Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajusta a un selector de tráfico a través de la asociación de seguridad (SA) asociada.

Descripción de los selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre pares IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Con esta característica, puede definir un selector de tráfico dentro de una VPN específica basada en rutas, lo que puede dar lugar a varias asociaciones de seguridad (SA) IPsec de fase 2. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de la SA asociada.

A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv1. A partir de Junos OS versión 15.1X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.

Configuración del selector de tráfico

Para configurar un selector de tráfico, utilice la traffic-selector instrucción configuration en el nivel de jerarquía [edit security ipsec vpn vpn-name]. El selector de tráfico se define con las instrucciones mandatory local-ip ip-address/netmask and remote-ip ip-address/netmask . El comando show security ipsec security-association detail operativo de la CLI muestra información del selector de tráfico para las SA. El show security ipsec security-association traffic-selector traffic-selector-name comando de la CLI muestra información para un selector de tráfico especificado.

Para un selector de tráfico determinado, se especifica una sola dirección y máscara de red para las direcciones local y remota. Los selectores de tráfico se pueden configurar con direcciones IPv4 o IPv6. Las libretas de direcciones no se pueden utilizar para especificar direcciones locales o remotas.

Se pueden configurar varios selectores de tráfico para la misma VPN. Se puede configurar un máximo de 200 selectores de tráfico para cada VPN. Los selectores de tráfico se pueden utilizar con los modos de túnel IPv4-en-IPv4, IPv4-en-IPv6, IPv6-en-IPv6 o IPv6-en-IPv4.

Las siguientes características no son compatibles con los selectores de tráfico:

  • Monitoreo de VPN

  • Diferentes familias de direcciones configuradas para las direcciones IP local y remota en un selector de tráfico

  • Una dirección remota de 0.0.0.0/0 (IPv4) o 0::0 (IPv6) para VPN de sitio a sitio

    A partir de Junos OS versión 15.1X49-D140, en todos los firewalls de la serie SRX e instancias de firewall virtual vSRX, cuando configure el selector de tráfico con una dirección remota de 0::0 (IPv6), se mostrará el siguiente “error: configuration check-out failed” mensaje al realizar la confirmación y se produce un error en la retirada de la configuración.

  • Interfaces punto a multipunto

  • Protocolos de enrutamiento dinámico configurados en interfaces st0

Cuando hay varios selectores de tráfico configurados para una VPN basada en rutas, el tráfico claro puede entrar en un túnel VPN sin coincidir con un selector de tráfico si la interfaz externa de la puerta de enlace IKE se mueve a otro enrutador virtual (VR). El software no maneja los múltiples eventos de interfaz asíncronos generados cuando una interfaz externa de puerta de enlace IKE se mueve a otro VR. Como solución alternativa, desactive primero el túnel VPN IPsec y confirme la configuración sin ese túnel antes de mover la interfaz externa de la puerta de enlace IKE a otra VR.

A partir de la versión 21.1R1 de Junos OS, puede configurar varios conjuntos de prefijo IP local, prefijo IP remoto, intervalo de puertos de origen, intervalo de puertos de destino y protocolo para la selección de tráfico. Esto significa que varios conjuntos de rangos de direcciones IP, rangos de puertos y protocolos pueden formar parte del mismo selector de tráfico definido en RFC 7296. Cuando se configuran varios selectores de tráfico, cada selector de tráfico conduce a una negociación independiente que da como resultado varios túneles IPsec. Sin embargo, si configura varios términos en un selector de tráfico, esta configuración da como resultado una única negociación de SA IPsec con varios prefijos, puertos y protocolos IP. Consulte Selector de tráfico.

Descripción de la inserción automática de rutas

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como una ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Los protocolos de enrutamiento y la configuración del selector de tráfico son formas mutuamente excluyentes de dirigir el tráfico a un túnel. Las rutas ARI pueden entrar en conflicto con las rutas que se rellenan mediante protocolos de enrutamiento. Por lo tanto, no debe configurar protocolos de enrutamiento en una interfaz st0 que esté enlazada a una VPN en la que estén configurados selectores de tráfico.

ARI también se conoce como inserción de ruta inversa (RRI). Las rutas ARI se insertan en la tabla de enrutamiento de la siguiente manera:

  • Si la establish-tunnels immediately opción está configurada en el nivel de jerarquía [edit security ipsec vpn vpn-name], las rutas ARI se agregan una vez completadas las negociaciones de fase 1 y fase 2. Dado que una ruta no se agrega hasta que se establecen las SA, una negociación errónea no da como resultado que el tráfico se enrute a una interfaz st0 que esté inactiva. En su lugar, se utiliza un túnel alternativo o de reserva.

  • Si la establish-tunnels immediately opción no está configurada en el nivel de jerarquía [edit security ipsec vpn vpn-name], las rutas ARI se agregan en la confirmación de configuración.

  • No se agrega una ruta ARI si la dirección remota configurada o negociada en un selector de tráfico es 0.0.0.0/0 o 0::0.

La preferencia por la ruta ARI estática es 5. Este valor es necesario para evitar conflictos con rutas similares que podría agregar un proceso de protocolo de enrutamiento.

La ruta ARI estática no se puede filtrar a otras instancias de enrutamiento mediante la rib-groups configuración. Utilice la import-policy configuración para filtrar rutas ARI estáticas.

Descripción de los selectores de tráfico y las direcciones IP superpuestas

En esta sección se describen las direcciones IP superpuestas en las configuraciones del selector de tráfico.

Superposición de direcciones IP en diferentes VPN enlazadas a la misma interfaz st0

Este escenario no se admite con selectores de tráfico. Los selectores de tráfico no se pueden configurar en diferentes VPN enlazadas a la misma interfaz st0 punto a multipunto, como se muestra en el ejemplo siguiente:

Superposición de direcciones IP en la misma VPN enlazadas a la misma interfaz st0

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en la misma VPN, el primer selector de tráfico configurado que coincida con el paquete determina el túnel utilizado para el cifrado de paquetes.

En el ejemplo siguiente, se configuran cuatro selectores de tráfico (ts-1, ts-2, ts-3 y ts-4) para la VPN (vpn-1), que está enlazada a la interfaz st0.1 punto a punto:

Un paquete con una dirección de origen 192.168.5.5 y una dirección de destino 10.1.5.10 coincide con los selectores de tráfico ts-1 y ts-2. Sin embargo, el selector de tráfico ts-1 es la primera coincidencia configurada y el túnel asociado con ts-1 se utiliza para el cifrado de paquetes.

Un paquete con una dirección de origen 172.16.5.5 y una dirección de destino 10.2.5.10 coincide con los selectores de tráfico ts-3 y ts-4. Sin embargo, el selector de tráfico ts-3 es la primera coincidencia configurada y el túnel asociado con el selector de tráfico ts-3 se utiliza para el cifrado de paquetes.

Superposición de direcciones IP en diferentes VPN enlazadas a diferentes interfaces st0

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en diferentes VPN que están enlazadas a diferentes interfaces st0 punto a punto, primero se selecciona una interfaz st0 mediante la coincidencia de prefijo más larga para un paquete determinado. Dentro de la VPN que está enlazada a la interfaz st0 seleccionada, el selector de tráfico se selecciona en función de la primera coincidencia configurada para el paquete.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local pero con diferentes subredes remotas.

Se configuran diferentes subredes remotas en cada selector de tráfico, por lo que se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de rutas utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes remotas. Se configura la misma subred local para cada selector de tráfico, pero se especifican valores de máscara de red diferentes.

Se configura una subred remota diferente en cada selector de tráfico; por lo tanto, se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de rutas utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes locales y remotas.

En este caso, los selectores de tráfico no se superponen. Las subredes remotas configuradas en los selectores de tráfico son diferentes, por lo que se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de rutas utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local. Se configura la misma subred remota para cada selector de tráfico, pero se especifican valores de máscara de red diferentes.

Tenga en cuenta que la remote-ip configuración para ts-1 es 10.1.1.0/24 mientras que la remote-ip configurada para ts-2 es 10.1.0.0/16. Para un paquete destinado a 10.1.1.1, la búsqueda de ruta selecciona la interfaz st0.1 ya que tiene la coincidencia de prefijo más larga. El paquete se cifra en función del túnel correspondiente a la interfaz st0.1.

En algunos casos, se pueden descartar paquetes válidos debido a la aplicación del tráfico selector de tráfico. En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes locales. Se configura la misma subred remota para cada selector de tráfico, pero se especifican valores de máscara de red diferentes.

Se agregan dos rutas a 10.1.1.0 (10.1.1.0/24 a través de la interfaz st0.1 y 10.1.0.0/16 a través de la interfaz st0.2) a la tabla de enrutamiento. Un paquete enviado desde la fuente 172.16.1.1 al destino 10.1.1.1 coincide con la entrada de la tabla de enrutamiento para 10.1.1.0/24 a través de la interfaz st0.1. Sin embargo, el paquete no coincide con el tráfico especificado por el selector de tráfico ts-1 y se descarta.

Si se configuran varios selectores de tráfico con la misma subred remota y máscara de red, se agregan rutas de igual costo a la tabla de enrutamiento. Este caso no se admite con selectores de tráfico, ya que no se puede predecir la ruta elegida.

Ejemplo: Configuración de selectores de tráfico en una VPN basada en rutas

En este ejemplo se muestra cómo configurar selectores de tráfico para una VPN basada en rutas.

Requisitos

Descripción general

En este ejemplo se configuran selectores de tráfico para permitir que el tráfico fluya entre las subredes de SRX_A y las subredes de SRX_B.

Tabla 1 muestra los selectores de tráfico para este ejemplo. Los selectores de tráfico se configuran en Opciones de fase 2.

Tabla 1: Configuraciones del selector de tráfico

SRX_A

SRX_B

Nombre del selector de tráfico

Local IP

IP remota

Nombre del selector de tráfico

Local IP

IP remota

TS1-IPv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-IPv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

El procesamiento basado en flujos del tráfico IPv6 debe habilitarse con la opción de mode flow-based configuración en el nivel de jerarquía [edit security forwarding-options family inet6].

Topología

En Figura 1, un túnel VPN IPv6 transporta tráfico IPv4 e IPv6 entre los dispositivos SRX_A y SRX_B. Es decir, el túnel funciona en los modos de túnel IPv4 en IPv6 e IPv6 en IPv6.

Figura 1: Ejemplo de configuración del selector de tráficoEjemplo de configuración del selector de tráfico

Configuración

Configuración de SRX_A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel seguro.

  3. Configure la interfaz interna.

  4. Configure las opciones de la fase 1.

  5. Configure las opciones de la fase 2.

  6. Habilite el reenvío basado en flujos IPv6.

  7. Configure las zonas de seguridad y la política de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ike, show security zonesshow security ipsecshow security forwarding-options, , y show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de SRX_B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel seguro.

  3. Configure las interfaces internas.

  4. Configure las opciones de la fase 1.

  5. Configure las opciones de la fase 2.

  6. Habilite el reenvío basado en flujos IPv6.

  7. Configure las zonas de seguridad y la política de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , show security ike, show security zonesshow security ipsecshow security forwarding-options, , y show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Las salidas de muestra que se muestran están en SRX-A.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations.

Desde el modo operativo, ingrese el comando show security ipsec security-associations detail.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 2 deben coincidir en los dispositivos del mismo nivel.

Verificación de selectores de tráfico

Propósito

Compruebe los selectores de tráfico negociados en la interfaz de túnel seguro.

Acción

Desde el modo operativo, ingrese el comando show security ipsec traffic-selector st0.1.

Verificación de rutas

Propósito

Verificar rutas activas

Acción

Desde el modo operativo, ingrese el comando show route.

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento. Las rutas a la dirección IP remota configuradas en cada selector de tráfico deben estar presentes con la interfaz st0 correcta.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
15.1X49-D140
A partir de Junos OS versión 15.1X49-D140, en todos los firewalls de la serie SRX e instancias de firewall virtual vSRX, cuando configure el selector de tráfico con una dirección remota de 0::0 (IPv6), se mostrará el siguiente “error: configuration check-out failed” mensaje al realizar la confirmación y se produce un error en la retirada de la configuración.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.
12.1X46-D10
A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv1.