Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Associations de sécurité manuelles

Exemple : Configuration des SA manuelles

Cet exemple montre comment créer un tunnel IPsec à l’aide d’associations de sécurité manuelles et contient les sections suivantes :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Quatre routeurs M Series, MX Series ou T Series sur lesquels sont installées des interfaces multiservices.

  • Junos OS version 9.4 et ultérieure.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de pouvoir configurer cette fonctionnalité.

Vue d’ensemble et topologie

Une association de sécurité (SA) est une connexion simplex qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec. Il existe deux types de SA : les SA manuelles et les SA dynamiques. Cet exemple explique une configuration manuelle de SA.

Les SA manuelles ne nécessitent aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles utilisent des valeurs, des algorithmes et des clés d’index des paramètres de sécurité (SPI) définis de manière statique, et nécessitent des configurations correspondantes aux deux extrémités du tunnel. Chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.

Les SA manuelles conviennent mieux aux petits réseaux statiques où la distribution, la maintenance et le suivi des clés ne sont pas difficiles.

Topologie

La figure 1 illustre une topologie IPsec qui contient un groupe de quatre routeurs : les routeurs 1, 2, 3 et 4.

Figure 1 : topologie SA manuelle Manual SA Topology

Les routeurs 2 et 3 établissent un tunnel IPsec à l’aide d’un PIC multiservices et de paramètres SA manuels. Les routeurs 1 et 4 fournissent une connectivité de base et permettent de vérifier que le tunnel IPsec est opérationnel.

Configuration

Cet exemple utilise quatre routeurs et implique les configurations suivantes :

  • Les routeurs 1 et 4 sont configurés pour une connectivité OSPF de base avec les routeurs 2 et 3 respectivement.

  • Les routeurs 2 et 3 sont configurés pour la connectivité OSPF avec les routeurs 1 et 4 respectivement. Les routeurs 2 et 3 sont également configurés pour créer un tunnel IPsec à l’aide de SA manuelles entre ces deux routeurs. Pour diriger le trafic vers le tunnel IPsec via l’interface multiservices, des ensembles de services de type saut suivant sont configurés sur les routeurs 2 et 3, et les interfaces multiservices configurées en tant qu’interface interne IPsec sont ajoutées à la configuration OSPF sur les routeurs respectifs.

Note:

Les types d’interface présentés dans cet exemple ne sont donnés qu’à titre indicatif. Par exemple, vous pouvez utiliser so- des interfaces à la place de ge- et sp- au lieu de ms-.

Cette section contient :

Configuration du routeur 1

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 1.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer le routeur 1 pour la connectivité OSPF avec le routeur 2 :

  1. Configurez une interface Ethernet et une interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

Résultats

À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols ospf, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 2

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 2.

Configuration des interfaces et de la connectivité OSPF (avec les routeurs 1 et 3) sur le routeur 2

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 2 :

  1. Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Configurez une règle IPsec. Au cours de cette étape, vous configurez une règle IPsec et spécifiez les paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.

  5. Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  6. Validez la configuration.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospf, show routing-optionset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 3

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 3.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 3 :

  1. Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez un ID de routeur.

  4. Configurez une règle IPsec. Au cours de cette étape, vous configurez une règle IPsec et spécifiez les paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.

  5. Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  6. Validez la configuration.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospf, show routing-optionset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 4

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande, au niveau hiérarchique [edit] du routeur 4.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer la connectivité OSPF avec le routeur 3

  1. Configurez les interfaces. Dans cette étape, vous configurez une interface Ethernet (ge-1/0/1) et une interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Validez la configuration.

Résultats

À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols ospf, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Vérification

Pour vérifier que la configuration manuelle de la SA fonctionne correctement, effectuez les tâches suivantes :

Vérification du flux de trafic dans le tunnel IPsec

But

Vérifiez que le tunnel IPsec achemine le trafic entre le routeur 1 et le routeur 4.

Action

Émettez une ping commande du routeur 1 sur lo0 le routeur 4.

Signification

La sortie indique que le routeur 1 est capable d’atteindre le routeur 4 via le tunnel IPsec.

Vérification des associations de sécurité sur le routeur 2

But

Vérifiez que les associations de sécurité sont actives sur le routeur 2 et que le trafic circule sur le tunnel IPsec.

Action
  • Pour vérifier que les associations de sécurité sont actives, cliquez sur Problème show services ipsec-vpn ipsec security-associations detail sur le routeur 2.

  • Pour vérifier que le trafic passe par le tunnel IPsec bidirectionnel, émettez un problème show services ipsec-vpn ipsec statistics sur le routeur 2.

Signification

La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.

La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.

Vérification des associations de sécurité sur le routeur 3

But

Vérifiez les associations de sécurité et le flux de trafic sur le tunnel IPsec.

Action
  • Pour vérifier que les associations de sécurité sont actives, cliquez sur Problème show services ipsec-vpn ipsec security-associations detail sur le routeur 3.

  • Pour vérifier que le trafic passe par le tunnel IPsec bidirectionnel, cliquez show services ipsec-vpn ipsec statistics sur le routeur 3.

Signification

La show services ipsec-vpn ipsec security-associations detail sortie de la commande affiche les propriétés SA que vous avez configurées.

La show services ipsec-vpn ipsec statistics sortie de la commande affiche le flux de trafic sur le tunnel IPsec.