Tunnels IPsec avec points de terminaison dynamiques
Configuration de points de terminaison dynamiques pour les tunnels IPsec
Il est également possible d’établir des tunnels IPsec à l’aide de passerelles de sécurité homologues dynamiques , dans lesquelles les extrémités distantes des tunnels n’ont pas d’adresse IP affectée de manière statique. Étant donné que l’adresse distante n’est pas connue et qu’elle peut être extraite d’un pool d’adresses chaque fois que l’hôte distant redémarre, l’établissement du tunnel repose sur l’utilisation du mode IKE main avec des clés globales prépartagées ou des certificats numériques acceptant n’importe quelle valeur d’identification distante. Les tunnels basés sur des stratégies et les tunnels de type lien sont pris en charge :
Tunnels basés sur des stratégies utilisés en mode partagé.
Les tunnels de type lien ou routés utilisent un mode dédié. Chaque tunnel alloue une interface de services à partir d’un pool d’interfaces configurées pour les homologues dynamiques. Les protocoles de routage peuvent être configurés pour s’exécuter sur ces interfaces de services afin d’apprendre les routes sur le tunnel IPsec utilisé comme lien dans ce scénario.
Cette section aborde les rubriques suivantes :
- Processus d’authentification
- Règles dynamiques implicites
- Inverser l’insertion d’une route
- Configuration d’un profil d’accès IKE
- Référencement du profil d’accès IKE dans un ensemble de services
- Configuration de l’identificateur d’interface
- Propositions IKE et IPsec par défaut
- distribution des tunnels IPsec des points de terminaison entre les interfaces de services
Processus d’authentification
L’homologue distant (homologue dynamique) entame les négociations avec le routeur local (Juniper Networks). Le routeur local utilise les stratégies IKE et IPsec par défaut pour correspondre aux propositions envoyées par l’homologue distant pour négocier les valeurs d’association de sécurité (SA). Les propositions implicites contiennent une liste de toutes les transformations prises en charge que le routeur local attend de tous les homologues dynamiques.
Si l’authentification par clé prépartagée est utilisée, la clé prépartagée est globale pour un ensemble de services. Lors de la recherche de la clé prépartagée pour l’homologue, le routeur local fait correspondre l’adresse source de l’homologue avec toutes les clés prépartagées explicitement configurées dans cet ensemble de services. Si aucune correspondance n’est trouvée, le routeur local utilise la clé prépartagée globale pour l’authentification.
La phase 2 de l’authentification fait correspondre les identités proxy des hôtes et réseaux protégés envoyés par l’homologue avec une liste d’identités proxy configurées. L’identité de proxy acceptée est utilisée pour créer les règles dynamiques de chiffrement du trafic. Vous pouvez configurer les identités de proxy en incluant l’instruction allowed-proxy-pair dans le profil d’accès IKE. Si aucune entrée ne correspond, la négociation est rejetée.
Si vous ne configurez pas l’instruction allowed-proxy-pair , la valeur ANY(0.0.0.0/0)-ANY par défaut est appliquée et le routeur local accepte toutes les identités de proxy envoyées par l’homologue. Les adresses IPv4 et IPv6 sont acceptées, mais vous devez les configurer manuellement.
Une fois la négociation de phase 2 terminée, le routeur crée les règles dynamiques et insère le routage inverse dans la table de routage à l’aide de l’identité de proxy acceptée.
Règles dynamiques implicites
Après une négociation réussie avec l’homologue dynamique, le processus de gestion des clés (kmd) crée une règle dynamique pour le proxy de phase 2 accepté et l’applique au PIC AS ou multiservices local. Les adresses source et de destination sont spécifiées par le proxy accepté. Cette règle permet de chiffrer le trafic dirigé vers l’un des hôtes finaux dans l’identité de proxy de phase 2.
La règle dynamique inclut une ipsec-inside-interface valeur, qui est le nom d’interface affecté au tunnel dynamique. Les source-address valeurs et destination-address sont acceptées à partir de l’ID de proxy. La match-direction valeur correspond input aux ensembles de services de type saut suivant.
Vous ne configurez pas cette règle ; Il est créé par le processus de gestion des clés (KMD).
La recherche de règles pour les tunnels statiques n’est pas affectée par la présence d’une règle dynamique ; Elle s’effectue dans l’ordre configuré. Lorsqu’un paquet est reçu pour un ensemble de services, les règles statiques sont toujours mises en correspondance en premier.
Les règles dynamiques sont mises en correspondance après l’échec de la correspondance des règles statiques.
Les messages hello Response to Dead Peer Detection (DPD) s’effectuent de la même manière avec des homologues dynamiques qu’avec des homologues statiques. Il n’est pas possible d’initier des messages DPD hello à partir d’homologues dynamiques.
Inverser l’insertion d’une route
Les routes statiques sont automatiquement insérées dans la table de routage pour les réseaux et les hôtes protégés par un point de terminaison de tunnel distant. Ces hôtes et réseaux protégés sont connus sous le nom d’identités de proxy distants.
Chaque route est créée en fonction du réseau proxy distant et du masque envoyés par l’homologue et est insérée dans la table de routage correspondante après des négociations réussies des phases 1 et 2.
La préférence d’itinéraire pour chaque itinéraire inverse statique est 1. Cette valeur est nécessaire pour éviter tout conflit avec des routes similaires qui pourraient être ajoutées par le processus de protocole de routage (rpd).
Aucune route n’est ajoutée si l’adresse du proxy distant acceptée est la valeur par défaut (0.0.0.0/0). Dans ce cas, vous pouvez exécuter des protocoles de routage sur le tunnel IPsec pour apprendre les routes et ajouter des routes statiques pour le trafic que vous souhaitez protéger sur ce tunnel.
Pour les ensembles de services de type saut suivant, les itinéraires inverses incluent les sauts suivants pointant vers les emplacements spécifiés par l’instruction inside-service-interface .
La table de routage dans laquelle insérer ces itinéraires dépend de l’emplacement inside-service-interface indiqué. Si ces interfaces sont présentes dans une instance VRF (VPN routing and forwarding), les routes sont ajoutées à la table VRF correspondante ; sinon, les routes sont ajoutées à inet.0.
L’insertion d’inversion de route n’a lieu que pour les tunnels vers des homologues dynamiques. Ces routes sont ajoutées uniquement pour les ensembles de services de type saut suivant.
Configuration d’un profil d’accès IKE
Vous ne pouvez configurer qu’un seul profil de tunnel par ensemble de services pour tous les homologues dynamiques. La clé prépartagée configurée dans le profil est utilisée pour l’authentification IKE de tous les homologues dynamiques se terminant dans cet ensemble de services. Vous pouvez également inclure l’instruction ike-policy pour référencer une stratégie IKE que vous définissez avec des valeurs d’identification spécifiques ou un caractère générique (l’option any-remote-id ). Vous configurez la stratégie IKE au niveau de la [edit services ipsec-vpn ike] hiérarchie.
Le profil de tunnel IKE spécifie toutes les informations nécessaires pour terminer la négociation IKE. Chaque protocole possède sa propre hiérarchie d’instructions dans l’instruction client pour configurer les paires attribut-valeur spécifiques au protocole, mais une seule configuration client est autorisée pour chaque profil. Voici la configuration au niveau de la [edit access] hiérarchie ; pour plus d’informations sur les profils d’accès, reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage.
[edit access]
profile profile-name {
client * {
ike {
allowed-proxy-pair {
remote remote-proxy-address local local-proxy-address;
}
pre-shared-key (ascii-text key-string | hexadecimal key-string);
ike-policy policy-name;
interface-id <string-value>;
ipsec-policy ipsec-policy;
}
}
}
Pour les homologues dynamiques, Junos OS prend en charge le mode principal IKE avec la méthode d’authentification par clé prépartagée ou un profil d’accès IKE qui utilise un certificat numérique local.
En mode de clé prépartagée, l’adresse IP est utilisée pour identifier un homologue de tunnel afin d’obtenir les informations de clé prépartagée. La
clientvaleur*(caractère générique) signifie que la configuration au sein de ce profil est valide pour tous les homologues dynamiques se terminant dans l’ensemble de services accédant à ce profil.En mode certificat numérique, la stratégie IKE définit les valeurs d’identification à distance autorisées.
Les énoncés suivants constituent le profil IKE :
allowed-proxy-pair: au cours de la phase 2 de la négociation IKE, l’homologue distant fournit son adresse réseau (remote) et l’adresse réseau de son homologue (local). Étant donné que plusieurs tunnels dynamiques sont authentifiés via le même mécanisme, cette instruction doit inclure la liste des combinaisons possibles. Si l’homologue dynamique ne présente pas de combinaison valide, la négociation IKE de phase 2 échoue.Par défaut,
remote 0.0.0.0/0 local 0.0.0.0/0est utilisé si aucune valeur n’est configurée. Les formats d’adresse IPv4 et IPv6 sont tous deux pris en charge dans cette configuration, mais il n’existe pas d’adresses IPv6 par défaut. Vous devez spécifier même0::0/0.pre-shared-key: clé utilisée pour authentifier l’homologue dynamique lors de la négociation IKE phase 1. Cette clé est connue des deux extrémités grâce à un mécanisme de sécurité hors bande. Vous pouvez configurer la valeur danshexadecimalouascii-textau format. Il s’agit d’une valeur obligatoire.ike-policy—Stratégie qui définit les valeurs d’identification à distance correspondant aux pairs dynamiques autorisés ; Peut contenir une valeurany-remote-idgénérique à utiliser uniquement dans les configurations de point de terminaison dynamiques.interface-id: identificateur d’interface, attribut obligatoire utilisé pour dériver les informations de l’interface de services logiques de la session.ipsec-policy: nom de la stratégie IPsec qui définit les informations de stratégie IPsec pour la session. Vous définissez la stratégie IPsec au niveau de la[edit services ipsec-vpn ipsec policy policy-name]hiérarchie. Si aucune stratégie n’est définie, toute stratégie proposée par l’homologue dynamique est acceptée.
Référencement du profil d’accès IKE dans un ensemble de services
Pour terminer la configuration, vous devez référencer le profil d’accès IKE configuré au niveau de la [edit access] hiérarchie. Pour ce faire, incluez l’instruction au ike-access-profile niveau de la [edit services service-set name ipsec-vpn-options] hiérarchie :
[edit services service-set name] ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; }
L’instruction ike-access-profile doit faire référence au même nom que l’instruction que vous avez configurée pour l’accès profile IKE au niveau de la [edit access] hiérarchie. Vous ne pouvez référencer qu’un seul profil d’accès dans chaque ensemble de services. Ce profil est utilisé uniquement pour négocier les associations de sécurité IKE et IPsec avec des homologues dynamiques.
Toutes les interfaces référencées par l’instruction inside-service-interface au sein d’un ensemble de services doivent appartenir à la même instance VRF.
Configuration de l’identificateur d’interface
Vous pouvez configurer un identificateur d’interface pour un groupe d’homologues dynamiques, qui spécifie la ou les interfaces logiques des services adaptatifs qui participent à la négociation IPsec dynamique. En affectant le même identificateur d’interface à plusieurs interfaces logiques, vous pouvez créer un pool d’interfaces à cet effet. Pour configurer un identificateur d’interface, incluez l’instruction et l’instruction ipsec-interface-id dedicated or shared au niveau de la [edit interfaces interface-name unit logical-unit-number dial-options] hiérarchie :
[edit interfaces interface-name unit logical-unit-number dial-options] ipsec-interface-id identifier; (dedicated | shared);
La spécification de l’identificateur d’interface dans l’instruction dial-options fait de cette interface logique une partie du pool identifié par l’instruction ipsec-interface-id .
Un seul identificateur d’interface peut être spécifié à la fois. Vous pouvez inclure l’instruction ipsec-interface-id ou l’instruction l2tp-interface-id , mais pas les deux.
Si vous configurez shared le mode, il permet de partager une interface logique entre plusieurs tunnels. L’instruction dedicated spécifie que l’interface logique est utilisée dans un mode dédié, ce qui est nécessaire lorsque vous configurez un tunnel de type lien IPsec. Vous devez inclure l’instruction dedicated lorsque vous spécifiez une ipsec-interface-id valeur.
Propositions IKE et IPsec par défaut
Le logiciel inclut des propositions IKE et IPsec implicites par défaut pour correspondre aux propositions envoyées par les homologues dynamiques. Les valeurs sont indiquées dans le tableau 1 ; Si plusieurs valeurs sont affichées, la première valeur est la valeur par défaut.
Les certificats RSA ne sont pas pris en charge avec la configuration dynamique des points de terminaison.
Nom de l’instruction |
Valeurs |
|---|---|
| Proposition IKE implicite | |
|
|
|
|
|
|
|
|
|
|
| Proposition IPsec implicite | |
|
|
|
|
|
|
|
|
distribution des tunnels IPsec des points de terminaison entre les interfaces de services
À partir de la version 16.2R1 de Junos OS, vous pouvez distribuer des tunnels IPsec avec des points de terminaison dynamiques entre plusieurs MS-MIC ou plusieurs PIC de service d’un MS-MPC. Pour configurer la distribution des tunnels, configurez un ensemble de services IPsec de saut suivant pour l’interface multiservices (ms-) de chaque PIC de service. À partir de Junos OS version 17.1R1, vous pouvez également distribuer des tunnels IPsec avec des points de terminaison dynamiques entre les interfaces multiservices agrégées (AMS) des MS-MIC ou MS-MPC en configurant un ensemble de services IPsec de saut suivant pour chaque interface AMS.
Vous pouvez ajouter ultérieurement du matériel PIC de service au routeur MX Series et inclure le PIC de service dans la distribution de tunnel en ajoutant simplement un autre ensemble de services, sans avoir à modifier la configuration des homologues IPsec.
Pour configurer la distribution de tunnels, procédez comme suit lors de la configuration de tunnels IPsec de point de terminaison dynamique :
Configurez un ensemble de services IPsec de saut suivant pour chaque interface de services ou interface AMS utilisée par le tunnel IPsec du point de terminaison dynamique (voir Référencement du profil d’accès IKE dans un ensemble de services). Tous les ensembles de services doivent :
Utilisez le même type d’interface de services : soit des interfaces multiservices (ms-), soit des interfaces AMS (ams-).
Avoir une interface dans l’instruction
outside-servicequi se trouve dans la même instance VRF (VPN routing and forwarding) que les interfaces des autres ensembles de services.Avoir la même
local-gatewayadresse IP.Avoir le même
ike-access-profilenom.
Lors de la configuration de l’identificateur d’interface (voir Configuration de l’identificateur d’interface), le
ipsec-interface-id identifierdoit être configuré :Uniquement sous les interfaces qui apparaissent dans les
inside-service-setinstructions des ensembles de services.With
dedicatedpour toutes les interfaces, ou withsharedpour toutes les interfaces.Sous pas plus d’une unité partagée d’une interface.
Uniquement sous les interfaces configurées avec
service-domain inside.Uniquement sous les interfaces qui se trouvent dans le même VRF.
Exemple : Configuration de tunnels basés sur des stratégies affectés dynamiquement
Cet exemple montre comment configurer des tunnels basés sur des stratégies affectés dynamiquement et contient les sections suivantes.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois routeurs M Series, MX Series ou T Series.
-
Junos OS version 9.4 ou ultérieure.
Vue d’ensemble et topologie
Une stratégie IPsec pour les points de terminaison dynamiques définit une combinaison de paramètres de sécurité (propositions IPsec) utilisés lors de la négociation IPsec entre des passerelles de sécurité homologues dynamiques, dans lesquelles les extrémités distantes des tunnels n’ont pas d’adresse IP affectée de manière statique.
Un VPN basé sur une stratégie est une configuration avec un tunnel VPN spécifique référencé dans une stratégie qui agit comme un tunnel. Vous pouvez utiliser un VPN basé sur des stratégies si le périphérique VPN distant n’est pas Juniper et si vous ne devez accéder qu’à un seul sous-réseau ou réseau sur le site distant, via le VPN.
Cet exemple explique la topologie de tunnelisation de point de terminaison dynamique IPsec, comme illustré à la Figure 1.
Avant de configurer les tunnels attribués dynamiquement, assurez-vous d’avoir :
-
Un réseau local N-1 connecté à une passerelle de sécurité SG-1. Les points de sortie doivent disposer d’un routeur Juniper Networks pour arrêter les points de terminaison homologues statiques et dynamiques. L’adresse de terminaison du tunnel sur SG-1 est 10.1.1.1 et l’adresse du réseau local est 172.16.1.0/24.
-
Deux routeurs homologues distants qui obtiennent des adresses d’un pool de FAI et exécutent un IKE conforme à la RFC. Le réseau distant N-2 a l’adresse 172.16.2.0/24 et est connecté à la passerelle de sécurité SG-2 avec l’adresse de terminaison de tunnel 10.2.2.2. Le réseau distant N-3 a l’adresse 172.16.3.0/24 et est connecté à la passerelle de sécurité SG-3 avec l’adresse de terminaison de tunnel 10.3.3.3.
Topologie
Configuration
Pour configurer des tunnels basés sur des stratégies affectés dynamiquement, effectuez les tâches suivantes :
Les types d’interface présentés dans cet exemple ne sont donnés qu’à titre indicatif. Par exemple, vous pouvez utiliser so- des interfaces à la place de ge- et sp- au lieu de ms-.
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur SG1.
Configuration des interfaces
set interfaces ms-0/0/0 unit 0 family inet set interfaces ms-0/0/0 unit 1 family inet set interfaces ms-0/0/0 unit 1 service-domain inside set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id set interfaces ms-0/0/0 unit 1 dial-options shared set interfaces ms-0/0/0 unit 2 family inet set interfaces ms-0/0/0 unit 2 service-domain outside
Configuration du profil d’accès
set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.3.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike ascii-text keyfordynamicpeers set access profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
configuration de l’ensemble de services
set services service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
Configuration des propriétés IPsec
set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo2 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo2 proposals ipsec_proposal_demo1 set services ipsec-vpn ike proposal ike_proposal_demo1 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_demo1 dh-group group2 set services ipsec-vpn ike policy ike_policy_demo1 version 2 set services ipsec-vpn ike policy ike_policy_demo1 proposals ike_proposal_demo1 set services ipsec-vpn ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
configuration des instances de routage
set routing-instances demo-vrf instance-type vrf set routing-instances demo-vrf ms-0/0/0.1 set routing-instances demo-vrf ms-0/0/0.2
Configuration d’un ensemble de services SG1 Next-Hop
Procédure étape par étape
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
-
Configurez les interfaces.
[edit interfaces] user@router1# set interfaces ms-0/0/0 unit 0 family inet user@router1# set interfaces ms-0/0/0 unit 1 family inet user@router1# set interfaces ms-0/0/0 unit 1 service-domain inside user@router1# set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id user@router1# set interfaces ms-0/0/0 unit 1 dial-options mode shared user@router1# set interfaces ms-0/0/0 unit 2 family inet user@router1# set interfaces ms-0/0/0 unit 2 service-domain outside
-
Configurez le profil d’accès.
[edit access] user@router1# set profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 user@router1# set profile demo-access-profile client * ike ascii-text keyfordynamicpeers user@router1# set profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
-
Configurez l’ensemble des services.
[edit services] user@router1# set service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 user@router1# set service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
-
Configurez les propriétés IPsec.
[edit services ipsec-vpn] user@router1#set ipsec proposal ipsec_proposal_demo1 protocol esp user@router1#set ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 user@router1#set ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc user@router1#set ipsec policy demo2 perfect-forward-secrecy keys group2 user@router1#set ipsec policy demo2 proposals ipsec_proposal_demo1 user@router1#set ike proposal ike_proposal_demo1 authentication-method pre-shared-keys user@router1#set ike proposal ike_proposal_demo1 dh-group group2 user@router1#set ike policy ike_policy_demo1 version 2 user@router1#set ike policy ike_policy_demo1 proposals ike_proposal_demo1 user@router1#set ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
-
Configurez les instances de routage.
[edit routing-instances] user@router1# set demo-vrf instance-type vrf user@router1# set demo-vrf ms-0/0/0.1 user@router1# set demo-vrf ms-0/0/0.2
Résultats
À partir du mode de configuration du routeur 1, confirmez votre configuration en entrant les show interfacescommandes , show accesset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
interfaces {
ms-0/0/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
dial-options {
ipsec-interface-id demo-ipsec-interface-id;
mode shared;
}
}
unit 2 {
family inet;
service-domain outside;
}
}
}
access {
profile demo-access-profile client * {
ike {
allowed-proxy-pair {
remote 172.16.2.0/24 local 172.16.1.0/24; #Set for Network 2 connected to Network 1
remote 172.16.3.0/24 local 172.16.1.0/24; #Set for Network 3 connected to Network 1
}
pre-shared-key {
ascii-text keyfordynamicpeers;
}
interface-id demo-ipsec-interface-id;
}
}
}
services {
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-0/0/0.1;
outside-service-interface ms-0/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.1.1;
ike-access-profile demo-access-profile;
}
}
ipsec-vpn {
ipsec {
proposal ipsec_proposal_demo1 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo2 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_demo1;
}
}
ike {
proposal ike_proposal_demo1 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_demo1 {
version 2;
proposals ike_proposal_demo1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-instances {
demo-vrf {
instance-type vrf;
interface ms-0/0/0.1;
interface ms-0/0/0.2;
}
}
Vérification
Vérification de la création de l’ensemble de services SG1 de saut suivant avec tunnels basés sur des stratégies
But
Vérifiez que l’ensemble de services SG1 de saut suivant avec des tunnels basés sur des stratégies est créé.
Action
À partir du mode opérationnel, entrez la show route commande.
user@router1> show route demo-vrf.inet.0: .... # Routing instance 172.11.0.0/24 *[Static/1].. > via ms-0/0/0.1 172.12.0.0/24 *[Static/1].. > via ms-0/0/0.1
À partir du mode opérationnel, entrez dans le show services ipsec-vpn ipsec security-associations detail
user@router1>show services ipsec-vpn ipsec security-associations detail rule: junos-dynamic-rule-0 term: term-0 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.2.2.2 #Tunnel termination address on SG-2 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 ipsec-inside-interface: ms-0/0/0.1 term: term-1 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.3.3.3 #Tunnel termination address on SG-3 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 IPsec Properties ipsec-inside-interface: ms-0/0/0.1 match-direction: input
Signification
La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés que vous avez configurées.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.