Terminología de VPN de Sucursal
Cuando configura las VPN de sucursal, es útil comprender estos términos. Algunos de los términos tienen un significado especial cuando configura y monitorea las VPN de sucursal en un Firebox de WatchGuard.
Intercambio de Claves de Internet (IKE)
IKEv2, descrito en RFC 7296, es admitido en Fireware v11.11.2 y superior.
Asociación de seguridad (SA)
Una Asociación de seguridad IKEv1 está definida en la RFC 2408 como parte del estándar ISAKMP (Protocolo de Administración de Claves de la Asociación de Seguridad de Internet). En una VPN, puede pensar en una SA como el contexto que incluye toda la información, como cifrado, autenticación y verificaciones de integridad, requerida para que dos puntos se comuniquen de manera segura. Ambos puntos deben compartir y aceptar esta información. SA es un término general que puede aplicarse a diferentes protocolos, y la estructura SA es diferente para diferentes protocolos VPN. Las SA son unidireccionales.
Para un túnel IPSec VPN IKEv1, hay dos tipos de SA:
SA Fase 1
Negociada en base a la configuración de Fase 1, el SA de Fase 1 crea un canal seguro para las negociaciones de Fase 2. En Fireware XTM, usted configura los ajustes Fase 1 cuando configura la puerta de enlace de VPN de sucursal.
SA Fase 2
Negociado en base a la configuración Fase 2, la SA Fase 2 define qué tráfico puede enviarse por el VPN, y cómo cifrar y autenticar dicho tráfico. En Fireware XTM, usted configura los ajustes Fase 2 cuando configura el túnel VPN de sucursal.
Puerta de enlace
Para un Firebox, una puerta de enlace de VPN de sucursal define la configuración para una conexión entre uno o más pares de endpoints de la puerta de enlace VPN. Cada par de endpoints de la puerta de enlace consiste en una puerta de enlace local y una puerta de enlace remota. Cuando configura un par de endpoints de la puerta de enlace, usted especifica las direcciones de los dos endpoints de la puerta de enlace, así como la configuración Fase I que lo dos endpoints de la puerta de enlace utilizan para intercambiar llaves o negocian la metodología de cifrado que utilizarán. Si uno o ambos sitios tienen una multi-WAN, la puerta de enlace de VPN de sucursal puede tener múltiples pares de endpoints de puerta de enlace, y los pares de endpoints de la puerta de enlace pueden ser conmutados por error entre sí.
Puede configurar múltiples túneles para usar la misma puerta de enlace. La puerta de enlace crea una conexión segura para los túneles VPN que la usan.
Túnel
Para un Firebox, un túnel VPN de sucursal define la configuración de Fase 2 e incluye una o más rutas de túnel para definir quién puede intercambiar tráfico a través del túnel.
Ruta de túnel
Para un Firebox, la ruta de túnel define qué hosts o redes pueden enviar y recibir tráfico a través del túnel. Cuando agrega una ruta de túnel, usted especifica un par de direcciones IP locales y remotas de dispositivos en cada extremo del túnel. Cada dirección IP en una ruta de túnel puede ser para un host o una red. Puede agregar múltiples rutas de túnel al mismo túnel. Cada ruta de túnel tiene un par de SA relacionadas, una entrante y una saliente.
En Firebox System Manager, cada ruta de túnel activa aparece como un túnel separado. Esto le permite monitorizar fácilmente el estado de cada ruta de túnel. En la llave de licencia, el número de túneles VPN de Sucursal se refiere al número máximo de rutas de túnel VPN de sucursal activas.
Para obtener más información sobre la llave de licencia y las rutas de túnel máximas, consulte Licencias y Capacidad del Túnel VPN.