Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Ensembles de services pour les points de terminaison statiques Tunnels IPsec

Ensembles de services

Le PIC Adaptive Services prend en charge deux types d’ensembles de services lorsque vous configurez des tunnels IPSec. Étant donné qu’ils sont utilisés à des fins différentes, il est important de connaître les différences entre ces types d’ensembles de services.

  • Next-hop service set : prend en charge les protocoles de routage dynamique de type multicast et multicast (tels que OSPF) sur IPSec. Les ensembles de services de saut suivant vous permettent d’utiliser des interfaces logiques internes et externes sur le PIC Adaptive Services pour vous connecter à plusieurs instances de routage. Ils permettent également l’utilisation de la traduction d’adresses réseau (NAT) et de capacités de pare-feu dynamiques. Toutefois, les ensembles de services de saut suivant ne surveillent pas le trafic du moteur de routage par défaut et nécessitent la configuration de plusieurs ensembles de services pour prendre en charge le trafic provenant de plusieurs interfaces.

  • Ensemble de services d’interface : appliqué à une interface physique et similaire à un filtre de pare-feu sans état. Ils sont faciles à configurer, peuvent prendre en charge le trafic de plusieurs interfaces et peuvent surveiller le trafic du moteur de routage par défaut. Cependant, ils ne peuvent pas prendre en charge les protocoles de routage dynamique ou le trafic multicast sur le tunnel IPSec.

En général, nous vous recommandons d’utiliser les ensembles de services next-hop car ils prennent en charge les protocoles de routage et le multicast sur le tunnel IPSec, ils sont plus faciles à comprendre et la table de routage prend les décisions de transfert sans intervention administrative.

Voir aussi

Configuration des ensembles de services IPsec

Les ensembles de services IPsec nécessitent des spécifications supplémentaires que vous configurez au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie :

La configuration de ces instructions est décrite dans les sections suivantes :

Configuration de l’adresse de passerelle locale pour les ensembles de services IPsec

Si vous configurez un ensemble de services IPsec, vous devez également configurer une adresse IPv4 ou IPv6 locale en incluant l’instruction local-gateway :

  • Si l’adresse IP de la passerelle Internet Key Exchange (IKE) est dans inet.0 (situation par défaut), vous configurez l’instruction suivante :

  • Si l’adresse IP de la passerelle IKE se trouve dans une instance VRF (VPN Routing and Forwarding), vous configurez l’instruction suivante :

Vous pouvez configurer tous les tunnels de type lien qui partagent la même adresse de passerelle locale dans un seul ensemble de services de type saut suivant. Vous devez spécifier une valeur pour l’instruction inside-service-interface au niveau de la [edit services service-set service-set-name] hiérarchie qui correspond à la ipsec-inside-interface valeur que vous configurez au niveau de la [edit services ipsec-vpn rule rule-name term term-name from] hiérarchie. Pour plus d’informations sur la configuration IPsec, consultez Configuration des règles IPsec.

Remarque :

À partir de la version 16.1 de Junos OS, pour configurer des tunnels de type lien (c’est-à-dire de type saut suivant) à des fins de HA, vous pouvez configurer les interfaces logiques AMS en tant qu’interfaces internes IPsec à l’aide de l’instruction ipsec-inside-interface interface-name au niveau de la [edit services ipsec-vpn rule rule-name term term-name from] hiérarchie.

À partir de la version 17.1 de Junos OS, AMS prend en charge la distribution de tunnels IPSec.

Adresses IKE dans les instances VRF

Vous pouvez configurer Internet Key Exchange (IKE) adresses IP de passerelle présentes dans une instance VRF (VPN Routing and Forwarding), à condition que l’homologue soit accessible via l’instance VRF.

Pour les ensembles de services de saut suivant, le processus de gestion des clés (kmd) place les paquets IKE dans l’instance de routage qui contient la outside-service-interface valeur que vous spécifiez, comme dans cet exemple :

Pour les ensembles de services d’interface, l’instruction service-interface détermine le VRF, comme dans cet exemple :

Effacement des SA lorsque l’adresse de la passerelle locale ou MS-MPC ou MS-MIC tombe en panne

À partir de la version 17.2R1 de Junos OS, vous pouvez utiliser l’instruction gw-interface pour activer le nettoyage des déclencheurs IKE et des SA IKE et IPsec lorsque l’adresse IP de la passerelle locale d’un tunnel IPsec tombe en panne ou que le MS-MIC ou MS-MPC utilisé dans l’ensemble de services du tunnel tombe en panne.

Le interface-name et logical-unit-number doit correspondre à l’interface et à l’unité logique sur lesquelles l’adresse IP de la passerelle locale est configurée.

Si l’adresse IP de la passerelle locale pour l’ensemble de services d’un tunnel IPsec tombe en panne ou si le MS-MIC ou MS-MPC utilisé dans l’ensemble de services tombe en panne, l’ensemble de services n’envoie plus de déclencheurs IKE. En outre, lorsque l’adresse IP de la passerelle locale tombe en panne, les SA IKE et IPsec sont effacées pour les ensembles de services de saut suivant et passent à l’état Non installé pour les ensembles de services de type interface. Les SA qui ont l’état Non installé sont supprimées lorsque l’adresse IP de la passerelle locale est rétablie.

Si l’adresse IP de la passerelle locale qui tombe en panne pour un ensemble de services de saut suivant est celle de l’homologue répondeur, vous devez effacer les SA IKE et IPsec sur l’homologue initiateur afin que le tunnel IPsec soit rétabli une fois que l’adresse IP de la passerelle locale est rétablie. Vous pouvez effacer manuellement les SA IKE et IPsec sur l’homologue initiateur (voir Effacer les services ipsec-vpn, IKE Security-associations et Effacer les services ipsec-VPN, IPsec Security-associations) ou activer la détection d’homologue mort sur l’homologue initiateur (voir Configuration de règles de pare-feu dynamique).

Configuration des profils d’accès IKE pour les ensembles de services IPsec

Pour la tunnelisation dynamique des points de terminaison uniquement, vous devez référencer le profil d’accès IKE configuré au niveau de la [edit access] hiérarchie. Pour ce faire, incluez l’instruction ike-access-profile au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie :

L’instruction ike-access-profile doit faire référence au même nom que l’instruction que vous avez configurée pour l’accès profile IKE au niveau de la [edit access] hiérarchie. Vous ne pouvez référencer qu’un seul profil d’accès dans chaque ensemble de services. Ce profil est utilisé pour négocier des associations de sécurité IKE et IPsec avec des pairs dynamiques uniquement.

Remarque :

Si vous configurez un profil d’accès IKE dans un ensemble de services, aucun autre ensemble de services ne peut partager la même local-gateway adresse.

En outre, vous devez configurer un ensemble de services distinct pour chaque VRF. Toutes les interfaces référencées par l’instruction ipsec-inside-interface dans un ensemble de services doivent appartenir au même VRF.

Configuration des autorités de certification pour les ensembles de services IPsec

Vous pouvez spécifier une ou plusieurs autorités de certification approuvées en incluant la trusted-ca déclaration :

Lorsque vous configurez des certificats numériques d’infrastructure à clé publique (PKI) dans la configuration IPsec, chaque ensemble de services peut avoir son propre ensemble d’autorités de certification approuvées. Les noms que vous spécifiez pour l’instruction trusted-ca doivent correspondre aux profils configurés au niveau de la [edit security pki] hiérarchie. Pour plus d’informations, reportez-vous à la bibliothèque d’administration de Junos OS pour les équipements de routage. Pour plus d’informations sur la configuration des certificats numériques IPsec, consultez Configuration des règles IPsec.

À partir de la version 18.2R1 de Junos OS, vous pouvez configurer le routeur MX Series avec MS-MPC ou MS-MICs afin d’envoyer uniquement le certificat de l’entité finale pour l’authentification IKE basée sur des certificats au lieu de la chaîne de certificats complète. Cela évite la fragmentation d’IKE. Pour configurer cette fonctionnalité, incluez l’affirmation no-certificate-chain-in-ike :

Configuration ou désactivation du service Antireplay

Vous pouvez inclure l’instruction anti-replay-window-size au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie pour spécifier la taille de la fenêtre antirelecture.

Cette instruction est utile pour les tunnels de point de terminaison dynamiques pour lesquels vous ne pouvez pas configurer l’instruction anti-replay-window-size au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Pour les tunnels IPsec statiques, cette instruction définit la taille de la fenêtre antirelecture pour tous les tunnels statiques de cet ensemble de services. Si un tunnel particulier a besoin d’une valeur spécifique pour la taille de la fenêtre antirelecture, définissez l’instruction anti-replay-window-size au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie. Si la vérification antirelecture doit être désactivée pour un tunnel particulier dans cet ensemble de services, définissez l’instruction no-anti-replay au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Remarque :

Les anti-replay-window-size paramètres et no-anti-replay au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie remplacent les paramètres spécifiés au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie.

Vous pouvez également inclure l’instruction au niveau de la hiérarchie pour désactiver le no-anti-replay [edit services service-set service-set-name ipsec-vpn-options] service antirelecture IPsec. Cela peut parfois causer des problèmes d’interopérabilité pour les associations de sécurité.

Cette instruction est utile pour les tunnels de point de terminaison dynamiques pour lesquels vous ne pouvez pas configurer l’instruction no-anti-reply au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Pour les tunnels IPsec statiques, cette instruction désactive la vérification antirelecture pour tous les tunnels de cet ensemble de services. Si la vérification antirelecture doit être activée pour un tunnel particulier, définissez l’instruction anti-replay-window-size au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Remarque :

La définition des anti-replay-window-size instructions and no-anti-replay au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie remplace les paramètres spécifiés au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie.

Effacement du bit Ne pas fragmenter

Vous pouvez inclure l’instruction clear-dont-fragment-bit au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie pour effacer le bit Do Not Fragment (DF) sur tous les paquets IP version 4 (IPv4) entrant dans le tunnel IPsec. Si la taille du paquet encapsulé dépasse l’unité de transmission maximale (MTU) du tunnel, le paquet est fragmenté avant l’encapsulation.

Cette instruction est utile pour les tunnels de point de terminaison dynamiques pour lesquels vous ne pouvez pas configurer l’instruction clear-dont-fragment-bit au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Pour les tunnels IPsec statiques, la définition de cette instruction efface le bit DF sur les paquets entrant dans tous les tunnels statiques de cet ensemble de services. Si vous souhaitez effacer le bit DF sur les paquets entrant dans un tunnel spécifique, définissez l’instruction clear-dont-fragment-bit au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

À partir de la version 14.1 de Junos OS, dans les paquets transmis via des tunnels IPSec de point de terminaison dynamiques, vous pouvez activer la valeur définie dans le bit DF du paquet entrant dans le tunnel pour qu’elle soit copiée uniquement dans l’en-tête externe du paquet IPsec et pour qu’aucune modification ne soit apportée au bit DF dans l’en-tête interne du paquet IPsec. Si la taille du paquet dépasse la valeur de l’unité de transmission maximale (MTU) du tunnel, le paquet est fragmenté avant l’encapsulation. Pour les tunnels IPsec, la valeur par défaut de la MTU est 1500, quel que soit le paramètre de la MTU de l’interface. Pour copier la valeur DF bit uniquement dans l’en-tête externe et ne pas modifier l’en-tête interne, utilisez l’instruction copy-dont-fragment-bit au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie. Vous pouvez également configurer le bit DF pour qu’il soit défini uniquement dans l’en-tête IPv4 externe du paquet IPsec et non dans l’en-tête IPv4 interne. Pour configurer le bit DF uniquement dans l’en-tête externe du paquet IPsec et pour ne pas modifier l’en-tête interne, incluez l’instruction set-dont-fragment-bit au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie. Ces paramètres s’appliquent aux tunnels de point de terminaison dynamiques et non aux tunnels statiques, pour lesquels vous devez inclure les copy-dont-fragment-bit instructions et au set-dont-fragment-bit niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie pour effacer le bit DF dans les paquets IPv4 qui pénètrent dans le tunnel statique. Ces fonctionnalités sont prises en charge sur les routeurs MX Series avec MS-MIC et MS-MPC.

Configuration de la tunnelisation en mode passif

Vous pouvez inclure l’instruction passive-mode-tunneling au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie pour permettre à l’ensemble de services de tunneliser les paquets mal formés dans le tunnel.

Cette fonctionnalité contourne les vérifications IP actives, telles que les vérifications de version, de durée de vie, de protocole, d’options, d’adresse et d’autres attaques terrestres, et tunnelise les paquets tels quels. Si cette instruction n’est pas configurée, les paquets qui échouent aux vérifications IP sont supprimés dans le PIC. En mode passif, le paquet interne n’est pas touché ; aucune erreur ICMP n’est générée si la taille du paquet dépasse la valeur de la MTU du tunnel.

Le tunnel IPsec n’est pas traité comme un saut suivant et la durée de vie n’est pas décrémentée. Comme aucune erreur ICMP n’est générée si la taille du paquet dépasse la valeur de la MTU du tunnel, le paquet est tunnelisé même s’il dépasse le seuil de la MTU du tunnel.

Remarque :

Cette fonctionnalité est similaire à celle fournie par la déclaration décrite dans Suivi no-ipsec-tunnel-in-traceroute des opérations Junos VPN Site Secure. À partir de la version 14.2 de Junos OS, le tunneling en mode passif est pris en charge sur les MS-MIC et les MS-MPC.

Remarque :

À partir de la version 14.2 de Junos OS, l’option header-integrity-check prise en charge sur les MS-MIC et MS-MPC permettant de vérifier l’en-tête du paquet pour détecter les anomalies dans les informations IP, TCP, UDP et ICMP et de signaler ces anomalies et erreurs a une fonctionnalité opposée à la fonctionnalité causée par la tunnelisation en mode passif. Si vous configurez à la fois l’instruction et l’instruction passive-mode tunneling sur MS-MIC et MS-MPC, et que vous tentez de valider une telle configuration, une erreur s’affiche lors de la header-integrity-check validation.

La fonctionnalité de tunnelisation en mode passif (en incluant l’instruction passive-mode-tunnelin au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie) est un surensemble de la capacité à désactiver le point de terminaison de tunnel IPsec dans la sortie traceroute (en incluant no-ipsec-tunnel-in-traceroute l’instruction au niveau de la [edit services ipsec-vpn] hiérarchie). La tunnelisation en mode passif contourne également les vérifications IP actives et la vérification MTU du tunnel, en plus de ne pas traiter un tunnel IPsec comme un saut suivant configuré par l’instruction no-ipsec-tunnel-in-traceroute .

Configuration de la valeur MTU du tunnel

Vous pouvez inclure l’instruction tunnel-mtu au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie pour définir la valeur maximale de l’unité de transmission (MTU) pour les tunnels IPsec.

Cette instruction est utile pour les tunnels de point de terminaison dynamiques pour lesquels vous ne pouvez pas configurer l’instruction tunnel-mtu au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Pour les tunnels IPsec statiques, cette instruction définit la valeur de la MTU du tunnel pour tous les tunnels de cet ensemble de services. Si vous avez besoin d’une valeur spécifique pour un tunnel particulier, définissez l’instruction tunnel-mtu au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie.

Remarque :

Le tunnel-mtu paramètre au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie remplace la valeur spécifiée au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie.

Configuration du transfert multichemin IPsec avec encapsulation UDP

À partir de la version 16.1 de Junos OS, vous pouvez activer le transfert multichemin du trafic IPsec en configurant l’encapsulation UDP dans l’ensemble de services, ce qui ajoute un en-tête UDP à l’encapsulation IPsec des paquets. Il en résulte le transfert du trafic IPsec sur plusieurs chemins, ce qui augmente le débit du trafic IPsec. Si vous n’activez pas l’encapsulation UDP, tout le trafic IPsec suit un seul chemin de transfert.

Lorsque le NAT-T est détecté, seule l’encapsulation UDP NAT-T se produit, et non l’encapsulation UDP pour les paquets IPsec.

Pour activer l’encapsulation UDP :

  1. Activez l’encapsulation UDP.

  2. (Facultatif) Spécifiez le numéro de port de destination UDP.

    Utilisez un numéro de port de destination compris entre 1025 et 65536, mais n’utilisez pas 4500. Si vous ne spécifiez pas de numéro de port, le port de destination par défaut est 4565.

Voir aussi

Exemple : configuration SA dynamique IKE avec certificats numériques

Cet exemple montre comment configurer la SA dynamique IKE avec des certificats numériques et contient les sections suivantes.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Quatre routeurs M Series, MX Series ou T Series équipés d’interfaces multiservices.

  • Junos OS version 9.4 ou ultérieure.

Avant de configurer cet exemple, vous devez demander un certificat d’AC, créer un certificat local et charger ces certificats numériques dans le routeur. Pour plus de détails, voir Inscrire un certificat.

Vue d’ensemble

Une association de sécurité (SA) est une connexion simplexe qui permet à deux hôtes de communiquer entre eux en toute sécurité à l’aide d’IPsec. Cet exemple illustre la configuration SA dynamique d’IKE avec des certificats numériques. L’utilisation de certificats numériques renforce la sécurité de votre tunnel IKE. Avec les valeurs par défaut dans le PIC Services, vous n’avez pas besoin de configurer une proposition IPsec ou une stratégie IPsec. Toutefois, vous devez configurer une proposition IKE qui spécifie l’utilisation de certificats numériques, référencer la proposition IKE et le certificat local dans une stratégie IKE, et appliquer le profil AC à l’ensemble de services.

La figure 1 montre une topologie IPsec contenant un groupe de quatre routeurs. Cette configuration nécessite que les routeurs 2 et 3 établissent un tunnel IPsec basé sur IKE en utilisant des certificats numériques à la place des clés prépartagées. Les routeurs 1 et 4 fournissent une connectivité de base et sont utilisés pour vérifier que le tunnel IPsec est opérationnel.

Topologie

Figure 1 : Diagramme de topologie SA dynamique MS PIC IKE MS PIC IKE Dynamic SA Topology Diagram

La configuration

Pour configurer la SA dynamique IKE avec des certificats numériques, effectuez les tâches suivantes :

Remarque :

Les types d’interface présentés dans cet exemple ne sont donnés qu’à titre indicatif. Par exemple, vous pouvez utiliser so- des interfaces à la place de ge- et sp- au lieu de ms-.

Configuration du routeur 1

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 1.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Pour configurer le routeur 1 pour la connectivité OSPF avec le routeur 2 :

  1. Configurez une interface Ethernet et l’interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Validez la configuration.

Résultats

En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfet show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration du routeur 2

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 2.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 2 :

  1. Configurez les propriétés de l’interface. Dans cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), l’interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

  4. Configurez une proposition et une stratégie IKE. Pour activer une proposition IKE pour les certificats numériques, incluez l’instruction rsa-signatures au niveau de la [edit services ipsec-vpn ike proposal proposal-name authentication-method] hiérarchie. Pour référencer le certificat local dans la stratégie IKE, incluez l’instruction local-certificate au niveau de la [edit services ipsec-vpn ike policy policy-name] hiérarchie. Pour identifier l’AC ou l’AR dans l’ensemble de services, incluez l’instruction trusted-ca au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie.

    Remarque :

    Pour plus d’informations sur la création et l’installation de certificats numériques, consultez Inscrire un certificat.

  5. Configurer une proposition et une politique IPsec. Réglez également le established-tunnels bouton sur immediately.

  6. Configurez une règle IPsec.

  7. Configurez un ensemble de services de style saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  8. Validez la configuration.

Résultats

En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show routing-optionsshow protocols ospf, , et show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 3

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 3.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Remarque :

Si les homologues IPsec ne disposent pas d’une configuration symétrique contenant tous les composants nécessaires, ils ne peuvent pas établir de relation d’appairage. Vous devez demander un certificat d’AC, créer un certificat local, charger ces certificats numériques dans le routeur et les référencer dans votre configuration IPsec. Pour plus d’informations sur la certification numérique, voir Inscrire un certificat.

Pour configurer la connectivité OSPF et les paramètres de tunnel IPsec sur le routeur 3 :

  1. Configurez les propriétés de l’interface. Dans cette étape, vous configurez deux interfaces Ethernet (ge-1/0/0 et ge-1/0/1), l’interface de bouclage et une interface multiservices (ms-1/2/0).

  2. Spécifiez la zone OSPF, associez les interfaces à la zone OSPF.

  3. Configurez un ID de routeur.

  4. Configurez une proposition et une stratégie IKE. Pour activer une proposition IKE pour les certificats numériques, incluez l’instruction rsa-signatures au niveau de la [edit services ipsec-vpn ike proposal proposal-name authentication-method] hiérarchie. Pour référencer le certificat local dans la stratégie IKE, incluez l’instruction local-certificate au niveau de la [edit services ipsec-vpn ike policy policy-name] hiérarchie. Pour identifier l’AC ou l’AR dans l’ensemble de services, incluez l’instruction trusted-ca au niveau de la [edit services service-set service-set-name ipsec-vpn-options] hiérarchie.

    Remarque :

    Pour plus d’informations sur la création et l’installation de certificats numériques, consultez Inscrire un certificat.

  5. Configurer une proposition IPsec. Réglez également le established-tunnels bouton sur immediately.

  6. Configurez une règle IPsec.

  7. Configurez un ensemble de services de style saut suivant, spécifiez l’adresse de la passerelle locale et associez la règle VPN IPsec à l’ensemble de services.

  8. Validez la configuration.

Résultats

En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show routing-optionsshow protocols ospf, , et show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Configuration du routeur 4

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans la CLI, au niveau de la hiérarchie [modifier], du routeur 4.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Pour configurer la connectivité OSPF avec le routeur 4

  1. Configurez les interfaces. Dans cette étape, vous configurez une interface Ethernet (ge-1/0/1) et l’interface de bouclage.

  2. Spécifiez la zone OSPF et associez les interfaces à la zone OSPF.

  3. Configurez l’ID du routeur.

Résultats

En mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols ospfet show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration

Vérification

Vérification de votre travail sur le routeur 1

Objet

Sur le routeur 1, vérifiez la commande ping sur l’interface so-0/0/0 du routeur 4 pour envoyer le trafic sur le tunnel IPsec.

Mesures à prendre

En mode opérationnel, entrez ping 10.1.56.2.

Si vous envoyez une requête ping à l’adresse de bouclage du routeur 4, l’opération réussit car l’adresse fait partie du réseau OSPF configuré sur le routeur 4.

Vérification de votre travail sur le routeur 2

Objet

Pour vérifier que le trafic correspondant est dévié vers le tunnel IPsec bidirectionnel, consultez les statistiques IPsec :

Mesures à prendre

En mode opérationnel, entrez le show services ipsec-vpn ipsec statisticsfichier .

Pour vérifier que la négociation de la SA IKE est réussie, exécutez la show services ipsec-vpn ike security-associations commande :

En mode opérationnel, entrez le bouton show services ipsec-vpn ike security-associations

Pour vérifier que l’association de sécurité IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Notez que la SA contient les paramètres par défaut inhérents au PIC de services, tels que ESP pour le protocole et HMAC-SHA1-96 pour l’algorithme d’authentification.

En mode opérationnel, entrez le bouton show services ipsec-vpn ipsec security-associations detail

Pour afficher les certificats numériques utilisés pour établir le tunnel IPsec, exécutez la commande show services ipsec-vpn certificates :

En mode opérationnel, entrez le bouton show services ipsec-vpn certificates

Pour afficher le certificat d’AC, exécutez la commande show security pki ca-certificate detail. Notez qu’il existe trois certificats distincts : un pour la signature de certificat, un pour le chiffrement des clés et un pour la signature numérique de l’AC.

En mode opérationnel, entrez le bouton show security pki ca-certificate detail

Pour afficher la demande de certificat local, exécutez la commande show security pki certificate-request :

En mode opérationnel, entrez le bouton show security pki certificate-request

Pour afficher le certificat local, exécutez la commande show security pki local-certificate :

En mode opérationnel, entrez le bouton show security pki local-certificate

Vérification de votre travail sur le routeur 3

Objet

Pour vérifier que le trafic correspondant est dévié vers le tunnel IPsec bidirectionnel, consultez les statistiques IPsec :

Mesures à prendre

En mode opérationnel, entrez le show services ipsec-vpn ipsec statisticsfichier .

Pour vérifier que la négociation de la SA IKE est réussie, exécutez la commande show services ipsec-vpn ike security-associations. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.

En mode opérationnel, entrez le show services ipsec-vpn ike security-associationsfichier .

Pour vérifier que la SA IPsec est active, exécutez la commande show services ipsec-vpn ipsec security-associations detail. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.

En mode opérationnel, entrez le show services ipsec-vpn ipsec security-associations detailfichier .

Pour afficher les certificats numériques utilisés pour établir le tunnel IPsec, exécutez la commande show services ipsec-vpn certificates :

En mode opérationnel, entrez le show services ipsec-vpn certificatesfichier .

Pour afficher le certificat d’AC, exécutez la commande show security pki ca-certificate detail. Notez qu’il existe trois certificats distincts : un pour la signature de certificat, un pour le chiffrement des clés et un pour la signature numérique de l’AC.

En mode opérationnel, entrez le show security pki ca-certificate detailfichier .

Pour afficher la demande de certificat local, exécutez la commande show security pki certificate-request :

En mode opérationnel, entrez le show security pki certificate-requestfichier .

Pour afficher le certificat local, exécutez la commande show security pki local-certificate :

En mode opérationnel, entrez le show security pki local-certificatefichier .

Vérification de votre travail sur le routeur 4

Objet

Sur le routeur 4, exécutez une commande ping sur l’interface so-0/0/0 du routeur 1 pour envoyer le trafic sur le tunnel IPsec.

Mesures à prendre

En mode opérationnel, entrez ping 10.1.12.2.

Pour vérifier que le trafic transite par le tunnel IPsec, vous pouvez enfin envoyer la commande traceroute à l’interface so-0/0/0 du routeur 1. Notez que l’interface physique entre les routeurs 2 et 3 n’est pas référencée dans le chemin ; Le trafic entre dans le tunnel IPsec par le biais de l’interface IPsec Inside des services adaptatifs du routeur 3, passe par l’interface de bouclage du routeur 2 et se termine à l’interface so-0/0/0 du routeur 1.

En mode opérationnel, entrez le traceroute 10.1.12.2fichier .

Voir aussi

Configuration de Junos VPN Site Secure ou VPN IPSec

Le VPN IPsec est pris en charge sur tous les routeurs MX Series avec MS-MIC, MS-MPC ou MS-DPC.

Sur les routeurs M Series et T Series, le VPN IPsec est pris en charge avec les PIC Multiservices 100, Multiservices 400 PIC et Multiservices 500.

MS-MIC et MS-MPC sont pris en charge à partir de Junos OS version 13.2 et ultérieure. Les MS-MIC et MS-MPC prennent en charge toutes les fonctionnalités prises en charge par les MS-DPC et MS-PIC, à l’exception du protocole d’en-tête d’authentification (AH), du protocole ESP (Encapsulating Security Payload Protocol) et du protocole bundle (protocole AH et ESP) pour une association de sécurité dynamique ou manuelle et un service IPsec sans flux.

La traversée NAT (NAT-T) est prise en charge pour IKEv1 et IKEv2 à partir de la version 17.4R1 de Junos OS. NAT-T est activé par défaut. Vous pouvez spécifier l’encapsulation et la décapsulation UDP pour les paquets IKE et ESP à l’aide de la configuration disable-natt au niveau de la [edit services ipsec-vpn] hiérarchie.

Voir aussi

Exemple : configuration de Junos VPN Site Secure sur MS-MIC et MS-MPC

Remarque :

Vous pouvez suivre la même procédure et utiliser la même configuration que celle donnée dans cet exemple pour configurer Junos VPN Site Secure (anciennement connu sous le nom de fonctionnalités IPsec) sur les MS-MPC.

Cet exemple contient les sections suivantes :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Deux routeurs MX Series avec MS-MIC

  • Junos OS version 13.2 ou ultérieure

Vue d’ensemble

La version 13.2 de Junos OS étend la prise en charge de Junos VPN Site Secure (anciennement connu sous le nom de fonctionnalités IPsec) aux nouveaux MIC et MPC MULTISERVICES (MS-MIC et MS-MPC) sur les routeurs MX Series. Les packages de fournisseurs d’extensions Junos OS sont préinstallés et préconfigurés sur les MS-MIC et MS-MPC.

Les fonctionnalités Junos VPN Site Secure suivantes sont prises en charge sur MS-MIC et MS-MPC dans la version 13.2 :

  • Points de terminaison dynamiques (DEP)

  • Encapsulation du protocole de charge utile de sécurité (ESP)

  • Messages de déclenchement DPD (Dead Peer Detection)

  • Notifications de substitution de numéro de séquence

  • Tunnels IPsec statiques avec ensembles de services de type saut suivant et interface

Toutefois, dans Junos OS version 13.2, la prise en charge de Junos VPN Site Secure sur les MS-MIC et MS-MPC est limitée au trafic IPv4. La tunnelisation passive des modules n’est pas prise en charge sur les MS-MIC et les MS-MPC.

La figure 2 montre la topologie du tunnel VPN IPsec.

Figure 2 : topologie Network diagram showing IPSec tunnel configuration between two routers labeled 1 and 2. Router 1 connects to 172.16.0.0/16 and 10.0.1.0/30 networks. Router 2 connects to 192.168.0.0/16 and 10.0.1.0/30 networks. The tunnel uses ms-4/0/0 on Router 1 and ms-1/0/0 on Router 2. du tunnel VPN IPsec

Cet exemple montre la configuration de deux routeurs, le routeur 1 et le routeur 2, reliés par un tunnel VPN IPsec.

Lors de la configuration des routeurs, notez les points suivants :

  • L’adresse IP que vous configurez source-address au niveau de la hiérarchie sur le [edit services ipsec-vpn rule name term term from] routeur 1 doit être la même que l’adresse IP que destination-address vous configurez sous la même hiérarchie sur le routeur 2, et vice versa.

  • L’adresse IP de la remote-gateway personne que vous configurez au niveau de la [edit services ipsec-vpn rule name term term then] hiérarchie doit correspondre à l’adresse IP de la local-gateway personne que vous configurez au niveau de la [edit services service-set name ipsec-vpn-options] hiérarchie du routeur 2, et vice versa.

La configuration

Cette section contient :

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].

Configuration des interfaces sur le routeur 1

Configuration du service VPN IPsec sur le routeur 1

Configuration d’un ensemble de services sur le routeur 1

Configuration des options de routage sur le routeur 1

Configuration des interfaces sur le routeur 2

Configuration du service VPN IPsec sur le routeur 2

Configuration d’un ensemble de services sur le routeur 2

Configuration des options de routage sur le routeur 2

Configuration du routeur 1

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Remarque :

À partir de la version 13.2, les packages de fournisseurs d’extensions de Junos OS sont préinstallés sur les MIC et MPC multiservices (MS-MICs et MS-MPC). La adaptive-services configuration au niveau de la [edit chassis fpc number pic number] hiérarchie est préconfigurée sur ces cartes.

  1. Configurez les propriétés de l’interface telles que la famille, le domaine de service et l’unité.

  2. Configurez les propriétés IPsec telles que l’adresse, la passerelle distante, les stratégies, la direction de correspondance, le protocole, la taille de la fenêtre de relecture, les détails de l’algorithme, les clés secrètes, la proposition, la méthode d’authentification, les groupes et la version.

  3. Configurez un ensemble de services, les options ipsec-vpn et les règles.

  4. Configurez les options de routage, la route statique et le saut suivant.

Résultats

Dans le mode de configuration du routeur 1, confirmez votre configuration en entrant les show interfacescommandes , show services ipsec-vpnet show services service-set . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration du routeur 2

Procédure étape par étape

  1. Configurez les propriétés de l’interface telles que la famille, le domaine de service et l’unité.

  2. Configurez les propriétés IPsec telles que l’adresse, la passerelle distante, les stratégies, la direction de correspondance, le protocole, la taille de la fenêtre de relecture, les détails de l’algorithme, les clés secrètes, la proposition, la méthode d’authentification, les groupes et la version.

  3. Configurez un ensemble de services tel que next-hop-service et ipsec-vpn-options.

  4. Configurez les options de routage, la route statique et le saut suivant.

Résultats

Dans le mode de configuration du routeur 2, confirmez votre configuration en entrant les show interfacescommandes , show services ipsec-vpnet show services service-set . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérification de la création d’un tunnel

Objet

Vérifiez que les points de terminaison dynamiques sont créés.

Mesures à prendre

Exécutez la commande suivante sur le routeur 1 :

Signification

La sortie indique que les SA IPSec sont actives sur le routeur avec l’état Installé. Le tunnel IPSec est opérationnel et prêt à envoyer du trafic sur le tunnel.

Vérification du flux de trafic dans le tunnel DEP

Objet

Vérifiez le flux de trafic sur le nouveau tunnel DEP.

Mesures à prendre

Exécutez la commande suivante sur le routeur 2 :

Vérification des associations de sécurité IPsec pour l’ensemble de services

Objet

Vérifiez que les associations de sécurité configurées pour l’ensemble de services fonctionnent correctement.

Mesures à prendre

Exécutez la commande suivante sur le routeur 2 :

Exemple : configuration de tunnels IPsec affectés de façon statique sur une instance VRF

Cet exemple montre comment configurer un tunnel IPsec affecté de manière statique sur une instance VRF et contient les sections suivantes :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Routeur M Series, MX Series ou T Series configuré en tant que routeur Provider Edge.

  • Junos OS version 9.4 et ultérieures.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de pouvoir configurer cette fonctionnalité.

Vue d’ensemble

Junos OS vous permet de configurer des tunnels IPsec affectés de manière statique sur les instances VRF (Virtual Routing and Forwarding). La possibilité de configurer des tunnels IPsec sur des instances VRF améliore la segmentation et la sécurité du réseau. Vous pouvez avoir plusieurs tunnels client configurés sur le même routeur PE sur des instances VRF. Chaque instance VRF agit comme un routeur logique avec une table de routage exclusive.

La configuration

Cet exemple illustre la configuration d’un tunnel IPsec sur une instance VRF sur un routeur Provider Edge, et fournit des instructions étape par étape pour effectuer la configuration requise.

Cette section contient :

Configuration du routeur Provider Edge

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.

Pour configurer un tunnel IPsec affecté de manière statique sur une instance VRF :

  1. Configurez les interfaces. Dans cette étape, vous configurez deux interfaces Ethernet (ge), une interface de services (ms-), ainsi que les propriétés de domaine de service pour les interfaces logiques de l’interface de services. Notez que l’interface logique marquée comme interface interne applique le service configuré sur le trafic, tandis que celle marquée comme interface externe agit comme point de sortie pour le trafic sur lequel l’interface interne a appliqué le service.

  2. Configurez une politique de routage pour spécifier les critères d’importation et d’exportation de route pour l’instance VRF. Les stratégies d’importation et d’exportation définies à l’étape suivante sont référencées à partir de la configuration de l’instance de routage.

  3. Configurez une instance de routage et spécifiez le type d’instance de routage comme vrf. Appliquez les politiques d’importation et d’exportation définies à l’étape précédente à l’instance de routage et spécifiez une route statique pour envoyer le trafic IPsec vers l’interface interne (ms-1/2/0.1) configurée à la première étape.

  4. Configurez les propositions et les stratégies IKE et IPsec, ainsi qu’une règle pour appliquer la stratégie IKE au trafic entrant.

    Remarque :

    Par défaut, Junos OS utilise la stratégie IKE version 1.0. Junos OS version 11.4 et ultérieure prend également en charge la stratégie IKE version 2.0, que vous devez configurer à l’adresse [edit services ipsec-vpn ike policy policy-name pre-shared].

  5. Configurez un ensemble de services de style saut suivant. Notez que vous devez configurer les interfaces interne et externe que vous avez configurées à la première étape en tant que inside-service-interface et outside-service-interface respectivement.

  6. Validez la configuration.

Résultats

Dans le mode de configuration du routeur 1, confirmez votre configuration en entrant les show interfacescommandes , , show services ipsec-vpnshow policy-optionsshow routing-instances, , et .show services service-set Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Voir aussi

Exemple multitâche : configuration des services IPsec

Les instructions suivantes basées sur des exemples montrent comment configurer les services IPsec. La configuration implique la définition d’une stratégie IKE, d’une politique IPsec, de règles IPsec, d’options de traçage et d’ensembles de services.

Cette rubrique comprend les tâches suivantes :

Configuration de la proposition IKE

La configuration de la proposition IKE définit les algorithmes et les clés utilisés pour établir la connexion sécurisée IKE avec la passerelle de sécurité homologue. Pour plus d’informations sur les propositions IKE, consultez Configuration des propositions IKE.

Pour définir l’IKE propose :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez la méthode d’authentification, qui se trouve pre-shared keys dans cet exemple :
  3. Configurez le groupe Diffie-Hellman et spécifiez un nom, par exemple, group1:
  4. Configurez l’algorithme d’authentification, qui se trouve sha1 dans cet exemple :
  5. Configurez l’algorithme de chiffrement, qui se trouve aes-256-cbc dans cet exemple :

L’exemple de sortie suivant montre la configuration de la proposition IKE :

Voir aussi

Configuration de la stratégie IKE (et référencement de la proposition IKE)

La configuration de la stratégie IKE définit la proposition, le mode, les adresses et les autres paramètres de sécurité utilisés lors de la négociation IKE. Pour plus d’informations sur les stratégies IKE, consultez Configuration des stratégies IKE.

Pour définir la politique d’IKE et faire référence à la proposition d’IKE :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez le mode première phase d’IKE, par exemple main:
  3. Configurez la proposition, qui se trouve test-IKE-proposal dans cet exemple :
  4. Configurez l’identification locale avec une adresse IPv4, par exemple, 192.168.255.2:
  5. Configurez la clé prépartagée au format texte ASCII, qui se trouve TEST dans cet exemple :

L’exemple de sortie suivant montre la configuration de la stratégie IKE :

Configuration de la proposition IPsec

La configuration de la proposition IPsec définit les protocoles et les algorithmes (services de sécurité) nécessaires pour négocier avec l’homologue IPsec distant. Pour plus d’informations sur les propositions IPsec, consultez Configuration des propositions IPsec.

Pour définir la proposition IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez le protocole IPsec pour la proposition, esppar exemple :
  3. Configurez l’algorithme d’authentification pour la proposition, qui se trouve hmac-sha1-96 dans cet exemple :
  4. Configurez l’algorithme de chiffrement pour la proposition, qui se trouve aes-256-cbc dans cet exemple :

L’exemple de sortie suivant montre la configuration de la proposition IPsec :

Voir aussi

Configuration de la stratégie IPsec (et référencement de la proposition IPsec)

La configuration de la stratégie IPsec définit une combinaison de paramètres de sécurité (propositions IPsec) utilisés lors de la négociation IPsec. Il définit les PFS et les propositions nécessaires à la connexion. Pour plus d’informations sur les stratégies IPsec, consultez Configuration des stratégies IPsec.

Pour définir la politique IPsec et référencer la proposition IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez les clés pour une confidentialité de transmission parfaite dans la politique IPsec, group1par exemple :
  3. Configurez un ensemble de propositions IPsec dans la stratégie IPsec, par exemple, test-IPsec-proposal:

L’exemple de sortie suivant montre la configuration de la stratégie IPsec :

Voir aussi

Configuration de la règle IPsec (et référencement des stratégies IKE et IPsec)

La configuration de la règle IPsec définit la direction qui spécifie si la correspondance est appliquée du côté entrée ou de la sortie de l’interface. La configuration se compose également d’un ensemble de termes qui spécifient les conditions de correspondance et les applications incluses et exclues, ainsi que les actions et les modificateurs d’action à effectuer par le logiciel du routeur. Pour plus d’informations sur les règles IPsec, consultez Configuration des règles IPsec.

Pour définir la règle IPsec et référencer les stratégies IKE et IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez l’adresse IP de destination du terme IPsec dans la règle IPsec, par exemple, 192.168.255.2/32:
  3. Configurez l’adresse de la passerelle distante pour le terme IPsec dans la règle IPsec, par exemple, 0.0.0.0:
  4. Configurez une association de sécurité dynamique pour la stratégie IKE pour le terme IPsec dans la règle IPsec, qui se trouve test-IKE-policy dans cet exemple :
  5. Configurez une association de sécurité dynamique pour la proposition IKE pour le terme IPsec dans la règle IPsec, qui se trouve test-IPsec-proposal dans cet exemple :
  6. Configurez une direction pour laquelle la correspondance de la règle est appliquée dans la règle IPsec (par exemple, input:

L’exemple de sortie suivant montre la configuration de la règle IPsec :

Configuration des options de trace IPsec

La configuration des options de traçage IPsec suit les événements IPsec et les enregistre dans un fichier journal dans le répertoire /var/log . Par défaut, ce fichier est nommé /var/log/kmd. Pour plus d’informations sur les règles IPsec, reportez-vous à la section Traçabilité des opérations Junos VPN Site Secure.

Pour définir les options de trace IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez le fichier de trace, qui se trouve ipsec.log dans cet exemple :
  3. Configurez tous les paramètres de suivi avec l’option all dans cet exemple :

L’exemple de sortie suivant montre la configuration des options de trace IPsec :

Configuration du profil d’accès (et référencement des stratégies IKE et IPsec)

La configuration du profil d’accès définit le profil d’accès et fait référence aux stratégies IKE et IPsec. Pour plus d’informations sur le profil d’accès, consultez Configuration d’un profil d’accès IKE.

Pour définir le profil d’accès et référencer les politiques IKE et IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez la liste des paires d’identités de proxy local et distant à l’aide de cette allowed-proxy-pair option. Dans cet exemple, 10.0.0.0/24 est l’adresse IP de l’identité de proxy local et 10.0.1.0/24 est l’adresse IP de l’identité de proxy distant :
  3. Configurez la stratégie IKE, par exemple test-IKE-policy:
  4. Configurez la politique IPsec, test-IPsec-policypar exemple :
  5. Configurez l’identité du pool d’interfaces de service logiques, qui se trouve TEST-intf dans cet exemple :

L’exemple de sortie suivant montre la configuration du profil d’accès :

Voir aussi

Configuration de l’ensemble de services (et référencement du profil IKE et de la règle IPsec)

La configuration de l’ensemble de services définit les ensembles de services IPsec qui nécessitent des spécifications supplémentaires et fait référence au profil IKE et à la règle IPsec. Pour plus d’informations sur les ensembles de services IPsec, consultez Configuration des ensembles de services IPsec.

Pour définir la configuration de l’ensemble de services avec les ensembles de services du saut suivant et les options VPN IPsec :

  1. En mode configuration, accédez au niveau hiérarchique suivant :
  2. Configurez un ensemble de services avec des paramètres pour les interfaces de service de saut suivant pour le réseau intérieur, par exemple, sp-1/2/0.1:
  3. Configurez un ensemble de services avec des paramètres pour les interfaces de service de saut suivant pour le réseau externe, par exemple, sp-1/2/0.2:
  4. Configurez les options VPN IPsec avec l’adresse et l’instance de routage de la passerelle locale, par exemple, 192.168.255.2:
  5. Configurez les options VPN IPsec avec le profil d’accès IKE pour homologues dynamiques, qui est IKE-profile-TEST dans cet exemple :
  6. Configurez un ensemble de services avec des règles VPN IPsec, comme test-IPsec-rule indiqué dans cet exemple :

L’exemple de sortie suivant montre la configuration de la configuration de l’ensemble de services en faisant référence au profil IKE et à la règle IPsec :

Voir aussi

Désactivation du NAT-T sur les routeurs MX Series pour la gestion du NAT avec des paquets protégés IPsec

Avant la version 17.4R1 de Junos OS, la traduction d’adresses réseau (NAT-Traversal) n’était pas prise en charge pour la suite de fonctionnalités IPsec de Junos VPN Site Secure sur les routeurs MX Series. Par défaut, Junos OS détecte si l’un des tunnels IPsec se trouve derrière un équipement NAT et bascule automatiquement vers l’utilisation de NAT-T pour le trafic protégé. Pour éviter d’exécuter NAT-T non pris en charge dans les versions de Junos OS antérieures à 17.4R1, vous devez désactiver NAT-T en incluant l’instruction disable-natt au niveau de la [edit services ipsec-vpn] hiérarchie. Lorsque vous désactivez le NAT-T, la fonctionnalité NAT-T est désactivée globalement. Lorsque vous désactivez le NAT-T et qu’un périphérique NAT est présent entre les deux passerelles IPsec, les messages ISAKMP sont négociés à l’aide du port UDP 500 et les paquets de données sont encapsulés avec la charge utile de sécurité (ESP) d’encapsulation.

La traduction d’adresses réseau (NAT-T) est une méthode permettant de contourner les problèmes de traduction d’adresses IP rencontrés lorsque des données protégées par IPsec passent par un périphérique NAT pour la traduction d’adresses. Toute modification de l’adressage IP, qui est la fonction du NAT, entraîne la suppression de paquets par IKE. Après avoir détecté un ou plusieurs appareils NAT le long du chemin de données lors des échanges de phase 1, le NAT-T ajoute une couche d’encapsulation UDP (User Datagram Protocol) aux paquets IPsec afin qu’ils ne soient pas ignorés après la traduction de l’adresse. NAT-T encapsule le trafic IKE et ESP dans UDP avec le port 4500 utilisé comme port source et de destination. Étant donné que les périphériques NAT ont un âge obsolète des traductions UDP obsolètes, des messages keepalive sont nécessaires entre les pairs.

L’emplacement d’un appareil NAT peut être tel que :

  • Seul l’initiateur IKEv1 ou IKEv2 se trouve derrière un périphérique NAT. Plusieurs initiateurs peuvent se trouver derrière des périphériques NAT distincts. Les initiateurs peuvent également se connecter au répondeur via plusieurs appareils NAT.

  • Seul le répondeur IKEv1 ou IKEv2 se trouve derrière un périphérique NAT.

  • L’initiateur IKEv1 ou IKEv2 et le répondeur se trouvent tous deux derrière un dispositif NAT.

Le VPN de point de terminaison dynamique couvre la situation dans laquelle l'adresse externe IKE de l'initiateur n'est pas fixe et n'est donc pas connue du répondeur. Cela peut se produire lorsque l'adresse de l'initiateur est affectée dynamiquement par un FAI ou lorsque la connexion de l'initiateur croise un périphérique NAT dynamique qui alloue des adresses à partir d'un pool d'adresses dynamiques.

Des exemples de configuration pour NAT-T sont fournis pour la topologie dans laquelle seul le répondeur se trouve derrière un périphérique NAT et la topologie dans laquelle l’initiateur et le répondeur se trouvent derrière un périphérique NAT. La configuration de passerelle IKE site à site pour NAT-T est prise en charge à la fois sur l’initiateur et sur le répondeur. Un ID IKE distant est utilisé pour valider l’ID IKE local d’un pair lors de la phase 1 de la négociation du tunnel IKE. L’initiateur et le répondeur ont tous deux besoin d’une identification locale et d’une chaîne d’identité distante.

Voir aussi

Traçage des opérations Junos VPN Site Secure

Remarque :

Junos VPN Site Secure est une suite de fonctionnalités IPsec prises en charge sur les cartes de ligne multiservices (MS-DPC, MS-MPC et MS-MIC) et auparavant appelée services IPsec.

Les opérations de suivi suivent les événements IPsec et les enregistrent dans un fichier journal du /var/log répertoire. Par défaut, ce fichier est nommé /var/log/kmd.

Pour tracer les opérations IPsec, incluez l’instruction traceoptions au niveau de la [edit services ipsec-vpn] hiérarchie :

Vous pouvez spécifier les indicateurs de suivi IPsec suivants :

  • all—Tracez tout.

  • certificates: suit les événements de certificats.

  • database: trace les événements de base de données d’associations de sécurité.

  • general—Retracer les événements généraux.

  • ike: traçage du traitement du module IKE.

  • parse: trace le traitement de la configuration.

  • policy-manager: suivi du traitement par le gestionnaire de stratégies.

  • routing-socket: tracez les messages de socket de routage.

  • snmp: traçage des opérations SNMP.

  • timer: trace des événements du minuteur interne.

L’instruction level définit le niveau de suivi du processus de gestion des clés (kmd). Les valeurs suivantes sont prises en charge :

  • all: correspond à tous les niveaux.

  • error: correspond aux conditions d’erreur.

  • info–Faites correspondre les messages d’information.

  • notice: conditions de correspondance qui doivent être traitées spécialement.

  • verbose: fait correspondre les messages verbeux.

  • warning: correspond aux messages d’avertissement.

Cette section comprend les rubriques suivantes :

Désactivation du point de terminaison de tunnel IPsec dans Traceroute

Si vous incluez l’instruction no-ipsec-tunnel-in-traceroute au niveau de la [edit services ipsec-vpn] hiérarchie, le tunnel IPsec n’est pas traité comme un saut suivant et la durée de vie (TTL) n’est pas décrémentée. De plus, si la durée de vie atteint zéro, un message de dépassement de temps ICMP n’est pas généré.

Remarque :

Cette fonctionnalité est également fournie par l’instruction passive-mode-tunneling . Vous pouvez utiliser l’instruction no-ipsec-tunnel-in-traceroute dans des scénarios spécifiques dans lesquels le tunnel IPsec ne doit pas être traité comme un saut suivant et où le mode passif n’est pas souhaité.

Traçage des opérations PKI IPsec

Les opérations de suivi suivent les événements PKI IPsec et les enregistrent dans un fichier journal du /var/log répertoire. Par défaut, ce fichier est nommé /var/log/pkid.

Pour retracer les opérations PKI IPsec, incluez l’instruction traceoptions au niveau de la [edit security pki] hiérarchie :

Vous pouvez spécifier les indicateurs de suivi PKI suivants :

  • all—Tracez tout.

  • certificates: suit les événements de certificats.

  • database: trace les événements de base de données d’associations de sécurité.

  • general—Retracer les événements généraux.

  • ike: traçage du traitement du module IKE.

  • parse: trace le traitement de la configuration.

  • policy-manager: suivi du traitement par le gestionnaire de stratégies.

  • routing-socket: tracez les messages de socket de routage.

  • snmp: traçage des opérations SNMP.

  • timer: trace des événements du minuteur interne.

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
18.2R1
À partir de la version 18.2R1 de Junos OS, vous pouvez configurer le routeur MX Series avec MS-MPC ou MS-MICs afin d’envoyer uniquement le certificat de l’entité finale pour l’authentification IKE basée sur des certificats au lieu de la chaîne de certificats complète.
17.2R1
À partir de la version 17.2R1 de Junos OS, vous pouvez utiliser l’instruction gw-interface pour activer le nettoyage des déclencheurs IKE et des SA IKE et IPsec lorsque l’adresse IP de la passerelle locale d’un tunnel IPsec tombe en panne ou que le MS-MIC ou MS-MPC utilisé dans l’ensemble de services du tunnel tombe en panne.
17.1
À partir de la version 17.1 de Junos OS, AMS prend en charge la distribution de tunnels IPSec
16.1
À partir de la version 16.1 de Junos OS, pour configurer des tunnels de type lien (c’est-à-dire de type saut suivant) à des fins de HA, vous pouvez configurer les interfaces logiques AMS en tant qu’interfaces internes IPsec à l’aide de l’instruction ipsec-inside-interface interface-name au niveau de la [edit services ipsec-vpn rule rule-name term term-name from] hiérarchie.
16.1
À partir de la version 16.1 de Junos OS, vous pouvez activer le transfert multichemin du trafic IPsec en configurant l’encapsulation UDP dans l’ensemble de services, ce qui ajoute un en-tête UDP à l’encapsulation IPsec des paquets.
14.2
À partir de la version 14.2 de Junos OS, le tunneling en mode passif est pris en charge sur les MS-MIC et les MS-MPC.
14.2
À partir de la version 14.2 de Junos OS, l’option header-integrity-check prise en charge sur les MS-MIC et MS-MPC permettant de vérifier l’en-tête du paquet pour détecter les anomalies dans les informations IP, TCP, UDP et ICMP et de signaler ces anomalies et erreurs a une fonctionnalité opposée à la fonctionnalité causée par la tunnelisation en mode passif.
14.1
À partir de la version 14.1 de Junos OS, dans les paquets transmis via des tunnels IPSec de point de terminaison dynamiques, vous pouvez activer la valeur définie dans le bit DF du paquet entrant dans le tunnel pour qu’elle soit copiée uniquement dans l’en-tête externe du paquet IPsec et pour qu’aucune modification ne soit apportée au bit DF dans l’en-tête interne du paquet IPsec.