráfico de multidifusión; por lo tanto, la directiva de SA p3 no está instalada en member1.
El dispositivo member2 está configurado con políticas de ámbito que eliminan el tráfico de 10.1.0.0/16 de la zona de confianza a la zona de no confianza y a 10.1.0.0/16 de la zona de no confianza a la zona de confianza. Por lo tanto, la política de SA p2 no está instalada en member2.
Configuración
Configuración del servidor de grupo
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el servidor de grupo:
Configure la dirección de circuito cerrado en el dispositivo.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure la SA de fase 1 de IKE (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política de IKE y establezca las puertas de enlace remotas.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure el intercambio SA de fase 2.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure el identificador de grupo y la puerta de enlace de IKE.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
Configure las comunicaciones de servidor a miembro.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure las directivas de grupo que se descargarán a los miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Resultados
Desde el modo de configuración, confírmela con el comando show security group-vpn server. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de miembro1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar member1:
Configure SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
Defina la política de IKE y establezca las puertas de enlace remotas.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no mayor de 1400 bytes. Utilice la instrucción configuration
set interface mtupara establecer el tamaño de MTU.Cree libretas de direcciones y adjunte zonas a ellas.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure una política de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure una política de ámbito desde la zona de no confianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
Desde el modo de configuración, escriba los comandos show security group-vpn member y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de miembro2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar member2:
Configure SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
Defina la política de IKE y establezca la puerta de enlace remota.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member2.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no mayor de 1400 bytes. Utilice la instrucción configuration
set interface mtupara establecer el tamaño de MTU.Cree una libreta de direcciones y adjúntela a la zona de confianza.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
Cree otra libreta de direcciones y adjúntela a la zona de no confianza.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
Configure una política de ámbito desde la zona de confianza a la zona de no confianza que bloquee el tráfico de 10.1.0.0/16.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Configure una política de ámbito desde la zona de no confianza a la zona de confianza que bloquea el tráfico a 10.1.0.0/16.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Resultados
Desde el modo de configuración, escriba los comandos show security group-vpn member y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
- Comprobación de políticas dinámicas para el miembro1
- Verificación de políticas dinámicas para miembros2
Comprobación de políticas dinámicas para el miembro1
Propósito
Ver las políticas dinámicas instaladas en member1.
Acción
Después de que el servidor de grupo descargue las claves a member1, escriba el comando desde el show security dynamic-policies modo operativo.
user@member1> show security dynamic-policies
Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
La directiva de multidifusión p3 del servidor no está instalada en member1 porque no hay ninguna directiva de ámbito configurada en member1 que permita el tráfico de multidifusión.
Verificación de políticas dinámicas para miembros2
Propósito
Ver las políticas dinámicas instaladas en el miembro 2.
Acción
Después de que el servidor de grupo descargue las claves a member2, escriba el comando desde el show security dynamic-policies modo operativo.
user@member2> show security dynamic-policies
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.2.0.0/16/0
Destination addresses: 10.1.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
La política p2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en member2, porque coincide con la política de seguridad de denegación 2 configurada en member2.
Ejemplo: Configuración de la comunicación entre el servidor VPN v1 de grupo para mensajes clave de redifusión
En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de reclave de unidifusión a los miembros del grupo para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE.
Configure el servidor de grupo y los miembros para SA IPsec de fase 2.
Configure el grupo
g1en el servidor del grupo.
Descripción general
En este ejemplo, se especifican los siguientes parámetros de comunicación servidor-miembro para el grupo g1:
El servidor envía mensajes de reclave de unidifusión a los miembros del grupo.
3DES-CBC se utiliza para cifrar el tráfico entre el servidor y los miembros.
SHA1 se utiliza para la autenticación de miembros.
Los valores predeterminados se utilizan para los latidos del servidor, la duración de KEK y las retransmisiones.
Configuración
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la comunicación entre el miembro del servidor:
Establezca el tipo de comunicación.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Establezca el algoritmo de cifrado.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Establezca la autenticación de miembro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.
Ejemplo: Configuración de la comunicación entre el servidor VPN v1 de grupo para mensajes de reclave de multidifusión
En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de reclave de multidifusión a los miembros del grupo para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE y la SA IPsec de fase 2. Consulte Ejemplo: Configuración del servidor VPNv1 de grupo y miembros o ejemplo: Configuración del grupo VPNv1 con colocación de miembros del servidor.
Configure ge-0/0/1.0, que es la interfaz que utilizará el servidor para enviar mensajes de multidifusión. Consulte Biblioteca de protocolos de enrutamiento de Junos OS.
Configure la dirección de grupo de multidifusión 226.1.1.1. Consulte Biblioteca de protocolos de enrutamiento de Junos OS.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. En este ejemplo no se muestra la configuración de multidifusión.
Descripción general
En este ejemplo, se especifica la siguiente comunicación de miembro del servidor para el grupo g1:
El servidor envía mensajes de reclave de multidifusión a los miembros del grupo por medio de la dirección de multidifusión 226.1.1.1 y la interfaz ge-0/0/1.0.
3DES-CBC se utiliza para cifrar el tráfico entre el servidor y los miembros.
SHA1 se utiliza para la autenticación de miembros.
Los valores predeterminados se utilizan para los latidos del servidor, la duración de KEK y las retransmisiones.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la comunicación entre el servidor y los mensajes de reclave de multidifusión:
Establezca el tipo de comunicación.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
Establezca el grupo de multidifusión.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
Establezca la interfaz para los mensajes de multidifusión salientes.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
Establezca el algoritmo de cifrado.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Establezca la autenticación de miembro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Resultados
Desde el modo de configuración, confírmela con el comando show security group-vpn server group g1 server-member-communication. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de la comunicación entre los miembros del servidor para mensajes de reclave de multidifusión
Propósito
Compruebe que los parámetros de comunicación entre los miembros del servidor para el mensaje de reclave de multidifusión estén configurados correctamente para asegurarse de que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo.
Acción
Desde el modo operativo, ingrese el comando show security group-vpn server group g1 server-member-communication.
Ejemplo: Configuración del grupo VPNv1 con colocación de miembros del servidor
En este ejemplo se muestra cómo configurar un dispositivo para el modo de colocación, que permite que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 es compatible con dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure los dispositivos de seguridad de Juniper Networks para la comunicación de red.
Configure interfaces de red en dispositivos servidor y miembro. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
Cuando se configura el modo de colocación, el servidor de grupo y las funciones miembro del grupo pueden coexistir en el mismo dispositivo. En el modo de colocación, el servidor y el miembro deben tener direcciones IP diferentes para que los paquetes se entreguen correctamente.
En Figura 3, una VPN de grupo (el identificador de grupo es 1) consta de dos miembros (miembro1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado es 20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor de grupo. En este ejemplo, a la interfaz que member1 utiliza para conectarse a la red MPLS (ge-0/1/0) se le asigna la dirección IP 10.1.0.1/32.
En las instrucciones de configuración de este tema se describe cómo configurar el dispositivo servidor de grupo1 para el modo de colocación. Para configurar member2, consulte Ejemplo: Configuración del servidor VPNv1 de grupo y de los miembros.
Para evitar problemas de fragmentación de paquetes, se recomienda configurar la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS para un tamaño de MTU no superior a 1400 bytes. Utilice la instrucción configuration set interface mtu para establecer el tamaño de MTU.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar VPN de grupo con colocación de miembros del servidor:
Configure la dirección de circuito cerrado en el dispositivo.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure la interfaz que member1 utiliza para conectarse a la red MPLS.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
Configure la colocación de VPN de grupo en el dispositivo.
[edit security group-vpn] user@host# set co-location
Configure la SA de fase 1 de IKE para el servidor (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política de IKE y establezca las puertas de enlace remotas.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure el intercambio SA de fase 2 para el servidor.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure el identificador de grupo, la puerta de enlace IKE, el tiempo de antireproducción y la dirección del servidor en el servidor.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
Configure las comunicaciones del servidor con los miembros.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure las directivas de grupo que se descargarán a los miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Configure la SA de fase 1 para el miembro1 (esta configuración debe coincidir con la SA de fase 1 configurada para el servidor de grupo).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política y establezca la puerta de enlace remota para member1.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Cree libretas de direcciones y adjúntelas a zonas.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure una política de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure una política de ámbito desde la zona de no confianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security group-vpn comando y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
En la lista de directivas de seguridad configuradas, asegúrese de que las directivas de ámbito aparecen antes que las directivas predeterminadas.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar el registro de miembros de VPN de grupo
- Verificación de asociaciones de seguridad de servidor VPN de grupo para IKE
- Comprobación de asociaciones de seguridad de servidor VPN de grupo para IPsec
- Verificar asociaciones de seguridad de miembros de VPN de grupo para IKE
- Comprobación de asociaciones de seguridad de miembros de VPN de grupo para IPsec
Verificar el registro de miembros de VPN de grupo
Propósito
Compruebe que los miembros del grupo VPN estén registrados correctamente.
Acción
Desde el modo operativo, ingrese el comando show security group-vpn registered-members.
Verificación de asociaciones de seguridad de servidor VPN de grupo para IKE
Propósito
Compruebe las SA del servidor VPN de grupo para IKE.
Acción
Desde el modo operativo, ingrese el comando show security group-vpn server ike security-associations.
Comprobación de asociaciones de seguridad de servidor VPN de grupo para IPsec
Propósito
Compruebe las SA del servidor VPN de grupo para IPsec.
Acción
Desde el modo operativo, ingrese el comando show security group-vpn server ipsec security-associations.
Verificar asociaciones de seguridad de miembros de VPN de grupo para IKE
Propósito
Compruebe las SA de los miembros de VPN de grupo para IKE.
Acción
Desde el modo operativo, ingrese el comando show security group-vpn member ike security-associations.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.