Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Associations manuelles de sécurité

Exemple : configuration manuelle des SAs

Cet exemple montre comment créer un tunnel IPsec à l’aide d’associations de sécurité manuelles (AS) et contient les sections suivantes :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Quatre routeurs M Series, MX Series ou T Series équipés d’interfaces multiservices.

  • Junos OS version 9.4 et versions ultérieures.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est nécessaire avant de pouvoir configurer cette fonctionnalité.

Présentation et topologie

Une association de sécurité (SA) est une connexion simplex qui permet à deux hôtes de communiquer en toute sécurité au moyen d’IPsec. Il existe deux types de SA : sa manuelle et SA dynamique. Cet exemple explique une configuration SA manuelle.

Les SA manuels ne nécessitent aucune négociation ; toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuels utilisent des valeurs, des algorithmes et des clés SPI (Security Parameter Index) statiquement définis, et nécessitent des configurations correspondantes aux deux extrémités du tunnel. Chaque pair doit disposer des mêmes options configurées pour que la communication ait lieu.

Les SA manuels sont mieux adaptés aux petits réseaux statiques où la distribution, la maintenance et le suivi des clés ne sont pas difficiles.

Topologie

La figure 1 montre une topologie IPsec qui contient un groupe de quatre routeurs : routeurs 1, 2, 3 et 4.

Figure 1 : Topologie Manual SA Topology SA manuelle

Les routeurs 2 et 3 établissent un tunnel IPsec à l’aide d’un PIC multiservices et de paramètres SA manuels. Les routeurs 1 et 4 fournissent une connectivité de base et sont utilisés pour vérifier que le tunnel IPsec est opérationnel.

Configuration

Cet exemple utilise quatre routeurs et comprend les configurations suivantes :

  • Les routeurs 1 et 4 sont configurés pour la connectivité OSPF de base avec les routeurs 2 et 3, respectivement.

  • Les routeurs 2 et 3 sont configurés pour la connectivité OSPF avec les routeurs 1 et 4, respectivement. Les routeurs 2 et 3 sont également configurés pour créer un tunnel IPsec à l’aide de SAs manuels entre ces deux routeurs. Pour diriger le trafic vers le tunnel IPsec via l’interface multiservices, les ensembles de services de type saut suivant sont configurés sur les routeurs 2 et 3, et les interfaces multiservices configurées en tant qu’interface interne IPsec sont ajoutées à la configuration OSPF sur les routeurs respectifs.

Note:

Les types d’interface indiqués dans cet exemple sont à titre indicatif uniquement. Par exemple, vous pouvez utiliser des so- interfaces au lieu de ge- et sp- à la place de ms-.

Cette section contient :

Configuration du routeur 1

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 1.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer le routeur 1 pour la connectivité OSPF avec le routeur 2 :

  1. Configurez une interface Ethernet et une interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols ospfet show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 2

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 2.

Configuration des interfaces et de la connectivité OSPF (avec les routeurs 1 et 3) sur le routeur 2

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer la connectivité OSPF et les paramètres du tunnel IPsec sur le routeur 2 :

  1. Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Configurez une règle IPsec. Au cours de cette étape, vous configurez une règle IPsec et spécifiez des paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.

  5. Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  6. Validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols ospf, show routing-optionset les show services commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 3

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans l’interface cli, au niveau de la hiérarchie [modifier], du routeur 3.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer la connectivité OSPF et les paramètres du tunnel IPsec sur le routeur 3 :

  1. Configurez les propriétés de l’interface. Au cours de cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), une interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez un ID de routeur.

  4. Configurez une règle IPsec. Au cours de cette étape, vous configurez une règle IPsec et spécifiez des paramètres SA manuels, tels que l’adresse de la passerelle distante, les propriétés d’authentification et de chiffrement, etc.

  5. Configurez un ensemble de services de type saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  6. Validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols ospf, show routing-optionset les show services commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 4

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 4.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer la connectivité OSPF avec le routeur 3

  1. Configurez les interfaces. Au cours de cette étape, vous configurez une interface Ethernet (ge-1/0/1) et une interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols ospfet show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Vérification

Pour confirmer le bon fonctionnement de la configuration SA manuelle, effectuez les tâches suivantes :

Vérification du flux de trafic via le tunnel IPsec

But

Vérifiez que le tunnel IPsec transporte le trafic entre le routeur 1 et le routeur 4.

Action

Émettez une ping commande du routeur 1 vers lo0 le routeur 4.

Sens

La sortie montre que le routeur 1 peut atteindre le routeur 4 par le tunnel IPsec.

Vérification des associations de sécurité sur le routeur 2

But

Vérifiez que les associations de sécurité sont actives sur le routeur 2 et que le trafic transite par le tunnel IPsec.

Action
  • Pour vérifier que les associations de sécurité sont actives, problème show services ipsec-vpn ipsec security-associations detail sur le routeur 2.

  • Pour vérifier que le trafic circule sur le tunnel IPsec bidirectionnel, problème show services ipsec-vpn ipsec statistics sur le routeur 2.

Sens

La show services ipsec-vpn ipsec security-associations detail sortie de commande affiche les propriétés SA que vous avez configurées.

La show services ipsec-vpn ipsec statistics sortie de commande affiche le flux de trafic sur le tunnel IPsec.

Vérification des associations de sécurité sur le routeur 3

But

Vérifiez les associations de sécurité et le flux de trafic sur le tunnel IPsec.

Action
  • Pour vérifier que les associations de sécurité sont actives, problème show services ipsec-vpn ipsec security-associations detail sur le routeur 3.

  • Pour vérifier que le trafic circule sur le tunnel IPsec bidirectionnel, problème show services ipsec-vpn ipsec statistics sur le routeur 3.

Sens

La show services ipsec-vpn ipsec security-associations detail sortie de commande affiche les propriétés SA que vous avez configurées.

La show services ipsec-vpn ipsec statistics sortie de commande affiche le flux de trafic sur le tunnel IPsec.