Configurations d’association de sécurité minimale
Les sections suivantes présentent les configurations minimales nécessaires pour configurer des associations de sécurité (SA) pour les services IPsec :
Configuration manuelle minimale de la SA
Pour définir une configuration SA manuelle, vous devez inclure au moins les instructions suivantes au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
Configuration dynamique minimale de la SA
Pour définir une configuration SA dynamique, vous devez inclure au moins les instructions suivantes au niveau de la [edit services ipsec-vpn] hiérarchie :
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha-256); authentication-method pre-shared-keys; dh-group (group1 | group2 | group5 |group14 | group15 | group16 | group19 | group20 | group24); encryption-algorithm algorithm; } policy policy-name { proposals [ ike-proposal-names ]; pre-shared-key (ascii-text key | hexadecimal key); version (1 | 2); mode (aggressive | main); } } ipsec { policy policy-name { proposals [ ipsec-proposal-names ]; } proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); encryption-algorithm algorithm; protocol (ah | esp | bundle); } }
À partir de la version 11.4 de Junos OS, IKEv1 et IKEv2 sont pris en charge par défaut sur tous les routeurs M Series, MX Series et T Series. L’instruction
versionau niveau de la[edit services ipsec-vpn ike policy name]hiérarchie vous permet de configurer la version IKE spécifique à prendre en charge.L’instruction
modeau niveau de la hiérarchie n’est[edit services ipsec-vpn ike policy name]requise que si l’optionversionest définie sur 1.
Vous devez également inclure l’instruction ipsec-policy au niveau de la [edit services ipsec-vpn rule rule-name term term-name then dynamic] hiérarchie.