Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration d’un VPN sur un périphérique exécutant Junos OS

Cette section décrit des exemples de configurations d’un VPN IPsec sur un périphérique Junos OS à l’aide des méthodes d’authentification IKE suivantes :

Présentation de la configuration du VPN sur un périphérique exécutant Junos OS

Cette section décrit des exemples de configurations d’un VPN IPsec sur un périphérique Junos OS à l’aide des méthodes d’authentification IKE suivantes :

La figure 1 illustre la topologie VPN utilisée dans tous les exemples décrits dans cette section. Ici, H0 et H1 sont les PC hôtes, R0 et R2 sont les deux points de terminaison du tunnel VPN IPsec, et R1 est un routeur pour acheminer le trafic entre les deux réseaux différents.

Note:

Le routeur R1 peut être un routeur basé sur Linux, un périphérique Juniper Networks ou tout autre routeur de fournisseur.
Figure 1 : topologie VPN Topology VPN

Le tableau 1 fournit une liste complète des protocoles IKE, des modes de tunnel, du mode de négociation de la phase 1, de la méthode ou de l’algorithme d’authentification, de l’algorithme de chiffrement, des groupes DH pris en charge pour l’authentification et le chiffrement IKE (phase 1, proposition IKE) et pour l’authentification et le chiffrement IPsec (phase 2, proposition IPsec). Les protocoles, modes et algorithmes répertoriés sont pris en charge et requis pour les critères communs 22.2 R1.

Tableau 1 : matrice de combinaison VPN

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de la phase 1 (P1, IKE)

Méthode d’authentification

Algorithme d’authentification

Groupe DH

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

clés pré-partagées

SHA-256

groupe14

IKEv2

    

RSA-signatures-2048

SHA-384

groupe19

AES-128-CBC
     

ecdsa-signatures-256

  

groupe20

AES-128-GCM
     

ecdsa-signatures-384

  

groupe24

AES-192-CBC
           

AES-256-CBC
           

AES-256-GCM
             

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de phase 2 (P2, IPsec)

Algorithme d’authentification

Groupe DH (PFS)

Méthode de cryptage

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

HMAC-SHA1-96

groupe14

ESP

3des-CBC

IKEv2

    

HMAC-SHA-256-128

groupe19

  

AES-128-CBC
       

groupe20

  

AES-128-GCM
       

groupe24

  

AES-192-CBC
           

AES-192-GCM
           

AES-256-CBC
           

AES-256-GCM
Note:

Les sections suivantes fournissent des exemples de configurations de VPN IPsec IKEv1 pour les algorithmes sélectionnés. Les algorithmes d’authentification et de chiffrement peuvent être remplacés dans les configurations pour réaliser les configurations souhaitées par l’utilisateur. Utilisez set security ike gateway <gw-name> version v2-only la commande pour le VPN IPsec IKEv2.

Configuration d’un VPN IPsec avec une clé prépartagée pour l’authentification IKE

Dans cette section, vous allez configurer les appareils exécutant Junos OS pour le VPN IPsec à l’aide d’une clé prépartagée comme méthode d’authentification IKE. Les algorithmes utilisés dans l’authentification ou le chiffrement IKE ou IPsec sont présentés dans le tableau 2

Tableau 2 : authentification et chiffrement IKE ou IPsec

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de la phase 1 (P1, IKE)

Méthode d’authentification

Algorithme d’authentification

Groupe DH

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

clés pré-partagées

SHA-256

groupe14

AES-256-CBC

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de phase 2 (P2, IPsec)

Algorithme d’authentification

Groupe DH (PFS)

Méthode de cryptage

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

HMAC-SHA-256-128

groupe14

ESP

AES-256-CBC
Note:

Un équipement exécutant Junos OS utilise une authentification basée sur des certificats ou des clés prépartagées pour IPsec. La TOE accepte les clés ASCII prépartagées ou basées sur des bits d’un maximum de 255 caractères (et leurs équivalents binaires) contenant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux tels que !, @, #, $, %, ^, &, *, (et ). L’appareil accepte les clés de texte prépartagées et convertit la chaîne de texte en valeur d’authentification conformément à RFC 2409 pour IKEv1 ou RFC 4306 pour IKEv2, à l’aide du PRF configuré comme algorithme de hachage pour les échanges IKE. Junos OS n’impose pas d’exigences minimales de complexité pour les clés prépartagées. Par conséquent, il est conseillé aux utilisateurs de choisir avec soin de longues clés prépartagées d’une complexité suffisante.

Configuration du VPN IPsec avec clé prépartagée comme authentification IKE sur l’initiateur

Pour configurer le VPN IPsec avec authentification IKE par clé prépartagée sur l’initiateur :

  1. Configurez la proposition IKE.

    ike-proposal1 Voici le nom de la proposition IKE donné par l’administrateur autorisé.

  2. Configurez la stratégie IKE.

    Ici, ike-policy1 correspond au nom de la stratégie IKE et ike-proposal1 au nom de la proposition IKE donné par l’administrateur autorisé. Vous devez entrer et saisir à nouveau la clé prépartagée lorsque vous y êtes invité. Par exemple, la clé prépartagée peut être CertSqa@jnpr2014.

    La clé prépartagée peut également être saisie au format hexadécimal. Par exemple :

    Ici, la clé hexadécimale prépartagée peut être cc2014bae9876543.

  3. Configurez la proposition IPsec.

    ipsec-proposal1 Voici le nom de la proposition IPsec donné par l’administrateur autorisé.

  4. Configurez la stratégie IPsec.

    Ici, ipsec-policy1 correspond au nom de la stratégie IPsec et ipsec-proposal1 au nom de la proposition IPsec donné par l’administrateur autorisé.

  5. Configurez l’IKE.

    Ici, est un nom de passerelle IKE, est l’adresse IP du point de terminaison VPN homologue, gw1 192.0.2.8 192.0.2.5 est l’adresse IP du point de terminaison VPN local et ge-0/0/2 est une interface sortante locale comme point de terminaison VPN. La configuration supplémentaire suivante est également nécessaire dans le cas d’IKEv2

  6. Configurez le VPN.

    vpn1 Voici le nom du tunnel VPN donné par l’administrateur autorisé.

  7. Configurez les stratégies de flux sortants.

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  8. Configurez les stratégies de flux entrants.

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  9. Validez votre configuration.

Configuration du VPN IPsec avec clé prépartagée comme authentification IKE sur le répondeur

Pour configurer le VPN IPsec avec authentification IKE par clé prépartagée sur le répondeur :

  1. Configurez la proposition IKE.

    Note:

    ike-proposal1 Voici le nom de la proposition IKE donné par l’administrateur autorisé.

  2. Configurez la stratégie IKE.

    Note:

    Ici, ike-policy1 correspond au nom de la stratégie IKE et ike-proposal1 au nom de la proposition IKE donné par l’administrateur autorisé.
    Note:

    Vous devez entrer et saisir à nouveau la clé prépartagée lorsque vous y êtes invité. Par exemple, la clé prépartagée peut être CertSqa@jnpr2014.
    Note:

    La clé pré-partage peut également être saisie au format hexadécimal. Par exemple,

    Ici, la clé hexadécimale prépartagée peut être cc2014bae9876543.

  3. Configurez la proposition IPsec.

    Note:

    ipsec-proposal1 Voici le nom de la proposition IPsec donné par l’administrateur autorisé.

  4. Configurez la stratégie IPsec.

    Note:

    Ici, ipsec-policy1 correspond au nom de la stratégie IPsec et ipsec-proposal1 au nom de la proposition IPsec donné par l’administrateur autorisé.

  5. Configurez l’IKE.

    Note:

    Ici, est un nom de passerelle IKE, est l’adresse IP du point de terminaison VPN homologue, gw1 192.0.2.5 192.0.2.8 est l’adresse IP du point de terminaison VPN local et ge-0/0/2 est une interface sortante locale comme point de terminaison VPN. La configuration supplémentaire suivante est également nécessaire dans le cas d’IKEv2.

  6. Configurez le VPN.

    Note:

    vpn1 Voici le nom du tunnel VPN donné par l’administrateur autorisé.

  7. Configurez les stratégies de flux sortants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  8. Configurez les stratégies de flux entrants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  9. Validez votre configuration.

Configuration d’un VPN IPsec avec une signature RSA pour l’authentification IKE

La section suivante fournit un exemple de configuration d’équipements Junos OS pour un VPN IPsec à l’aide de RSA Signature comme méthode d’authentification IKE, tandis que les algorithmes utilisés dans l’authentification/le chiffrement IKE/IPsec sont présentés dans le tableau suivant. Dans cette section, vous allez configurer les appareils exécutant Junos OS pour le VPN IPsec à l’aide d’une signature RSA comme méthode d’authentification IKE. Les algorithmes utilisés dans l’authentification ou le chiffrement IKE ou IPsec sont présentés dans le tableau 3.

Tableau 3 : authentification et chiffrement IKE/IPsec

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de la phase 1 (P1, IKE)

Méthode d’authentification

Algorithme d’authentification

Groupe DH

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

RSA-signatures-2048

SHA-256

groupe19

AES-128-CBC

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de phase 2 (P2, IPsec)

Algorithme d’authentification

Groupe DH (PFS)

Méthode de cryptage

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

HMAC-SHA-256-128

groupe19

ESP

AES-128-CBC

Configuration du VPN IPsec avec signature RSA comme authentification IKE sur l’initiateur ou le répondeur

Pour configurer le VPN IPsec avec authentification IKE de signature RSA sur l’initiateur :

  1. Configurez l’infrastructure à clé publique. Voir Exemple : Configuration de l’infrastructure à clé publique.

  2. Générez la paire de clés RSA. Voir Exemple : Génération d’une paire de clés publique-privée.

  3. Générez et chargez le certificat d’autorité de certification. Voir Exemple : chargement manuel de certificats d’autorité de certification et locaux.

  4. Chargez la liste de révocation de certificats. Voir Exemple : chargement manuel d’une liste de révocation de certificats sur l’appareil .

  5. Générez et chargez un certificat local. Voir Exemple : chargement manuel de certificats d’autorité de certification et locaux.

  6. Configurez la proposition IKE.

    Note:

    Ici, ike-proposal1 est le nom donné par l’administrateur autorisé.

  7. Configurez la stratégie IKE.

    Note:

    Ici, ike-policy1 nom de la stratégie IKE donné par l’administrateur autorisé.

  8. Configurez la proposition IPsec.

    Note:

    Ici, ipsec-proposal1 est le nom donné par l’administrateur autorisé.

  9. Configurez la stratégie IPsec.

    Note:

    Ici, ipsec-policy1 est le nom donné par l’administrateur autorisé.

  10. Configurez l’IKE.

    Note:

    Ici, est l’adresse IP du point de terminaison VPN homologue, 192.0.2.8 192.0.2.5 l’adresse IP du point de terminaison VPN local et fe-0/0/1 l’interface sortante locale en tant que point de terminaison VPN. La configuration suivante est également requise pour IKEv2.

  11. Configurez le VPN.

    Note:

    vpn1 Voici le nom du tunnel VPN donné par l’administrateur autorisé.

  12. Configurez les stratégies de flux sortants.

    Note:

    Ici, trustZone et sont zone de sécurité préconfigurée et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  13. Configurez les stratégies de flux entrants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  14. Validez la configuration.

Configuration d’un VPN IPsec avec une signature ECDSA pour l’authentification IKE

Dans cette section, vous allez configurer les équipements exécutant Junos OS pour le VPN IPsec à l’aide d’une signature ECDSA comme méthode d’authentification IKE. Les algorithmes utilisés dans l’authentification ou le chiffrement IKE ou IPsec sont présentés dans le tableau 4.

Tableau 4 : authentification et chiffrement IKE ou IPsec

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de la phase 1 (P1, IKE)

Méthode d’authentification

Algorithme d’authentification

Groupe DH

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

ecdsa-signatures-256

SHA-384

groupe14

AES-256-CBC

Protocole IKE

Tunnel Mode

Mode de négociation Phase 1

Proposition de phase 2 (P2, IPsec)

Algorithme d’authentification

Groupe DH (PFS)

Méthode de cryptage

Algorithme de chiffrement

IKEv1

Principal

Itinéraire

Pas d’algorithme

groupe14

ESP

AES-256-GCM

Configuration du VPN IPsec avec l’authentification IKE de signature ECDSA sur l’initiateur

Pour configurer le VPN IPsec avec l’authentification IKE de signature ECDSA sur l’initiateur :

  1. Configurez l’infrastructure à clé publique. Voir Exemple : Configuration de l’infrastructure à clé publique.

  2. Générez la paire de clés RSA. Voir Exemple : Génération d’une paire de clés publique-privée.

  3. Générez et chargez le certificat d’autorité de certification. Voir Exemple : chargement manuel de certificats d’autorité de certification et locaux.

  4. Chargez la liste de révocation de certificats. Voir Exemple : chargement manuel d’une liste de révocation de certificats sur l’appareil .

  5. Générez et chargez un certificat local. Voir Exemple : chargement manuel de certificats d’autorité de certification et locaux.

  6. Configurez la proposition IKE.

    Note:

    ike-proposal1 Voici le nom de la proposition IKE donné par l’administrateur autorisé.

  7. Configurez la stratégie IKE.

  8. Configurez la proposition IPsec.

    Note:

    ipsec-proposal1 Voici le nom de la proposition IPsec donné par l’administrateur autorisé.

  9. Configurez la stratégie IPsec.

    Note:

    Ici, ipsec-policy1 correspond au nom de la stratégie IPsec et ipsec-proposal1 au nom de la proposition IPsec donné par l’administrateur autorisé.

  10. Configurez IKE.

    Note:

    Ici, est un nom de passerelle IKE, est l’adresse IP du point de terminaison VPN homologue, gw1 192.0.2.8 192.0.2.5 est l’adresse IP du point de terminaison VPN local et ge-0/0/2 est une interface sortante locale comme point de terminaison VPN. La configuration suivante est également requise pour IKEv2.

  11. Configurez le VPN.

    Note:

    vpn1 Voici le nom du tunnel VPN donné par l’administrateur autorisé.

  12. Configurez les stratégies de flux sortants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  13. Configurez les stratégies de flux entrants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  14. Validez votre configuration.

Configuration du VPN IPsec avec l’authentification IKE de signature ECDSA sur le répondeur

Pour configurer le VPN IPsec avec l’authentification IKE de signature ECDSA sur le répondeur :

  1. Configurez l’infrastructure à clé publique. Voir Exemple : Configuration de l’infrastructure à clé publique.

  2. Générez la paire de clés ECDSA. Voir Exemple : Génération d’une paire de clés publique-privée.

  3. Générez et chargez le certificat d’autorité de certification. Voir Exemple : chargement manuel de certificats d’autorité de certification et locaux.

  4. Chargez la liste de révocation de certificats. Voir Exemple : chargement manuel d’une liste de révocation de certificats sur l’appareil .

  5. Configurez la proposition IKE.

    Note:

    ike-proposal1 Voici le nom de la proposition IKE donné par l’administrateur autorisé.

  6. Configurez la stratégie IKE.

  7. Configurez la proposition IPsec.

    Note:

    ipsec-proposal1 Voici le nom de la proposition IPsec donné par l’administrateur autorisé.

  8. Configurez la stratégie IPsec.

    Note:

    Ici, ipsec-policy1 correspond au nom de la stratégie IPsec et ipsec-proposal1 au nom de la proposition IPsec donné par l’administrateur autorisé.

  9. Configurez l’IKE.

    Note:

    Ici, est un nom de passerelle IKE, est l’adresse IP du point de terminaison VPN homologue, gw1 192.0.2.5 192.0.2.8 est l’adresse IP du point de terminaison VPN local et ge-0/0/1 est une interface sortante locale comme point de terminaison VPN. La configuration suivante est également requise pour IKEv2.

  10. Configurez le VPN.

    Note:

    vpn1 Voici le nom du tunnel VPN donné par l’administrateur autorisé.

  11. Configurez les stratégies de flux sortants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  12. Configurez les stratégies de flux entrants.

    Note:

    Ici, trustZone et sont des zones de sécurité préconfigurées et et untrustZone trustLan untrustLan sont des adresses réseau préconfigurées.

  13. Validez votre configuration.

Voir aussi