Règles et ensembles de règles IPsec
Exemple : configuration de SA dynamiques IKE
Cet exemple montre comment configurer des SA dynamiques IKE et contient les sections suivantes.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Quatre routeurs M Series, MX Series ou T Series équipés d’interfaces multiservices.
Junos OS version 9.4 ou ultérieure.
Aucune configuration spéciale au-delà du lancement de l’équipement n’est requise avant de pouvoir configurer cette fonctionnalité.
Vue d’ensemble et topologie
Une association de sécurité (SA) est une connexion simplexe qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec.
Les CS dynamiques sont particulièrement adaptées aux réseaux à grande échelle et géographiquement distribués, où la distribution manuelle, la maintenance et le suivi des clés sont des tâches difficiles. Les SA dynamiques sont configurées avec un ensemble de propositions qui sont négociées par les passerelles de sécurité. Les clés sont générées dans le cadre de la négociation et n’ont pas besoin d’être spécifiées dans la configuration. Une SA dynamique comprend une ou plusieurs propositions qui permettent de prioriser une liste de protocoles et d’algorithmes à négocier avec le pair.
Topologie
La figure 1 montre une topologie IPsec qui contient un groupe de quatre routeurs. Cette configuration nécessite que les routeurs 2 et 3 établissent un tunnel IPsec à l’aide d’une SA dynamique IKE, d’une authentification améliorée et d’un chiffrement. Les routeurs 1 et 4 fournissent une connectivité de base et sont utilisés pour vérifier que le tunnel IPsec est opérationnel.
dynamiques IKE
Lorsque vous ne spécifiez pas de proposition IKE, de proposition IPsec et de stratégie IPsec sur un PIC multiservices, Junos OS utilise par défaut le niveau de chiffrement et d’authentification le plus élevé. Par conséquent, le protocole d’authentification par défaut est ESP, le mode d’authentification par défaut est HMAC-SHA1-96 et le mode de chiffrement par défaut est 3DES-CBC.
La configuration
Pour configurer la SA dynamique IKE, effectuez les tâches suivantes :
Les types d’interface présentés dans cet exemple ne sont donnés qu’à titre indicatif. Par exemple, vous pouvez utiliser so- des interfaces à la place de ge- et sp- au lieu de ms-.
- Configuration du routeur 1
- Configuration du routeur 2
- Configuration du routeur 3
- Configuration du routeur 4
Configuration du routeur 1
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 1.
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer le routeur 1 pour la connectivité OSPF avec le routeur 2 :
Configurez une interface Ethernet et une interface de bouclage.
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit interfaces] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
Configurez l’ID du routeur.
[edit routing-options] user@router1# set router-id 10.0.0.1
Validez la configuration.
[edit] user@router1# commit
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfet . show routing-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R2 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
user@router1# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router1# show routing-options
routing-options {
router-id 10.0.0.1;
}
Configuration du routeur 2
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 2.
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 2 :
Configurez les propriétés de l’interface. Dans cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configurez l’ID du routeur.
[edit routing-options] user@router2# set router-ID 10.0.0.2
Configurez une règle IPsec. Dans cette étape, vous configurez une règle IPsec, spécifiez des paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.
Remarque :Par défaut, Junos OS utilise la stratégie IKE version 1.0. Junos OS version 11.4 et ultérieure prend également en charge la stratégie IKE version 2.0, que vous devez configurer à l’adresse
[edit services ipsec-vpn ike policy policy-name pre-shared].[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input user@router2# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router2# set ike proposal ike-demo-proposal dh-group group2 user@router2# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router2# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal
Configurez un ensemble de services de style saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
Validez la configuration.
[edit] user@router2# commit
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfshow routing-options, , et show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R1 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
ge-0/0/1 {
description "To R3 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
user@router2# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router2# show routing-options
routing-options {
router-id 10.0.0.2;
}
user@router2# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.2;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.1;
}
ipsec-vpn-rules rule-ike;
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.2;
}
ipsec-vpn-rules rule-ike;
}
Configuration du routeur 3
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 3.
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 3 :
Configurez les propriétés de l’interface. Dans cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configurez un ID de routeur.
[edit routing-options] user@router3# set router-id 10.0.0.3
Configurez une règle IPsec. Dans cette étape, vous configurez une règle IPsec et spécifiez des paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.1 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input user@router3# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router3# set ike proposal ike-demo-proposal dh-group group2 user@router3# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router3# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal
Configurez un ensemble de services de style saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
Validez la configuration.
[edit] user@router3# commit
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfshow routing-options, , et show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router3# show interfaces
interfaces {
ge-0/0/0 {
description "To R4 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
ge-0/0/1 {
description "To R2 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
}
user@router3# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router3# show routing-options
routing-options {
router-id 10.0.0.3;
}
user@router3# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.1;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
Configuration du routeur 4
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 4.
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la connectivité OSPF avec le routeur 4
Configurez les interfaces. Dans cette étape, vous configurez une interface Ethernet (ge-1/0/1) et une interface de bouclage.
user@router4# set interfaces ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set interfaces lo0 unit 0 family inet address 10.0.0.4/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
user@router4# set protocols ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set protocols ospf area 0.0.0.0 interface lo0.0
Configurez l’ID du routeur.
[edit routing-options] user@router4# set router-id 10.0.0.4
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfet . show routing-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router4# show interfaces
interfaces {
ge-0/0/0 {
description "To R3 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
user@router4# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router4# show routing-options
routing-options {
router-id 10.0.0.4;
}
Vérification
- Vérification de votre travail sur le routeur 1
- Vérification de votre travail sur le routeur 2
- Vérification de votre travail sur le routeur 3
- Vérification de votre travail sur le routeur 4
Vérification de votre travail sur le routeur 1
Objet
Vérifier le bon fonctionnement du routeur 1.
Mesures à prendre
À partir du mode opérationnel, entrez ping 10.1.56.2 la commande sur l’interface ge-0/0/0 du routeur 4 pour envoyer le trafic sur le tunnel IPsec
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
Signification
La sortie indique que le routeur 1 est capable d’atteindre le routeur 4 via le tunnel IPsec.
Vérification de votre travail sur le routeur 2
Objet
Vérifiez que la négociation de l’association IKE a abouti.
Mesures à prendre
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande.
user@router2>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured 03075bd3a0000003 4bff26a5c7000003 Main
Pour vérifier que l’association de sécurité IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Notez que la SA contient les paramètres par défaut inhérents au PIC multiservices, tels que ESP pour le protocole et HMAC-SHA1-96 pour l’algorithme d’authentification.
À partir du mode opérationnel, entrez la show services ipsec-vpn ipsec security-associations detail commande.
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 Local identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Direction: inbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64
Pour vérifier que le trafic transite par le tunnel bidirectionnel IPsec, exécutez la show services ipsec-vpn statistics commande :
À partir du mode opérationnel, entrez la show services ipsec-vpn statistics commande.
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2248 Decrypted bytes: 2120 Encrypted packets: 27 Decrypted packets: 25 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Signification
La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.
La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.
Vérification de votre travail sur le routeur 3
Objet
Vérifiez que la négociation de la SA IKE est réussie sur le routeur 3.
Mesures à prendre
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured 03075bd3a0000003 4bff26a5c7000003 Main
Pour vérifier que la SA IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.
À partir du mode opérationnel, entrez la show services ipsec-vpn ipsec security-associations detail commande.
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 Local identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Direction: inbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64
Pour vérifier que le trafic transite par le tunnel bidirectionnel IPsec, exécutez la show services ipsec-vpn statistics commande :
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande.
user@router3>show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2120 Decrypted bytes: 2248 Encrypted packets: 25 Decrypted packets: 27 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Signification
La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.
La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.
Vérification de votre travail sur le routeur 4
Objet
Vérifiez que la négociation de l’association IKE a abouti.
Mesures à prendre
À partir du mode opérationnel, entrez ping 10.1.12.2 la commande sur l’interface ge-0/0/0 du routeur 1 pour envoyer le trafic sur le tunnel IPsec.
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=3 ttl=254 time=1.142 ms 64 bytes from 10.1.12.2: icmp_seq=4 ttl=254 time=1.139 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
Pour confirmer que le trafic transite par le tunnel IPsec, envoyez la commande à l’interface traceroute ge-0/0/0 du routeur 1. Notez que l’interface physique entre les routeurs 2 et 3 n’est pas référencée dans le chemin ; Le trafic entre dans le tunnel IPsec par le biais de l’interface IPsec Inside des services adaptatifs du routeur 3, passe par l’interface de bouclage du routeur 2 et se termine à l’interface ge-0/0/0 du routeur 1.
En mode opérationnel, entrez le traceroute 10.1.12.2fichier .
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Signification
La ping 10.1.12.2 sortie indique que le routeur 4 est en mesure d’atteindre le routeur 1 via le tunnel IPsec.
La traceroute 10.1.12.2 sortie indique que le trafic transite par le tunnel IPsec.
Configuration des règles IPsec
Pour configurer une règle IPsec, incluez l’instruction rule et spécifiez un nom de règle au niveau de la [edit services ipsec-vpn] hiérarchie :
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; ipsec-inside-interface interface-name; source-address address; } then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; } } }
Chaque règle IPsec se compose d’un ensemble de termes, semblable à un filtre de pare-feu.
Un terme se compose des éléments suivants :
fromstatement : spécifie les conditions de correspondance et les applications incluses et exclues.thenstatement : spécifie les actions et les modificateurs d’action à effectuer par le logiciel du routeur.
Les sections suivantes expliquent comment configurer les composants des règles IPsec :
- Configuration de la direction de correspondance pour les règles IPsec
- Configuration des conditions de correspondance dans les règles IPsec
- Configuration d’actions dans les règles IPsec
Configuration de la direction de correspondance pour les règles IPsec
Chaque règle doit inclure une match-direction instruction spécifiant si la correspondance est appliquée du côté entrée ou de la sortie de l’interface. Pour configurer l’emplacement d’application de la correspondance, incluez l’instruction match-direction (input | output) au niveau de la [edit services ipsec-vpn rule rule-name] hiérarchie :
[edit services ipsec-vpn rule rule-name] match-direction (input | output);
Les routeurs ACX Series ne prennent pas en charge match-direction les fichiers .output
La direction d’appariement est utilisée en fonction du flux de trafic à travers l’AS ou le PIC multiservices. Lorsqu’un paquet est envoyé au PIC, des informations de direction sont transportées avec lui.
Dans un ensemble de services d’interface, la direction des paquets est déterminée par le fait qu’un paquet entre ou quitte l’interface sur laquelle il est appliqué.
Avec un ensemble de services de saut suivant, la direction du paquet est déterminée par l’interface utilisée pour acheminer le paquet vers l’AS ou le PIC multiservices. Si l’interface interne est utilisée pour acheminer le paquet, la direction du paquet est saisie. Si l’interface externe est utilisée pour diriger le paquet vers le PIC, la direction du paquet est générée.
Sur le PIC AS ou Multiservices, une recherche de flux est effectuée. Si aucun flux n’est trouvé, le traitement des règles est effectué. Toutes les règles de l’ensemble de services sont prises en compte. Lors du traitement des règles, la direction des paquets est comparée à celle des règles. Seules les règles dont les informations de direction correspondent à la direction du paquet sont prises en compte.
Configuration des conditions de correspondance dans les règles IPsec
Pour configurer les conditions de correspondance dans une règle IPsec, incluez l’instruction from au niveau de la [edit services ipsec-vpn rule rule-name term term-name] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name] from { destination-address address; ipsec-inside-interface interface-name; source-address address; }
Vous pouvez utiliser l’adresse source ou l’adresse de destination comme condition de correspondance, de la même manière que vous configureriez un filtre de pare-feu ; Pour plus d’informations, reportez-vous à la bibliothèque de protocoles de routage de Junos OS.
Les services IPsec prennent en charge les formats d’adresses IPv4 et IPv6. Si vous ne configurez pas spécifiquement l’adresse source ou l’adresse de destination, la valeur 0.0.0.0/0 par défaut (IPv4 ANY) est utilisée. Pour utiliser IPv6 ANY (0::0/128) comme adresse source ou de destination, vous devez le configurer explicitement.
Les services IPsec de l’ACX Series prennent en charge les formats d’adresse IPv4. Si vous ne configurez pas spécifiquement l’adresse source ou l’adresse de destination, la valeur 0.0.0.0/0 par défaut (IPv4 ANY) est utilisée.
Pour les ensembles de services de type saut suivant uniquement, l’instruction ipsec-inside-interface vous permet d’affecter une interface logique aux tunnels établis à la suite de cette condition de correspondance. L’instruction inside-service-interface que vous pouvez configurer au niveau de la [edit services service-set name next-hop-service] hiérarchie vous permet de spécifier .1 et .2 en tant qu’interfaces internes et externes. Toutefois, vous pouvez configurer plusieurs interfaces logiques de services adaptatifs avec l’instruction service-domain inside et utiliser l’une d’entre elles pour configurer l’instruction ipsec-inside-interface .
Junos OS évalue les critères que vous configurez dans l’instruction from . Si plusieurs tunnels de type lien sont configurés dans le même ensemble de services de type saut suivant, la ipsec-inside-interface valeur permet au module de recherche de règle de distinguer un tunnel particulier des autres tunnels dans le cas où les adresses source et de destination de chacun d’entre eux sont 0.0.0.0/0 (ANY-ANY).
Lorsque vous configurez l’instruction ipsec-inside-interface , les ensembles de services de type interface ne sont pas pris en charge.
Une situation particulière est fournie par un terme contenant une condition de correspondance « any-any » (généralement parce que l’instruction from est omise). S’il existe une correspondance any-any dans un tunnel, un flux n’est pas nécessaire, car tous les flux à l’intérieur de ce tunnel utilisent la même association de sécurité (SA) et les sélecteurs de paquets ne jouent pas un rôle significatif. Par conséquent, ces tunnels utiliseront IPsec basé sur les paquets. Cette stratégie permet d’économiser des ressources de flux sur le PIC, qui peuvent être utilisées pour d’autres tunnels nécessitant un service basé sur les flux.
L’exemple de configuration suivant montre une configuration de tunnel any-any sans from instruction dans . term-1 Des sélecteurs manquants dans la clause entraînent un service IPsec basé sur les from paquets.
services {
ipsec-vpn {
rule rule-1 {
term term-1 {
then {
remote-gateway 10.1.0.1;
dynamic {
ike-policy ike_policy;
ipsec-policy ipsec_policy;
}
}
}
match-direction input;
}
.....
}
Le service IPsec sans flux est fourni aux tunnels de type lien avec une correspondance any-any, ainsi qu’aux tunnels dynamiques avec une correspondance any-any en mode dédié et partagé.
Pour les tunnels de type lien, une combinaison d’IPsec sans flux et basée sur les flux est prise en charge dans un ensemble de services. Si un ensemble de services inclut des termes avec une correspondance any-any et des termes avec des sélecteurs dans la clause, le service basé sur les from paquets est fourni pour les tunnels any-any et le service basé sur les flux est fourni pour les autres tunnels avec des sélecteurs.
Pour les tunnels autres que de type lien, si un ensemble de services contient à la fois des termes any-any et des termes basés sur un sélecteur, le service basé sur les flux est fourni à tous les tunnels.
Configuration d’actions dans les règles IPsec
Pour configurer des actions dans une règle IPsec, incluez l’instruction then au niveau de la [edit services ipsec-vpn rule rule-name term term-name] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name] then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; }
Les principales actions IPsec consistent à configurer une SA dynamique ou manuelle :
Vous configurez une SA dynamique en incluant l’instruction
dynamicau niveau de la[edit services ipsec-vpn rule rule-name term term-name then]hiérarchie et en référençant les stratégies que vous avez configurées au niveau de la hiérarchie et[edit services ipsec-vpn ike]de la[edit services ipsec-vpn ipsec]hiérarchie.Vous configurez une SA manuelle en incluant l’instruction
manualau niveau de la[edit services ipsec-vpn rule rule-name term term-name then]hiérarchie.
Vous pouvez configurer les propriétés supplémentaires suivantes :
- Activation de la fragmentation IPsec des paquets
- Configuration des adresses de destination pour la détection des homologues morts
- Configuration ou désactivation de l’antirejeu IPsec
- Spécification de la MTU pour les tunnels IPsec
Activation de la fragmentation IPsec des paquets
Pour permettre la fragmentation des paquets IP version 4 (IPv4) dans les tunnels IPsec, incluez l’instruction clear-dont-fragment-bit au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] clear-dont-fragment-bit;
La définition de l’instruction clear-dont-fragment-bit efface le bit Ne pas fragmenter (DF) dans l’en-tête du paquet, quelle que soit la taille du paquet. Si la taille du paquet dépasse la valeur de l’unité de transmission maximale (MTU) du tunnel, le paquet est fragmenté avant l’encapsulation. Pour les tunnels IPsec, la valeur par défaut de la MTU est 1500, quel que soit le paramètre de la MTU de l’interface.
Configuration des adresses de destination pour la détection des homologues morts
Pour spécifier l’adresse distante vers laquelle le trafic IPsec est dirigé, incluez l’instruction remote-gateway au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] remote-gateway address;
Pour spécifier une adresse distante de sauvegarde, incluez l’instruction backup-remote-gateway au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] backup-remote-gateway address;
Ces deux instructions prennent en charge les formats d’adresse IPv4 et IPv6.
La configuration de l’instruction backup-remote-gateway active le protocole Dead Peer Detection (DPD), qui surveille l’état du tunnel et la disponibilité des pairs distants. Lorsque le tunnel principal défini par l’instruction remote-gateway est actif, le tunnel de secours est en mode veille. Si le protocole DPD détermine que l’adresse principale de la passerelle distante n’est plus accessible, un nouveau tunnel est établi vers l’adresse de secours.
S’il n’y a pas de trafic entrant d’un pair pendant un intervalle défini de 10 secondes, le routeur détecte qu’un tunnel est inactif. Un minuteur global interroge tous les tunnels toutes les 10 secondes et l’Adaptive Services (AS) ou la carte d’interface physique multiservices (PIC) envoie un message répertoriant tous les tunnels inactifs. Si un tunnel devient inactif, le routeur prend les mesures suivantes pour basculer vers l’adresse de secours :
Le message de services adaptatifs déclenche le protocole DPD pour envoyer un message de bonjour à l’homologue.
Si aucun accusé de réception n’est reçu, deux nouvelles tentatives sont envoyées à 2 secondes d’intervalle, puis le tunnel est déclaré mort.
Le basculement a lieu si le tunnel est déclaré mort ou s’il y a un délai d’expiration de la négociation IPsec Phase 1. Le tunnel principal est mis en mode veille et la sauvegarde devient active.
Si la négociation avec le tunnel de secours expire, le routeur rebascule vers le tunnel principal. Si les deux pairs sont en panne, il tente le basculement six fois. Il arrête ensuite le basculement et revient à la configuration d’origine, le tunnel principal étant actif et la sauvegarde en mode veille.
Vous pouvez également activer le déclenchement de messages DPD Hello sans configurer de passerelle distante de secours en incluant l’instruction initiate-dead-peer-detection au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; }
En outre, pour les SA IKEv1, vous pouvez définir interval et threshold options sous l’instruction lors de l’utilisation dead-peer-detection de l’instructioninitiate-dead-peer-detection. À partir de la version 17.2R1 de Junos OS, les options et threshold s’appliquent interval également aux SA IKEv2. Dans Junos OS version 17.1 et antérieure, les options et threshold ne s’appliquent interval pas aux SA IKEv2, qui utilisent les valeurs par défaut. L’intervalle est le temps pendant lequel l’homologue attend le trafic de son homologue de destination avant d’envoyer un paquet de demande DPD, et le seuil est le nombre maximal de demandes DPD infructueuses à envoyer avant que l’homologue ne soit considéré comme indisponible.
Le comportement de surveillance est le même que celui décrit pour l’instruction backup-remote-gateway . Cette configuration permet au routeur de lancer des hellos DPD lorsqu’il n’existe pas de passerelle IPsec de secours, et de nettoyer les SA IKE et IPsec si l’homologue IKE n’est pas joignable.
Si le protocole DPD détermine que l’adresse principale de la passerelle distante n’est plus accessible, un nouveau tunnel est établi vers l’adresse de secours. Toutefois, lorsque vous configurez initiate-dead-peer-detection sans adresse de passerelle distante de secours et que le protocole DPD détermine que l’adresse de passerelle distante principale n’est plus accessible, le tunnel est déclaré mort et les SA IKE et IPsec sont nettoyées.
Pour plus d’informations sur le protocole DPD, consultez RFC 3706, A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers.
Configuration ou désactivation de l’antirejeu IPsec
Pour configurer la taille de la fenêtre antireplay IPsec, incluez l’instruction anti-replay-window-size au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] anti-replay-window-size bits;
anti-replay-window-size peut prendre des valeurs comprises entre 64 et 4096 bits. La valeur par défaut est de 64 bits pour les PIC AS et de 128 bits pour les PIC et DPC multiservices. Les PIC AS peuvent prendre en charge une taille de fenêtre de relecture maximale de 1024 bits, tandis que les PIC et DPC multiservices peuvent prendre en charge une taille de fenêtre de relecture maximale de 4096 bits. Lorsque le logiciel valide une configuration IPsec, le processus de gestion des clés (kmd) est incapable de faire la différence entre les types d’interfaces de service. Par conséquent, si la taille maximale de la fenêtre d’antirelecture dépasse 1024 pour les PIC AS, la validation réussit et aucun message d’erreur n’est généré. Cependant, le logiciel définit en interne la taille de la fenêtre antirelecture pour les PIC AS sur 1024 bits même si la valeur configurée de est anti-replay-window-size plus grande.
Pour désactiver la fonctionnalité antirelecture IPsec, incluez l’instruction no-anti-replay au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] no-anti-replay;
Par défaut, le service antirelecture est activé. Cela peut parfois entraîner des problèmes d’interopérabilité avec les équipements d’autres fournisseurs.
Spécification de la MTU pour les tunnels IPsec
Pour configurer une valeur spécifique d’unité de transmission maximale (MTU) pour les tunnels IPsec, incluez l’instruction tunnel-mtu au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] tunnel-mtu bytes;
Ce tunnel-mtu paramètre est le seul endroit où vous devez configurer une valeur de MTU pour les tunnels IPsec. L’inclusion d’un mtu paramètre au niveau de la [edit interfaces sp-fpc/pic/port unit logical-unit-number family inet] hiérarchie n’est pas prise en charge.
Configuration des ensembles de règles IPsec
L’instruction rule-set définit un ensemble de règles IPsec qui déterminent les actions que le logiciel du routeur effectue sur les paquets du flux de données. Vous définissez chaque règle en spécifiant un nom de règle et en configurant les termes. Ensuite, vous spécifiez l’ordre des règles en incluant l’instruction rule-set au niveau de la [edit services ipsec-vpn] hiérarchie avec une rule instruction pour chaque règle :
[edit services ipsec-vpn] rule-set rule-set-name { rule rule-name; }
Le logiciel du routeur traite les règles dans l’ordre dans lequel vous les spécifiez dans la configuration. Si un terme d’une règle correspond au paquet, le routeur exécute l’action correspondante et le traitement de la règle s’arrête. Si aucun terme d’une règle ne correspond au paquet, le traitement se poursuit jusqu’à la règle suivante de l’ensemble de règles. Si aucune des règles ne correspond au paquet, le paquet est abandonné par défaut.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
threshold s’appliquent
interval également aux SA IKEv2.