Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basada en rutas con IKEv2

Intercambio de claves por Internet versión 2 (IKEv2) es un protocolo de tunelización basado en IPsec que proporciona un canal de comunicación VPN seguro entre dispositivos VPN pares y define la negociación y autenticación para las asociaciones de seguridad (SA) IPsec de manera protegida.

Tabla 1 describe los valores Radius xAuth o CP de IPsec.

Tabla 1: Valores de IPsec Radius xAuth o CP
Atributo Radius ID de atributo Nombre del atributo ID de proveedor (diccionario) ID de atributo de proveedor Valor de atributo Tipo
Estándar 8 Dirección IP enmarcada NA NA Dirección IP Dirección IPv4
Estándar 9 Máscara de red IP enmarcada NA NA Dirección IP Dirección IPv4
Estándar 88 Piscina enmarcada NA NA Nombre Mensaje de texto
Estándar 100 Conjunto de IPv6 enmarcado NA NA Nombre Mensaje de texto
Vendedor 26 DNS principal 4874 (ERX de Juniper) 4 Dirección IP Dirección IPv4
Vendedor 26 DNS secundario 4874 (ERX de Juniper) 5 Dirección IP Dirección IPv4
Vendedor 26 WINS primarios (NBNS) 4874 (ERX de Juniper) 6 Dirección IP Dirección IPv4
Vendedor 26 WINS secundarios (NBNS) 4874 (ERX de Juniper) 7 Dirección IP Dirección IPv4
Vendedor 26 DNS primario IPv6 4874 (ERX de Juniper) 47 Dirección IP Cadenas hexadecimales u octetos
Vendedor 26 DNS secundario IPv6 4874 (ERX de Juniper) 48 Dirección IP Cadenas hexadecimales u octetos

Ejemplo: Configuración de una VPN basada en rutas para IKEv2

En este ejemplo se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre una sucursal y una oficina corporativa.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Dispositivo SRX240

  • Dispositivo SSG140

Antes de comenzar, lea Información general sobre IPsec.

Descripción general

En este ejemplo, se configura una VPN basada en rutas para una sucursal de Chicago, Illinois, porque desea conservar los recursos de túnel, pero seguir teniendo restricciones granulares en el tráfico VPN. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4, zonas de seguridad y libretas de direcciones. A continuación, configure la fase 1 de IKE, la fase 2 de IPsec, una directiva de seguridad y los parámetros TCP-MSS. Consulte del Tabla 2 al Tabla 6 para ver parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 2: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (interfaz de túnelización)

10.11.11.10/24

Rutas estáticas

0.0.0.0/0 (ruta predeterminada)

El siguiente salto es 10.1.1.1.

192.168.168.0/24

El siguiente salto es st0.0.

Zonas de seguridad

confiar

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

no confiar

  • ICR es el único servicio de sistema permitido.

  • La interfaz ge-0/0/3.0 está vinculada a esta zona.

VPN-CHICAGO

La interfaz st0.0 está vinculada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección de esta entrada en la libreta de direcciones es 192.168.10.0/24.

Chicago

  • Esta dirección es para la libreta de direcciones de la zona de no confianza.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.168.0/24.

Tabla 3: Parámetros de configuración de fase 1 de IKE

Característica

Nombre

Parámetros de configuración

Propuesta

ike-fase1-propuesta

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: group2

  • Algorítmo de autenticación: sha1

  • Algorítmo de cifrado: AES-128-CBC

Política

ike-phase1-policy

  • Modo: principal

  • Referencia de propuesta: ike-fase1-propuesta

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

GW-CHICAGO

  • Referencia de política ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Tabla 4: Parámetros de configuración de fase 2 de IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec-fase2-propuesta

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-SHA1-96

  • Algorítmo de cifrado: AES-128-CBC

Política

ipsec-phase2-policy

  • Referencia de propuesta: ipsec-fase2-propuesta

  • PFS: Diffie-Hellman group2

VPN

ipsec-vpn-chicago

  • Referencia de puerta de enlace ICR: GW-CHICAGO

  • Referencia de política IPsec: ipsec-phase2-policy

  • Enlazar a interfaz: st0.0

Tabla 5: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico desde la zona de confianza a la zona vpn-chicago.

vpn-tr-chi

  • Criterios de coincidencia:

    • source-address sunnyvale

    • destination-address chicago

    • application any

  • Acción: permitir

La política de seguridad permite el tráfico desde la zona vpn-chicago a la zona de confianza.

vpn-chi-tr

  • Criterios de coincidencia:

    • source-address chicago

    • destination-address sunnyvale

    • application any

  • Acción: permitir

Tabla 6: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y la trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo cual genera fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo.

Se recomienda un valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configuración de la información de interfaz, ruta estática, zona de seguridad y libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de rutas estáticas.

  3. Configure la zona de seguridad de no confianza.

  4. Asigne una interfaz a la zona de seguridad.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  9. Configure la entrada de la libreta de direcciones para la zona de seguridad de confianza.

  10. Configure la zona de seguridad vpn-chicago.

  11. Asigne una interfaz a la zona de seguridad.

  12. Configure la entrada de la libreta de direcciones para la zona vpn-chicago.

Resultados

Desde el modo de configuración, escriba los comandos , y show security zones para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de fase 1 de IKE.

  2. Defina el método de autenticación de la propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de la propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Cree una política de fase 1 de IKE.

  7. Especifique una referencia a la propuesta de ICR.

  8. Defina el método de autenticación de políticas de fase 1 de IKE.

  9. Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.

  10. Defina la referencia de política de fase 1 de IKE.

  11. Defina la dirección de puerta de enlace de fase 1 de IKE.

  12. Defina la versión de puerta de enlace de fase 1 de IKE.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la directiva de fase 2 de IPsec.

  6. Especifique la referencia de propuesta de fase 2 de IPsec.

  7. Especifique PFS de fase 2 IPsec para usar el grupo 2 de Diffie-Hellman.

  8. Especifique la puerta de enlace de ICR.

  9. Especifique la directiva de fase 2 de IPsec.

  10. Especifique la interfaz que se va a enlazar.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona vpn-chicago.

  2. Cree la política de seguridad para permitir el tráfico desde la zona VPN-Chicago a la zona de confianza.

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar la información TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, confírmela con el comando show security flow. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del dispositivo serie SSG

Configuración rápida de CLI

Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener información acerca de la configuración de dispositivos de la serie SSG, consulte el , que se encuentra en https://www.juniper.net/documentationConcepts & Examples ScreenOS Reference Guide.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en la red 192.168.168/24. En el caso de las VPN basadas en rutas, el firewall de la serie SRX puede iniciar el tráfico a través del túnel. Se recomienda que, cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo al otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • DOWN: hubo un problema al establecer la SA de fase 1.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes IKE).

  • Parámetros de política de IKE.

  • Información de clave previamente compartida.

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares).

El show security ike security-associations index 1 detail comando muestra información adicional sobre la SA con el número de índice 1:

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • El número de identificación es 16384. Utilice este valor con el comando show security ipsec security-associations index para obtener más información acerca de esta SA en particular.

  • Hay un par SA IPsec que usa el puerto 500.

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3363/ unlim indica que la duración de la fase 2 expira en 3363 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • vsys es el sistema raíz y siempre aparece como 0.

  • La IKEv2 permite conexiones desde un par de la versión 2 e iniciará una negociación de la versión 2.

El resultado del comando show security ipsec security-associations index 16384 detail muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.

Revisar estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise los errores y contadores de encabezados de autenticación y ESP para una SA IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec statistics index index_number utilizando el número de índice de la VPN cuyas estadísticas desea ver.

También puede utilizar el comando show security ipsec statistics para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el comando clear security ipsec statistics.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar los comandos show security ipsec statistics o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar que los demás contadores de errores se incrementan.

Probar el flujo de tráfico a través de la VPN

Propósito

Compruebe el flujo de tráfico a través de la VPN.

Acción

Puede utilizar el comando del firewall de la serie SRX para probar el ping flujo de tráfico en un equipo host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de política.

Desde el modo operativo, ingrese el comando ping.

También puede usar el comando ping desde el dispositivo serie SSG.

Significado

Si el comando ping no funciona desde el dispositivo serie SRX o SSG, es posible que exista un problema con el enrutamiento, las políticas de seguridad, l host final o el cifrado y descifrado de los paquetes ESP.

Ejemplo: Configuración de la serie SRX para el aprovisionamiento de células pico con carga de configuración IKEv2

En redes donde se están desplegando muchos dispositivos, la administración de la red debe ser simple. La función de carga de configuración IKEv2 admite el aprovisionamiento de estos dispositivos sin tocar ni la configuración del dispositivo ni la configuración de la serie SRX. En este ejemplo se muestra cómo configurar una serie SRX para admitir el aprovisionamiento de pico celdas mediante la característica de carga de configuración IKEv2.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls serie SRX configurados en un clúster de chasis

  • Un firewall de la serie SRX configurado como enrutador intermedio

  • Dos clientes pico cell

  • Un servidor RADIUS configurado con información de aprovisionamiento del cliente pico cell

  • Junos OS versión 12.1X46-D10 o posterior para compatibilidad con la carga de configuración de IKEv2

Descripción general

En este ejemplo, una serie SRX usa la característica de carga de configuración IKEv2 para propagar la información de aprovisionamiento a una serie de picoceldas. Las picoceldas se envían de fábrica con una configuración estándar que les permite conectarse a la serie SRX, pero la información de aprovisionamiento de picoceldas se almacena en un servidor RADIUS externo. Las picoceldas reciben información completa de aprovisionamiento después de establecer conexiones seguras con servidores de aprovisionamiento en una red protegida. La carga de configuración de IKEv2 es compatible con IPv4 e IPV6. En este ejemplo se cubre la carga de configuración de IKEv2 para IPv4, pero también puede configurarla con direcciones IPv6.

A partir de Junos OS versión 20.3R1, admitimos la carga de configuración IPv6 IKEv2 para asignar direcciones IPv6 en SRX5000 línea que ejecuta el proceso iked. La misma compatibilidad se incluye en el firewall virtual vSRX que ejecuta el proceso iked a partir de Junos OS versión 21.1R1.

Figura 1 muestra una topología en la que la serie SRX admite el aprovisionamiento de pico celdas mediante la función de carga de configuración IKEv2.

Figura 1: Compatibilidad de la serie SRX con el aprovisionamiento de células pico con carga de configuración IKEv2Compatibilidad de la serie SRX con el aprovisionamiento de células pico con carga de configuración IKEv2

Cada pico celda de esta topología inicia dos VPN IPsec: uno para la gestión y otro para los datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado como túnel OAM, mientras que el tráfico de datos fluye a través del túnel etiquetado como túnel 3GPP. Cada túnel admite conexiones con servidores de aprovisionamiento OAM y 3GPP en redes separadas y configurables, lo que requiere instancias de enrutamiento y VPN independientes. En este ejemplo se proporcionan las opciones de fase 1 y fase 2 de IKE para establecer las VPN OAM y 3GPP.

En este ejemplo, la serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo información de aprovisionamiento del servidor RADIUS y proporcionando esa información a los clientes de pico celda. La serie SRX devuelve la información de aprovisionamiento para cada cliente autorizado en la carga de configuración de IKEv2 durante la negociación del túnel. La serie SRX no se puede utilizar como dispositivo cliente.

Además, la serie SRX utiliza la información de la carga de configuración de IKEv2 para actualizar los valores del iniciador selector de tráfico (TSi) y del respondedor del selector de tráfico (TSr) intercambiados con el cliente durante la negociación del túnel. La carga de configuración utiliza los valores TSi y TSr configurados en la serie SRX mediante la proxy-identity instrucción en el nivel de jerarquía [edit security ipsec vpn vpn-name ike]. Los valores TSi y TSr definen el tráfico de red para cada VPN.

El enrutador intermedio enruta el tráfico de pico cell a las interfaces apropiadas de la serie SRX.

El siguiente proceso describe la secuencia de conexión:

  1. La pico celda inicia un túnel IPsec con la serie SRX utilizando la configuración de fábrica.

  2. La serie SRX autentica al cliente mediante la información del certificado de cliente y el certificado raíz de la CA que está inscrita en la serie SRX. Después de la autenticación, la serie SRX pasa la información de identidad de IKE del certificado de cliente al servidor RADIUS en una solicitud de autorización.

  3. Después de autorizar el cliente, el servidor RADIUS responde a la serie SRX con la información de aprovisionamiento del cliente:

    • Dirección IP (valor TSi)

    • Máscara de subred IP (opcional; el valor predeterminado es 32 bits)

    • Dirección DNS (opcional)

  4. La serie SRX devuelve la información de aprovisionamiento en la carga de configuración de IKEv2 para cada conexión de cliente e intercambia los valores TSi y TSr finales con las celdas pico. En este ejemplo, la serie SRX proporciona la siguiente información de TSi y TSr para cada VPN:

    Conexión VPN

    Valores de TSi/TSr proporcionados por SRX

    Pico 1 OAM

    Eti: 1 0.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Eti: 1 0.13.1.201/32, TSr: 192.168.3.0/24, TSr: 10.13.0.0/16

    Pico 2 OAM

    Eti: 1 0.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Eti: 1 0.13.1.205/32, TSr: 192.168.3.0/24, TSr: 1 0.13.0.0/16

    Si la información de aprovisionamiento proporcionada por el servidor RADIUS incluye una máscara de subred, la serie SRX devuelve un segundo valor TSr para la conexión de cliente que incluye la subred IP. Esto permite la comunicación intrapar para los dispositivos de esa subred. En este ejemplo, la comunicación intrapar está habilitada para la subred asociada con la VPN 3GPP (13.13.0.0/16).

    La función de carga de configuración IKEv2 es compatible tanto con interfaces de túnel seguro punto a multipunto (st0) como con interfaces punto a punto. Para las interfaces punto a multipunto, las interfaces deben estar numeradas y las direcciones proporcionadas en la carga de configuración deben estar dentro del rango de subred de la interfaz punto a multipunto asociada.

    A partir de Junos OS versión 20.1R1, admitimos la función de carga de configuración IKEv2 con interfaces punto a punto en línea SRX5000 y firewall virtual vSRX ejecutando iked.

Tabla 7 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida información para establecer túneles OAM y 3GPP.

Tabla 7: Opciones de fase 1 y fase 2 para la serie SRX

La opción

valor

Propuesta de IKE:

Nombre de la propuesta

IKE_PROP

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 256 CBC

Política de IKE:

Nombre de directiva de IKE

IKE_POL

Certificado local

Example_SRX

Puerta de enlace IKE (OAM):

Política de IKE

IKE_POL

Dirección IP remota

dinámico

Tipo de usuario de IKE

group-ike-id

Local IKE ID

nombre de host srx_series.example.net

ID de IKE remoto

Nombre de host .pico_cell.net

Interfaz externa

reth0.0

Perfil de acceso

radius_pico

Versión de IKE

Solo v2

Puerta de enlace IKE (3GPP):

Política de IKE

IKE_POL

Dirección IP remota

Dinámico

Tipo de usuario de IKE

group-ike-id

Local IKE ID

comodín de nombre distintivo OU=srx_series

ID de IKE remoto

comodín de nombre distintivo OU=pico_cell

Interfaz externa

reth1

Perfil de acceso

radius_pico

Versión de IKE

Solo v2

Propuesta IPsec:

Nombre de la propuesta

IPSEC_PROP

Protocolo

ESP

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

AES 256 CBC

Directiva IPsec:

Nombre de la directiva

IPSEC_POL

Teclas de confidencialidad directa perfecta (PFS)

grupo5

Propuestas IPsec

IPSEC_PROP

VPN IPsec (OAM):

Interfaz de enlace

st0.0

Puerta de enlace IKE

OAM_GW

Identidad de proxy local

192.168.2.0/24

Identidad de proxy remoto

0.0.0.0/0

Directiva IPsec

IPSEC_POL

VPN IPsec (3GPP):

Interfaz de enlace

st0.1

Puerta de enlace IKE

3GPP_GW

Identidad de proxy local

192.168.3.0/24

Identidad de proxy remoto

0.0.0.0/0

Directiva IPsec

IPSEC_POL

Los certificados se almacenan en las pico celdas y en la serie SRX.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.

Configuración

Configuración de la serie SRX

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la serie SRX:

  1. Configure el clúster de chasis.

  2. Configurar interfaces.

  3. Configure las opciones de enrutamiento.

  4. Especifique las zonas de seguridad.

  5. Cree el perfil RADIUS.

  6. Configure las opciones de la fase 1.

  7. Especifique las opciones de fase 2.

  8. Especifique las instancias de enrutamiento.

  9. Especifique políticas de seguridad para permitir el tráfico de sitio a sitio.

Resultados

Desde el modo de configuración, escriba los comandos , show interfaces, show security zones, show security ipsecshow security ikeshow access profile radius_picoshow routing-instances, y show security policies para confirmar la show chassis clusterconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del enrutador intermedio

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el enrutador intermedio:

  1. Configurar interfaces.

  2. Configure las opciones de enrutamiento.

  3. Especifique las zonas de seguridad.

  4. Especifique las políticas de seguridad.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show routing-options, show security zones y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de la celda Pico (configuración de ejemplo)

Procedimiento paso a paso

La información de la celda pico en este ejemplo se proporciona como referencia. La información detallada de configuración de picocell está fuera del alcance de este documento. La configuración de fábrica de pico cell debe incluir la siguiente información:

  • Certificado local (X.509v3) e información de identidad de IKE

  • Valores del selector de tráfico (TSi, TSr) establecidos en cualquiera/cualquiera (0.0.0.0/0)

  • Información de identidad IKE serie SRX y dirección IP pública

  • Propuestas de fase 1 y fase 2 que coinciden con la configuración de la serie SRX

Las pico celdas de este ejemplo utilizan el software de código abierto strongSwan para conexiones VPN basadas en IPsec. La serie SRX utiliza esta información para el aprovisionamiento de pico celdas mediante la función de carga de configuración IKEv2. En redes donde se están desplegando muchos dispositivos, la configuración de la celda pico puede ser idéntica, excepto por la información del certificado (leftcert) y la identidad (leftid). Las siguientes configuraciones de ejemplo ilustran la configuración de fábrica.

  1. Revise la configuración de Pico 1:

    Pico 1: Configuración de ejemplo

  2. Revise la configuración de Pico 2:

    Configuración de ejemplo de Pico 2

Configuración del servidor RADIUS (configuración de ejemplo mediante FreeRADIUS)

Procedimiento paso a paso

La información del servidor RADIUS en este ejemplo se proporciona como referencia. La información completa de configuración del servidor RADIUS está fuera del alcance de este documento. El servidor RADIUS devuelve la siguiente información a la serie SRX:

  • Dirección IP enmarcada

  • Framed-IP-Netmask (opcional)

  • DNS primario y DNS secundario (opcional)

En este ejemplo, el servidor RADIUS tiene información de aprovisionamiento independiente para las conexiones OAM y 3GPP. El nombre de usuario se toma de la información del certificado de cliente proporcionada en la solicitud de autorización de la serie SRX.

Si el servidor RADIUS adquiere información de aprovisionamiento de cliente de un servidor DHCP, la información de identidad del cliente que el servidor RADIUS retransmite al servidor DHCP debe ser coherente con la información de identidad IKE del cliente retransmitida al servidor RADIUS por el firewall de la serie SRX. Esto garantiza la continuidad de la identidad del cliente en los distintos protocolos.

El canal de comunicación entre el firewall de la serie SRX y el servidor RADIUS está protegido por un secreto compartido RADIUS.

  1. Revise la configuración de RADIUS para la VPN Pico 1 OAM. El servidor RADIUS tiene la siguiente información:

    Configuración de RADIUS de ejemplo en las versiones 12.3X48 de Junos OS y versiones de Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    Configuración de RADIUS de ejemplo a partir de Junos OS versiones 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    En este caso, el servidor RADIUS proporciona la máscara de subred predeterminada (255.255.255.255), que bloquea el tráfico intrapeer.

  2. Revise la configuración de RADIUS para la VPN Pico 1 3GPP. El servidor RADIUS tiene la siguiente información:

    Configuración de RADIUS de ejemplo en las versiones 12.3X48 de Junos OS y versiones de Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    Configuración de RADIUS de ejemplo a partir de Junos OS versiones 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), que habilita el tráfico intrapeer.

    A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de carga de configuración de IKEv2 para una configuración de puerta de enlace IKE. La contraseña común en el intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña se utiliza entre el firewall de la serie SRX y el servidor RADIUS cuando el firewall de la serie SRX solicita una dirección IP en nombre de un par IPsec remoto mediante la carga de configuración de IKEv2. El servidor RADIUS valida las credenciales antes de proporcionar cualquier información IP al firewall de la serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común mediante config-payload-password configured-password la instrucción de configuración en [edit security ike gateway gateway-name aaa access-profile access-profile-name] el nivel de jerarquía. Además, en este ejemplo se crean dos túneles a partir del mismo certificado de cliente utilizando partes diferentes del certificado para la información de nombre de usuario (identidad IKE).

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de fase 1 de IKE para la serie SRX

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo en el nodo 0, ingrese el show security ike security-associations comando. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations detail .

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas con dispositivos de pico celdas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. En este ejemplo solo se muestra la SA de fase 1 de IKE para la VPN de OAM; sin embargo, se mostrará una SA de fase 1 de IKE independiente que muestra los parámetros de fase 1 de IKE para la VPN 3GPP.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE: puede utilizar el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP local sea correcta y que el puerto 500 se esté utilizando para la comunicación punto a punto.

  • Estado del respondedor de roles:

    • Arriba: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

  • ID de IKE par (remoto): compruebe que la información del certificado sea correcta.

  • Identidad local e identidad remota: compruebe que estas direcciones sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que envía los paquetes IKE)

  • Parámetros de política de ICR

  • Parámetros de propuesta de fase 1 (deben coincidir entre pares)

El show security ike security-associations comando muestra la siguiente información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec para la serie SRX

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo en el nodo 0, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations detail.

Significado

En este ejemplo se muestran las SA de fase 2 de IKE activas para Pico 1. Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva IPsec en su configuración. Para cada SA de fase 2 (OAM y 3GPP), la información se proporciona tanto en dirección entrante como externa. El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección IP de 10.1.1.1.

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3529/ indica que la duración de la fase 2 caduca en 3529 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado anterior del show security ipsec security-associations index index_id detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Algoritmos de autenticación y cifrado utilizados.

  • Parámetros de propuesta de fase 2 (deben coincidir entre pares).

  • Enlaces de túnel seguro (st0.0 y st0.1) a las puertas de enlace OAM y 3GPP.

Política de IKE con una CA de confianza

En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una política IKE del mismo nivel.

Antes de comenzar, debe tener una lista de todas las CA de confianza que desea asociar a la directiva IKE del par.

Puede asociar una política de IKE a un único perfil de CA de confianza o a un grupo de CA de confianza. Para establecer una conexión segura, la puerta de enlace de IKE utiliza la política de IKE para limitarse al grupo configurado de CA (perfiles de ca) mientras valida el certificado. No se valida un certificado emitido por cualquier origen que no sea la CA o el grupo de CA de confianza. Si hay una solicitud de validación de certificado procedente de una política de IKE, el perfil de CA asociado de la política de IKE validará el certificado. Si una política de IKE no está asociada a ninguna CA, cualquiera de los perfiles de CA configurados valida el certificado de forma predeterminada.

En este ejemplo, se crea un perfil de CA denominado root-ca y se asocia a un root-ca-identity perfil.

Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.

  1. Cree un perfil de CA y asócielo un identificador de CA.
  2. Defina una propuesta de IKE y el método de autenticación de la propuesta de IKE.
  3. Defina el grupo Diffie-Hellman, algoritmo de autenticación, un algoritmo de cifrado para la propuesta de IKE.
  4. Configure una política de IKE y asóciela a la propuesta de IKE.
  5. Configure un identificador de certificado local para la política de IKE.
  6. Defina la CA que se utilizará para la política de IKE.

Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki comando.

El show security ike comando muestra el grupo de perfiles de CA bajo la política de IKE denominada ike_policy y el certificado asociado a la política de IKE.