close

keyboard_arrow_left

Table of Contents Expand all

play_arrow Fundamentos de IPsec
- Intercambio de claves por red
- Conceptos básicos de IPsec
play_arrow VPN IPsec en Junos OS
- Intercambio de claves por Internet (IKE) para VPN IPsec
- Descripción general del VPN IPsec
play_arrow Descripción general de la configuración de VPN
play_arrow VPN basada en políticas
play_arrow VPN basada en rutas
play_arrow VPN basada en clase de servicio
- VPN IPsec basadas en CoS
play_arrow NAT-T
- VPN basadas en rutas y en políticas con NAT-T
play_arrow VPN de grupo
play_arrow ADVPN
- VPN de detección automática
play_arrow AutoVPN
- AutoVPN en dispositivos radiales
play_arrow VPN de acceso remoto
- Juniper Secure Connect
play_arrow VPN de monitoreo
play_arrow Ajuste del rendimiento
- Afinidad de sesión VPN
- PowerMode IPsec
play_arrow Solución de problemas
play_arrow Instrucciones de configuración y comandos operativos
- Descripción general de referencia de la CLI de Junos

list Table of Contents

EN ESTA PÁGINA

Descripción general de la configuración de VPN IPsec con IKE de clave automática
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP dinámicas
Descripción de VPN IPsec con puntos de conexión dinámicos
Descripción de la configuración de identidad de IKE
Configuración de ID de IKE remoto para VPN de sitio a sitio
Descripción de la autenticación OSPF y OSPFv3 en firewalls de la serie SRX
Ejemplo: Configuración de la autenticación IPsec para una interfaz OSPF en un firewall de la serie SRX
Configuración de VPN IPsec mediante el Asistente para VPN
Ejemplo: Configuración de una VPN radial
Tabla de historial de cambios

keyboard_arrow_right

¿Fue útil esta traducción automática?

Go to English page

DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Descripción general de la configuración de VPN IPsec

date_range 18-Jan-25

arrow_backward

arrow_forward

Una conexión VPN puede enlazar dos LAN (VPN de sitio a sitio) o un usuario de marcado remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Se crea un túnel IPsec entre dos dispositivos participantes para proteger la comunicación VPN.

Descripción general de la configuración de VPN IPsec con IKE de clave automática

La negociación de VPN IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad (SA) IPsec. En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluirá a través del túnel.

En esta descripción general se describen los pasos básicos para configurar una VPN IPsec basada en rutas o en políticas mediante IKE (claves o certificados previamente compartidos).

Para configurar una VPN IPsec basada en rutas o políticas mediante IKE de clave automática:

Configure interfaces, zonas de seguridad e información de la libreta de direcciones.
(Para VPN basadas en rutas) Configure una interfaz st0.x de túnel seguro. Configure el enrutamiento en el dispositivo.
Configure la fase 1 del túnel VPN IPsec.
1. (Opcional) Configure una propuesta de fase 1 de IKE personalizada. Este paso es opcional, ya que puede utilizar un conjunto de propuestas de fase 1 de IKE predefinido (estándar, compatible o básico).
2. Configure una política de IKE que haga referencia a su propuesta de fase 1 de IKE personalizada o a un conjunto de propuestas de fase 1 de IKE predefinido. Especifique la clave IKE previamente compartida o la información del certificado. Especifique el modo (principal o agresivo) para los intercambios de fase 1.
3. Configure una puerta de enlace de IKE que haga referencia a la política de IKE. Especifique los ID de IKE para los dispositivos locales y remotos. Si no se conoce la dirección IP de la puerta de enlace remota, especifique cómo debe identificarse la puerta de enlace remota.
Configure la fase 2 del túnel VPN IPsec.
1. (Opcional) Configure una propuesta de fase 2 de IPsec personalizada. Este paso es opcional, ya que puede usar un conjunto de propuestas de fase 2 de IPsec predefinido (estándar, compatible o básico).
2. Configure una política IPsec que haga referencia a su propuesta personalizada de fase 2 de IPsec o a un conjunto de propuestas de fase 2 de IPsec predefinido. Especifique claves de confidencialidad directa (PFS) perfectas.
3. Configure un túnel VPN IPsec que haga referencia tanto a la puerta de enlace de IKE como a la política IPsec. Especifique los ID de proxy que se utilizarán en las negociaciones de fase 2.
  (Para VPN basadas en rutas) Vincule la interfaz de túnel seguro st0.x al túnel VPN IPsec.
Configure una política de seguridad para permitir el tráfico desde la zona de origen a la zona de destino.
(Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de política de seguridad con el nombre del túnel VPN IPsec que configuró.
Actualice la configuración global de VPN.

Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas

Tabla 1 enumera las opciones de configuración para una VPN genérica de sitio a sitio entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o en políticas.

Tabla 1: Configuración recomendada para VPN de sitio a sitio con direcciones IP estáticas
Opción de configuración	Comentario
Opciones de configuración de IKE:
Modo principal	Se utiliza cuando los pares tienen direcciones IP estáticas.
Certificados RSA o DSA	Los certificados RSA o DSA se pueden usar en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X.509) en el par.
Grupo Diffie-Hellman (DH) 14	El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5.
Cifrado estándar de cifrado avanzado (AES)	AES es criptográficamente más fuerte que el estándar de cifrado de datos (DES) y el triple DES (3DES) cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares federales de procesamiento de información (FIPS) y los estándares EAL4 de Common Criteria.
Autenticación del algoritmo de hash seguro 256 (SHA-256)	SHA-256 proporciona más seguridad criptográfica que SHA-1 o Message Digest 5 (MD5).
Opciones de configuración de IPsec:
Confidencialidad directa perfecta (PFS) DH grupo 14	El grupo DH 14 de PFS proporciona una mayor seguridad porque los pares realizan un segundo intercambio DH para producir la clave utilizada para el cifrado y descifrado IPsec.
Protocolo de carga de seguridad de encapsulación (ESP)	ESP proporciona confidencialidad a través del cifrado y la encapsulación del paquete IP original e integridad a través de la autenticación.
Cifrado AES	AES es criptográficamente más fuerte que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256	SHA-256 proporciona más seguridad criptográfica que SHA-1 o MD5.
Protección antirreproducción	Habilitado de forma predeterminada. Si deshabilita esta característica, es posible que se resuelvan los problemas de compatibilidad con elementos del mismo nivel de terceros.

Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP dinámicas

Tabla 2 enumera las opciones de configuración para una VPN genérica de sitio a sitio o de acceso telefónico, donde los dispositivos del mismo nivel tienen direcciones IP dinámicas.

Tabla 2: Configuración recomendada para VPN de sitio a sitio o de acceso telefónico con direcciones IP dinámicas
Opción de configuración	Comentario
Opciones de configuración de IKE:
Modo principal	Se utiliza con certificados.
Certificados de 2048 bits	Se pueden utilizar certificados RSA o DSA. Especifique el certificado que se utilizará en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X.509) en el par.
Grupo Diffie-Hellman (DH) 14	El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5.
Cifrado estándar de cifrado avanzado (AES)	AES es criptográficamente más fuerte que el estándar de cifrado de datos (DES) y el triple DES (3DES) cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares federales de procesamiento de información (FIPS) y los estándares EAL4 de Common Criteria.
Autenticación del algoritmo de hash seguro 256 (SHA-256)	SHA-256 proporciona más seguridad criptográfica que SHA-1 o Message Digest 5 (MD5).
Opciones de configuración de IPsec:
Confidencialidad directa perfecta (PFS) DH grupo 14	El grupo DH 14 de PFS proporciona una mayor seguridad porque los pares realizan un segundo intercambio DH para producir la clave utilizada para el cifrado y descifrado IPsec.
Protocolo de carga de seguridad de encapsulación (ESP)	ESP proporciona confidencialidad a través del cifrado y la encapsulación del paquete IP original e integridad a través de la autenticación.
Cifrado AES	AES es criptográficamente más fuerte que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256	SHA-256 proporciona más seguridad criptográfica que SHA-1 o MD5.
Protección antirreproducción	Habilitado de forma predeterminada. Deshabilitar esto podría resolver problemas de compatibilidad con pares de terceros.

Descripción de VPN IPsec con puntos de conexión dinámicos

Descripción general
Identidad IKE
Modo agresivo para la política IKEv1
Políticas de IKE e interfaces externas
TDR
ID de IKE compartidos y de grupo

Descripción general

Un par VPN IPsec puede tener una dirección IP desconocida para el par con el que está estableciendo la conexión VPN. Por ejemplo, un par puede tener una dirección IP asignada dinámicamente mediante el Protocolo de configuración dinámica de host (DHCP). Este podría ser el caso de un cliente de acceso remoto en una sucursal u oficina en casa o un dispositivo móvil que se mueve entre diferentes ubicaciones físicas. O bien, el par puede estar ubicado detrás de un dispositivo NAT que traduce la dirección IP de origen original del par a una dirección diferente. Un par VPN con una dirección IP desconocida se conoce como un punto de conexión dinámico y una VPN establecida con un punto de conexión dinámico se conoce como una VPN de punto de conexión dinámico.

En los firewalls de la serie SRX, IKEv1 o IKEv2 son compatibles con VPN de punto de conexión dinámico. Las VPN de punto final dinámico en firewalls serie SRX admiten tráfico IPv4 en túneles seguros. A partir de Junos OS versión 15.1X49-D80, las VPN de punto de conexión dinámico en firewalls serie SRX admiten tráfico IPv6 en túneles seguros.

El tráfico IPv6 no es compatible con las redes AutoVPN.

En las secciones siguientes se describen los elementos que se deben tener en cuenta al configurar una VPN con un punto de conexión dinámico.

Identidad IKE

En el punto de conexión dinámico, se debe configurar una identidad IKE para que el dispositivo se identifique ante su par. La identidad local del extremo dinámico se comprueba en el par. De forma predeterminada, el firewall de la serie SRX espera que la identidad de IKE sea una de las siguientes:

Cuando se usan certificados, se puede usar un nombre distintivo (DN) para identificar a los usuarios o a una organización.
Un nombre de host o nombre de dominio completo (FQDN) que identifica el extremo.
Un nombre de dominio completo de usuario (UFQDN), también conocido como nombre de usuario en host. Esta es una cadena que sigue el formato de dirección de correo electrónico.

Modo agresivo para la política IKEv1

Cuando se utiliza IKEv1 con VPN de punto de conexión dinámico, la política de IKE debe configurarse para el modo agresivo.

Políticas de IKE e interfaces externas

A partir de Junos OS versión 12.3X48-D40, Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, todas las puertas de enlace de punto de conexión dinámico configuradas en firewalls serie SRX que utilizan la misma interfaz externa pueden utilizar políticas de IKE diferentes, pero las políticas de IKE deben utilizar la misma propuesta de IKE. Esto se aplica a IKEv1 e IKEv2.

TDR

Si el punto de conexión dinámico está detrás de un dispositivo NAT, NAT-T debe configurarse en el firewall de la serie SRX. Es posible que se necesiten keepalives NAT para mantener la traducción NAT durante la conexión entre los pares VPN. De forma predeterminada, NAT-T está habilitado en los firewalls de la serie SRX y las conservaciones NAT se envían a intervalos de 20 segundos.

ID de IKE compartidos y de grupo

Puede configurar un túnel VPN individual para cada punto de conexión dinámico. Para las VPN de punto de conexión dinámico IPv4, puede usar el ID de IKE de grupo o las funciones de ID de IKE compartido para permitir que varios puntos de conexión dinámicos compartan una configuración de puerta de enlace de IKE.

El ID de IKE de grupo le permite definir una parte común de un ID de IKE completo para todos los puntos de conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario "Bob", concatenada con la parte común forma un ID de IKE completo (Bob.example.net) que identifica de forma exclusiva cada conexión de usuario.

El ID de IKE compartido permite que los puntos de conexión dinámicos compartan un único ID de IKE y una clave previamente compartida.

Descripción de la configuración de identidad de IKE

La identificación de IKE (ID de IKE) se utiliza para la validación de dispositivos VPN del mismo nivel durante la negociación de IKE. El ID de IKE recibido por el firewall de la serie SRX de un par remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un nombre de dominio completo (FQDN), un FQDN de usuario (UFQDN) o un nombre distintivo (DN). El ID de IKE enviado por el par remoto debe coincidir con lo esperado por el firewall de la serie SRX. De lo contrario, se producirá un error en la validación del ID de IKE y no se establecerá la VPN.

Tipos de ID de IKE
ID de IKE remoto y VPN de sitio a sitio
ID de IKE remoto y VPN de punto de conexión dinámico
ID de IKE local del firewall de la serie SRX

Tipos de ID de IKE

Los firewalls de la serie SRX admiten los siguientes tipos de identidades IKE para pares remotos:

Una dirección IPv4 o IPv6 se usa comúnmente con VPN de sitio a sitio, donde el par remoto tiene una dirección IP estática.
Un nombre de host es una cadena que identifica el sistema par remoto. Puede ser un FQDN que se resuelve en una dirección IP. También puede ser un FQDN parcial que se usa junto con un tipo de usuario IKE para identificar a un usuario remoto específico.

Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el posterior establecimiento del túnel se basan en la dirección IP resuelta actualmente. Si la dirección IP del par remoto cambia, la configuración ya no es válida.
Un UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico, como user@example.com.
Un DN es un nombre que se utiliza con los certificados digitales para identificar de forma exclusiva a un usuario. Por ejemplo, un DN puede ser "CN=user, DC=example, DC=com". Opcionalmente, puede usar la container palabra clave para especificar que el orden de los campos en un DN y sus valores coincidan exactamente con el DN configurado, o usar la wildcard palabra clave para especificar que los valores de los campos en un DN deben coincidir pero el orden de los campos no importa.

A partir de Junos OS versión 19.4R1, ahora solo puede configurar un atributo DN dinámico entre container-string la jerarquía y wildcard-string en [edit security ike gateway gateway_name dynamic distinguished-name] . Si intenta configurar el segundo atributo después de configurar el primero, el primero se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe eliminar uno de los atributos si ha configurado ambos.
Un tipo de usuario IKE se puede utilizar con AutoVPN y VPN de acceso remoto cuando hay varios pares remotos conectados a la misma puerta de enlace VPN en el firewall de la serie SRX. Configure ike-user-type group-ike-id para especificar un ID de IKE de grupo o ike-user-type shared-ike-id para especificar un ID de IKE compartido.

ID de IKE remoto y VPN de sitio a sitio

Para VPN de sitio a sitio, el ID de IKE del par remoto puede ser la dirección IP de la tarjeta de interfaz de red de salida, una dirección de circuito cerrado, un nombre de host o un ID de IKE configurado manualmente, según la configuración del dispositivo del mismo nivel.

De forma predeterminada, los firewalls de la serie SRX esperan que el ID de IKE del par remoto sea la dirección IP configurada con la set security ike gateway gateway-name address configuración. Si el ID de IKE del par remoto tiene un valor diferente, debe configurar la remote-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name].

Por ejemplo, una puerta de enlace IKE en los firewalls de la serie SRX se configura con el set security ike gateway remote-gateway address 203.0.113.1 comando. Sin embargo, el ID de IKE enviado por el par remoto es host.example.net. Existe una discrepancia entre lo que el firewall de la serie SRX espera para el ID de IKE del par remoto (203.0.113.1) y el ID de IKE real (host.example.net) enviado por el par. En este caso, se produce un error en la validación del ID de IKE. Utilice el set security ike gateway remote-gateway remote-identity hostname host.example.net para que coincida con el ID de IKE recibido del par remoto.

ID de IKE remoto y VPN de punto de conexión dinámico

Para VPN de punto de conexión dinámico, el ID de IKE esperado del par remoto se configura con las opciones en el nivel de jerarquía [edit security ike gateway gateway-name dynamic]. Para AutoVPN, hostname combinado con ike-user-type group-ike-id se puede usar donde hay varios pares que tienen un nombre de dominio común. Si se usan certificados para verificar el par, se puede configurar un DN.

ID de IKE local del firewall de la serie SRX

De forma predeterminada, el firewall de la serie SRX utiliza la dirección IP de su interfaz externa al par remoto como su ID de IKE. Este ID de IKE se puede anular configurando la local-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Si necesita configurar la local-identity instrucción en un firewall de la serie SRX, asegúrese de que el ID de IKE configurado coincida con el ID de IKE esperado por el par remoto.

Configuración de ID de IKE remoto para VPN de sitio a sitio

De forma predeterminada, los firewalls de la serie SRX validan el ID de IKE recibido del par con la dirección IP configurada para la puerta de enlace de IKE. En determinadas configuraciones de red, el ID de IKE recibido del par (que puede ser una dirección IPv4 o IPv6, un nombre de dominio completo [FQDN], un nombre distintivo o una dirección de correo electrónico) no coincide con la puerta de enlace de IKE configurada en el firewall de la serie SRX. Esto puede provocar un error de validación de fase 1.

Para modificar la configuración del firewall de la serie SRX o del dispositivo del mismo nivel para el ID de IKE que se utiliza:

En el firewall de la serie SRX, configure la remote-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name] para que coincida con el ID de IKE recibido del par. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distintivo o dirección de correo electrónico.

Si no configura remote-identity, el dispositivo utiliza la dirección IPv4 o IPv6 que corresponde al par remoto de forma predeterminada.
En el dispositivo del mismo nivel, asegúrese de que el ID de IKE sea el mismo que el remote-identity configurado en el firewall de la serie SRX. Si el dispositivo del mismo nivel es un firewall de la serie SRX, configure la local-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distintivo o dirección de correo electrónico.

Descripción de la autenticación OSPF y OSPFv3 en firewalls de la serie SRX

OSPFv3 no tiene un método de autenticación integrado y se basa en el conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec proporciona autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo del origen. Puede utilizar IPsec para proteger interfaces OSPFv3 y vínculos virtuales específicos, y para proporcionar cifrado para paquetes OSPF.

OSPFv3 utiliza las partes del encabezado de autenticación IP (AH) y la carga de seguridad de encapsulación (ESP) del protocolo IPsec para autenticar la información de enrutamiento entre pares. AH puede proporcionar integridad sin conexión y autenticación de origen de datos. También proporciona protección contra repeticiones. AH autentica la mayor cantidad posible del encabezado IP, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar durante el tránsito. Dado que el valor de estos campos puede no ser predecible para el remitente, no se pueden proteger mediante AH. ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.

IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se negocian entre dispositivos que establecen una relación IPsec. Esta conexión símplex proporciona servicios de seguridad a los paquetes transportados por la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos están protegidos por un par de SA. Una SA que se va a utilizar con OSPFv3 debe configurarse manualmente y utilizar el modo de transporte. Los valores estáticos deben configurarse en ambos extremos de la SA.

Para configurar IPsec para OSPF u OSPFv3, defina primero una SA manual con la security-association sa-name opción en el nivel de jerarquía [edit security ipsec]. Esta función solo admite SA de clave manual bidireccionales en modo de transporte. Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves del índice de parámetros de seguridad (SPI) que se utilizarán y requieren configuraciones coincidentes en ambos puntos de conexión (pares OSPF u OSPFv3). Como resultado, cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.

La elección real de los algoritmos de cifrado y autenticación se deja al administrador de IPsec; Sin embargo, tenemos las siguientes recomendaciones:

Use ESP con cifrado nulo para proporcionar autenticación a los encabezados de protocolo, pero no al encabezado IPv6, los encabezados de extensión y las opciones. Con el cifrado nulo, elige no proporcionar cifrado en los encabezados de protocolo. Esto puede ser útil para solucionar problemas y depurar. Para obtener más información acerca del cifrado nulo, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.
Utilice ESP con DES o 3DES para una confidencialidad total.
Use AH para proporcionar autenticación a los encabezados de protocolo, los campos inmutables en los encabezados IPv6 y los encabezados y opciones de extensión.

La SA configurada se aplica a las configuraciones de OSPF u OSPFv3 de la siguiente manera:

Para una interfaz OSPF u OSPFv3, incluya la ipsec-sa name instrucción en el nivel jerárquico [edit protocols ospf area area-id interface interface-name] o [edit protocols ospf3 area area-id interface interface-name]. Solo se puede especificar un nombre SA IPsec para una interfaz OSPF u OSPFv3; sin embargo, diferentes interfaces OSPF/OSPFv3 pueden especificar la misma SA IPsec.
Para un vínculo virtual OSPF u OSPFv3, incluya la ipsec-sa name instrucción en el nivel jerárquico [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] o [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]. Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto.

Se aplican las siguientes restricciones a la autenticación IPsec para OSPF u OSPFv3 en firewalls de la serie SRX:

Las configuraciones manuales de VPN configuradas en el nivel de jerarquía [edit security ipsec vpn vpn-name manual] no se pueden aplicar a interfaces OSPF u OSPFv3 ni a vínculos virtuales para proporcionar autenticación y confidencialidad IPsec.
No puede configurar IPsec para la autenticación OSPF u OSPFv3 si existe una VPN IPsec configurada en el dispositivo con las mismas direcciones local y remota.
IPsec para la autenticación OSPF u OSPFv3 no se admite en interfaces st0 de túnel seguro.
No se admite la reintroducción de claves manuales.
No se admiten las SA de intercambio dinámico de claves por Internet (IKE).
Solo se admite el modo de transporte IPsec. En el modo de transporte, solo la carga útil (los datos que transfiere) del paquete IP está cifrada, autenticada o ambas. No se admite el modo de túnel.
Dado que solo se admiten SA manuales bidireccionales, todos los pares OSPFv3 deben configurarse con la misma SA IPsec. Puede configurar una SA bidireccional manual en el nivel de jerarquía [edit security ipsec].
Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto.

Ejemplo: Configuración de la autenticación IPsec para una interfaz OSPF en un firewall de la serie SRX

En este ejemplo se muestra cómo configurar y aplicar una asociación de seguridad (SA) manual a una interfaz OSPF.

Requisitos
Descripción general
Configuración
Verificación

Requisitos

Antes de empezar:

Configure las interfaces del dispositivo.
Configure los identificadores de enrutador para los dispositivos de la red OSPF.
Controle la elección del enrutador designado por OSPF.
Configure una red OSPF de área única.
Configure una red OSPF multiárea.

Descripción general

Puede usar la autenticación IPsec tanto para OSPF como para OSPFv3. Puede configurar la SA manual por separado y aplicarla a la configuración de OSPF aplicable. Tabla 3 enumera los parámetros y valores configurados para la SA manual en este ejemplo.

Tabla 3: SA manual para la autenticación de interfaz OSPF IPsec
Parámetro	valor
Nombre SA	sa1
Modo	transporte
Dirección	bidireccional
Protocolo	AH
SPI	256
Algoritmo de autenticación Clave	HMAC-MD5-96 (ASCII) 123456789012abc
Algoritmo de cifrado Clave	DES (ASCII) cba210987654321

Configuración

Configuración de una SA manual
Habilitación de la autenticación IPsec para una interfaz OSPF

Configuración rápida de CLI

Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

content_copy zoom_out_map
[edit] 
set security ipsec security-association sa1
set security ipsec security-association sa1 mode transport
set security ipsec security-association sa1 manual direction bidirectional
set security ipsec security-association sa1 manual direction bidirectional protocol ah
set security ipsec security-association sa1 manual direction bidirectional spi 256
set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar una SA manual:

Especifique un nombre para la SA.

content_copy zoom_out_map
[edit]
user@host# edit security ipsec security-association sa1 

Especifique el modo de la SA manual.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set mode transport

Configure la dirección de la SA manual.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set manual direction bidirectional

Configure el protocolo IPsec que se va a utilizar.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set manual direction bidirectional protocol ah

Configure el valor del SPI.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set manual direction bidirectional spi 256

Configure el algoritmo y la clave de autenticación.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc

Configure el algoritmo y la clave de cifrado.

content_copy zoom_out_map
[edit security ipsec security-association sa1]
user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321

Resultados

Confirme la configuración introduciendo el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra el formulario cifrado de la contraseña que configuró.

content_copy zoom_out_map
[edit]
user@host# show security ipsec 
security-association sa1 {
    mode transport;
    manual {
        direction bidirectional {
            protocol ah;
            spi 256;
            authentication {
                algorithm hmac-md5-96;
                key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
            }
            encryption {
                algorithm des;
                key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
            }
        }
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Habilitación de la autenticación IPsec para una interfaz OSPF

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue el comando en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

content_copy zoom_out_map
[edit] 
set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1

Procedimiento paso a paso

Para habilitar la autenticación IPsec para una interfaz OSPF:

Cree un área OSPF.

Para especificar OSPFv3, incluya la ospf3 instrucción en el nivel jerárquico [edit protocols] .
```
[edit]
user@host# edit protocols ospf area 0.0.0.0 
```

Especifique la interfaz.

content_copy zoom_out_map
[edit protocols ospf area 0.0.0.0]
user@host# edit interface so-0/2/0

Aplique la SA manual de IPsec.

content_copy zoom_out_map
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0]
user@host# set ipsec-sa sa1

Resultados

Confirme la configuración introduciendo el show ospf interface detail comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Para confirmar la configuración de OSPFv3, escriba el show protocols ospf3 comando.

content_copy zoom_out_map
[edit]
user@host# show protocols ospf 
area 0.0.0.0 { 
    interface so-0/2/0.0 {
         ipsec-sa sa1;  
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de la configuración de asociación de seguridad IPsec
Comprobación de la asociación de seguridad IPsec en la interfaz OSPF

Comprobación de la configuración de asociación de seguridad IPsec

Propósito
Acción

Propósito

Compruebe las opciones de asociación de seguridad IPsec configuradas. Verifique la información siguiente:

El campo Asociación de seguridad muestra el nombre de la asociación de seguridad configurada.
El campo SPI muestra el valor que ha configurado.
El campo Modo muestra el modo de transporte.
El campo Tipo muestra manual como el tipo de asociación de seguridad.

Acción

Desde el modo operativo, ingrese el comando show ospf interface detail.

Comprobación de la asociación de seguridad IPsec en la interfaz OSPF

Propósito
Acción

Propósito

Compruebe que la asociación de seguridad IPsec que configuró se ha aplicado a la interfaz OSPF. Confirme que el campo Nombre de SA de IPsec muestra el nombre de la asociación de seguridad IPsec configurada.

Acción

Desde el modo operativo, escriba el show ospf interface detail comando para OSPF y escriba el show ospf3 interface detail comando para OSPFv3.

Configuración de VPN IPsec mediante el Asistente para VPN

El Asistente VPN le permite realizar una configuración básica de VPN IPsec, incluidas la fase 1 y la fase 2. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI. Esta función es compatible con dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Para configurar VPN IPsec mediante el Asistente VPN:

Seleccione Configure>Device Setup>VPN esta opción en la interfaz de J-Web.
Haga clic en el botón Iniciar asistente VPN.
Siga las indicaciones del asistente.

El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo bajo el encabezado Recursos, el documento se abre en el explorador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del explorador) cuando cierre el documento.

Ejemplo: Configuración de una VPN radial

En este ejemplo se muestra cómo configurar una VPN IPsec radial para una implementación de clase empresarial. Para VPN IPSec de sitio a sitio con IKEv1 e IKEv2, consulte VPN IPsec basada en rutas con IKEv1 y VPN IPsec basada en rutas con IKEv1 respectivamente.

Requisitos
Descripción general
Configuración
Verificación

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

Dispositivo SRX240
SRX5800 dispositivo
Dispositivo SSG140

Antes de comenzar, lea Información general sobre IPsec.

Descripción general

En este ejemplo se describe cómo configurar una VPN radial que normalmente se encuentra en las implementaciones de sucursal. El centro es la oficina corporativa, y hay dos radios: una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachusetts. Los usuarios de las sucursales usarán la VPN para transferir datos de forma segura con la oficina corporativa.

Figura 1 muestra un ejemplo de una topología VPN radial. En esta topología, un dispositivo SRX5800 se encuentra en la oficina corporativa. Un firewall de la serie SRX se encuentra en la sucursal de Westford y un dispositivo SSG140 se encuentra en la sucursal de Sunnyvale.

Figura 1: Topología VPN radial

En este ejemplo, se configura el concentrador de la oficina corporativa, el radio Westford y el radio Sunnyvale. En primer lugar, configure las interfaces, las rutas estáticas y predeterminadas IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure los parámetros IKE fase 1 e IPsec fase 2 y enlace la interfaz st0.0 a la VPN IPsec. En el concentrador, configure st0.0 para multipunto y agregue una entrada de tabla NHTB estática para el radio Sunnyvale. Por último, configure la directiva de seguridad y los parámetros TCP-MSS. Consulte del Tabla 4 al Tabla 8 para ver parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 4: Información de interfaz, zona de seguridad y libreta de direcciones
Hub o radial	Característica	Nombre	Parámetros de configuración
Concentrador	Interfaces	ge-0/0/0.0	192.168.10.1/24
		ge-0/0/3.0	10.1.1.2/30
		st0	10.11.11.10/24
Radio	Interfaces	ge-0/0/0.0	10.3.3.2/30
		ge-0/0/3.0	192.168.178.1/24
		st0	10.11.11.12/24
Concentrador	Zonas de seguridad	confiar	Se permiten todos los servicios del sistema. La interfaz ge-0/0/0.0 está vinculada a esta zona.
		no confiar	ICR es el único servicio de sistema permitido. La interfaz ge-0/0/3.0 está vinculada a esta zona.
		vpn	La interfaz st0.0 está vinculada a esta zona.
Radio	Zonas de seguridad	confiar	Se permiten todos los servicios del sistema. La interfaz ge-0/0/3.0 está vinculada a esta zona.
		no confiar	ICR es el único servicio de sistema permitido. La interfaz ge-0/0/0.0 está vinculada a esta zona.
		vpn	La interfaz st0.0 está vinculada a esta zona.
Concentrador	Entradas de la libreta de direcciones	red-local	Esta dirección es para la libreta de direcciones de la zona de confianza. La dirección de esta entrada en la libreta de direcciones es 192.168.10.0/24.
		sunnyvale-net	Esta libreta de direcciones es para la libreta de direcciones de la zona VPN. La dirección para esta entrada de la libreta de direcciones es 192.168.168.0/24.
		Westford-NET	Esta dirección es para la libreta de direcciones de la zona VPN. La dirección de esta entrada en la libreta de direcciones es 192.168.178.0/24.
Radio	Entradas de la libreta de direcciones	red-local	Esta dirección es para la libreta de direcciones de la zona de confianza. La dirección de esta entrada en la libreta de direcciones es 192.168.168.178.0/24.
		red corporativa	Esta dirección es para la libreta de direcciones de la zona VPN. La dirección de esta entrada en la libreta de direcciones es 192.168.10.0/24.
		sunnyvale-net	Esta dirección es para la libreta de direcciones de la zona VPN. La dirección para esta entrada de la libreta de direcciones es 192.168.168.0/24.

Tabla 5: Parámetros de configuración de fase 1 de IKE
Hub o radial	Característica	Nombre	Parámetros de configuración
Concentrador	Propuesta	ike-fase1-propuesta	Método de autenticación: claves precompartidas Grupo Diffie-Hellman: group2 Algorítmo de autenticación: sha1 Algorítmo de cifrado: AES-128-CBC
	Política	ike-phase1-policy	Modo: principal Referencia de propuesta: ike-fase1-propuesta Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida
	Puerta de enlace	GW-Westford	Referencia de política ICR: ike-phase1-policy Interfaz externa: ge-0/0/3.0 Dirección de puerta de enlace: 10.3.3.2
		gw-sunnyvale	Referencia de política ICR: ike-phase1-policy Interfaz externa: ge-0/0/3.0 Dirección de puerta de enlace: 10.2.2.2
Radio	Propuesta	ike-fase1-propuesta	Método de autenticación: claves precompartidas Grupo Diffie-Hellman: group2 Algorítmo de autenticación: sha1 Algorítmo de cifrado: AES-128-CBC
	Política	ike-phase1-policy	Modo: principal Referencia de propuesta: ike-fase1-propuesta Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida
	Puerta de enlace	GW-Corporativo	Referencia de política ICR: ike-phase1-policy Interfaz externa: ge-0/0/0.0 Dirección de puerta de enlace: 10.1.1.2

Tabla 6: Parámetros de configuración de fase 2 de IPsec
Hub o radial	Característica	Nombre	Parámetros de configuración
Concentrador	Propuesta	ipsec-fase2-propuesta	Protocolo: esp Algorítmo de autenticación: HMAC-SHA1-96 Algorítmo de cifrado: AES-128-CBC
	Política	ipsec-phase2-policy	Referencia de propuesta: ipsec-fase2-propuesta PFS: Diffie-Hellman group2
	VPN	VPN-Sunnyvale	Referencia de puerta de enlace ICR: gw-sunnyvale Referencia de política IPsec: ipsec-phase2-policy Enlazar a interfaz: st0.0
		VPN-Westford	Referencia de puerta de enlace ICR: GW-Westford Referencia de política IPsec: ipsec-phase2-policy Enlazar a interfaz: st0.0
Radio	Propuesta	ipsec-fase2-propuesta	Protocolo: esp Algorítmo de autenticación: HMAC-SHA1-96 Algorítmo de cifrado: AES-128-CBC
	Política	ipsec-phase2-policy	Referencia de propuesta: ipsec-fase2-propuesta PFS: Diffie-Hellman group2
	VPN	vpn-corporativo	Referencia de puerta de enlace ICR: GW-Corporativo Referencia de política IPsec: ipsec-phase2-policy Enlazar a interfaz: st0.0

Tabla 7: Parámetros de configuración de política de seguridad
Hub o radial	Propósito	Nombre	Parámetros de configuración
Concentrador	La política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.	local a radios	Criterios de coincidencia: fuente-dirección-local-net dirección-destino sunnyvale-net dirección-destino westford-net application any
	La política de seguridad permite el tráfico desde la zona VPN a la zona de confianza.	De los portavoces a los locales	Criterios de coincidencia: dirección de origen sunnyvale-net dirección de origen westford-net dirección-destino red-local application any
	La política de seguridad permite el tráfico dentro de la zona.	de habla a radio	Criterios de coincidencia: dirección de origen cualquiera dirección-destino cualquiera application any
Radio	La política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.	a-corp	Criterios de coincidencia: fuente-dirección-local-net dirección de destino corp-net dirección-destino sunnyvale-net application any
	La política de seguridad permite el tráfico desde la zona VPN a la zona de confianza.	de-corp	Criterios de coincidencia: fuente-dirección corp-net dirección de origen sunnyvale-net dirección-destino red-local application any
	La política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza.	permiso-cualquiera	Criterios de coincidencia: dirección de origen cualquiera origen-destino cualquiera application any Acción de permiso: Interfaz source-nat Al especificar `source-nat interface`, el firewall de la serie SRX traduce la dirección IP de origen y el puerto para el tráfico saliente, utilizando la dirección IP de la interfaz de salida como dirección IP de origen y un puerto aleatorio de número alto para el puerto de origen.

Tabla 8: Parámetros de configuración TCP-MSS
Propósito	Parámetros de configuración
TCC-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y la trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo cual genera fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y de los recursos del dispositivo. El valor de 1350 es un punto de partida recomendado para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.	Valor MSS: 1350

Configuración

Configuración de información básica de red, zona de seguridad y libreta de direcciones para el concentrador
Configuración de IKE para el concentrador
Configuración de IPsec para el concentrador
Configuración de directivas de seguridad para el hub
Configuración de TCP-MSS para el concentrador
Configuración de la información básica de red, zona de seguridad y libreta de direcciones para Westford Spoke
Configuración de IKE para Westford Spoke
Configuración de IPsec para el radio Westford
Configuración de políticas de seguridad para el Westford Spoke
Configuración de TCP-MSS para Westford Spoke
Configuración del radio Sunnyvale

Configuración de información básica de red, zona de seguridad y libreta de direcciones para el concentrador

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30
 set interfaces st0 unit 0 family inet address 10.11.11.10/24
 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11
 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
 set security zones security-zone untrust interfaces ge-0/0/3.0
 set security zones security-zone untrust host-inbound-traffic system-services ike
 set security zones security-zone trust interfaces ge-0/0/0.0
 set security zones security-zone trust host-inbound-traffic system-services all
 set security zones security-zone vpn interfaces st0.0
 set security address-book book1 address local-net 192.168.10.0/24 
 set security address-book book1 attach zone trust 
 set security address-book book2 address sunnyvale-net 192.168.168.0/24 
set security address-book book2 address westford-net 192.168.178.0/24 
set security address-book book2 attach zone vpn

Procedimiento paso a paso

Para configurar la información básica de red, zona de seguridad y libreta de direcciones para el concentrador:

Configure la información de interfaz Ethernet.

content_copy zoom_out_map
[edit]
user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30
user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24

Configure la información de rutas estáticas.

content_copy zoom_out_map
[edit]
user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11
user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12

Configure la zona de seguridad de no confianza.
```
[edit ]
user@hub# set security zones security-zone untrust
```
Asigne una interfaz a la zona de seguridad de no confianza.
```
[edit security zones security-zone untrust]
user@hub# set interfaces ge-0/0/3.0
```
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
```
[edit security zones security-zone untrust]
user@hub# set host-inbound-traffic system-services ike
```
Configure la zona de seguridad de confianza.
```
[edit]
user@hub# edit security zones security-zone trust
```

Asigne una interfaz a la zona de seguridad de confianza.

content_copy zoom_out_map
[edit security zones security-zone trust]
user@hub# set interfaces ge-0/0/0.0

Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
```
[edit security zones security-zone trust]
user@hub# set host-inbound-traffic system-services all
```

Cree una libreta de direcciones y adjunte una zona a ella.

content_copy zoom_out_map
[edit security address-book book1]
user@hub# set address local-net 10.10.10.0/24 
user@hub# set attach zone trust 

Configure la zona de seguridad vpn.
```
[edit]
user@hub# edit security zones security-zone vpn
```

Asigne una interfaz a la zona de seguridad vpn.

content_copy zoom_out_map
[edit security zones security-zone vpn]
user@hub# set interfaces st0.0

Cree otra libreta de direcciones y adjunte una zona a ella.

content_copy zoom_out_map
[edit security address-book book2]
user@hub# set address sunnyvale-net 192.168.168.0/24 
user@hub# set address westford-net 192.168.178.0/24 
user@hub# set attach zone vpn

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show routing-options, show security zones y show security address-book para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@hub# show interfaces
ge-0/0/0 {
    unit 0 {
        family inet {
            address 192.168.10.1/24;
        }
    }
}
ge-0/0/3 {
    unit 0 {
        family inet {
            address 10.1.1.2/30 
        }
    }
}
st0{
    unit 0 {
        family inet {
            address 10.11.11.10/24
        }
    }
}

content_copy zoom_out_map
[edit]
user@hub# show routing-options
static {
    route 0.0.0.0/0 next-hop 10.1.1.1;
    route 192.168.168.0/24 next-hop 10.11.11.11;
    route 192.168.178.0/24 next-hop 10.11.11.12;
}

content_copy zoom_out_map
[edit]
user@hub# show security zones
security-zone untrust {
    host-inbound-traffic {
        system-services {
            ike;
        }
    }
    interfaces {
        ge-0/0/3.0;
    }
}
security-zone trust {
    host-inbound-traffic {
        system-services {
            all;
        }
    }
    interfaces {
        ge-0/0/0.0;
    }
}
security-zone vpn {
    host-inbound-traffic {
    }
    interfaces {
        st0.0;
    }
}
[edit]
user@hub# show security address-book
book1 {
    address local-net 10.10.10.0/24;
    attach {
        zone trust;
    }
}
    book2 {
        address sunnyvale-net 192.168.168.0/24;
        address westford-net 192.168.178.0/24;
        attach {
            zone vpn;
        }
    }

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para el concentrador

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys
set security ike proposal ike-phase1-proposal dh-group group2 
set security ike proposal ike-phase1-proposal authentication-algorithm sha1 
set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc 
set security ike policy ike-phase1-policy mode main 
set security ike policy ike-phase1-policy proposals ike-phase1-proposal 
set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” 
set security ike gateway gw-westford external-interface ge-0/0/3.0 
set security ike gateway gw-westford ike-policy ike-phase1-policy 
set security ike gateway gw-westford address 10.3.3.2 
set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 
set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy 
set security ike gateway gw-sunnyvale address 10.2.2.2 

Procedimiento paso a paso

Para configurar IKE para el hub:

Cree la propuesta de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@hub# set proposal ike-phase1-proposal

Defina el método de autenticación de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@hub# set authentication-method pre-shared-keys

Defina el grupo Diffie-Hellman de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@hub# set dh-group group2

Defina el algoritmo de autenticación de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@hub# set authentication-algorithm sha1

Defina el algoritmo de cifrado de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@hub# set encryption-algorithm aes-128-cbc

Cree una política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@hub# set policy ike-phase1-policy

Establezca el modo de política de fase 1 de IKE.
```
[edit security ike policy ike-phase1-policy]
user@hub# set mode main
```

Especifique una referencia a la propuesta de ICR.

content_copy zoom_out_map
[edit security ike policy ike-phase1-policy]
user@hub# set proposals ike-phase1-proposal

Defina el método de autenticación de políticas de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike policy ike-phase1-policy]
user@hub# set pre-shared-key ascii-text “$ABC123”

Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.
```
[edit security ike]
user@hub# set gateway gw-westford external-interface ge-0/0/3.0
```

Defina la referencia de política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@hub# set gateway gw-westford ike-policy ike-phase1-policy

Defina la dirección de puerta de enlace de fase 1 de IKE.
```
[edit security ike]
user@hub# set  gateway gw-westford address 10.3.3.2
```
Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.
```
[edit security ike]
user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
```

Defina la referencia de política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike gateway]
user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy

Defina la dirección de puerta de enlace de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike gateway]
user@hub# set gateway gw-sunnyvale address 10.2.2.2

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
    mode main;
    proposals ike-phase1-proposal;
    pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
    ike-policy ike-phase1-policy;
    address 10.2.2.2;
    external-interface ge-0/0/3.0;
}
gateway gw-westford {
    ike-policy ike-phase1-policy;
    address 10.3.3.2;
    external-interface ge-0/0/3.0;
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para el concentrador

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security ipsec proposal ipsec-phase2-proposal protocol esp
set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 
set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc 
set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal
set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2
set security ipsec vpn vpn-westford ike gateway gw-westford
set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-westford bind-interface st0.0
set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale
set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-sunnyvale bind-interface st0.0
set interfaces st0 unit 0 multipoint
set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale
set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford

Procedimiento paso a paso

Para configurar IPsec para el concentrador:

Cree una propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit]
user@hub# set security ipsec proposal ipsec-phase2-proposal

Especifique el protocolo de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@hub# set protocol esp

Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@hub# set authentication-algorithm hmac-sha1-96

Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@hub# set encryption-algorithm aes-128-cbc

Cree la directiva de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec]
user@hub# set policy ipsec-phase2-policy

Especifique la referencia de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec policy ipsec-phase2-policy]
user@hub# set proposals ipsec-phase2-proposal

Especifique PFS de fase 2 IPsec para usar el grupo 2 de Diffie-Hellman.

content_copy zoom_out_map
[edit security ipsec policy ipsec-phase2-policy]
user@host# set perfect-forward-secrecy keys group2

Especifique las puertas de enlace de IKE.

content_copy zoom_out_map
[edit security ipsec]
user@hub# set vpn vpn-westford ike gateway gw-westford
user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale

Especifique las directivas de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec]
user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy
user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy

Especifique la interfaz que se va a enlazar.

content_copy zoom_out_map
[edit security ipsec]
user@hub# set vpn vpn-westford bind-interface st0.0
user@hub# set vpn vpn-sunnyvale bind-interface st0.0

Configure la interfaz st0 como multipunto.
```
[edit]
user@hub# set interfaces st0 unit 0 multipoint
```

Agregue entradas de tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.

content_copy zoom_out_map
[edit]
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
    perfect-forward-secrecy {
        keys group2;
    }
    proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
    bind-interface st0.0;
    ike {
        gateway gw-sunnyvale;
        ipsec-policy ipsec-phase2-policy;
    }
}
vpn vpn-westford {
    bind-interface st0.0;
    ike {
        gateway gw-westford;
        ipsec-policy ipsec-phase2-policy;
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de directivas de seguridad para el hub

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net 
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net 
set security policies from-zone trust to-zone vpn policy local-to-spokes match application any
set security policies from-zone trust to-zone vpn policy local-to-spokes then permit 
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net 
set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net 
set security policies from-zone vpn to-zone trust policy spokes-to-local match application any
set security policies from-zone vpn to-zone trust policy spokes-to-local then permit 
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit

Procedimiento paso a paso

Para configurar políticas de seguridad para el hub:

Cree la política de seguridad para permitir tráfico desde la zona de confianza a la zona VPN.

content_copy zoom_out_map
[edit security policies from-zone trust to-zone vpn]
user@hub# set policy local-to-spokes match source-address local-net
user@hub# set policy local-to-spokes match destination-address sunnyvale-net
user@hub# set policy local-to-spokes match destination-address westford-net
user@hub# set policy local-to-spokes match application any
user@hub# set policy local-to-spokes then permit

Cree la política de seguridad para permitir tráfico desde la zona VPN a la zona de confianza.

content_copy zoom_out_map
[edit security policies from-zone vpn to-zone trust]
user@hub# set policy spokes-to-local match source-address sunnyvale-net
user@hub# set policy spokes-to-local match source-address westford-net
user@hub# set policy spokes-to-local match destination-address local-net
user@hub# set policy spokes-to-local match application any
user@hub# set policy spokes-to-local then permit 

Cree la política de seguridad para permitir el tráfico dentro de la zona.

content_copy zoom_out_map
[edit security policies from-zone vpn to-zone vpn]
user@hub# set policy spoke-to-spoke match source-address any
user@hub# set policy spoke-to-spoke match destination-address any
user@hub# set policy spoke-to-spoke match application any
user@hub# set policy spoke-to-spoke then permit

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
    policy local-to-spokes {
        match {
            source-address local-net; 
            destination-address [ sunnyvale-net westford-net ];
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone vpn to-zone trust {
    policy spokes-to-local {
        match {
            source-address [ sunnyvale-net westford-net ];
            destination-address local-net;
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone vpn to-zone vpn {
    policy spoke-to-spoke {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de TCP-MSS para el concentrador

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security flow tcp-mss ipsec-vpn mss 1350

Procedimiento paso a paso

Para configurar la información TCP-MSS para el concentrador:

Configure la información de TCP-MSS.

content_copy zoom_out_map
[edit]
user@hub# set security flow tcp-mss ipsec-vpn mss 1350

Resultados

Desde el modo de configuración, confírmela con el comando show security flow. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@hub# show security flow
tcp-mss {
    ipsec-vpn {
        mss 1350;
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de la información básica de red, zona de seguridad y libreta de direcciones para Westford Spoke

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30
set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24
set interfaces st0 unit 0 family inet address 10.11.11.12/24
set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1
set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10
set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
set security zones security-zone untrust interfaces ge-0/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone trust interfaces ge-0/0/3.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone vpn interfaces st0.0
set security address-book book1 address local-net 192.168.178.0/24
set security address-book book1 attach zone trust 
set security address-book book2 address corp-net 10.10.10.0/24
set security address-book book2 address sunnyvale-net 192.168.168.0/24 
set security address-book book2 attach zone vpn

Procedimiento paso a paso

Para configurar la información básica de red, zona de seguridad y libreta de direcciones para el radio de Westford:

Configure la información de interfaz Ethernet.

content_copy zoom_out_map
[edit]
user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30
user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24
user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24

Configure la información de rutas estáticas.

content_copy zoom_out_map
[edit]
user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1
user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10
user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10

Configure la zona de seguridad de no confianza.
```
[edit]
user@spoke# set security zones security-zone untrust
```

Asigne una interfaz a la zona de seguridad.

content_copy zoom_out_map
[edit security zones security-zone untrust]
user@spoke# set interfaces ge-0/0/0.0

Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
```
[edit security zones security-zone untrust]
user@spoke# set host-inbound-traffic system-services ike
```
Configure la zona de seguridad de confianza.
```
[edit]
user@spoke# edit security zones security-zone trust
```

Asigne una interfaz a la zona de seguridad de confianza.

content_copy zoom_out_map
[edit security zones security-zone trust]
user@spoke# set interfaces ge-0/0/3.0

Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
```
[edit security zones security-zone trust]
user@spoke# set host-inbound-traffic system-services all
```

Configure la zona de seguridad vpn.

content_copy zoom_out_map
[edit]
user@spoke# edit security zones security-zone vpn

Asigne una interfaz a la zona de seguridad vpn.

content_copy zoom_out_map
[edit security zones security-zone vpn]
user@spoke# set interfaces st0.0

Cree una libreta de direcciones y adjunte una zona a ella.

content_copy zoom_out_map
[edit security address-book book1]
user@spoke# set address local-net 192.168.178.0/24 
user@spoke# set attach zone trust

Cree otra libreta de direcciones y adjunte una zona a ella.

content_copy zoom_out_map
[edit security address-book book2]
user@spoke# set address corp-net 10.10.10.0/24 
user@spoke# set address sunnyvale-net 192.168.168.0/24 
user@spoke# set attach zone vpn

Resultados

content_copy zoom_out_map
[edit]
user@spoke# show interfaces
ge-0/0/0 {
    unit 0 {
        family inet {
            address 10.3.3.2/30;
        }
    }
}
ge-0/0/3 {
    unit 0 {
        family inet {
            address 192.168.178.1/24;
        }
    }
}
st0 {
    unit 0 {
        family inet {
            address 10.11.11.10/24;
        }
    }
}

content_copy zoom_out_map
[edit]
user@spoke# show routing-options
static {
    route 0.0.0.0/0 next-hop 10.3.3.1;
    route 192.168.168.0/24 next-hop 10.11.11.10;
    route 10.10.10.0/24 next-hop 10.11.11.10;
}

content_copy zoom_out_map
[edit]
user@spoke# show security zones
security-zone untrust {
    host-inbound-traffic {
        system-services {
            ike;
        }
    }
    interfaces {
        ge-0/0/0.0;
    }
}
security-zone trust {
    host-inbound-traffic {
        system-services {
            all;
        }
    }
    interfaces {
        ge-0/0/3.0;
    }
}
security-zone vpn {
    interfaces {
        st0.0;
    }
}
[edit]
user@spoke# show security address-book
book1 {
    address corp-net 10.10.10.0/24;
    attach {
        zone trust;
    }
}
    book2 {
        address local-net 192.168.178.0/24;
        address sunnyvale-net 192.168.168.0/24;
        attach {
            zone vpn;
        }
    }

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para Westford Spoke

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys
set security ike proposal ike-phase1-proposal dh-group group2 
set security ike proposal ike-phase1-proposal authentication-algorithm sha1 
set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc 
set security ike policy ike-phase1-policy mode main 
set security ike policy ike-phase1-policy proposals ike-phase1-proposal 
set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” 
set security ike gateway gw-corporate external-interface ge-0/0/0.0 
set security ike gateway gw-corporate ike-policy ike-phase1-policy 
set security ike gateway gw-corporate address 10.1.1.2 

Procedimiento paso a paso

Para configurar IKE para el radio Westford:

Cree la propuesta de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@spoke# set proposal ike-phase1-proposal

Defina el método de autenticación de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@spoke# set authentication-method pre-shared-keys

Defina el grupo Diffie-Hellman de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@spoke# set dh-group group2

Defina el algoritmo de autenticación de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@spoke# set authentication-algorithm sha1

Defina el algoritmo de cifrado de la propuesta de ICR.

content_copy zoom_out_map
[edit security ike proposal ike-phase1-proposal]
user@spoke# set encryption-algorithm aes-128-cbc

Cree una política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@spoke# set policy ike-phase1-policy

Establezca el modo de política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike policy ike-phase1-policy]
user@spoke# set mode main

Especifique una referencia a la propuesta de ICR.

content_copy zoom_out_map
[edit security ike policy ike-phase1-policy]
user@spoke# set proposals ike-phase1-proposal

Defina el método de autenticación de políticas de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike policy ike-phase1-policy]
user@spoke# set pre-shared-key ascii-text “$ABC123”

Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.
```
[edit security ike]
user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
```

Defina la referencia de política de fase 1 de IKE.

content_copy zoom_out_map
[edit security ike]
user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy

Defina la dirección de puerta de enlace de fase 1 de IKE.
```
[edit security ike]
user@spoke# set gateway gw-corporate address 10.1.1.2
```

Resultados

content_copy zoom_out_map
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
    mode main;
    proposals ike-phase1-proposal;
    pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
    ike-policy ike-phase1-policy;
    address 10.1.1.2;
    external-interface ge-0/0/0.0;
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para el radio Westford

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security ipsec proposal ipsec-phase2-proposal protocol esp
set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 
set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc 
set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal
set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2
set security ipsec vpn vpn-corporate ike gateway gw-corporate
set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
set security ipsec vpn vpn-corporate bind-interface st0.0

Procedimiento paso a paso

Para configurar IPsec para el radio de Westford:

Cree una propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit]
user@spoke# set security ipsec proposal ipsec-phase2-proposal

Especifique el protocolo de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@spoke# set protocol esp

Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@spoke# set authentication-algorithm hmac-sha1-96

Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec proposal ipsec-phase2-proposal]
user@spoke# set encryption-algorithm aes-128-cbc

Cree la directiva de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec]
user@spoke# set policy ipsec-phase2-policy

Especifique la referencia de propuesta de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec policy ipsec-phase2-policy]
user@spoke# set proposals ipsec-phase2-proposal

Especifique PFS de fase 2 IPsec para usar el grupo 2 de Diffie-Hellman.

content_copy zoom_out_map
[edit security ipsec policy ipsec-phase2-policy]
user@host# set perfect-forward-secrecy keys group2

Especifique la puerta de enlace de ICR.

content_copy zoom_out_map
[edit security ipsec]
user@spoke# set vpn vpn-corporate ike gateway gw-corporate

Especifique la directiva de fase 2 de IPsec.

content_copy zoom_out_map
[edit security ipsec]
user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy

Especifique la interfaz que se va a enlazar.

content_copy zoom_out_map
[edit security ipsec]
user@spoke# set vpn vpn-corporate bind-interface st0.0

Resultados

content_copy zoom_out_map
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
    perfect-forward-secrecy {
        keys group2;
    }
    proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
    bind-interface st0.0;
    ike {
        gateway gw-corporate;
        ipsec-policy ipsec-phase2-policy;
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de políticas de seguridad para el Westford Spoke

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net 
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net 
set security policies from-zone trust to-zone vpn policy to-corporate application any
set security policies from-zone trust to-zone vpn policy to-corporate then permit 
set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net
set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net 
set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net 
set security policies from-zone vpn to-zone trust policy from-corporate application any
set security policies from-zone vpn to-zone trust policy from-corporate then permit 

Procedimiento paso a paso

Para configurar las políticas de seguridad para el radio de Westford:

Cree la política de seguridad para permitir tráfico desde la zona de confianza a la zona VPN.

content_copy zoom_out_map
[edit security policies from-zone trust to-zone vpn]
user@spoke# set policy to-corp match source-address local-net
user@spoke# set policy to-corp match destination-address corp-net
user@spoke# set policy to-corp match destination-address sunnyvale-net
user@spoke# set policy to-corp match application any
user@spoke# set policy to-corp then permit

Cree la política de seguridad para permitir tráfico desde la zona VPN a la zona de confianza.

content_copy zoom_out_map
[edit security policies from-zone vpn to-zone trust]
user@spoke# set policy spokes-to-local match source-address corp-net
user@spoke# set policy spokes-to-local match source-address sunnyvale-net
user@spoke# set policy spokes-to-local match destination-address local-net
user@spoke# set policy spokes-to-local match application any
user@spoke# set policy spokes-to-local then permit 

Resultados

content_copy zoom_out_map
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
    policy to-corp {
        match {
            source-address local-net; 
            destination-address [ sunnyvale-net westford-net ];
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone vpn to-zone trust {
    policy spokes-to-local {
        match {
            source-address [ sunnyvale-net westford-net ];
            destination-address local-net;
            application any;
        }
        then {
            permit;
        }
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de TCP-MSS para Westford Spoke

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

content_copy zoom_out_map
set security flow tcp-mss ipsec-vpn mss 1350

Procedimiento paso a paso

Para configurar TCP-MSS para el radio Westford:

Configure la información de TCP-MSS.

content_copy zoom_out_map
[edit]
user@spoke# set security flow tcp-mss ipsec-vpn mss 1350

Resultados

content_copy zoom_out_map
[edit]
user@spoke# show security flow
tcp-mss {
    ipsec-vpn {
        mss 1350;
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del radio Sunnyvale

Configuración rápida de CLI

En este ejemplo se utiliza un dispositivo de la serie SSG para el radio Sunnyvale. Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener información acerca de la configuración de dispositivos de la serie SSG, consulte el , que se encuentra en https://www.juniper.net/documentationConcepts and Examples ScreenOS Reference Guide.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

content_copy zoom_out_map
set zone name "VPN"
set interface ethernet0/6 zone "Trust"
set interface "tunnel.1" zone "VPN"
set interface ethernet0/6 ip 192.168.168.1/24
set interface ethernet0/6 route
set interface ethernet0/0 ip 10.2.2.2/30
set interface ethernet0/0 route
set interface tunnel.1 ip 10.11.11.11/24
set flow tcp-mss 1350
set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0
set address "VPN" "corp-net" 10.10.10.0 255.255.255.0
set address "VPN" "westford-net" 192.168.178.0 255.255.255.0
set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard
set vpn corp-vpn monitor optimized rekey 
set vpn "corp-vpn" bind interface tunnel.1 
set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard
set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit
set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit
set policy id 2
exit
set dst-address "westford-net"
exit
set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit
set policy id 3
set src-address "westford-net"
exit
set route 10.10.10.0/24 interface tunnel.1
set route 192.168.178.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación del estado de la fase 1 de IKE
Comprobación del estado de fase 2 de IPsec
Comprobación de enlaces de túnel del siguiente salto
Verificación de rutas estáticas para LAN locales remotas
Revisar estadísticas y errores para una asociación de seguridad IPsec
Probar el flujo de tráfico a través de la VPN

Verificación del estado de la fase 1 de IKE

Propósito
Acción
Significado

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en las redes 192.168.168/24 y 192.168.178/24 para activar los túneles. En el caso de las VPN basadas en rutas, puede enviar tráfico iniciado desde el firewall de la serie SRX a través del túnel. Se recomienda que, al probar los túneles IPsec, envíe el tráfico de prueba desde un dispositivo independiente en un extremo de la VPN a un segundo dispositivo al otro lado de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

content_copy zoom_out_map
user@hub> show security ike security-associations
Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
6       10.3.3.2         UP     94906ae2263bbd8e  1c35e4c3fc54d6d3  Main
7       10.2.2.2         UP     7e7a1c0367dfe73c  f284221c656a5fbc  Main

content_copy zoom_out_map
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
  Role: Responder, State: UP
  Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
  Exchange type: Main, Authentication method: Pre-shared-keys
  Local: 10.1.1.2:500, Remote: 10.3.3.2:500
  Lifetime: Expires in 3571 seconds
  Algorithms:
   Authentication        : sha1
   Encryption            : aes-cbc (128 bits)
   Pseudo random function: hmac-sha1
  Traffic statistics:
   Input bytes    :                1128
   Output bytes   :                 988
   Input packets  :                   6
   Output packets :                   5
  Flags: Caller notification sent
  IPSec security associations: 1 created, 0 deleted
  Phase 2 negotiations in progress: 1
    Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
    Local: 10.1.1.2:500, Remote: 10.3.3.2:500
    Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
    Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
    Flags: Caller notification sent, Waiting for done

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

Índice: este valor es único para cada SA de IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información acerca de la SA.
Dirección remota: compruebe que la dirección IP remota sea correcta.
Estado
- UP: se estableció la SA de fase 1.
- DOWN: hubo un problema al establecer la SA de fase 1.
Modo: verifica que se esté utilizando el modo correcto.

Compruebe que la siguiente información es correcta en su configuración:

Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
Parámetros de política de ICR
Información de claves precompartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando show security ike security-associations index 1 detail enumera información adicional acerca de la asociación de seguridad con el número de índice 1:

Algoritmos de autenticación y cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de la función del iniciador y del respondedor

La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
Cantidad de SA de IPsec creadas
Número de negociaciones de la Fase 2 en curso

Comprobación del estado de fase 2 de IPsec

Propósito
Acción
Significado

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

content_copy zoom_out_map
user@hub> show security ipsec security-associations
  total configured sa: 4
  ID    Gateway          Port  Algorithm          SPI      Life:sec/kb  Mon vsys
  <16384 10.2.2.2         500   ESP:aes-128/sha1   b2fc36f8 3364/ unlim   -   0
  >16384 10.2.2.2         500   ESP:aes-128/sha1   5d73929e 3364/ unlim   -   0
  ID    Gateway          Port  Algorithm          SPI      Life:sec/kb  Mon vsys
  <16385 10.3.3.2         500   ESP:3des/sha1      70f789c6 28756/unlim   -   0
  >16385 10.3.3.2         500   ESP:3des/sha1      80f4126d 28756/unlim   -   0

content_copy zoom_out_map
user@hub> show security ipsec security-associations index 16385 detail
  Virtual-system: Root
  Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
  Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
  Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
    DF-bit: clear
    Direction: inbound, SPI: 1895270854, AUX-SPI: 0
    Hard lifetime: Expires in 28729 seconds
    Lifesize Remaining: Unlimited
    Soft lifetime: Expires in 28136 seconds
    Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
    Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)    
    Anti-replay service: enabled, Replay window size: 32

    Direction: outbound, SPI: 2163479149, AUX-SPI: 0
    Hard lifetime: Expires in 28729 seconds
    Lifesize Remaining: Unlimited
    Soft lifetime: Expires in 28136 seconds
    Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
    Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)    
    Anti-replay service: enabled, Replay window size: 32

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

El número de identificación es 16385. Utilice este valor con el comando show security ipsec security-associations index para obtener más información acerca de esta SA en particular.
Existe un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 28756/ unlim indica que la duración de la fase 2 expira en 28756 segundos y que no se especificó ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index 16385 detail muestra la siguiente información:

La identidad local y la identidad remota constituyen el ID de proxy para la SA.

Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.
Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.

Comprobación de enlaces de túnel del siguiente salto

Propósito
Acción
Significado

Propósito

Una vez completada la fase 2 para todos los pares, compruebe los enlaces de túnel del salto siguiente.

Acción

Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.

content_copy zoom_out_map
user@hub> show security ipsec next-hop-tunnels
Next-hop gateway  interface    IPSec VPN name                Flag
10.11.11.11       st0.0        sunnyvale-vpn                 Static
10.11.11.12       st0.0        westford-vpn                  Auto

Significado

Las puertas de enlace del próximo salto son las direcciones IP de las interfaces st0 de todos los pares radiales remotos. El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec. Si no existe ninguna entrada NHTB, no hay forma de que el dispositivo concentrador diferencie qué VPN IPsec está asociada con qué próximo salto.

El campo Indicador tiene uno de los siguientes valores:

Estático: NHTB se configuró manualmente en las configuraciones de interfaz st0.0, lo cual es necesario si el par no es un firewall de la serie SRX.
Automático: NHTB no se configuró, pero la entrada se rellenó automáticamente en la tabla NHTB durante las negociaciones de fase 2 entre dos firewalls de la serie SRX

No hay ninguna tabla NHTB para ninguno de los sitios radiales en este ejemplo. Desde la perspectiva radial, la interfaz st0 sigue siendo un vínculo punto a punto con un solo enlace VPN IPsec.

Verificación de rutas estáticas para LAN locales remotas

Propósito
Acción

Propósito

Verifique que la ruta estática haga referencia a la dirección IP st0 del par radial.

Acción

Desde el modo operativo, ingrese el comando show route.

content_copy zoom_out_map
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.168.0/24   *[Static/5] 00:08:33
                    > to 10.11.11.11 via st0.0

content_copy zoom_out_map
user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.178.0/24   *[Static/5] 00:04:04
                    > to 10.11.11.12 via st0.0

El siguiente salto es la dirección IP st0 del par remoto, y ambas rutas apuntan a st0.0 como interfaz de salida.

Revisar estadísticas y errores para una asociación de seguridad IPsec

Propósito
Acción
Significado

Propósito

Revise errores y contadores de encabezados de autenticación y ESP para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec statistics index.

content_copy zoom_out_map
user@hub> show security ipsec statistics index 16385
ESP Statistics:
  Encrypted bytes:              920
  Decrypted bytes:             6208
  Encrypted packets:              5
  Decrypted packets:             87
AH Statistics:
  Input bytes:                    0
  Output bytes:                   0
  Input packets:                  0
  Output packets:                 0
Errors:
  AH authentication failures: 0, Replay errors: 0
  ESP authentication failures: 0, ESP decryption failures: 0
  Bad headers: 0, Bad trailers: 0

También puede utilizar el comando show security ipsec statistics para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el comando clear security ipsec statistics.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar los comandos show security ipsec statistics o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores de errores se incrementan.

Probar el flujo de tráfico a través de la VPN

Propósito
Acción
Significado

Propósito

Compruebe el flujo de tráfico a través de la VPN.

Acción

Puede utilizar el comando del firewall de la serie SRX para probar el ping flujo de tráfico en un equipo host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de política.

Desde el modo operativo, ingrese el comando ping.

content_copy zoom_out_map
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5
PING 192.168.168.10 (192.168.168.10): 56 data bytes
64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms
64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms
64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms
64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms
64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms

--- 192.168.168.10 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms

También puede usar el comando ping desde el dispositivo serie SSG.

content_copy zoom_out_map
user@hub> ping 192.168.10.10 from ethernet0/6
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms

content_copy zoom_out_map
ssg-> ping 192.168.178.10 from ethernet0/6 
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from
ethernet0/6
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms

Significado

Si el comando ping no funciona desde el dispositivo serie SRX o SSG, es posible que exista un problema con el enrutamiento, las políticas de seguridad, l host final o el cifrado y descifrado de los paquetes ESP.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación

Descripción

19.4R1

A partir de Junos OS versión 19.4R1, ahora solo puede configurar un atributo DN dinámico entre container-string la jerarquía y wildcard-string en [edit security ike gateway gateway_name dynamic distinguished-name] . Si intenta configurar el segundo atributo después de configurar el primero, el primero se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe eliminar uno de los atributos si ha configurado ambos.

15.1X49-D80

A partir de Junos OS versión 15.1X49-D80, las VPN de punto de conexión dinámico en firewalls serie SRX admiten tráfico IPv6 en túneles seguros.

12.3X48-D40

arrow_backward PREVIOUS Descripción general del VPN IPsec

NEXT arrow_forward Comparación de VPN basadas en políticas y basadas en rutas

Helped me install or use the product
Accelerated my deployment

Discuss the product with a co-worker
Make a purchase inquiry

Guía del usuario de VPN IPsec

EN ESTA PÁGINA

¿Fue útil esta traducción automática?

DESCARGO DE RESPONSABILIDAD:

Descripción general de la configuración de VPN IPsec

Descripción general de la configuración de VPN IPsec con IKE de clave automática

Consulte también

Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas

Consulte también

Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP dinámicas

Consulte también

Descripción de VPN IPsec con puntos de conexión dinámicos

Descripción general

Identidad IKE

Modo agresivo para la política IKEv1

Políticas de IKE e interfaces externas

TDR

ID de IKE compartidos y de grupo

Consulte también

Descripción de la configuración de identidad de IKE

Tipos de ID de IKE

ID de IKE remoto y VPN de sitio a sitio

ID de IKE remoto y VPN de punto de conexión dinámico

ID de IKE local del firewall de la serie SRX

Consulte también

Configuración de ID de IKE remoto para VPN de sitio a sitio

Consulte también

Descripción de la autenticación OSPF y OSPFv3 en firewalls de la serie SRX

Consulte también

Ejemplo: Configuración de la autenticación IPsec para una interfaz OSPF en un firewall de la serie SRX

Requisitos

Descripción general

Configuración

Configuración de una SA manual

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Habilitación de la autenticación IPsec para una interfaz OSPF

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Verificación

Comprobación de la configuración de asociación de seguridad IPsec

Propósito

Acción

Comprobación de la asociación de seguridad IPsec en la interfaz OSPF

Propósito

Acción

Consulte también

Configuración de VPN IPsec mediante el Asistente para VPN

Consulte también

Ejemplo: Configuración de una VPN radial

Requisitos

Descripción general

Configuración

Configuración de información básica de red, zona de seguridad y libreta de direcciones para el concentrador

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de IKE para el concentrador

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de IPsec para el concentrador

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de directivas de seguridad para el hub

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de TCP-MSS para el concentrador

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de la información básica de red, zona de seguridad y libreta de direcciones para Westford Spoke

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Configuración de IKE para Westford Spoke