IPsec en ligne
Présentation IPsec en ligne
L’architecture IPsec fournit une suite de sécurité pour les couches réseau IP version 4 (IPv4) et IP version 6 (IPv6). La suite offre l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre le rejeu et la non-répudiation de la source.
L’architecture IPsec en ligne comprend un bloc moteur IPsec spécial qui prend en charge les opérations IPsec. Le PFE (moteur de transfert de paquets) est capable d’effectuer un chiffrement ou un déchiffrement IPsec en ligne dans le PFE sans avoir à décharger sur une carte de services. Par conséquent, IPsec en ligne peut atteindre un débit plus élevé.
- Principales caractéristiques du plan de données IPsec en ligne
- Associations de sécurité
- IKE
- Détection de pair mort (DPD)
- NAT-T
- Connectivité WAN IPsec
Principales caractéristiques du plan de données IPsec en ligne
Voici les principales caractéristiques du plan de données IPsec
-
Prend en charge les protocoles IPsec IPv4 et IPv6
-
Prend en charge les clés AES-GCM de 128 bits et de 256 bits
-
Prend en charge jusqu’à 2 000 tunnels par châssis
-
Chaque ASIC de transfert prend en charge deux moteurs de transfert de paquets. À partir de la version 24.4R1 de Junos OS, les deux moteurs de transfert de paquets peuvent être configurés pour prendre en charge jusqu’à 600 Gbit/s en semi-duplex (300 Gbit/s en semi-duplex par PFE).
Pour plus de détails sur la plate-forme et la prise en charge des versions de Junos, voir Explorateur de fonctionnalités.
La figure 1 illustre l’architecture du plan de données, du plan de contrôle, du plan de gestion et de l’interface API IPsec en ligne.
Les interfaces de services en ligne sont des interfaces virtuelles qui résident sur le moteur de transfert de paquets. Pour plus d’informations, reportez-vous à la section Activation des interfaces de service en ligne
Les routeurs MX Series qui prennent en charge les services IPsec en ligne n’utilisent pas de carte de services comme MS-MPC ou SPC3. À la place, vous pouvez configurer les services IPsec en ligne sur les MPC à l’aide de la convention de dénomination si-fpc/pic/port. Toutefois, pour configurer les services IPsec en ligne, vous devez activer les services nouvelle génération sur le routeur MX Series. Pour plus d’informations, reportez-vous à la section Infrastructure des services unifiés .
Vous pouvez configurer les services en ligne avec quatre si ifd par PIC au format si/fpc/pic/port-number. Si le fpc est 0 et l’image 0, vous pouvez avoir quatre si ifd – si-0/0/0, si-0/0/1 si-0/0/2 , et si-0/0/3.
Les fonctionnalités suivantes sont prises en charge :
-
Mode tunnel ESP avec AES-128-GCM et AES-256-GCM pour la SA IPsec pour les encapsulations IPv4 et IPv6.
-
32 bits et numéro de séquence étendu (64 bits).
-
IKEV2 avec identités locales et distantes, réauthentification, authentification à l’aide de certificats x509, fragmentation IKE.
-
Détection des pairs morts
-
Tunnel-MTU par VPN est pris en charge. Si le paquet IPsec dépasse le MTU configuré, il est pré-fragmenté puis encapsulé ESP. Cela empêche la fragmentation après encapsulation ESP.
-
Durée de vie de la SA en secondes (changement de clé IKE et IPsec).
-
Encapsulation UDP des paquets ESP.
Les fonctionnalités suivantes ne sont pas prises en charge :
-
En-tête d’authentification (AH)
-
Mode de transport
-
Réassemblage des paquets IPv4 avant le déchiffrement
-
Chiffrement nul selon RFC4543
-
IKE-V1
Les fonctionnalités IPsec et IKE prises en charge pour Inline IPsec répertorient les fonctionnalités IPsec et IKE prises en charge pour IPsec en ligne :
| Fonctionnalité |
Applicable à IKE |
Applicable à IPsec |
|---|---|---|
| MD5 |
Oui |
Non |
| SHA-256 |
Oui |
Non |
| SHA-384 |
Oui |
Non |
| SHA-512 |
Oui |
Non |
| AES-128-GCM |
Oui |
Oui |
| AES-256-GCM |
Oui |
Oui |
| 3DES-CBC |
Oui (non recommandé) |
Non |
| AES-128-CBC |
Oui |
Non |
| AES-192-CBC |
Oui |
Non |
| AES-256-CBC |
Oui |
Non |
| DES-CBC |
Oui (non recommandé) |
Non |
Une association de sécurité (SA) est une connexion simplex qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec. Une SA englobe les algorithmes de chiffrement et d’intégrité, les clés cryptographiques, la politique de sécurité et la durée de vie de la SA. Une SA IKE contient les attributs permettant d’établir une SA IPsec, tandis qu’une SA IPsec définit les attributs permettant de chiffrer le trafic de données réel.
ike-key-management-daemon (IKED), un démon Junos RE, maintient la durée de vie des SA IKE et IPsec. Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée avec une passerelle de sécurité homologue.
Vous pouvez rencontrer des pertes de paquets suite à une nouvelle clé IPsec. Pour atténuer ce problème, il est recommandé de définir des secondes de durée de vie différentes sur chaque homologue IPsec afin d’éviter les événements de changement de clé simultanés. Le lancement de la nouvelle clé IPsec a lieu à l’expiration de la durée de vie logicielle, c’est-à-dire légèrement avant les secondes de durée de vie configurées. Par exemple, si un côté est défini sur 86 400 secondes, l’autre côté doit avoir une configuration à vie comprise entre 83 000 et 84 000 secondes pour minimiser les risques de changement de clé simultané.
De plus, pour Inline IPsec, il peut être nécessaire de configurer le install-interval en fonction des caractéristiques du réseau pour obtenir un processus de renouvellement des clés sans perte. Il est conseillé de définir la valeur la mieux adaptée au réseau pour éviter la perte de paquets lors de la reclé, en particulier dans les scénarios où la install-interval latence du réseau est un problème.
Associations de sécurité
Pour utiliser les services de sécurité IPsec, vous devez créer des SA entre deux points de terminaison. Une SA est une connexion simplexe qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec. Il existe deux types d’AS :
-
Les AS manuelles ne nécessitent aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles définissent de manière statique les valeurs SPI, les algorithmes et les clés à utiliser et exigent des configurations correspondantes aux deux extrémités du tunnel. Chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.
-
Les SA dynamiques nécessitent une configuration supplémentaire. . L’IKE crée des associations de sécurité active ; il négocie les SA pour IPsec. La configuration IKE définit les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue. Cette connexion est ensuite utilisée pour s’accorder dynamiquement sur les clés et autres données utilisées par la SA IPsec dynamique. La SA IKE est d’abord négociée, puis utilisée pour protéger les négociations qui déterminent les SA IPsec dynamiques.
IKE
IKE est un protocole de gestion des clés qui crée des SA dynamiques ; il négocie les SA pour IPsec. Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée avec une passerelle de sécurité homologue.
IKE effectue les tâches suivantes :
-
Négocie et gère les paramètres IKE et IPsec.
-
Authentifie l’échange de clés sécurisé.
-
Fournit une authentification mutuelle des pairs au moyen de secrets partagés (pas de mots de passe) et de clés publiques.
-
Fournit une protection de l’identité (en mode principal).
Inline IPsec ne prend en charge qu’IKE version 2 (IKE v2). L’IKE négocie les attributs de sécurité et établit des secrets partagés pour former l’architecture bidirectionnelle IKE SA. Une fois les SA IKE négociées, les SA IPsec entrantes et sortantes sont établies, et la SA IKE sécurise l’échange des SA IPsec. IKE génère également du matériel de clé, fournit un secret de transmission parfait et échange des identités.
En mode de réponse uniquement, le routeur MX Series ne lance pas de négociations IKE, il répond uniquement aux négociations IKE initiées par la passerelle homologue. Cela peut être nécessaire lors de l’interopérabilité avec des équipements d’autres fournisseurs, tels que les appareils Cisco. Comme le MX Series ne prend pas en charge les valeurs de protocole et de port dans le sélecteur de trafic, il ne peut pas initier de tunnel IPsec vers la passerelle homologue d’un autre fournisseur qui attend ces valeurs. En configurant le mode de réponse uniquement sur le MX Series, le MX peut accepter le sélecteur de trafic dans la négociation IKE initiée à partir de la passerelle homologue.
La figure 2 illustre l’échange IPsec SA et IKE entre les passerelles homologues.
Détection de pair mort (DPD)
DPD est une méthode utilisée pour vérifier la vivacité de l’homologue IKE afin d’éviter le blackholing du trafic IPsec. Un appareil effectue cette vérification en envoyant périodiquement des sondes DPD (message R-U-THERE) et en attendant la réponse de DPD (message R-U-THERE-ACK).
Vous pouvez configurer DPD dans les modes suivants :
-
always-send : demande à l’équipement d’envoyer une sonde DPD à intervalles réguliers, qu’il y ait ou non du trafic IPsec sortant vers l’homologue.
-
optimisé : envoie une sonde DPD s’il n’y a pas de trafic IKE ou IPsec entrant dans l’intervalle configuré après l’envoi des paquets sortants à l’homologue. Il s’agit du mode DPD par défaut.
-
probe-idle-tunnel : envoie une sonde DPD pendant les temps d’inactivité du trafic entre les pairs.
NAT-T
La traduction d’adresses réseau (NAT-T) est une méthode utilisée pour gérer les problèmes liés à la traduction d’adresses IP rencontrés lorsque les données protégées par IPsec passent par un équipement configuré avec NAT pour la traduction d’adresses
Connectivité WAN IPsec
Les routeurs MX Series qui prennent en charge IPsec en ligne disposent de deux tranches PFE (Packet Forwarding Engine) par ASIC YT. Chaque tranche PFE est capable de gérer jusqu’à 800 Gbit/s de bande passante. Chaque tranche PFE comporte deux groupes de ports (PG), pour un total de quatre PG par YT
ports
Chaque PG prend en charge jusqu’à 400 Gbit/s de bande passante pour la connectivité WAN pour le trafic normal (non-IPsec). Le groupe de ports 0 de chaque tranche PFE peut prendre en charge IPsec.
Chaque groupe de ports prenant en charge IPsec peut prendre en charge une connectivité WAN allant jusqu’à 300 Gbit/s pour le trafic IPsec, tandis que les 100 Gbit/s restants peuvent être utilisés pour le trafic non IPsec.
Vous pouvez utiliser le show chassis fpc slot-number pic slot-number pour afficher les informations sur le groupe de ports et l’état de connectivité WAN d’un port.
| Plate-forme |
Différence |
|---|---|
| MX304 |
Permet une insertion et un retrait en ligne LMIC fluides |
| MX301, MX304 et MX10008 |
Prise en charge de la QKD. Voir Présentation de la sécurité quantique pour plus d’informations. |
Voir aussi
Exemple : configuration d’un tunnel IPSec en ligne point à point
Cet exemple montre comment configurer un tunnel IPsec en ligne point à point pour permettre le transfert sécurisé de données entre deux sites.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Appareil MX304 sur lequel les services unifiés sont activés et les licences requises. Pour activer les services unifiés sur l’appareil, exécutez
request system enable unified-servicesà partir de la CLI et redémarrez l’appareil. Pour plus de détails, reportez-vous à la section (Infrastructure de services unifiés). -
Junos OS version 24.2R1 ou ultérieure pour les routeurs MX Series
Vue d’ensemble
La figure 1 illustre une topologie avec un tunnel IPSec en ligne établi entre deux homologues MX304 (Peer1 et Peer2). Dans cet exemple, vous configurez un VPN basé sur le routage sur Peer1 (MX304) et Peer2 (MX304). L’hôte 1 et l’hôte 2 utilisent le VPN pour envoyer du trafic en toute sécurité sur Internet entre les deux hôtes.
MX304
Dans cet exemple, vous configurez les services en ligne (pour activer les services en ligne sur le PIC), l’ensemble de services, la stratégie de sécurité, les interfaces et une route IPv4 par défaut. Voir les tableaux 3 à 7 pour connaître les paramètres de configuration spécifiques utilisés dans cet exemple.
| Fonctionnalité |
Paramètres de configuration |
|---|---|
| services en ligne |
services en ligne |
| Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
| ensemble de services |
SS1 |
Interface de service interne (si-0/0/0.) Interface de service externe (si-0/0/0.1) IPsec-VPN est ipsec_vpn |
| Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
| Proposition |
ike_prop |
Méthode d’authentification : clés pré-partagées |
| Politique |
ike_policy |
|
| Passerelle |
ike_gw |
|
| Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
| Proposition |
ike_prop |
|
| Politique |
ike_policy |
|
| VPN |
ipsec_vpn |
|
| Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
| Interfaces |
|
|
| Routes statiques |
2.2.2.0/24 |
Le saut suivant est st0.1 |
La configuration
Dans cet exemple, vous activez les services en ligne, configurez les paramètres de l’ensemble de services, les paramètres de configuration IKE et IPsec, et la configuration de l’interface et du routage statique pour Peer1. Vous pouvez utiliser la même configuration avec un changement d’adresse de passerelle IPSec, d’adresses d’interface, etc. sur Peer2.
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [edit] :
set chassis fpc 0 pic 0 inline-services set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 set services service-set ss1 ipsec-vpn ipsec_vpn set security ike proposal ike_prop description "IKE Proposal" set security ike proposal ike_prop authentication-method pre-shared-keys set security ike policy ike_policy mode main set security ike policy ike_policy proposals ike_prop set security ike policy ike_policy pre-shared-key ascii-text "test123" set security ike gateway ike_gw ike-policy ike_policy set security ike gateway ike_gw address 16.1.1.1 set security ike gateway ike_gw external-interface et-0/2/10 set security ike gateway ike_gw local-address 16.1.1.2 set security ike gateway ike_gw version v2-only set security ipsec proposal ipsec_prop description "IPSec Proposal" set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm set security ipsec policy ipsec_policy proposals ipsec_prop set security ipsec vpn ipsec_vpn bind-interface st0.1 set security ipsec vpn ipsec_vpn copy-outer-dscp set security ipsec vpn ipsec_vpn ike gateway ike_gw set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpn ike install-interval 3 set security ipsec vpn ipsec_vpn establish-tunnels immediately set interfaces et-0/0/0 unit 0 family inet address 1.1.1.1/24 set interfaces si-0/0/0 unit 0 family inet set interfaces si-0/0/0 unit 0 family inet6 set interfaces si-0/0/0 unit 0 service-domain inside set interfaces si-0/0/0 unit 1 family inet set interfaces si-0/0/0 unit 1 family inet6 set interfaces si-0/0/0 unit 1 service-domain outside set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 set interfaces st0 unit 1 family inet set routing-options static route 2.2.2.0/24 next-hop st0.1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI Junos OS
Pour configurer Inline IPsec sur le routeur MX304 :
-
Activez les services en ligne.
[edit] user@host# set chassis fpc 0 pic 0 inline-services
-
Configurer un ensemble de services
[edit] user@host# set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 user@host# set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 user@host# set services service-set ss1 ipsec-vpn ipsec_vpn
-
Configurer la proposition de sécurité IKE
[edit] user@host# set security ike proposal ike_prop description "IKE Proposal" user@host# set security ike proposal ike_prop authentication-method pre-shared-keys
-
Configurer la stratégie de sécurité IKE
[edit] user@host# set security ike policy ike_policy mode main user@host# set security ike policy ike_policy proposals ike_prop user@host# set security ike policy ike_policy pre-shared-key ascii-text test123
-
Configurer la passerelle IKE de sécurité
[edit] user@host# set security ike gateway ike_gw ike-policy ike_policy user@host# set security ike gateway ike_gw address 16.1.1.1 user@host# set security ike gateway ike_gw external-interface et-0/2/10 user@host# set security ike gateway ike_gw local-address 16.1.1.2 user@host# set security ike gateway ike_gw version v2-only
-
Configurer la proposition de sécurité IPsec
[edit] user@host# set security ipsec proposal ipsec_prop description "IPSec Proposal" user@host# set security ipsec proposal ipsec_prop protocol esp user@host# set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm
-
Configurer la stratégie de sécurité IPsec
[edit] user@host# set security ipsec policy ipsec_policy proposals ipsec_prop
-
Configurer la sécurité VPN IPsec
[edit] user@host# set security ipsec vpn ipsec_vpn bind-interface st0.1 user@host# set security ipsec vpn ipsec_vpn copy-outer-dscp user@host# set security ipsec vpn ipsec_vpn ike gateway ike_gw user@host# set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpn ike install-interval 3 user@host# set security ipsec vpn ipsec_vpn establish-tunnels immediately
-
Configurez les interfaces.
[edit] user@host# set interfaces et-0/0/0 unit 0 family inet address 1.1.1.1/24 user@host# set interfaces si-0/0/0 unit 0 family inet user@host# set interfaces si-0/0/0 unit 0 family inet6 user@host# set interfaces si-0/0/0 unit 0 service-domain inside user@host# set interfaces si-0/0/0 unit 1 family inet user@host# set interfaces si-0/0/0 unit 1 family inet6 user@host# set interfaces si-0/0/0 unit 1 service-domain outside user@host# set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6
-
Configurer static-route
[edit] user@host# set routing-options static route 2.2.2.0/24 next-hop st0.1
Résultats
En mode configuration, confirmez votre configuration en entrant les show security ike commandes and show security ipsec . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit security ike]
root@peer1# show
proposal ike_prop {
description "IKE Proposal";
authentication-method pre-shared-keys;
}
policy ike_policy {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$OY8RBcl8LNbYo7-"; ## SECRET-DATA
}
gateway ike_gw {
ike-policy ike_policy;
address 16.1.1.1;
external-interface et-0/2/10;
local-address 16.1.1.2;
version v2-only;
}
gateway ike_gwv6 {
ike-policy ike_policy;
address 1611::1;
external-interface et-0/2/10;
local-address 1611::2;
version v2-only;
}
[edit security ipsec]
root@peer1# show
proposal ipsec_prop {
description "IPSec Proposal";
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy ipsec_policy {
proposals ipsec_prop;
}
vpn ipsec_vpn {
bind-interface st0.1;
ike {
gateway ike_gw;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
Vérification
Effectuez ces tâches pour confirmer que la configuration IPsec en ligne fonctionne correctement
- Vérifier l’état de l’IKE
- Vérification du statut IPsec
- Tester le trafic sur un tunnel IPSec
- Examinez les statistiques de trafic IPsec et les erreurs globales
Vérifier l’état de l’IKE
Objet
Vérifiez l’état d’IKE.
Mesures à prendre
En mode opérationnel, entrez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 detail
IKE peer 16.1.1.1, Index 1, Gateway Name: ike_gw
Role: Responder, State: UP
Initiator cookie: 422250f57a089b14, Responder cookie: 02ae4230bbf3c3fc
Exchange type: IKEv2, Authentication method: Pre-shared-keys
Local gateway interface: et-0/2/10.0
Routing instance: default
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Lifetime: Expires in 14789 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Unknown Client
Peer ike-id: 16.1.1.1
AAA assigned IP: 0.0.0.0
PPK-profile: None
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1778
Output bytes : 1706
Input packets: 10
Output packets: 10
Input fragmented packets: 0
Output fragmented packets: 0
IPSec security associations: 10 created, 4 deleted
Phase 2 negotiations in progress: 1
IPSec Tunnel IDs: 500001
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Local identity: 16.1.1.2
Remote identity: 16.1.1.1
Flags: IKE SA is created
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 4
Response In : 0 Response Out : 4
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
Signification
La sortie de la show security ike security-associations commande répertorie toutes les SA IKE actives. Si aucune SA n’est répertoriée, cela implique qu’il y a un problème avec l’établissement de l’IKE. Vérifiez les paramètres de stratégie IKE et les paramètres d’interface externe dans votre configuration.
Si des SA sont répertoriés, passez en revue les informations suivantes :
-
Index : la valeur Index est unique pour chaque SA IKE, que vous pouvez utiliser dans la
show security ike security-associations index detailcommande pour obtenir plus d’informations sur la SA. -
Adresse distante : vérifiez que l’adresse IP distante est correcte
-
État
-
UP : indique que la SA IKE a été établie.
-
DOWN : indique un problème lors de l’établissement de la SA IKE.
-
-
Mode : vérifiez que le mode utilisé est le bon
Vérifiez que les éléments suivants sont corrects dans votre configuration :
-
Interfaces externes (l’interface doit recevoir les paquets IKE)
-
Paramètres de la stratégie IKE
-
Informations clés pré-partagées
-
Paramètres de proposition (doit correspondre aux deux pairs)
La show security ike security-associations index 1 detail commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1
-
Algorithmes d’authentification et de chiffrement utilisés
-
À vie
-
Informations sur le rôle
Vérification du statut IPsec
Objet
Vérifier l’état IPsec
Mesures à prendre
En mode opérationnel, entrez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail commande.
user@host> show security ipsec security-associations Total active tunnels: 2 Total IPsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <500001 ESP:aes-gcm-256/aes256-gcm 0x8d92e737 3414/ unlim - root 500 16.1.1.1 >500001 ESP:aes-gcm-256/aes256-gcm 0x78634c46 3414/ unlim - root 500 16.1.1.1
user@host> show security ipsec security-associations index 500001
ID: 500001 Virtual-system: root, VPN Name: ipsec_vpn
Local Gateway: 16.1.1.2, Remote Gateway: 16.1.1.1
Local Identity: ipv4(0.0.0.0-255.255.255.255)
Remote Identity: ipv4(0.0.0.0-255.255.255.255)
TS Type: proxy-id
Version: IKEv2
Quantum Secured: No
PFS group: N/A
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Enabled, Bind-interface: st0.1 , Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
Tunnel events:
Sun Oct 13 2024 11:33:44: IPSec SA is deleted because received DEL notification from peer (5 times) <- [repeated sequence END]
Sun Oct 13 2024 11:33:43: IPsec SA rekey succeeds (5 times) <- [repeated sequence START]
Sun Oct 13 2024 07:27:27: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 0
Anchorship: Thread 0
Distribution-Profile: si-0/0/0
Direction: inbound, SPI: 0x8d92e737, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
Direction: outbound, SPI: 0x78634c46, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
Signification
La sortie de la show security ipsec security-associations commande répertorie les informations suivantes :
-
Le numéro d’identification est 500001. Utilisez cette valeur avec la commande pour obtenir plus d’informations
show security ipsec security-associations indexsur cette SA particulière. -
Il existe une paire de SA IPsec utilisant le port 500, ce qui indique qu’aucune traversée NAT n’est implémentée. (La traversée NAT utilise le port 4500 ou un autre port aléatoire à nombre élevé.)
-
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la taille en Ko) sont affichés pour les deux directions. La valeur 3405/ illimité indique que la durée de vie expire dans 3405 secondes et qu’aucune taille réelle n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie peut différer d’une durée de vie à l’autre, car IPsec ne dépend pas d’IKE une fois le VPN activé.
-
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon . Si la surveillance VPN est activée, U indique que la surveillance est active et D indique que la surveillance est désactivée.
La sortie de la show security ipsec security-associations index 500001 detail commande répertorie les informations suivantes :
-
L’identité locale et l’identité distante constituent l’ID de proxy pour la SA.
Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec IPsec. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions IPsec, y compris les paramètres d’ID de proxy, sont correctes pour les deux pairs. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0.
Tester le trafic sur un tunnel IPSec
Objet
Vérifiez le flux de trafic sur le tunnel IPSec.
Mesures à prendre
-
Envoyez du trafic IPv4 en texte clair de l’hôte 1 à l’hôte 2 et vice-versa.
-
Flux de trafic de l’hôte 1 vers l’hôte 2 : IP src : 1.1.1.1 et IP Dst : 2.2.2.2
-
Flux de trafic de l’hôte 1 vers l’hôte 2 : IP SRC : 2.2.2.2 et IP Dst : 1.1.1.1
Signification
Sur Peer1 :
-
Le trafic IPv4 en texte clair reçu de Host1 serait chiffré avant d’être envoyé à Peer2
-
Le trafic chiffré reçu de Peer2 serait déchiffré avant d’être envoyé vers Host1
Examinez les statistiques de trafic IPsec et les erreurs globales
Objet
Examinez les compteurs et les erreurs d’en-tête ESP et d’authentification pour une association de sécurité IPsec.
Mesures à prendre
En mode opérationnel, entrez show security ipsec statistics pour afficher les statistiques au niveau global et show security ipsec statistics index index_number commandez, en utilisant le numéro d’index IPsec pour afficher les statistiques au niveau de l’index du tunnel.
user@host> show security ipsec statistics ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
user@host> show security ipsec statistics index 500001 ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Signification
Si vous constatez des problèmes de perte de paquets sur un VPN, exécutez la show security ipsec statistics commande or show security ipsec statistics index index_number plusieurs fois pour confirmer si les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vérifiez la sortie de la commande pour les compteurs d’erreurs incrémentielles.
clear security ipsec statistics commande.
Transfert de paquets IPsec en ligne
La figure 5 illustre une vue d’ensemble d’une traversée de paquets IP. Le paquet IP pénètre dans le routeur via une interface entrante et subit une encapsulation ESP.
ESP et transfert de paquets IP
La figure 6 illustre une vue d’ensemble d’un paquet encapsulé ESP qui pénètre dans le routeur par le biais d’une interface entrante et subit une décapsulation.
ESP
Transfert multichemin IPsec en ligne avec encapsulation UDP
- Encapsulation UDP du trafic ESP
- Encapsulation du trafic VXLAN de couche 3 à l’aide d’interfaces de tunnel flexibles (FTI)
Encapsulation UDP du trafic ESP
IPsec fournit des tunnels sécurisés entre deux pairs, et les paquets encapsulés IPsec ont des en-têtes IP qui contiennent des adresses IP de point de terminaison de tunnel qui ne changent pas. Il en résulte la sélection d’un chemin de transfert unique entre les pairs, comme illustré à la Figure 7. Lorsque le trafic IPsec circule entre des datacenters comptant des milliers d’hôtes, cette sélection d’un seul chemin limite le débit.
de transfert unique
Vous pouvez résoudre ce problème en activant l’encapsulation UDP des paquets IPsec, qui ajoute un en-tête UDP après l’en-tête ESP, comme illustré à la Figure 8 . Les informations des couches 3 et 4 sont ainsi transmises aux routeurs intermédiaires, et les paquets IPsec sont transférés sur plusieurs chemins, comme illustré à la figure 9 . Vous activez l’encapsulation UDP pour l’ensemble de services.
UDP ajouté
de transfert
Vous pouvez configurer le port de destination UDP avec une valeur comprise entre 1025 et 65536. Le numéro de port de destination par défaut est 500. Vous ne pouvez pas configurer 4500 comme port de destination, car il s’agit d’un port bien connu pour les traversées NAT.
La valeur de port source générée est comprise entre 49152 et 65535.
L’encapsulation UDP prend en charge la traduction d’adresses réseau (NAT-T)
La détection d’un périphérique NAT entre homologues IPsec est prioritaire sur la configuration de l’encapsulation UDP. Si l’encapsulation UDP est configurée entre deux pairs, mais que le NAT est détecté entre les mêmes pairs, des mécanismes NAT-Traversal sont implémentés.
Un paquet IP entrant est perdu si :
-
udp-encapsulationest activée et si le paquet IP reçu n’a pas d’en-tête UDP. -
udp-encapsulationest activé et si le port de destination UDP n’est pas le même que configuré. -
udp-encapsulationest activé et si le port de destination UDP n’est pas 500 ou n’est pas configuré.
Pour activer ou désactiver l’encapsulation UDP et configurer le port de destination UDP :
Configurez le port de destination global non standard. Ceci est nécessaire pour enregistrer ou ouvrir le port pour IPsec. Vous ne pouvez pas attribuer par défaut le port 500 et le port 4500 car ils sont liés à IPsec.
[edit security ike] user@host> set packet-encapsulation dest-port dest-port
Activez l’encapsulation des paquets dans la passerelle IKE.
[edit security ike gateway gw1] user@host> set packet-encapsulation
Configurez le port de destination UDP sur un port non standard.
[edit security ike gateway gw1] user@host> set packet-encapsulation use-global-dest-port
Encapsulation du trafic VXLAN de couche 3 à l’aide d’interfaces de tunnel flexibles (FTI)
Junos OS prend en charge le trafic VXLAN sur un tunnel IPsec en utilisant à la fois des FTI et des VXLAN VTEP. Pour plus d’informations, consultez Configuration d’interfaces de tunnel flexibles et Présentation des VXLAN.
Prise en charge des normes IPsec et IKE pour Inline IPsec
Les RFC suivants fournissent des informations sur IPsec, l’IKE et les technologies associées :
-
RFC 2085, authentification IP HMAC-MD5 avec prévention de relecture
-
RFC 2401, Architecture de sécurité pour le protocole Internet (obsolète par RFC 4301)
-
RFC 2402, En-tête d’authentification IP (obsolète par RFC 4302)
-
RFC 2403 L’utilisation de HMAC-MD5-96 dans ESP et AH
-
RFC 2404 L’utilisation de HMAC-SHA-1-96 dans ESP et AH (obsolète par RFC 4305)
-
RFC 2405 Algorithme de chiffrement ESP DES-CBC avec IV explicite
-
RFC 2406 Encapsulation IP de la charge utile de sécurité (ESP) (obsolète par RFC 4303 et RFC 4305)
-
RFC 2407 Domaine d’interprétation de la sécurité IP sur Internet pour ISAKMP (obsolète par RFC 4306)
-
RFC 2408 Internet Sécurité Association and Key Management Protocol (ISAKMP) (obsolète par RFC 4306)
-
RFC 2409 The Internet Key Exchange (IKE) (obsolète par RFC 4306)
-
RFC 2410 L’algorithme de chiffrement NULL et son utilisation avec IPsec
-
RFC 2451 Algorithmes de chiffrement en mode CBC ESP
-
Protocole d’état des certificats en ligne d’infrastructure à clé publique Internet RFC 2560 X.509 - OCSP (Internet Public Key Infrastructure)
-
RFC 3193 Sécurisation L2TP à l’aide d’IPsec
-
Certificat d’infrastructure à clé publique RFC 3280 Internet X.509 et profil de liste de révocation de certificats (CRL)
-
RFC 3602 L’algorithme de chiffrement AES-CBC et son utilisation avec IPsec
-
Encapsulation UDP RFC 3948 des paquets ESP IPsec
-
RFC 4106 Utilisation du mode Galois/compteur (GCM) dans l’encapsulation d’une charge utile de sécurité (ESP) IPsec
-
RFC 4210 Internet X.509 Infrastructure à clé publique Protocole de gestion des certificats (CMP)
-
RFC 4211, Format de message de demande de certificat d’infrastructure à clé publique Internet X.509 (CRMF)
-
RFC 4301, Architecture de sécurité pour le protocole Internet
-
RFC 4302, En-tête d’authentification IP
-
RFC 4303, Encapsulation IP des charges utiles de sécurité (ESP)
-
RFC 4305, Exigences d’implémentation des algorithmes cryptographiques pour l’encapsulation d’une charge utile de sécurité (ESP) et d’un en-tête d’authentification (AH)
-
RFC 4306, Protocole Internet Key Exchange (IKEv2)
-
RFC 4307, Algorithmes cryptographiques à utiliser dans l’Internet Key Exchange version 2 (IKEv2)
-
RFC 4308, Suites cryptographiques pour IPsec
Seul Suite VPN-A est pris en charge dans Junos OS.
-
Authentification RFC 4754, IKE et IKEv2 à l’aide de l’algorithme de signature numérique à courbe elliptique (ECDSA)
-
RFC 4835, Exigences d’implémentation des algorithmes cryptographiques pour l’encapsulation d’une charge utile de sécurité (ESP) et d’un en-tête d’authentification (AH)
-
RFC 5996, Internet Key Exchange Protocol Version 2 (IKEv2) (obsolète par RFC 7296)
-
RFC 7296, Internet Key Exchange Protocol version 2 (IKEv2)
-
RFC 7427, Authentification des signatures dans l’Internet Key Exchange version 2 (IKEv2)
-
RFC 7634, ChaCha20, Poly1305 et leur utilisation dans le protocole Internet Key Exchange (IKE) et IPsec
-
RFC 8200, spécification du protocole Internet, version 6 (IPv6)
Junos OS prend partiellement en charge les RFC suivants pour IPsec et IKE :
-
RFC 3526, Groupes de Diffie-Hellman MODP (More Modular Exponentiel) pour Internet Key Exchange (IKE)
-
RFC 5114, Groupes Diffie-Hellman supplémentaires à utiliser avec les normes IETF
-
RFC 5903, Groupes de courbes elliptiques modulo a Prime (groupes ECP) pour IKE et IKEv2
Les RFC et l’ébauche Internet suivantes ne définissent pas les normes, mais fournissent des informations sur IPsec, IKE et les technologies associées. L’IETF les classe comme « informationnels ».
-
RFC 2104, HMAC : hachage à clé pour l’authentification des messages
-
RFC 2412, Le protocole de détermination de clé OAKLEY
-
RFC 3706, Une méthode basée sur le trafic de détection des pairs Internet Key Exchange morts (IKE)
-
Internet draft draft-eastlake-sha2-02.txt, US Secure Hash Algorithms (SHA et HMAC-SHA) (expire en juillet 2006)
Voir aussi
IPsec en ligne avec prise en charge du sélecteur de trafic
L’intégration de sélecteurs de trafic dans les déploiements IPsec en ligne offre un contrôle nuancé sur la gestion du trafic VPN. En définissant des sélecteurs de trafic, définissez des critères pour les adresses IP locales et distantes qui peuvent traverser le tunnel IPsec, créant ainsi des règles qui déterminent le flux de trafic.
Sélecteur de trafic pour IPsec en ligne
Vue d’ensemble
Inline IPsec vous permet d’effectuer le chiffrement et le déchiffrement directement dans le moteur de transfert de paquets, améliorant ainsi la sécurité et l’efficacité en éliminant le besoin d’une carte de services dédiée. Les configurations de type Sélecteur de trafic permettent de créer plusieurs associations de sécurité IPsec de phase 2 avec des paramètres de trafic distincts, offrant une gestion précise de la sécurité et appliquant strictement la politique de sécurité. Le sélecteur de trafic facilite le contrôle granulaire du trafic de tunnel IPsec en permettant le filtrage basé sur les paires d’adresses locales et distantes configurées et négociées.
Dans les implémentations MX-SPC3, le sélecteur de trafic est géré par la carte de services. Cependant, avec IPsec en ligne, le moteur de transfert de paquets MX prend le rôle d’appliquer le sélecteur de trafic. Un sélecteur de trafic est un accord entre des homologues IKE autorisant le trafic via un tunnel si le trafic correspond à une paire spécifiée d’adresses locales et distantes. D’autres paramètres tels que le port source, le port distant et le protocole peuvent également être utilisés pour la sélection du trafic. Essentiellement, un sélecteur de trafic agit comme un filtre créé par l’IKE et appliqué par le PFE. Selon la configuration, ce filtre (ou cet ensemble de filtres) fonctionne dans deux scénarios principaux :
Trafic entrant vers le tunnel : si le paquet IP en texte brut entrant satisfait le sélecteur de trafic, le paquet est transféré vers le tunnel IPSec pour traitement ESP.
Trafic entrant dans le tunnel : une fois que le paquet a subi un traitement ESP, le paquet IP en texte brut est transféré, s’il satisfait le sélecteur de trafic
Le système prend en charge le mode tunnel sécurisé et les protocoles ESP, essentiels pour garantir des normes de sécurité robustes, tandis que le mode de transport et l’en-tête d’authentification (AH) sont exclus en raison des limitations du plan de contrôle.
Configuration et compatibilité
Le sélecteur de trafic IPsec en ligne prend en charge le mode de tunnel ESP, ce qui garantit une sécurité renforcée de vos communications réseau. Pour configurer un sélecteur de trafic, utilisez l’instruction de traffic-selector configuration au niveau de la hiérarchie [edit security ipsec vpn vpn-name]. Le sélecteur de trafic est défini à l’aide des instructions et remote-ip ip-address/netmask obligatoireslocal-ip ip-address/netmask. Pour plus d’informations, consultez traffic-selector.
La commande show security ipsec security-association detail opérationnelle de la CLI affiche les informations du sélecteur de trafic pour les SA. La show security ipsec security-association traffic-selector traffic-selector-name commande CLI affiche des informations pour un sélecteur de trafic spécifié.
Pour un sélecteur de trafic donné, une adresse et un masque de réseau uniques sont spécifiés pour les adresses locale et distante. Les sélecteurs de trafic peuvent être configurés avec des adresses IPv4 ou IPv6.
Plusieurs sélecteurs de trafic peuvent être configurés pour le même VPN. Un maximum de 200 sélecteurs de trafic peut être configuré pour chaque VPN. Les sélecteurs de trafic peuvent être utilisés avec les modes de tunnel IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 ou IPv6-in-IPv4.
Les fonctionnalités suivantes ne sont pas prises en charge avec les sélecteurs de trafic :
-
Différentes familles d’adresses configurées pour les adresses IP locales et distantes dans le même sélecteur de trafic
-
Une adresse distante de 0.0.0.0/0 (IPv4) ou 0 ::0 (IPv6) pour les VPN de site à site
-
Protocoles de routage dynamiques configurés sur les interfaces st0
Vous pouvez configurer plusieurs ensembles de préfixe IP local, de préfixe IP distant, de plage de ports source, de plage de ports de destination et de protocole pour la sélection du trafic. Cela signifie que plusieurs ensembles de plages d’adresses IP, de plages de ports et de protocoles peuvent faire partie du même sélecteur de trafic, tel que défini dans la RFC 7296. Lorsque vous configurez plusieurs sélecteurs de trafic, chacun conduit à une négociation distincte qui aboutit aux multiples tunnels IPsec. Par contre, si vous configurez plusieurs termes sous un même sélecteur de trafic, cette configuration entraîne une négociation SA IPsec unique avec plusieurs préfixes IP, ports et protocoles.
Comprendre l’insertion automatique de routes
L’insertion automatique de route (ARI) insère automatiquement une route statique pour le réseau et les hôtes distants protégés par un point de terminaison de tunnel distant. Une route est créée en fonction de l’adresse IP distante configurée dans le sélecteur de trafic. Dans le cas des sélecteurs de trafic, l’adresse distante configurée est insérée en tant que route dans l’instance de routage associée à l’interface st0 liée au VPN.
Les protocoles de routage et la configuration des sélecteurs de trafic sont des moyens mutuellement exclusifs de diriger le trafic vers un tunnel. Les routes ARI peuvent entrer en conflit avec les routes renseignées via des protocoles de routage. Par conséquent, vous ne devez pas configurer les protocoles de routage sur une interface st0 liée à un VPN sur lequel les sélecteurs de trafic sont configurés.
L’ARI est également connue sous le nom d’insertion par voie inverse (RRI). Les routes ARI sont insérées dans la table de routage comme suit :
-
Si l’option
establish-tunnels immediatelyest configurée au niveau de la hiérarchie [edit security ipsec vpn vpn-name], les routes ARI sont ajoutées une fois les négociations des phases 1 et 2 terminées. Comme aucune route n’est ajoutée tant que les SA ne sont pas établies, l’échec d’une négociation n’entraîne pas le routage du trafic vers une interface st0 arrêtée. Un tunnel alternatif ou de secours est utilisé à la place. -
Si l’option n’est
establish-tunnels immediatelypas configurée au niveau de la hiérarchie [edit security ipsec vpn vpn-name], les routes ARI sont ajoutées lors de la validation de la configuration. -
Une route ARI n’est pas ajoutée si l’adresse distante configurée ou négociée dans un sélecteur de trafic est 0.0.0.0/0 ou 0 ::0.
La préférence pour la route ARI statique est 5. Cette valeur est nécessaire pour éviter tout conflit avec des routes similaires qui pourraient être ajoutées par un processus de protocole de routage.
La route ARI statique ne peut pas être transférée à d’autres instances de routage à l’aide de la rib-groups configuration. Utilisez la configuration pour divulguer les import-policy routes ARI statiques.
- Chevauchement d’adresses IP dans un même VPN lié à la même interface st0
- Chevauchement d’adresses IP dans différents VPN liés à différentes interfaces st0
Chevauchement d’adresses IP dans un même VPN lié à la même interface st0
Lorsque des adresses IP qui se chevauchent sont configurées pour plusieurs sélecteurs de trafic dans le même VPN, le premier sélecteur de trafic configuré qui correspond au paquet détermine le tunnel utilisé pour le chiffrement des paquets.
Dans l’exemple suivant, quatre sélecteurs de trafic (ts-1, ts-2, ts-3 et ts-4) sont configurés pour le VPN (vpn-1), qui est lié à l’interface st0.1 point à point :
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
traffic-selector ts-3 {
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
traffic-selector ts-4 {
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
Un paquet avec une adresse source 192.168.5.5 et une adresse de destination 10.1.5.10 correspond aux sélecteurs de trafic ts-1 et ts-2. Cependant, le sélecteur de trafic ts-1 est la première correspondance configurée et le tunnel associé à ts-1 est utilisé pour le chiffrement des paquets.
Un paquet avec une adresse source 172.16.5.5 et une adresse de destination 10.2.5.10 correspond aux sélecteurs de trafic ts-3 et ts-4. Cependant, le sélecteur de trafic ts-3 est la première correspondance configurée et le tunnel associé au sélecteur de trafic ts-3 est utilisé pour le chiffrement des paquets.
Chevauchement d’adresses IP dans différents VPN liés à différentes interfaces st0
Lorsque des adresses IP qui se chevauchent sont configurées pour plusieurs sélecteurs de trafic dans différents VPN liés à différentes interfaces st0 point à point, une interface st0 est d’abord sélectionnée par la correspondance de préfixe la plus longue pour un paquet donné. Dans le VPN lié à l’interface st0 sélectionnée, le sélecteur de trafic est ensuite sélectionné en fonction de la première correspondance configurée pour le paquet.
Dans l’exemple suivant, un sélecteur de trafic est configuré dans chacun des deux VPN. Les sélecteurs de trafic sont configurés avec le même sous-réseau local mais différents sous-réseaux distants.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
Différents sous-réseaux distants sont configurés dans chaque sélecteur de trafic, ce qui permet d’ajouter deux routes différentes à la table de routage. La recherche de route utilise l’interface st0 liée au VPN approprié.
Dans l’exemple suivant, un sélecteur de trafic est configuré dans chacun des deux VPN. Les sélecteurs de trafic sont configurés avec différents sous-réseaux distants. Le même sous-réseau local est configuré pour chaque sélecteur de trafic, mais des valeurs de masque de réseau différentes sont spécifiées.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
Un sous-réseau distant différent est configuré dans chaque sélecteur de trafic, c’est pourquoi deux routes différentes sont ajoutées à la table de routage. La recherche de route utilise l’interface st0 liée au VPN approprié.
Dans l’exemple suivant, les sélecteurs de trafic sont configurés dans chacun des deux VPN. Les sélecteurs de trafic sont configurés avec différents sous-réseaux locaux et distants.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
Dans ce cas, les sélecteurs de trafic ne se chevauchent pas. Les sous-réseaux distants configurés dans les sélecteurs de trafic sont différents, c’est pourquoi deux routes différentes sont ajoutées à la table de routage. La recherche de route utilise l’interface st0 liée au VPN approprié.
Dans l’exemple suivant, un sélecteur de trafic est configuré dans chacun des deux VPN. Les sélecteurs de trafic sont configurés avec le même sous-réseau local. Le même sous-réseau distant est configuré pour chaque sélecteur de trafic, mais des valeurs de masque de réseau différentes sont spécifiées.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
Notez que la remote-ip configuration pour ts-1 est 10.1.1.0/24 tandis que la remote-ip configuration pour ts-2 est 10.1.0.0/16. Pour un paquet destiné à 10.1.1.1, Route lookup sélectionne l’interface st0.1 car elle a la correspondance de préfixe la plus longue. Le paquet est chiffré en fonction du tunnel correspondant à l’interface st0.1.
Dans certains cas, des paquets valides peuvent être abandonnés en raison de l’application du trafic par le sélecteur de trafic. Dans l’exemple suivant, les sélecteurs de trafic sont configurés dans chacun des deux VPN. Les sélecteurs de trafic sont configurés avec différents sous-réseaux locaux. Le même sous-réseau distant est configuré pour chaque sélecteur de trafic, mais des valeurs de masque de réseau différentes sont spécifiées.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
Deux routes vers 10.1.1.0 (10.1.1.0/24 via l’interface st0.1 et 10.1.0.0/16 via l’interface st0.2) sont ajoutées à la table de routage. Un paquet envoyé de la source 172.16.1.1 à la destination 10.1.1.1 correspond à l’entrée de la table de routage pour 10.1.1.0/24 via l’interface st0.1. Cependant, le paquet ne correspond pas au trafic spécifié par le sélecteur de trafic ts-1 et est abandonné.
Si plusieurs sélecteurs de trafic sont configurés avec le même sous-réseau distant et le même masque de réseau, des routes de coût égal sont ajoutées à la table de routage. Ce cas n’est pas pris en charge par les sélecteurs de trafic, car l’itinéraire choisi ne peut être prédit.
Exemple : Configuration des sélecteurs de trafic dans un VPN IPSec en ligne basé sur le routage
Cet exemple montre comment configurer les sélecteurs de trafic pour un VPN basé sur le routage.
Vue d’ensemble
Cet exemple configure des sélecteurs de trafic pour permettre au trafic de circuler entre les sous-réseaux sur MX304_A et les sous-réseaux sur MX304_B.
Le Tableau 8 présente les sélecteurs de trafic pour cet exemple.
Réf. MX304_A |
Réf. MX304_B |
||||
|---|---|---|---|---|---|
Nom du sélecteur de trafic |
IP locale |
IP distants |
Nom du sélecteur de trafic |
IP locale |
IP distants |
TS1-IPv4 |
192.168.10.0/24 |
192.168.0.0/16 |
TS1-IPv4 |
192.168.0.0/16 |
192.168.10.0/24 |
TS2-IPv6 |
2001 :db8:10 ::0/64 |
2001 :db8:20 ::0/64 |
TS2-IPv6 |
2001 :db8:20 ::0/64 |
2001 :db8:10 ::0/64 |
Topologie
Sur la Figure 10, un tunnel VPN IPv4 achemine le trafic IPv4 et un tunnel VPN IPv6 achemine le trafic IPv6 entre les appareils MX304_A et MX304_B. Autrement dit, un tunnel fonctionne en mode IPv4 dans un tunnel IPv4, tandis que l’autre tunnel fonctionne en mode IPv6 dans un tunnel IPv6.
trafic
La configuration
Configuration du MX304_A
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set chassis fpc 0 pic 1 inline-services bandwidth 10g set services service-set ssv4_ts1 next-hop-service inside-service-interface si-0/1/0.1 set services service-set ssv4_ts1 next-hop-service outside-service-interface si-0/1/0.2 set services service-set ssv4_ts1 ipsec-vpn ipsec_vpnv4_ts1 set services service-set ssv6_ts1 next-hop-service inside-service-interface si-0/1/0.3 set services service-set ssv6_ts1 next-hop-service outside-service-interface si-0/1/0.4 set services service-set ssv6_ts1 ipsec-vpn ipsec_vpnv6_ts1 set security ike proposal ike_prop description "IKE Proposal" set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop lifetime-seconds 300 set security ike policy ike_policy mode main set security ike policy ike_policy proposals ike_prop set security ike policy ike_policy pre-shared-key ascii-text test123 set security ike gateway ike_gw ike-policy ike_policy set security ike gateway ike_gw address 10.1.1.2 set security ike gateway ike_gw external-interface et-0/2/10 set security ike gateway ike_gw local-address 10.1.1.1 set security ike gateway ike_gw version v2-only set security ike gateway ike_gwv6 ike-policy ike_policy set security ike gateway ike_gwv6 address 2001:db8:1611::2 set security ike gateway ike_gwv6 external-interface et-0/2/10 set security ike gateway ike_gwv6 local-address 2001:db8:1611::1 set security ike gateway ike_gwv6 version v2-only set security ipsec vpn ipsec_vpnv4_ts1 bind-interface st0.1 set security ipsec vpn ipsec_vpnv4_ts1 ike gateway ike_gw set security ipsec vpn ipsec_vpnv4_ts1 ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpnv4_ts1 ike install-interval 3 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 local-ip 192.168.10.0/24 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 remote-ip 192.168.20.0/24 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 protocol tcp set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 source-port 500-1010 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 destination-port 500-1010 set security ipsec vpn ipsec_vpnv4_ts1 establish-tunnels immediately set security ipsec vpn ipsec_vpnv6_ts1 bind-interface st0.2 set security ipsec vpn ipsec_vpnv6_ts1 ike gateway ike_gwv6 set security ipsec vpn ipsec_vpnv6_ts1 ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpnv6_ts1 ike install-interval 3 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 local-ip 2001:db8:10::/64 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 remote-ip 2001:db8:20::/64 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 protocol tcp set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 source-port 500-1010 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 destination-port 500-1010 set security ipsec vpn ipsec_vpnv6_ts1 establish-tunnels immediately set interfaces si-0/1/0 unit 1 family inet set interfaces si-0/1/0 unit 1 family inet6 set interfaces si-0/1/0 unit 1 service-domain inside set interfaces si-0/1/0 unit 2 family inet set interfaces si-0/1/0 unit 2 family inet6 set interfaces si-0/1/0 unit 2 service-domain outside set interfaces si-0/1/0 unit 3 family inet set interfaces si-0/1/0 unit 3 family inet6 set interfaces si-0/1/0 unit 3 service-domain inside set interfaces si-0/1/0 unit 4 family inet set interfaces si-0/1/0 unit 4 family inet6 set interfaces si-0/1/0 unit 4 service-domain outside set interfaces et-0/1/8 unit 0 family inet address 172.16.2.1/24 set interfaces et-0/1/8 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces et-0/2/10 unit 0 family inet address 10.1.1.1/24 set interfaces et-0/2/10 unit 0 family inet6 address 2001:db8:2001:db8:1611::1/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces st0 unit 2 family inet set interfaces st0 unit 2 family inet6
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer les sélecteurs de trafic :
Configuration du châssis pour activer les services en ligne.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configuration des ensembles de services pour les objets VPN IPv4 et VPN IPv6.
[edit] user@host# set services service-set ssv4_ts1 next-hop-service inside-service-interface si-0/1/0.1 user@host# set services service-set ssv4_ts1 next-hop-service outside-service-interface si-0/1/0.2 user@host# set services service-set ssv4_ts1 ipsec-vpn ipsec_vpnv4_ts1 user@host# set services service-set ssv6_ts1 next-hop-service inside-service-interface si-0/1/0.3 user@host# set services service-set ssv6_ts1 next-hop-service outside-service-interface si-0/1/0.4 user@host# set services service-set ssv6_ts1 ipsec-vpn ipsec_vpnv6_ts1
Configurer la proposition IKE.
[edit] user@host# set security ike proposal ike_prop description "IKE Proposal" user@host# set security ike proposal ike_prop authentication-method pre-shared-keys user@host# set security ike proposal ike_prop lifetime-seconds 300 user@host# set security ike policy ike_policy mode main user@host# set security ike policy ike_policy proposals ike_prop user@host# set security ike policy ike_policy pre-shared-key ascii-text test123
Configurez la stratégie IKE et la passerelle IPv4 IKE.
[edit] user@host# set security ike gateway ike_gw ike-policy ike_policy user@host# set security ike gateway ike_gw address 10.1.1.2 user@host# set security ike gateway ike_gw external-interface et-0/2/10 user@host# set security ike gateway ike_gw local-address 10.1.1.1 user@host# set security ike gateway ike_gw version v2-only
Configurez la stratégie IKE et la passerelle IKE IPv6.
[edit] user@host# set security ike gateway ike_gwv6 ike-policy ike_policy user@host# set security ike gateway ike_gwv6 address 2001:db8:1611::2 user@host# set security ike gateway ike_gwv6 external-interface et-0/2/10 user@host# set security ike gateway ike_gwv6 local-address 2001:db8:1611::1 user@host# set security ike gateway ike_gwv6 version v2-only
Configurer la proposition IPsec.
[edit] user@host# set security ipsec proposal ipsec_prop description "IPSec Proposal" user@host# set security ipsec proposal ipsec_prop protocol esp user@host# set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm user@host# set security ipsec proposal ipsec_prop lifetime-seconds 180
Configurez la politique IPsec.
[edit] user@host# set security ipsec policy ipsec_policy proposals ipsec_prop
Configurer le tunnel VPN IPsec IPv4.
[edit] user@host# set security ipsec vpn ipsec_vpnv4_ts1 bind-interface st0.1 user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike gateway ike_gw user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike install-interval 3 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 local-ip 192.168.10.0/24 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 remote-ip 192.168.20.0/24 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 protocol tcp user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 source-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 destination-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv4_ts1 establish-tunnels immediately
Configurer le tunnel VPN IPsec IPv6.
[edit] user@host# set security ipsec vpn ipsec_vpnv6_ts1 bind-interface st0.2 user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike gateway ike_gwv6 user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike install-interval 3 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 local-ip 2001:db8:10::/64 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 remote-ip 2001:db8:20::/64 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 protocol tcp user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 source-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 destination-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv6_ts1 establish-tunnels immediately
Configuration d’interfaces de service en ligne
[edit] user@host# set interfaces si-0/1/0 unit 1 family inet user@host# set interfaces si-0/1/0 unit 1 family inet6 user@host# set interfaces si-0/1/0 unit 1 service-domain inside user@host# set interfaces si-0/1/0 unit 2 family inet user@host# set interfaces si-0/1/0 unit 2 family inet6 user@host# set interfaces si-0/1/0 unit 2 service-domain outside user@host# set interfaces si-0/1/0 unit 3 family inet user@host# set interfaces si-0/1/0 unit 3 family inet6 user@host# set interfaces si-0/1/0 unit 3 service-domain inside user@host# set interfaces si-0/1/0 unit 4 family inet user@host# set interfaces si-0/1/0 unit 4 family inet6 user@host# set interfaces si-0/1/0 unit 4 service-domain outside
Configurez les interfaces.
[edit] user@host# set interfaces et-0/1/8 unit 0 family inet address 172.16.2.1/24 user@host# set interfaces et-0/1/8 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set interfaces et-0/2/10 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces et-0/2/10 unit 0 family inet6 address 2001:db8:2001:db8:1611::1/64 user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6 user@host# set interfaces st0 unit 2 family inet user@host# set interfaces st0 unit 2 family inet6
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show security ikeet . show security ipsec Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
si-0/1/0 {
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
unit 3 {
family inet;
family inet6;
service-domain inside;
}
unit 4 {
family inet;
family inet6;
service-domain outside;
}
}
et-0/1/8 {
unit 0 {
family inet {
address 172.16.2.1/24;
}
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
et-0/2/10 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
family inet6 {
address 2001:db8:2001:db8:1611::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
unit 2 {
family inet;
family inet6;
}
}
}
[edit]
user@host# show security ike
proposal ike_prop {
description "IKE Proposal";
authentication-method pre-shared-keys;
lifetime-seconds 300;
}
policy ike_policy {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$skYJD.mT3/t5Q"; ## SECRET-DATA
}
gateway ike_gw {
ike-policy ike_policy;
address 10.1.1.2;
external-interface et-0/2/10;
local-address 10.1.1.1;
version v2-only;
}
gateway ike_gwv6 {
ike-policy ike_policy;
address 2001:db8:1611::2;
external-interface et-0/2/10;
local-address 2001:db8:1611::1;
version v2-only;
}
}
[edit]
user@host# show security ipsec
ipsec {
proposal ipsec_prop {
description "IPSec Proposal";
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 180;
}
policy ipsec_policy {
proposals ipsec_prop;
}
vpn ipsec_vpnv4_ts1 {
bind-interface st0.1;
ike {
gateway ike_gw;
ipsec-policy ipsec_policy;
install-interval 3;
}
traffic-selector ts1-ipv4 {
term 0 {
local-ip 192.168.10.0/24;
remote-ip 192.168.20.0/24;
protocol tcp;
source-port 500-1010;
destination-port 500-1010;
}
}
establish-tunnels immediately;
}
vpn ipsec_vpnv6_ts1 {
bind-interface st0.2;
ike {
gateway ike_gwv6;
ipsec-policy ipsec_policy;
install-interval 3;
}
traffic-selector ts1-ipv6 {
term 1 {
local-ip 2001:db8:10::/64;
remote-ip 2001:db8:20::/64;
protocol tcp;
source-port 500-1010;
destination-port 500-1010;
}
}
establish-tunnels immediately;
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration de MX304_B
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set chassis fpc 0 pic 1 inline-services bandwidth 10g set services service-set ssv4_ts1 next-hop-service inside-service-interface si-0/1/0.1 set services service-set ssv4_ts1 next-hop-service outside-service-interface si-0/1/0.2 set services service-set ssv4_ts1 ipsec-vpn ipsec_vpnv4_ts1 set services service-set ssv6_ts1 next-hop-service inside-service-interface si-0/1/0.3 set services service-set ssv6_ts1 next-hop-service outside-service-interface si-0/1/0.4 set services service-set ssv6_ts1 ipsec-vpn ipsec_vpnv6_ts1 set security ike proposal ike_prop description "IKE Proposal" set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop lifetime-seconds 300 set security ike policy ike_policy mode main set security ike policy ike_policy proposals ike_prop set security ike policy ike_policy pre-shared-key ascii-text test123 set security ike gateway ike_gw ike-policy ike_policy set security ike gateway ike_gw address 10.1.1.1 set security ike gateway ike_gw external-interface et-0/2/10 set security ike gateway ike_gw local-address 10.1.1.2 set security ike gateway ike_gw version v2-only set security ike gateway ike_gwv6 ike-policy ike_policy set security ike gateway ike_gwv6 address 2001:db8:1611::1 set security ike gateway ike_gwv6 external-interface et-0/2/10 set security ike gateway ike_gwv6 local-address 2001:db8:1611::2 set security ike gateway ike_gwv6 version v2-only set security ipsec proposal ipsec_prop description "IPSec Proposal" set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm set security ipsec proposal ipsec_prop lifetime-seconds 180 set security ipsec policy ipsec_policy proposals ipsec_prop set security ipsec vpn ipsec_vpnv4_ts1 bind-interface st0.1 set security ipsec vpn ipsec_vpnv4_ts1 ike gateway ike_gw set security ipsec vpn ipsec_vpnv4_ts1 ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpnv4_ts1 ike install-interval 3 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 local-ip 192.168.20.0/24 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 remote-ip 192.168.10.0/24 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 protocol tcp set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 source-port 500-1010 set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 destination-port 500-1010 set security ipsec vpn ipsec_vpnv4_ts1 establish-tunnels responder-only set security ipsec vpn ipsec_vpnv6_ts1 bind-interface st0.2 set security ipsec vpn ipsec_vpnv6_ts1 ike gateway ike_gwv6 set security ipsec vpn ipsec_vpnv6_ts1 ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpnv6_ts1 ike install-interval 3 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 local-ip 2001:db8:20::/64 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 remote-ip 2001:db8:10::/64 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 protocol tcp set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 source-port 500-1010 set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 destination-port 500-1010 set security ipsec vpn ipsec_vpnv6_ts1 establish-tunnels responder-only set interfaces si-0/1/0 unit 1 family inet set interfaces si-0/1/0 unit 1 family inet6 set interfaces si-0/1/0 unit 1 service-domain inside set interfaces si-0/1/0 unit 2 family inet set interfaces si-0/1/0 unit 2 family inet6 set interfaces si-0/1/0 unit 2 service-domain outside set interfaces si-0/1/0 unit 3 family inet set interfaces si-0/1/0 unit 3 family inet6 set interfaces si-0/1/0 unit 3 service-domain inside set interfaces si-0/1/0 unit 4 family inet set interfaces si-0/1/0 unit 4 family inet6 set interfaces si-0/1/0 unit 4 service-domain outside set interfaces et-0/0/0 unit 0 family inet address 172.16.1.1/24 set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:0:1::1/64 set interfaces et-0/2/10 unit 0 family inet address 10.1.1.2/24 set interfaces et-0/2/10 unit 0 family inet6 address 2001:db8:1611::2/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces st0 unit 2 family inet set interfaces st0 unit 2 family inet6
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer les sélecteurs de trafic :
Configuration du châssis pour activer les services en ligne.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configuration des ensembles de services pour les objets VPN IPv4 et VPN IPv6.
[edit] user@host# set services service-set ssv4_ts1 next-hop-service inside-service-interface si-0/1/0.1 user@host# set services service-set ssv4_ts1 next-hop-service outside-service-interface si-0/1/0.2 user@host# set services service-set ssv4_ts1 ipsec-vpn ipsec_vpnv4_ts1 user@host# set services service-set ssv6_ts1 next-hop-service inside-service-interface si-0/1/0.3 user@host# set services service-set ssv6_ts1 next-hop-service outside-service-interface si-0/1/0.4 user@host# set services service-set ssv6_ts1 ipsec-vpn ipsec_vpnv6_ts1
Configurer la proposition IKE.
[edit] user@host# set security ike proposal ike_prop description "IKE Proposal" user@host# set security ike proposal ike_prop authentication-method pre-shared-keys user@host# set security ike proposal ike_prop lifetime-seconds 300 user@host# set security ike policy ike_policy mode main user@host# set security ike policy ike_policy proposals ike_prop user@host# set security ike policy ike_policy pre-shared-key ascii-text test123
Configurez la stratégie IKE et la passerelle IPv4 IKE.
[edit] user@host# set security ike gateway ike_gw ike-policy ike_policy user@host# set security ike gateway ike_gw address 10.1.1.2 user@host# set security ike gateway ike_gw external-interface et-0/2/10 user@host# set security ike gateway ike_gw local-address 10.1.1.1 user@host# set security ike gateway ike_gw version v2-only
Configurez la stratégie IKE et la passerelle IKE IPv6.
[edit] user@host# set security ike gateway ike_gwv6 ike-policy ike_policy user@host# set security ike gateway ike_gwv6 address 2001:db8:1611::2 user@host# set security ike gateway ike_gwv6 external-interface et-0/2/10 user@host# set security ike gateway ike_gwv6 local-address 2001:db8:1611::1 user@host# set security ike gateway ike_gwv6 version v2-only
Configurer la proposition IPsec.
[edit] user@host# set security ipsec proposal ipsec_prop description "IPSec Proposal" user@host# set security ipsec proposal ipsec_prop protocol esp user@host# set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm user@host# set security ipsec proposal ipsec_prop lifetime-seconds 180
Configurez la politique IPsec.
[edit] user@host# set security ipsec policy ipsec_policy proposals ipsec_prop
Configurer le tunnel VPN IPsec IPv4.
[edit] user@host# set security ipsec vpn ipsec_vpnv4_ts1 bind-interface st0.1 user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike gateway ike_gw user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpnv4_ts1 ike install-interval 3 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 local-ip 192.168.10.0/24 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 remote-ip 192.168.20.0/24 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 protocol tcp user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 source-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv4_ts1 traffic-selector ts1-ipv4 term 0 destination-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv4_ts1 establish-tunnels responder-only
Configurer le tunnel VPN IPsec IPv6.
[edit security] user@host# set security ipsec vpn ipsec_vpnv6_ts1 bind-interface st0.2 user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike gateway ike_gwv6 user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpnv6_ts1 ike install-interval 3 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 local-ip 2001:db8:10::/64 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 remote-ip 2001:db8:20::/64 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 protocol tcp user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 source-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv6_ts1 traffic-selector ts1-ipv6 term 1 destination-port 500-1010 user@host# set security ipsec vpn ipsec_vpnv6_ts1 establish-tunnels responder-only
Configuration des interfaces de service en ligne.
[edit] user@host# set interfaces si-0/1/0 unit 1 family inet user@host# set interfaces si-0/1/0 unit 1 family inet6 user@host# set interfaces si-0/1/0 unit 1 service-domain inside user@host# set interfaces si-0/1/0 unit 2 family inet user@host# set interfaces si-0/1/0 unit 2 family inet6 user@host# set interfaces si-0/1/0 unit 2 service-domain outside user@host# set interfaces si-0/1/0 unit 3 family inet user@host# set interfaces si-0/1/0 unit 3 family inet6 user@host# set interfaces si-0/1/0 unit 3 service-domain inside user@host# set interfaces si-0/1/0 unit 4 family inet user@host# set interfaces si-0/1/0 unit 4 family inet6 user@host# set interfaces si-0/1/0 unit 4 service-domain outside
Configurez les interfaces.
[edit interfaces] user@host# set interfaces et-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces et-0/0/0 unit 0 family inet6 address 2001:db8:0:1::1/64 user@host# set interfaces et-0/2/10 unit 0 family inet address 10.2.1.2/24 user@host# set interfaces et-0/2/10 unit 0 family inet6 address 2001:db8:1612::2/64 user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6 user@host# set interfaces st0 unit 2 family inet user@host# set interfaces st0 unit 2 family inet6
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show security ikeet . show security ipsec Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
et-0/0/0 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
family inet6 {
address 2001:db8:0:1::1/64;
}
}
}
si-0/1/0 {
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
unit 3 {
family inet;
family inet6;
service-domain inside;
}
unit 4 {
family inet;
family inet6;
service-domain outside;
}
}
et-0/2/10 {
unit 0 {
family inet {
address 10.1.1.2/24;
}
family inet6 {
address 2001:db8:1611::2/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
unit 2 {
family inet;
family inet6;
}
}
}
[edit]
user@host# show security ike
proposal ike_prop {
description "IKE Proposal";
authentication-method pre-shared-keys;
lifetime-seconds 300;
}
policy ike_policy {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$skYJD.mT3/t5Q"; ## SECRET-DATA
}
gateway ike_gw {
ike-policy ike_policy;
address 10.1.1.1;
external-interface et-0/2/10;
local-address 10.1.1.2;
version v2-only;
}
gateway ike_gwv6 {
ike-policy ike_policy;
address 2001:db8:1611::1;
external-interface et-0/2/10;
local-address 2001:db8:1611::2;
version v2-only;
}
}
[edit]
user@host# show security ipsec
proposal ipsec_prop {
description "IPSec Proposal";
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 180;
}
policy ipsec_policy {
proposals ipsec_prop;
}
vpn ipsec_vpnv4_ts1 {
bind-interface st0.1;
ike {
gateway ike_gw;
ipsec-policy ipsec_policy;
install-interval 3;
}
traffic-selector ts1-ipv4 {
term 0 {
local-ip 192.168.20.0/24;
remote-ip 192.168.10.0/24;
protocol tcp;
source-port 500-1010;
destination-port 500-1010;
}
}
establish-tunnels responder-only;
}
vpn ipsec_vpnv6_ts1 {
bind-interface st0.2;
ike {
gateway ike_gwv6;
ipsec-policy ipsec_policy;
install-interval 3;
}
traffic-selector ts1-ipv6 {
term 1 {
local-ip 2001:db8:20::/64;
remote-ip 2001:db8:10::/64;
protocol tcp;
source-port 500-1010;
destination-port 500-1010;
}
}
establish-tunnels responder-only;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Les exemples de sorties présentés se trouvent sur le modèle MX304_A.
Vérification du statut de la phase 2 d’IPsec
Objet
Vérifiez l’état IPsec Phase 2.
Mesures à prendre
En mode opérationnel, entrez la show security ipsec security-associations commande sur le MX304_A.
user@host> show security ipsec security-associations Total active tunnels: 2 Total IPsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <507643 ESP:aes-gcm-256/aes256-gcm 0xa3fac378 58 / unlim - root 500 10.1.1.2 >507643 ESP:aes-gcm-256/aes256-gcm 0xd2626c0b 58 / unlim - root 500 10.1.1.2 <507645 ESP:aes-gcm-256/aes256-gcm 0xfc3ef4a3 62 / unlim - root 500 2001:db8:1611::2 >507645 ESP:aes-gcm-256/aes256-gcm 0xae7c7732 62 / unlim - root 500 2001:db8:1611::2
En mode opérationnel, entrez la commande sur le show security ipsec security-associations detail MX304_A
user@host> show security ipsec security-associations detail
ID: 507643 Virtual-system: root, VPN Name: ipsec_vpnv4_ts1
Local Gateway: 10.1.1.1, Remote Gateway: 10.1.1.2
Traffic Selector Name: ts1-ipv4
TS Local Identity:
Protocol Port IP
6/tcp 500-1010 ipv4(192.168.10.0-192.168.10.255)
TS Remote Identity:
Protocol Port IP
6/tcp 500-1010 ipv4(192.168.20.0-192.168.20.255)
TS Type: traffic-selector
Version: IKEv2
Quantum Secured: No
Hardware Offloaded: No
PFS group: N/A, Packet Encapsulation: None, Dest port: 0
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Disabled, Bind-interface: st0.1, Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Tunnel events:
Mon Dec 15 2025 00:17:41: IPSec SA is deleted because IPSec SA hard life-time expired, sent DEL notification (1 times)
Mon Dec 15 2025 00:17:38: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:17:38: IPSEC SA rekey initiated because soft life timer expired (1 times)
Mon Dec 15 2025 00:15:36: IPSec SA is deleted because received DEL notification from peer (2 times) <- [repeated sequence END]
Mon Dec 15 2025 00:15:35: IPsec SA rekey succeeds (2 times) <- [repeated sequence START]
Mon Dec 15 2025 00:11:09: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 1
Anchorship: Thread 0
Distribution-Profile: si-0/1/0
Direction: inbound, SPI: 0x1bfcc3d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 173 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 120 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
IKE SA Index: 88
Direction: outbound, SPI: 0xef07cdf8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 173 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 120 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
IKE SA Index: 88
ID: 507645 Virtual-system: root, VPN Name: ipsec_vpnv6_ts1
Local Gateway: 2001:db8:1611::1, Remote Gateway: 2001:db8:1611::2
Traffic Selector Name: ts1-ipv6
TS Local Identity:
Protocol Port IP
6/tcp 500-1010 ipv6(2001:db8:10::-2001:db8:10:0:ffff:ffff:ffff:ffff)
TS Remote Identity:
Protocol Port IP
6/tcp 500-1010 ipv6(2001:db8:20::-2001:db8:20:0:ffff:ffff:ffff:ffff)
TS Type: traffic-selector
Version: IKEv2
Quantum Secured: No
Hardware Offloaded: No
PFS group: N/A, Packet Encapsulation: None, Dest port: 0
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Disabled, Bind-interface: st0.2, Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Tunnel events:
Mon Dec 15 2025 00:15:40: IPSec SA is deleted because received DEL notification from peer (1 times)
Mon Dec 15 2025 00:15:37: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:13:31: IPSec SA is deleted because IPSec SA hard life-time expired, sent DEL notification (1 times)
Mon Dec 15 2025 00:13:28: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:13:28: IPSEC SA rekey initiated because soft life timer expired (1 times)
Mon Dec 15 2025 00:11:22: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 1
Anchorship: Thread 0
Distribution-Profile: si-0/1/0
Direction: inbound, SPI: 0xfc3ef4a3, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 51 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 3 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
IKE SA Index: 89
Direction: outbound, SPI: 0xae7c7732, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 51 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 3 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
IKE SA Index: 89
En mode opérationnel, entrez la commande sur le show security ipsec security-associations MX304_B.
user@host> show security ipsec security-associations
Total active tunnels: 2 Total IPsec sas: 2
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<507689 ESP:aes-gcm-256/aes256-gcm 0xef07cdf8 118/ unlim - root 500 10.1.1.1
>507689 ESP:aes-gcm-256/aes256-gcm 0x1bfcc3d8 118/ unlim - root 500 10.1.1.1
<507690 ESP:aes-gcm-256/aes256-gcm 0xcec31091 128/ unlim - root 500 2001:db8:1611::1
>507690 ESP:aes-gcm-256/aes256-gcm 0x49e08377 128/ unlim - root 500 2001:db8:1611::1
En mode opérationnel, entrez la commande sur le show security ipsec security-associations detail MX304_B.
user@host> show security ipsec security-associations detail
ID: 507689 Virtual-system: root, VPN Name: ipsec_vpnv4_ts1
Local Gateway: 10.1.1.2, Remote Gateway: 10.1.1.1
Traffic Selector Name: ts1-ipv4
TS Local Identity:
Protocol Port IP
6/tcp 500-1010 ipv4(192.168.20.0-192.168.20.255)
TS Remote Identity:
Protocol Port IP
6/tcp 500-1010 ipv4(192.168.10.0-192.168.10.255)
TS Type: traffic-selector
Version: IKEv2
Quantum Secured: No
Hardware Offloaded: No
PFS group: N/A, Packet Encapsulation: None, Dest port: 0
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Disabled, Bind-interface: st0.1, Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Tunnel events:
Mon Dec 15 2025 00:17:42: IPSec SA is deleted because received DEL notification from peer (1 times)
Mon Dec 15 2025 00:17:39: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:15:36: IPSec SA is deleted because IPSec SA hard life-time expired, sent DEL notification (2 times) <- [repeated sequence END]
Mon Dec 15 2025 00:15:36: IPsec SA rekey succeeds (2 times)
Mon Dec 15 2025 00:15:36: IPSEC SA rekey initiated because soft life timer expired (2 times) <- [repeated sequence START]
Mon Dec 15 2025 00:11:10: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 1
Anchorship: Thread 0
Distribution-Profile: si-0/1/0
Direction: inbound, SPI: 0xef07cdf8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 114 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 65 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels responder-only
IKE SA Index: 125
Direction: outbound, SPI: 0x1bfcc3d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 114 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 65 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels responder-only
IKE SA Index: 125
ID: 507690 Virtual-system: root, VPN Name: ipsec_vpnv6_ts1
Local Gateway: 2001:db8:1611::2, Remote Gateway: 2001:db8:1611::1
Traffic Selector Name: ts1-ipv6
TS Local Identity:
Protocol Port IP
6/tcp 500-1010 ipv6(2001:db8:20::-2001:db8:20:0:ffff:ffff:ffff:ffff)
TS Remote Identity:
Protocol Port IP
6/tcp 500-1010 ipv6(2001:db8:10::-2001:db8:10:0:ffff:ffff:ffff:ffff)
TS Type: traffic-selector
Version: IKEv2
Quantum Secured: No
Hardware Offloaded: No
PFS group: N/A, Packet Encapsulation: None, Dest port: 0
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Disabled, Bind-interface: st0.2, Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Tunnel events:
Mon Dec 15 2025 00:17:52: IPSec SA is deleted because received DEL notification from peer (1 times)
Mon Dec 15 2025 00:17:49: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:15:40: IPSec SA is deleted because IPSec SA hard life-time expired, sent DEL notification (1 times)
Mon Dec 15 2025 00:15:37: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:15:37: IPSEC SA rekey initiated because soft life timer expired (1 times)
Mon Dec 15 2025 00:13:31: IPSec SA is deleted because received DEL notification from peer (1 times)
Mon Dec 15 2025 00:13:28: IPsec SA rekey succeeds (1 times)
Mon Dec 15 2025 00:11:22: IPSec SA is deleted because IKE SA is deleted (1 times)
Mon Dec 15 2025 00:11:15: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 1
Anchorship: Thread 0
Distribution-Profile: si-0/1/0
Direction: inbound, SPI: 0xcec31091, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 124 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 77 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels responder-only
IKE SA Index: 126
Direction: outbound, SPI: 0x49e08377, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 124 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 77 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels responder-only
IKE SA Index: 126
Signification
La show security ipsec security-associations commande répertorie toutes les SA IKE actives de phase 2. Si aucun AS n’est répertorié, il y a un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres d’interface externe dans votre configuration. Les paramètres de la proposition de phase 2 doivent correspondre sur les appareils pairs.
Vérification des sélecteurs de trafic
Objet
Vérifiez les sélecteurs de trafic négociés sur l’interface du tunnel sécurisé.
Mesures à prendre
À partir du mode opérationnel, entrez la show security ipsec traffic-selector commande.
user@host> show security ipsec traffic-selector Tunnel-id: 507689, Interface: st0.1 IKE-ID: 10.1.1.1 Source IP: ipv4(6,500-1010,192.168.20.0-192.168.20.255) Destination IP: ipv4(6,500-1010,192.168.10.0-192.168.10.255) Tunnel-id: 507690, Interface: st0.2 IKE-ID: 2001:db8:1611::1 Source IP: ipv6(6,500-1010,2001:db8:20::-2001:db8:20:0:ffff:ffff:ffff:ffff) Destination IP: ipv6(6,500-1010,2001:db8:10::-2001:db8:10:0:ffff:ffff:ffff:ffff)
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.