Configuration des interfaces de chiffrement
Configuration des interfaces de chiffrement
Lorsque vous configurez l’interface de chiffrement, vous associez la SA configurée à une interface logique. Cette configuration définit le tunnel, y compris l’unité logique, les adresses de tunnel, l’unité de transmission maximale (MTU), les adresses d’interface facultatives et le nom de la SA IPsec à appliquer au trafic. Pour configurer une interface de chiffrement, incluez les instructions suivantes au niveau de la [edit interfaces es-fpc/pic/port unit logical-unit-number] hiérarchie :
family inet { ipsec-sa ipsec-sa; # name of security association to apply to packet address address; # local interface address inside local VPN destination address; # destination address inside remote VPN } tunnel { source source-address; destination destination-address; }
Les adresses configurées en tant que source et destination du tunnel sont les adresses de l’en-tête IP externe du tunnel.
Vous devez configurer l’adresse source du tunnel localement sur le routeur et l’adresse de destination du tunnel doit être une adresse valide pour la passerelle de sécurité qui termine le tunnel.
La carte d’interface physique (PIC) ES est prise en charge sur les routeurs M Series et T Series.
Il doit s’agir d’une SA en mode tunnel valide. L’adresse de l’interface et l’adresse de destination indiquées sont facultatives. L’adresse de destination permet à l’utilisateur de configurer un itinéraire statique pour chiffrer le trafic. Si une route statique utilise cette adresse de destination comme tronçon suivant, le trafic est transféré via la partie du tunnel dans laquelle le chiffrement a lieu.
- Spécification du nom de l’association de sécurité pour les interfaces de chiffrement
- Configuration de la MTU pour les interfaces de chiffrement
- Exemple : Configuration d’une interface de chiffrement
Spécification du nom de l’association de sécurité pour les interfaces de chiffrement
L’association de sécurité est l’ensemble des propriétés qui définissent les protocoles de chiffrement du trafic Internet. Pour configurer les interfaces de chiffrement, spécifiez le nom de la SA associée à l’interface en incluant l’instruction ipsec-sa au niveau de la [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] hiérarchie :
ipsec-sa sa-name;
Pour plus d’informations sur la configuration de l’association de sécurité, consultez Configuration des filtres pour le trafic transitant par le PIC ES.
Configuration de la MTU pour les interfaces de chiffrement
La valeur MTU du protocole pour les interfaces de chiffrement doit toujours être inférieure à la valeur MTU par défaut de l’interface de 3900 octets ; La validation de la configuration échoue si vous sélectionnez une valeur supérieure. Pour définir la valeur MTU, incluez l’instruction mtu au niveau de la [edit interfaces interface-name unit logical-unit-number family inet] hiérarchie :
mtu bytes;
Pour plus d’informations, reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage.
Exemple : Configuration d’une interface de chiffrement
Configurez un tunnel IPsec en tant qu’interface logique sur l’ES PIC. L’interface logique spécifie le tunnel par lequel transite le trafic chiffré. L’instruction ipsec-sa associe le profil de sécurité à l’interface.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa manual-sa1; # name of security association to apply to packet
mtu 3800;
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuration des filtres pour le trafic transitant par le PIC ES
Cette section contient les rubriques suivantes :
- Vue d’ensemble du trafic
- Configuration de l’association de sécurité
- Configuration d’un filtre de trafic sortant
- Application du filtre de trafic sortant
- Configuration d’un filtre de trafic entrant
- Application du filtre de trafic entrant à l’interface de chiffrement
Vue d’ensemble du trafic
La configuration du trafic définit le trafic qui doit transiter par le tunnel. Vous configurez des filtres de pare-feu sortants et entrants, qui identifient et dirigent le trafic à chiffrer et confirment que les paramètres de trafic déchiffré correspondent à ceux définis pour le tunnel donné. Le filtre sortant est appliqué à l’interface LAN ou WAN pour le trafic entrant que vous souhaitez chiffrer. Le filtre entrant est appliqué au PIC ES pour vérifier la stratégie de trafic provenant de l’hôte distant. En raison de la complexité de la configuration d’un routeur pour transférer des paquets, aucune vérification automatique n’est effectuée pour s’assurer que la configuration est correcte.
Les instructions de filtres de pare-feu valides pour IPsec sont destination-port, source-port, protocol, destination-addresset source-address.
Sur la Figure 1, la passerelle A protège le réseau 10.1.1.0/24et la passerelle B protège le réseau 10.2.2.0/24. Les passerelles sont connectées par un tunnel IPsec. Pour plus d’informations sur les pare-feu, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
passerelles de sécurité
Les interfaces SA et ES de la passerelle de sécurité A sont configurées comme suit :
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
Configuration de l’association de sécurité
Pour configurer la SA, incluez l’instruction security-association au niveau de la [edit security] hiérarchie :
security-association name {
mode (tunnel | transport);
manual {
direction (inbound | outbound | bi-directional) {
auxiliary-spi auxiliary-spi-value;
spi spi-value;
protocol (ah | esp | bundle);
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
}
dynamic {
replay-window-size (32 | 64);
ipsec-policy policy-name;
}
}
}
Pour plus d’informations sur la configuration d’une SA, reportez-vous à la Bibliothèque d’administration de Junos OS pour les périphériques de routage. Pour plus d’informations sur l’application de la SA à une interface, reportez-vous à 147531Spécification du nom de l’association de sécurité pour les interfaces de chiffrement.
Configuration d’un filtre de trafic sortant
Pour configurer le filtre de trafic sortant, incluez l’instruction filter au niveau de la [edit firewall] hiérarchie :
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Pour plus d’informations, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Exemple : Configuration d’un filtre de trafic sortant
Les filtres de pare-feu pour le trafic sortant dirigent le trafic via le tunnel IPsec souhaité et garantissent que le trafic tunnelisé sort par l’interface appropriée (voir Figure 1). Ici, un filtre de pare-feu sortant est créé sur la passerelle de sécurité A ; il identifie le trafic à chiffrer et l’ajoute au côté d’entrée de l’interface qui transporte le trafic interne du réseau privé virtuel (VPN) :
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
L’adresse, le port et le protocole source sur le filtre de trafic sortant doivent correspondre à l’adresse, au port et au protocole de destination sur le filtre de trafic entrant. L’adresse, le port et le protocole de destination sur le filtre de trafic sortant doivent correspondre à l’adresse source, au port et au protocole sur le filtre de trafic entrant.
Application du filtre de trafic sortant
Une fois que vous avez configuré le filtre de pare-feu sortant, vous l’appliquez en incluant l’instruction filter au niveau de la [edit interfaces interface-name unit logical-unit-number family inet] hiérarchie :
filter { input filter-name; }
Exemple : Application du filtre de trafic sortant
Appliquez le filtre de trafic sortant. Le filtre sortant est appliqué sur l’interface Fast Ethernet au niveau de la [edit interfaces fe-0/0/1 unit 0 family inet] hiérarchie. Tout paquet correspondant au terme d’action IPsec (term 1) sur le filtre d’entrée (ipsec-encrypt-policy-filter), configuré sur l’interface Fast Ethernet, est dirigé vers l’interface ES PIC au niveau de la [edit interfaces es-0/1/0 unit 0 family inet] hiérarchie. Ainsi, si un paquet arrive de l’adresse 10.1.1.0/24 source et va à l’adresse 10.2.2.0/24de destination, le moteur de transfert de paquets dirige le paquet vers l’interface PIC ES, qui est configurée avec la manual-sa1 SA. L’ES PIC reçoit le paquet, applique la manual-sa1 SA et envoie le paquet à travers le tunnel.
Le routeur doit disposer d’un itinéraire vers le point d’extrémité du tunnel ; Ajoutez une route statique si nécessaire.
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Configuration d’un filtre de trafic entrant
Pour configurer un filtre de trafic entrant, incluez l’instruction au filter niveau de la [edit firewall] hiérarchie :
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Pour plus d’informations, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Exemple : Configuration d’un filtre de trafic entrant
Configurez un filtre de pare-feu entrant. Ce filtre effectue la vérification finale de la stratégie IPsec et est créé sur la passerelle de sécurité A. La vérification de stratégie permet de s’assurer que seuls les paquets correspondant au trafic configuré pour ce tunnel sont acceptés.
[edit firewall]
filter ipsec-decrypt-policy-filter {
term term1 { # perform policy check
from {
source-address { # remote network
10.2.2.0/24;
}
destination-address { # local network
10.1.1.0/24;
}
then accept;
Application du filtre de trafic entrant à l’interface de chiffrement
Une fois que vous avez créé le filtre de pare-feu entrant, vous pouvez l’appliquer au PIC ES. Pour appliquer le filtre à l’ES PIC, incluez l’instruction filter au niveau de la [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] hiérarchie :
filter {
input filter;
}
Le filtre d’entrée est le nom du filtre appliqué au trafic reçu. Pour obtenir un exemple de configuration, reportez-vous à la section Exemple : configuration d’un filtre de trafic entrant. Pour plus d’informations sur les filtres de pare-feu, consultez le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic.
Exemple : Application du filtre de trafic entrant à l’interface de chiffrement
Appliquez le filtre de pare-feu entrant (ipsec-decrypt-policy-filter) au paquet déchiffré pour effectuer la vérification finale de la stratégie. La SA IPsec manual-sa1 est référencée au niveau de la [edit interfaces es-1/2/0 unit 0 family inet] hiérarchie et déchiffre le paquet entrant.
Le moteur de transfert de paquets dirige les paquets IPsec vers le PIC ES. Il utilise l’index des paramètres de sécurité (SPI), le protocole et l’adresse de destination du paquet pour rechercher la SA configurée sur l’une des interfaces ES. La SA IPsec manual-sa1 est référencée au niveau de la [edit interfaces es-1/2/0 unit 0 family inet] hiérarchie et est utilisée pour déchiffrer le paquet entrant. Lorsque les paquets sont traités (déchiffrés, authentifiés, ou les deux), le filtre de pare-feu d’entrée (ipsec-decrypt-policy-filter) est appliqué sur le paquet déchiffré pour effectuer la vérification finale de la stratégie. term1 Définit le trafic déchiffré (et vérifié) et effectue la vérification de stratégie requise. Pour plus d’informations sur , reportez-vous à term1la rubrique Exemple : configuration d’un filtre de trafic entrant.
Le filtre de trafic entrant est appliqué une fois que le PIC ES a traité le paquet, de sorte que le trafic déchiffré est défini comme tout trafic que la passerelle distante chiffre et envoie à ce routeur. IKE utilise ce filtre pour déterminer la stratégie requise pour un tunnel. Cette stratégie est utilisée lors de la négociation avec la passerelle distante pour trouver la configuration de la SA correspondante.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuration d’une interface de tunnel ES pour un VPN de couche 3
Pour configurer une interface de tunnel ES pour un VPN de couche 3, vous devez configurer une interface de tunnel ES sur le routeur PE (Provider Edge) et sur le routeur CE (Customer Edge). Vous devez également configurer IPsec sur les routeurs PE et CE. Pour plus d’informations sur la configuration d’un tunnel ES pour un VPN de couche 3, consultez la bibliothèque de VPN Junos OS pour les périphériques de routage.
Configuration de la redondance ES PIC
Vous pouvez configurer la redondance ES PIC sur les routeurs M Series et T Series qui ont plusieurs ES PICs. Avec la redondance ES PIC, un ES PIC est actif et un autre ES PIC est en veille. Lorsque le PIC ES principal subit un échec de maintenance, la sauvegarde devient active, hérite de tous les tunnels et SA et agit comme le nouveau tronçon suivant pour le trafic IPsec. Le rétablissement des tunnels sur le PIC ES de sauvegarde ne nécessite pas de nouvelles négociations IKE (Internet Key Exchange). Si le PIC ES principal est activé, il reste en veille et n’anticipe pas la sauvegarde. Pour déterminer quel PIC est actuellement actif, utilisez la show ipsec redundancy commande.
La redondance ES PIC est prise en charge sur les routeurs M Series et T Series.
Pour configurer un PIC ES en tant que sauvegarde, incluez l’instruction backup-interface au niveau de la [edit interfaces fpc/pic/port es-options] hiérarchie :
backup-interface es-fpc/pic/port;
Exemple : Configuration de la redondance ES PIC
Une fois que vous avez créé le filtre de pare-feu entrant, appliquez-le au PIC ES principal. Ici, le filtre de pare-feu entrant (ipsec-decrypt-policy-filter) est appliqué sur le paquet déchiffré pour effectuer la vérification finale de la stratégie. La SA IPsec manual-sa1 est référencée au niveau de la [edit interfaces es-1/2/0 unit 0 family inet] hiérarchie et déchiffre le paquet entrant. Cet exemple ne montre pas la configuration de la SA et du filtre. Pour plus d’informations sur la configuration de l’OS et des filtres, reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage, au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic et à Exemple : configuration d’un filtre de trafic entrant.
[edit interfaces]
es-1/2/0 {
es-options {
backup-interface es-1/0/0;
}
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
filter {
input ipsec-decrypt-policy-filter;
}
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
}
Configuration de la redondance des tunnels IPsec
Vous pouvez configurer la redondance du tunnel IPsec en spécifiant une adresse de destination de sauvegarde. Le routeur local envoie des keepalives pour déterminer l’accessibilité du site distant. Lorsque l’homologue n’est plus joignable, un nouveau tunnel est établi. Pendant le basculement pendant 60 secondes, le trafic est interrompu sans qu’une notification ne soit envoyée. La figure 2 illustre les tunnels IPsec principal et de secours.
IPsec
Pour configurer la redondance d’un tunnel IPsec, incluez l’instruction suivante backup-destination au niveau de la [edit interfaces unit logical-unit-number tunnel] hiérarchie :
backup-destinationaddress; destination address; source address;
La redondance des tunnels est prise en charge sur les routeurs M Series et T Series.
Les destinations principale et de secours doivent se trouver sur des routeurs différents.
Les tunnels doivent être distincts les uns des autres et les stratégies doivent correspondre.
Pour plus d’informations sur les tunnels, reportez-vous à la section Présentation de la configuration de l’interface de tunnel sur les routeurs MX Series.