Citrix SD-WAN

Cómo configurar el túnel ipsec entre SD-WAN y dispositivos de terceros

Para configurar el túnel ipsec para el servicio de intranet o LAN:

  1. En el Editor de configuración, vaya a Conexiones> Ver sitio> [Nombre del sitio]> Túneles IPSec. Elija un tipo de servicio (LAN o Intranet).

  2. Escriba un nombre para el tipo de servicio. Para el tipo de servicio de intranet, el servidor de intranet configurado determinará qué direcciones IP locales están disponibles.

  3. Seleccione la dirección IP local disponible e introduzca la dirección IP del mismo nivel para la ruta virtual con la que se va a establecer el mismo nivel.

    Imagen localizada

    Imagen localizada

    Imagen localizada

    Nota

    Si el tipo de servicio es Intranet, la dirección IP está predeterminada por el servicio de intranet seleccionado.

    Imagen localizada

  4. Configure la configuración de IPSec aplicando los criterios descritos en las tablas siguientes. Cuando haya terminado, haga clic en Aplicar para guardar la configuración.

Campo Descripción Valor
Tipo de servicio Elija un tipo de servicio en el menú implementable Intranet, LAN
Nombre Si el tipo de servicio es Intranet, elija en la lista de servicios de intranet configurados en el menú implementable. Si el tipo de servicio es LAN, escriba un nombre único Cadena de texto
IP local Elija la dirección IP local del túnel IPSec en el menú implementable de direcciones IP virtuales disponibles configuradas en este sitio Dirección IP
IP del mismo nivel Introduzca la dirección IP del mismo nivel del túnel IPSec Dirección IP
MTU Introduzca la MTU para fragmentar fragmentos IKE e IPSec Predeterminado: 1500
Configuración IKE Versión: Seleccione una versión IKE en el menú implementable IKEv1 IKEv2
Modo Elija un modo en el menú implementable Cumple con FIPS: Principal, no compatible con FIPS: Agresivo
Identidad Elija una identidad en el menú implementable Dirección IP automática Manual Dirección IP Usuario FQDN
Autenticación Elija el tipo de autenticación en el menú implementable Clave previamente compartida: si está utilizando una clave previamente compartida, cópiela y péguela en este campo. Haga clic en el icono Eyeball () para ver la clave precompartida. Certificado: si está utilizando un certificado de identidad, selecciónelo en el menú implementable.
Validar identidad del mismo nivel Seleccione esta casilla de verificación para validar el par del IKE. Si no se admite el tipo de ID del par, no habilite esta función Ninguno
Grupo DH Elija el grupo Diffie—Hellman para usar en la generación de claves IKE en el menú implementable No cumple con FIPS: Grupo 1, Cumple con FIPS: Grupo 2 Grupo 5 Grupo 14 Grupo 15 Grupo 16 Grupo 19 Grupo 20 Grupo 21
Algoritmo hash Elija un algoritmo en el menú implementable para autenticar los mensajes IKE No cumple con FIPS: MD5 Cumple con FIPS: SHA1 SHA-256
Modo de cifrado Elija el modo de cifrado para mensajes IKE en el menú implementable AES de 128 bits AES de 192 bits AES de 256 bits
Vida útil (s) Introduzca la duración preferida, en segundos, para que exista una asociación de seguridad IKE 3600 segundos (predeterminado)
Vida útil (s) máx. Introduzca la duración máxima preferida, en segundos, para permitir que exista una asociación de seguridad IKE 86400 segundos (predeterminado)
Tiempo de espera de DPD Introduzca el tiempo de espera de detección de pares muertos, en segundos, para las conexiones VPN 300 segundos (predeterminado)
IKEv2 Autenticación del mismo nivel: seleccione Autenticación del mismo nivel en el menú implementable Certificado de clave previamente compartida reflejado
IKE2: clave previamente compartida Clave pre-compartida del mismo nivel: pegue la clave pre-compartida del mismo nivel IKEv2 en este campo para la autenticación. Haga clic en el icono con forma de ojo para ver la clave precompartida Cadena de texto
Algoritmo de integridad Elija un algoritmo como algoritmo hash para usar para la verificación HMAC en el menú implementable No cumple con FIPS: MD5 Cumple con FIPS: SHA1 SHA-256

Nota:

Si el enrutador IPSec de terminación incluye código de autenticación de mensajes (HMAC) basado en hash en la configuración, cambie el modo IPSec a Exp+Auth con un algoritmo hash como SHA1.

Imagen localizada

Imagen localizada

Configuración de red protegida IPSec e IPSec:

Campo Descripción Valor (s)
Tipo de túnel Seleccione el tipo de túnel en el menú implementable ESP ESP+Auth ESP+NULL AH
Grupo PFS Elija el grupo Diffie-Hellman para utilizar para la generación perfecta de claves de secreto directo en el menú implementable Grupo 1 Grupo 2 Grupo 5 Grupo 14 Grupo 15 Grupo 16 Grupo 19 Grupo 20 Grupo 21
Modo de cifrado Elija el modo de cifrado para mensajes IPSec en el menú implementable Si elige ESP o ESP+ Auth, seleccione uno de los siguientes: AES 128 bits, AES 192 bits, AES 256 bits, AES 128 bits, GCM 64 bits, AES 192 bits, GCM 64 bits, AES 256 bits, GCM 64 bits, AES 128 bits, GCM 96 bits, AES 192 bits, GCM 96 bits, AES 256 bits, GCM 96 bits, AES 128 bits, GCM AES de 192 bits, GCM de 128 bits, AES 256 bits, GCM 128 bits
Vida útil (s) Introduzca la cantidad de tiempo, en segundos, para permitir que exista una asociación de seguridad IPsec 28800 segundos (predeterminado)
Máx. (s) de vida útil Introduzca la cantidad máxima de tiempo, en segundos para permitir que exista una asociación de seguridad IPsec 86400 segundos (predeterminado)
Duración (KB) Introduzca la cantidad de datos, en kilobytes, para que exista una asociación de seguridad IPSec Kilobytes
Duración máxima (KB) Introduzca la cantidad máxima de datos, en kilobytes, para permitir que exista una asociación de seguridad IPSec Kilobytes
Comportamiento de falta de coincidencia de red Elija la acción que quiere realizar si un paquete no coincide con las redes protegidas del túnel IPSec en el menú implementable Soltar, enviar sin cifrar, usar ruta que no sea IPSec
Redes protegidas IPSec IP/Prefijo de origen: Después de hacer clic en el botón Agregar (+ Agregar), introduzca la IP de origen y el prefijo del tráfico de red que protegerá el túnel IPSec. Dirección IP
Redes protegidas IPSec IP/Prefijo de destino: Introduzca la dirección IP de destino y el prefijo del tráfico de red que protegerá el túnel IPSec. Dirección IP

Imagen localizada

Supervisar túneles IPSec

Desplácese hasta Monitoring>IKE/IPSec en la GUI del dispositivo SD-WAN para ver y supervisar la configuración del túnel IPSec.

Cómo configurar el túnel ipsec entre SD-WAN y dispositivos de terceros