Règles et ensembles de règles IPsec
Exemple : Configuration des SA dynamiques IKE
Cet exemple montre comment configurer les SA dynamiques IKE et contient les sections suivantes.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Quatre routeurs M Series, MX Series ou T Series sur lesquels sont installées des interfaces multiservices.
Junos OS version 9.4 ou ultérieure.
Aucune configuration spéciale au-delà du lancement de l’appareil n’est requise avant de pouvoir configurer cette fonctionnalité.
Vue d’ensemble et topologie
Une association de sécurité (SA) est une connexion simplex qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec.
Les SA dynamiques sont particulièrement adaptées aux réseaux à grande échelle et géographiquement distribués, où la distribution, la maintenance et le suivi manuels des clés sont des tâches difficiles. Les SA dynamiques sont configurées avec un ensemble de propositions qui sont négociées par les passerelles de sécurité. Les clés sont générées dans le cadre de la négociation et n’ont pas besoin d’être spécifiées dans la configuration. Une SA dynamique comprend une ou plusieurs propositions qui vous permettent de hiérarchiser une liste de protocoles et d’algorithmes à négocier avec l’homologue.
Topologie
La figure 1 illustre une topologie IPsec qui contient un groupe de quatre routeurs. Cette configuration nécessite que les routeurs 2 et 3 établissent un tunnel IPsec à l’aide d’une IKE dynamic SA, d’une authentification améliorée et d’un chiffrement. Les routeurs 1 et 4 fournissent une connectivité de base et permettent de vérifier que le tunnel IPsec est opérationnel.
Lorsque vous ne spécifiez pas de proposition IKE, de proposition IPsec et de stratégie IPsec sur un PIC multiservices, le système d’exploitation Junos OS utilise par défaut le niveau de chiffrement et d’authentification le plus élevé. Par conséquent, le protocole d’authentification par défaut est ESP, le mode d’authentification par défaut est HMAC-SHA1-96 et le mode de chiffrement par défaut est 3DES-CBC.
Configuration
Pour configurer IKE dynamic SA, effectuez les tâches suivantes :
Les types d’interface présentés dans cet exemple ne sont donnés qu’à titre indicatif. Par exemple, vous pouvez utiliser so- des interfaces à la place de ge- et sp- au lieu de ms-.
- Configuration du routeur 1
- Configuration du routeur 2
- Configuration du routeur 3
- Configuration du routeur 4
Configuration du routeur 1
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 1.
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le routeur 1 pour la connectivité OSPF avec le routeur 2 :
Configurez une interface Ethernet et une interface de bouclage.
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit interfaces] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
Configurez l’ID du routeur.
[edit routing-options] user@router1# set router-id 10.0.0.1
Validez la configuration.
[edit] user@router1# commit
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols ospf, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R2 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
user@router1# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router1# show routing-options
routing-options {
router-id 10.0.0.1;
}
Configuration du routeur 2
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 2.
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 2 :
Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configurez l’ID du routeur.
[edit routing-options] user@router2# set router-ID 10.0.0.2
Configurez une règle IPsec. Au cours de cette étape, vous allez configurer une règle IPsec, spécifier des paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.
Note:Par défaut, Junos OS utilise la stratégie IKE version 1.0. Junos OS version 11.4 et ultérieure prend également en charge la stratégie IKE version 2.0 que vous devez configurer à l’adresse
[edit services ipsec-vpn ike policy policy-name pre-shared].[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input user@router2# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router2# set ike proposal ike-demo-proposal dh-group group2 user@router2# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router2# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal
Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
Validez la configuration.
[edit] user@router2# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospf, show routing-optionset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R1 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
ge-0/0/1 {
description "To R3 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
user@router2# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router2# show routing-options
routing-options {
router-id 10.0.0.2;
}
user@router2# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.2;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.1;
}
ipsec-vpn-rules rule-ike;
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.2;
}
ipsec-vpn-rules rule-ike;
}
Configuration du routeur 3
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 3.
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 3 :
Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configurez un ID de routeur.
[edit routing-options] user@router3# set router-id 10.0.0.3
Configurez une règle IPsec. Au cours de cette étape, vous allez configurer une règle IPsec et spécifier les paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.1 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input user@router3# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router3# set ike proposal ike-demo-proposal dh-group group2 user@router3# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router3# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal
Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
Validez la configuration.
[edit] user@router3# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospf, show routing-optionset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router3# show interfaces
interfaces {
ge-0/0/0 {
description "To R4 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
ge-0/0/1 {
description "To R2 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
}
user@router3# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router3# show routing-options
routing-options {
router-id 10.0.0.3;
}
user@router3# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.1;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
Configuration du routeur 4
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 4.
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la connectivité OSPF avec le routeur 4
Configurez les interfaces. Dans cette étape, vous configurez une interface Ethernet (ge-1/0/1) et une interface de bouclage.
user@router4# set interfaces ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set interfaces lo0 unit 0 family inet address 10.0.0.4/32
Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.
user@router4# set protocols ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set protocols ospf area 0.0.0.0 interface lo0.0
Configurez l’ID du routeur.
[edit routing-options] user@router4# set router-id 10.0.0.4
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols ospf, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration
user@router4# show interfaces
interfaces {
ge-0/0/0 {
description "To R3 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
user@router4# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router4# show routing-options
routing-options {
router-id 10.0.0.4;
}
Vérification
- Vérification de votre travail sur le routeur 1
- Vérification de votre travail sur le routeur 2
- Vérification de votre travail sur le routeur 3
- Vérification de votre travail sur le routeur 4
Vérification de votre travail sur le routeur 1
But
Vérifiez le bon fonctionnement du routeur 1.
Action
À partir du mode opérationnel, entrez ping 10.1.56.2 la commande dans l’interface ge-0/0/0 sur le routeur 4 pour envoyer le trafic à travers le tunnel IPsec
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
Signification
La sortie indique que le routeur 1 est capable d’atteindre le routeur 4 via le tunnel IPsec.
Vérification de votre travail sur le routeur 2
But
Vérifiez que la négociation IKE SA est réussie.
Action
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande.
user@router2>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured 03075bd3a0000003 4bff26a5c7000003 Main
Pour vérifier que l’association de sécurité IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Notez que la SA contient les paramètres par défaut inhérents au PIC multiservices, tels que ESP pour le protocole et HMAC-SHA1-96 pour l’algorithme d’authentification.
À partir du mode opérationnel, entrez la show services ipsec-vpn ipsec security-associations detail commande.
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 Local identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Direction: inbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64
Pour vérifier que le trafic transite par le tunnel IPsec bidirectionnel, exécutez la show services ipsec-vpn statistics commande suivante :
À partir du mode opérationnel, entrez la show services ipsec-vpn statistics commande.
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2248 Decrypted bytes: 2120 Encrypted packets: 27 Decrypted packets: 25 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Signification
La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.
La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.
Vérification de votre travail sur le routeur 3
But
Vérifiez que la négociation IKE SA réussit sur le routeur 3.
Action
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured 03075bd3a0000003 4bff26a5c7000003 Main
Pour vérifier que la SA IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.
À partir du mode opérationnel, entrez la show services ipsec-vpn ipsec security-associations detail commande.
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 Local identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Direction: inbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64
Pour vérifier que le trafic transite par le tunnel IPsec bidirectionnel, exécutez la show services ipsec-vpn statistics commande suivante :
À partir du mode opérationnel, entrez la show services ipsec-vpn ike security-associations commande.
user@router3>show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2120 Decrypted bytes: 2248 Encrypted packets: 25 Decrypted packets: 27 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Signification
La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.
La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.
Vérification de votre travail sur le routeur 4
But
Vérifiez que la négociation IKE SA est réussie.
Action
À partir du mode opérationnel, entrez ping 10.1.12.2 la commande dans l’interface ge-0/0/0 sur le routeur 1 pour envoyer le trafic à travers le tunnel IPsec.
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=3 ttl=254 time=1.142 ms 64 bytes from 10.1.12.2: icmp_seq=4 ttl=254 time=1.139 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
Pour vérifier que le trafic passe par le tunnel IPsec, envoyez la traceroute commande à l’interface ge-0/0/0 sur le routeur 1. Notez que l’interface physique entre les routeurs 2 et 3 n’est pas référencée dans le chemin d’accès ; le trafic entre dans le tunnel IPsec via l’interface interne IPsec des services adaptatifs sur le routeur 3, passe par l’interface de bouclage sur le routeur 2 et se termine à l’interface ge-0/0/0 sur le routeur 1.
À partir du mode de fonctionnement, entrez le traceroute 10.1.12.2fichier .
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Signification
La ping 10.1.12.2 sortie indique que le routeur 4 est capable d’atteindre le routeur 1 via le tunnel IPsec.
La traceroute 10.1.12.2 sortie montre que le trafic emprunte le tunnel IPsec.
Configuration des règles IPsec
Pour configurer une règle IPsec, incluez l’instruction rule et spécifiez un nom de règle au niveau de la [edit services ipsec-vpn] hiérarchie :
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; ipsec-inside-interface interface-name; source-address address; } then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; } } }
Chaque règle IPsec se compose d’un ensemble de termes, semblables à un filtre de pare-feu.
Un terme se compose des éléments suivants :
fromstatement : spécifie les conditions de correspondance et les applications incluses et exclues.thenstatement : spécifie les actions et les modificateurs d’action à effectuer par le logiciel du routeur.
Les sections suivantes expliquent comment configurer les composants des règles IPsec :
- Configuration du sens de correspondance pour les règles IPsec
- Configuration des conditions de correspondance dans les règles IPsec
- Configuration des actions dans les règles IPsec
Configuration du sens de correspondance pour les règles IPsec
Chaque règle doit inclure une match-direction instruction qui spécifie si la correspondance est appliquée du côté de l’entrée ou de la sortie de l’interface. Pour configurer l’application de la correspondance, incluez l’instruction match-direction (input | output) au niveau de la [edit services ipsec-vpn rule rule-name] hiérarchie :
[edit services ipsec-vpn rule rule-name] match-direction (input | output);
Les routeurs ACX Series ne prennent pas en charge match-direction les outputfichiers .
Le sens de correspondance est utilisé par rapport au flux de trafic à travers le PIC AS ou Multiservices. Lorsqu’un paquet est envoyé au PIC, des informations de direction sont emportées avec lui.
Dans un ensemble de services d’interface, la direction des paquets est déterminée par l’entrée ou la sortie d’un paquet de l’interface sur laquelle l’ensemble de services est appliqué.
Dans le cas d’un ensemble de services de saut suivant, la direction du paquet est déterminée par l’interface utilisée pour acheminer le paquet vers l’AS ou le PIC multiservices. Si l’interface interne est utilisée pour acheminer le paquet, la direction du paquet est entrée. Si l’interface externe est utilisée pour diriger le paquet vers le PIC, la direction du paquet est émise.
Sur l’AS ou le PIC multiservices, une recherche de flux est effectuée. Si aucun flux n’est trouvé, le traitement des règles est effectué. Toutes les règles de l’ensemble de services sont prises en compte. Lors du traitement des règles, la direction des paquets est comparée à la direction de la règle. Seules les règles dont les informations de direction correspondent à la direction du paquet sont prises en compte.
Configuration des conditions de correspondance dans les règles IPsec
Pour configurer les conditions de correspondance dans une règle IPsec, incluez l’instruction suivante from au niveau de la [edit services ipsec-vpn rule rule-name term term-name] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name] from { destination-address address; ipsec-inside-interface interface-name; source-address address; }
Vous pouvez utiliser l’adresse source ou l’adresse de destination comme condition de correspondance, de la même manière que vous configureriez un filtre de pare-feu. Pour plus d’informations, reportez-vous à la bibliothèque de protocoles de routage Junos OS.
Les services IPsec prennent en charge les formats d’adresse IPv4 et IPv6. Si vous ne configurez pas spécifiquement l’adresse source ou l’adresse de destination, la valeur 0.0.0.0/0 par défaut (IPv4 ANY) est utilisée. Pour utiliser IPv6 ANY (0::0/128) comme adresse source ou de destination, vous devez la configurer explicitement.
Les services IPsec sur ACX Series prennent en charge les formats d’adresse IPv4. Si vous ne configurez pas spécifiquement l’adresse source ou l’adresse de destination, la valeur 0.0.0.0/0 par défaut (IPv4 ANY) est utilisée.
Pour les ensembles de services de type saut suivant uniquement, l’instruction ipsec-inside-interface vous permet d’affecter une interface logique aux tunnels établis à la suite de cette condition de correspondance. L’instruction inside-service-interface que vous pouvez configurer au niveau de la [edit services service-set name next-hop-service] hiérarchie vous permet de spécifier .1 et .2 en tant qu’interfaces internes et externes. Toutefois, vous pouvez configurer plusieurs interfaces logiques de services adaptatifs avec l’instruction service-domain inside et utiliser l’une d’entre elles pour configurer l’instruction ipsec-inside-interface .
Junos OS évalue les critères que vous configurez dans l’instruction from . Si plusieurs tunnels de type lien sont configurés dans le même ensemble de services de type saut suivant, la ipsec-inside-interface valeur permet au module de recherche de règles de distinguer un tunnel particulier des autres tunnels dans le cas où les adresses source et de destination de chacun d’entre eux sont 0.0.0.0/0 (ANY-ANY).
Lorsque vous configurez l’instruction, les ipsec-inside-interface ensembles de services de style interface ne sont pas pris en charge.
Une situation spéciale est fournie par un terme contenant une condition de correspondance « any-any » (généralement parce que l’instruction from est omise). S’il existe une correspondance any-any dans un tunnel, un flux n’est pas nécessaire, car tous les flux à l’intérieur de ce tunnel utilisent la même association de sécurité (SA) et les sélecteurs de paquets ne jouent pas un rôle important. Par conséquent, ces tunnels utiliseront un IPsec basé sur les paquets. Cette stratégie permet d’économiser des ressources de flux sur le PIC, qui peuvent être utilisées pour d’autres tunnels qui ont besoin d’un service basé sur les flux.
L’exemple de configuration suivant montre une configuration de tunnel any-any sans from instruction dans term-1. Les sélecteurs manquants dans la from clause génèrent un service IPsec basé sur les paquets.
services {
ipsec-vpn {
rule rule-1 {
term term-1 {
then {
remote-gateway 10.1.0.1;
dynamic {
ike-policy ike_policy;
ipsec-policy ipsec_policy;
}
}
}
match-direction input;
}
.....
}
Le service IPsec sans flux est fourni aux tunnels de type liaison avec une correspondance any-any, ainsi qu’aux tunnels dynamiques avec une correspondance any-any, en mode dédié et partagé.
Pour les tunnels de type lien, un mélange d’IPsec sans flux et basé sur les flux est pris en charge au sein d’un ensemble de services. Si un ensemble de services inclut des termes avec une correspondance any-any et des termes avec des sélecteurs dans la from clause, un service basé sur les paquets est fourni pour les tunnels any-any et un service basé sur les flux est fourni pour les autres tunnels avec des sélecteurs.
Pour les tunnels sans lien, si un ensemble de services contient à la fois des termes any-any et des termes basés sur un sélecteur, un service basé sur les flux est fourni à tous les tunnels.
Configuration des actions dans les règles IPsec
Pour configurer des actions dans une règle IPsec, incluez l’instruction suivante then au niveau de la [edit services ipsec-vpn rule rule-name term term-name] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name] then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; }
Les principales actions IPsec consistent à configurer une SA dynamique ou manuelle :
Vous configurez une SA dynamique en incluant l’instruction
dynamicau niveau hiérarchique[edit services ipsec-vpn rule rule-name term term-name then]et en référençant les stratégies que vous avez configurées aux[edit services ipsec-vpn ipsec]niveaux hiérarchique et[edit services ipsec-vpn ike]hiérarchique.Vous configurez une SA manuelle en incluant l’instruction
manualau niveau de la[edit services ipsec-vpn rule rule-name term term-name then]hiérarchie.
Vous pouvez configurer les propriétés supplémentaires suivantes :
- Activation de la fragmentation des paquets IPsec
- Configuration des adresses de destination pour la détection des pairs morts
- Configuration ou désactivation de l’anti-rejeu IPsec
- Spécification de la MTU pour les tunnels IPsec
Activation de la fragmentation des paquets IPsec
Pour permettre la fragmentation des paquets IP version 4 (IPv4) dans les tunnels IPsec, incluez l’instruction suivante clear-dont-fragment-bit au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] clear-dont-fragment-bit;
La définition de l’instruction clear-dont-fragment-bit efface le bit Don’t Fragment (DF) dans l’en-tête du paquet, quelle que soit la taille du paquet. Si la taille du paquet dépasse la valeur MTU du tunnel, le paquet est fragmenté avant l’encapsulation. Pour les tunnels IPsec, la valeur MTU par défaut est 1500, quel que soit le paramètre MTU de l’interface.
Configuration des adresses de destination pour la détection des pairs morts
Pour spécifier l’adresse distante vers laquelle le trafic IPsec est dirigé, incluez l’instruction suivante remote-gateway au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] remote-gateway address;
Pour spécifier une adresse distante de sauvegarde, incluez l’instruction au backup-remote-gateway niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] backup-remote-gateway address;
Ces deux instructions prennent en charge les formats d’adresse IPv4 et IPv6.
La configuration de l’instruction backup-remote-gateway active le protocole DPD (Dead Peer Detection), qui surveille l’état du tunnel et la disponibilité des homologues distants. Lorsque le tunnel principal défini par l’instruction remote-gateway est actif, le tunnel de secours est en mode veille. Si le protocole DPD détermine que l’adresse principale de la passerelle distante n’est plus accessible, un nouveau tunnel est établi vers l’adresse de secours.
S’il n’y a pas de trafic entrant d’un pair pendant un intervalle défini de 10 secondes, le routeur détecte un tunnel comme inactif. Un minuteur global interroge tous les tunnels toutes les 10 secondes, et les services adaptatifs (AS) ou la carte d’interface physique multiservices (PIC) envoient un message répertoriant les tunnels inactifs. Si un tunnel devient inactif, le routeur effectue les étapes suivantes pour basculer vers l’adresse de secours :
Le message des services adaptatifs déclenche l’envoi par le protocole DPD d’un message de bonjour à l’homologue.
Si aucun accusé de réception n’est reçu, deux nouvelles tentatives sont envoyées à 2 secondes d’intervalle, puis le tunnel est déclaré mort.
Le basculement a lieu si le tunnel est déclaré mort ou s’il y a un délai d’expiration de la négociation IPsec Phase 1. Le tunnel principal est mis en veille et la sauvegarde devient active.
Si la négociation avec le tunnel de secours expire, le routeur revient au tunnel principal. Si les deux homologues sont en panne, il tente le basculement six fois. Il cesse ensuite le basculement et revient à la configuration d’origine, avec le tunnel principal actif et la sauvegarde en mode veille.
Vous pouvez également activer le déclenchement des messages DPD hello sans configurer de passerelle distante de sauvegarde en incluant l’instruction initiate-dead-peer-detection au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; }
De plus, pour les SA IKEv1, vous pouvez définir interval et threshold options sous l’instruction lors de l’utilisation dead-peer-detection de l’instruction initiate-dead-peer-detection . À partir de la version 17.2R1 de Junos OS, les interval options et threshold s’appliquent également aux SA IKEv2. Dans Junos OS version 17.1 et antérieure, les interval options et threshold ne s’appliquent pas aux SA IKEv2, qui utilisent les valeurs par défaut. L’intervalle est la durée pendant laquelle l’homologue attend le trafic de son homologue de destination avant d’envoyer un paquet de demande DPD, et le seuil correspond au nombre maximal de demandes DPD infructueuses à envoyer avant que l’homologue ne soit considéré comme indisponible.
Le comportement de surveillance est le même que celui décrit pour l’instruction backup-remote-gateway . Cette configuration permet au routeur d’initier des bonjours DPD lorsqu’il n’existe pas de passerelle IPsec de secours, et de nettoyer les IKE et les SA IPsec au cas où l’homologue IKE ne serait pas accessible.
Si le protocole DPD détermine que l’adresse principale de la passerelle distante n’est plus accessible, un nouveau tunnel est établi vers l’adresse de secours. Toutefois, lorsque vous effectuez une configuration initiate-dead-peer-detection sans adresse de passerelle distante de sauvegarde et que le protocole DPD détermine que l’adresse de passerelle distante principale n’est plus accessible, le tunnel est déclaré mort et les SA IKE et IPsec sont nettoyées.
Pour plus d’informations sur le protocole DPD, reportez-vous à la RFC 3706, Une méthode basée sur le trafic de détection des homologues IKE (Internet Key Exchange) morts.
Configuration ou désactivation de l’anti-rejeu IPsec
Pour configurer la taille de la fenêtre antireplay IPsec, incluez l’instruction suivante anti-replay-window-size au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] anti-replay-window-size bits;
anti-replay-window-size peut prendre des valeurs comprises entre 64 et 4096 bits. La valeur par défaut est de 64 bits pour les PIC AS et de 128 bits pour les PIC multiservices et les DPC. Les PIC AS peuvent prendre en charge une taille maximale de fenêtre de relecture de 1024 bits, tandis que les PIC et DPC multiservices peuvent prendre en charge une taille maximale de fenêtre de relecture de 4096 bits. Lorsque le logiciel valide une configuration IPsec , le processus de gestion des clés (kmd) n’est pas en mesure de différencier les types d’interfaces de service. Par conséquent, si la taille maximale de la fenêtre antireplay dépasse 1024 pour les AS PICs, la validation réussit et aucun message d’erreur n’est généré. Cependant, le logiciel définit en interne la taille de la fenêtre antireplay pour les PIC AS à 1024 bits, même si la valeur configurée de the anti-replay-window-size est plus grande.
Pour désactiver la fonctionnalité antireplay IPsec, incluez l’instruction suivante no-anti-replay au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] no-anti-replay;
Par défaut, le service antireplay est activé. Parfois, cela peut entraîner des problèmes d’interopérabilité avec les équipements d’autres fournisseurs.
Spécification de la MTU pour les tunnels IPsec
Pour configurer une valeur d’unité de transmission maximale (MTU) spécifique pour les tunnels IPsec, incluez l’instruction suivante tunnel-mtu au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then] tunnel-mtu bytes;
Ce tunnel-mtu paramètre est le seul endroit où vous devez configurer une valeur MTU pour les tunnels IPsec. L’inclusion d’un mtu paramètre au niveau de la [edit interfaces sp-fpc/pic/port unit logical-unit-number family inet] hiérarchie n’est pas prise en charge.
Configuration des ensembles de règles IPsec
L’instruction rule-set définit un ensemble de règles IPsec qui déterminent les actions que le logiciel du routeur effectue sur les paquets du flux de données. Vous définissez chaque règle en spécifiant un nom de règle et en configurant des termes. Ensuite, vous spécifiez l’ordre des règles en incluant l’instruction rule-set au niveau de la [edit services ipsec-vpn] hiérarchie avec une rule instruction pour chaque règle :
[edit services ipsec-vpn] rule-set rule-set-name { rule rule-name; }
Le logiciel du routeur traite les règles dans l’ordre dans lequel vous les spécifiez dans la configuration. Si un terme d’une règle correspond au paquet, le routeur effectue l’action correspondante et le traitement de la règle s’arrête. Si aucun terme d’une règle ne correspond au paquet, le traitement se poursuit jusqu’à la règle suivante de l’ensemble de règles. Si aucune des règles ne correspond au paquet, celui-ci est abandonné par défaut.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
interval options et
threshold s’appliquent également aux SA IKEv2.