Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration des interfaces de services

Présentation de la dénomination des interfaces de services

Chaque interface comporte un nom d’interface qui spécifie le type de support, l’emplacement dans lequel se trouve le FPC, l’emplacement sur le FPC dans lequel le PIC est installé et le port PIC. Le nom de l’interface identifie de manière unique un connecteur réseau individuel dans le système. Vous utilisez le nom de l’interface lors de la configuration des interfaces et de l’activation de diverses fonctions et propriétés, telles que les protocoles de routage, sur des interfaces individuelles. Le système utilise le nom de l’interface lors de l’affichage d’informations sur l’interface, par exemple, dans la show interfaces commande.

Le nom de l’interface est représenté par une partie physique, une partie logique et une partie de canal au format suivant :

La partie canal du nom est facultative pour toutes les interfaces, à l’exception des interfaces DS3, E1, OC12 et STM1 fractionné.

La partie physique d’un nom d’interface identifie l’équipement physique, qui correspond à un seul connecteur de réseau physique. Cette partie du nom de l’interface est au format suivant :

type est le type de support, qui identifie l’équipement réseau. Pour les interfaces de service, il peut s’agir de l’une des solutions suivantes :

  • ams— Interface multiservices agrégées (AMS). Une interface AMS est un ensemble d’interfaces de services qui peuvent fonctionner comme une interface unique. Une interface AMS est indiquée comme amsN dans la configuration, où N se trouve un numéro unique qui identifie une interface AMS (par exemple). ams0 Les interfaces membres d’une interface AMS sont identifiées dans la configuration par un mams- préfixe (par exemple). mams-1/2/0

  • cp— Interface de collecte de flux.

  • es— Interface de chiffrement.

  • gr— Interface de tunnel d’encapsulation de routage générique.

  • gre— Cette interface est générée en interne et non configurable.

  • ip— Interface tunnel d’encapsulation IP sur IP.

  • ipip— Cette interface est générée en interne et non configurable.

  • ls— Interface de services de liaison.

  • lsq— Interface de mise en file d’attente intelligente (IQ) pour les services de liaison ; également utilisé pour les services vocaux.

  • mams— Interface membre dans une interface AMS.

  • ml— Interface multi-liaisons.

  • mo— Interface de services de surveillance. L’interface mo-fpc/pic/portlogique .16383 est une interface nonconfigurable générée en interne pour le trafic de contrôle des routeurs.

  • ms— Interfaces multiservices sur cartes d’interfaces modulaires multiservices (MS-MIC) et concentrateurs de ports modulaires multiservices (MS-MPC).

  • mt— Interface de tunnel multicast. Cette interface est générée automatiquement, mais vous pouvez y configurer des propriétés si nécessaire.

  • mtun— Cette interface est générée en interne et non configurable.

  • rlsq— Interface LSQ redondante.

  • rsp— Redondance de l’interface de services adaptative.

  • si— Interface en ligne de services, configurée uniquement sur les routeurs MX3D Series.

  • sp— Interface de services adaptative. L’interface sp-fpc/pic/portlogique .16383 est une interface nonconfigurable générée en interne pour le trafic de contrôle des routeurs.

  • tap— Cette interface est générée en interne et non configurable.

  • vt— Interface de tunnel de bouclage virtuel.

Voir aussi

Activation des packages de services

Pour les PIC AS, les PIC multiservices, les DPC multiservices et le module de services adaptatif interne (ASM) du routeur M7i, il existe deux packages de services : les couches 2 et 3. Les deux packages de services sont pris en charge sur toutes les interfaces de services adaptatifs, mais vous ne pouvez activer qu’un seul package de services par PIC, à l’exception d’un package combiné pris en charge sur l’ASM. Sur un seul routeur, vous pouvez activer les deux packages de services en installant au moins deux PIC sur la plate-forme.

Note:

Le basculement GRES (Graceful Routing Engine Switchover) est automatiquement activé sur tous les PIC et DPC de services, à l’exception du PIC ES. Il est pris en charge sur tous les routeurs M Series, MX Series et T Series, à l’exception des routeurs TX Matrix. Les services de couche 3 doivent conserver l’état après le basculement, mais les services de couche 2 redémarrent. Pour les services IPsec, les négociations IKE (Internet Key Exchange) ne sont pas stockées et doivent être redémarrées après le basculement. Pour plus d’informations sur le GRES, consultez le Junos OS High Availability User Guide.

Vous activez des packages de services par PIC, et non par port. Par exemple, si vous configurez le package de services de couche 2, l’ensemble du PIC utilise le package configuré. Pour activer un package de services, incluez l’instruction de package de service au niveau de la [edit chassis fpc slot-number pic pic-number adaptive-services] hiérarchie, et spécifiez layer-2 ou layer-3:

Pour déterminer le package qu’un PIC AS prend en charge, la show chassis hardware commande : si le PIC prend en charge le package de couche 2, il est répertorié comme Link Services II, et s’il prend en charge le package de couche 3, il est répertorié comme Adaptive Services II. Pour déterminer le package qu’un PIC multiservices prend en charge, émettez la show chassis pic fpc-slot slot-number pic-slot slot-number commande. Le Package champ affiche la valeur Layer-2 ou Layer-3.

Note:

L’ASM dispose d’une option par défaut (layer-2-3) qui combine les fonctionnalités disponibles dans les packages de services de couche  2 et 3.

Une fois que vous avez modifié le package de services, le PIC est mis hors ligne, puis mis en ligne immédiatement. Vous n’avez pas besoin de mettre le PIC manuellement hors ligne et en ligne.

Note:

La modification du package de services entraîne la perte de toutes les informations d’état associées au package de services précédent. Vous devez modifier le package de services uniquement lorsqu’aucun trafic actif ne va sur l’PIC.

Les services pris en charge dans chaque package diffèrent selon le PIC et le type de plate-forme. Le tableau 1 répertorie les services pris en charge dans chaque package de services pour chaque PIC et plate-forme.

Sur les AS et les PIC multiservices, la prise en charge des services de liaisons inclut des composants CoS Junos OS, LFI (FRF.12), MLFR de bout en bout (FRF.15), MLFR UNI NNI (FRF.16), MLPPP (RFC 1990) et MLPPP multiclasse. Pour plus d’informations, voir Fonctionnalités et interfaces du package de services de couche 2 et Fonctionnalités et interfaces du package de services de couche 2.

Note:

L’AS PIC II pour service de couche 2 est dédié à la prise en charge du package de services de couche 2 uniquement.
Tableau 1 : Services AS et PIC multiservices par package de services, PIC et plate-forme

Services

Asm

PIC AS/AS2 et PIC multiservices

AS/AS2 et PIC multiservices

AS2 et PIC multiservices

AS2 et PIC multiservices
Package de services de couche 2 (uniquement) M7i M7i, M10i et M20 M40e et M120 M320, T320 et T640 TX Matrix

Services de liaison :

         

  • Services de liaison

Oui

Oui

Oui

Oui

Non

  • MLPPP multiclasse

Oui

Oui

Oui

Oui

Non

Services vocaux :

          

  • CRTP et LFI

Oui

Oui

Oui

Oui

Non

  • CRTP et MLPPP

Oui

Oui

Oui

Oui

Non

  • CRTP sur PPP (sans MLPPP)

Oui

Oui

Oui

Oui

Non
Package de services de couche 3 (uniquement) M7i M7i, M10i et M20 M40e et M120 M320, T320 et T640 TX Matrix

Services de sécurité :

          

  • Cos

Oui

Oui

Oui

Oui

Non

  • Système de détection des intrusions (IDS)

Oui

Oui

Oui

Oui

Non

  • Ipsec

Oui

Oui

Oui

Oui

Non

  • Nat

Oui

Oui

Oui

Oui

Non

  • Pare-feu dynamique

Oui

Oui

Oui

Oui

Non

Services de comptabilité :

          

  • Surveillance active

Oui

Oui

Oui

Oui

Oui

  • Capture dynamique des flux (PIC 400 multiservices uniquement)

Non

Non

Non

Oui

Non

  • Appuyez sur les flux

Oui

Oui

Oui (M40e uniquement)

Oui

Non

  • Surveillance passive (PIC 400 multiservices uniquement)

Non

Oui

Oui (M40e uniquement)

Oui

Non

  • Mise en miroir des ports

Oui

Oui

Oui

Oui

Oui

Services LNS :

          

  • L2TP LNS

Oui

Oui (M7i et M10i uniquement)

Oui (M120 uniquement)

Non

Non

Services vocaux :

          

  • BGF

Oui

Oui

Oui

Oui

Non
Package de services de couche 2 et de couche 3 (fonctionnalités courantes) M7i M7i, M10i et M20 M40e et M120 M320, T320 et T640 TX Matrix

Services RPM :

          

  • Horodatage par sonde RPM

Oui

Oui

Oui

Oui

Non

Services de tunnel :

          

  • GRE (gr-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

  • Fragmentation GRE (clear-dont-fragment-bit)

Oui

Oui

Oui

Non

Non

  • Clé GRE

Oui

Oui

Oui

Oui

Non

  • Tunnels IP-IP (ip-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

  • Tunnels logiques (lt-fpc/pic/port)

Non

Non

Non

Non

Non

  • Tunnels multicast (mt-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

  • Dés encapsulation PIM (pd-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

  • Encapsulation PIM (pe-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

  • Tunnels virtuels (vt-fpc/pic/port)

Oui

Oui

Oui

Oui

Oui

Fonctionnalités et interfaces de package de services de couche 2

Lorsque vous activez le package de services de couche 2, vous pouvez configurer des services de liaison. Sur les PIC AS, multiservices et ASM, les services de liaisons prennent en charge les éléments suivants :

  • Composants CoS Junos — Fonctionnalités et interfaces du package de services de couche 2 décrit le fonctionnement des composants CoS Junos sur les interfaces (IQlsq) des services de liaison. Pour plus d’informations sur les composants CoS de Junos, consultez le Junos OS Class of Service User Guide for Routing Devices.

  • LFI sur les liaisons de relais de trames utilisant la fragmentation de bout en bout FRF.12 : la norme FRF.12 est définie dans la spécification FRF.12, Accord d’implémentation de la fragmentation des relais de trames.

  • LFI sur les liens MLPPP.

  • MLFR UNI NNI (FRF.16) : la norme pour FRF.16 est définie dans la spécification FRF.16.1, Accord d’implémentation UNI/NNI de relais de trames multi-liaisons.

  • MLPPP (RFC 1990)

  • MLFR de bout en bout (FRF.15)

Pour l’interface LSQ sur les PIC AS et multiservices, la syntaxe de configuration est pratiquement la même que pour les PIC de services multi-liaisons et de liaisons. La principale différence est l’utilisation du descripteur lsq de type interface au lieu de ml . ls Lorsque vous activez le package de services de couche 2, les interfaces suivantes sont automatiquement créées :

Les types grd’interfaces , ip, pdpemtet vt sont des interfaces de tunnel standard disponibles sur le système d’as et les PIC multiservices, que vous activez le package de services de couche  2 ou 3. Ces interfaces de tunnel fonctionnent de la même façon pour les deux packages de services, sauf que le package de services de couche 2 ne prend pas en charge certaines fonctions de tunnel, comme illustré dans le tableau 1.

Le type d’interface lsq-fpc/pic/port correspond à l’interface IQ (lsq) des services de liaison physique. Les types d’interfaces lsq-fpc/pic/port:0 lsq-fpc/pic/port:N représentent les offres FRF.16. Ces types d’interface sont créés lorsque vous incluez l’instruction mlfr-uni-nni-bundles à l’option [edit chassis fpc slot-number pic pic-number] . Pour plus d’informations, reportez-vous aux fonctionnalités et interfaces du package de services de couche 2 et au Guide de l’utilisateur des interfaces de services de liaison et multilink pour les équipements de routage.

Note:

Le type sp d’interface est créé parce qu’il est requis par Junos OS. Pour le package de services de couche 2, l’interface sp n’est pas configurable, mais vous ne devez pas la désactiver.

Voir aussi

Procédure de configuration des services

Pour configurer les services, procédez comme suit :

  1. Définissez les objets de l’application en configurant des instructions au niveau de la [edit applications] hiérarchie.
  2. Définissez les règles de service en configurant des instructions au niveau de la [edit services (ids | ipsec-vpn | nat | stateful-firewall) rule] hiérarchie.
  3. Regroupez les règles de service en configurant l’instruction rule-set au niveau de la [edit services (ids | ipsec-vpn | nat | stateful-firewall)] hiérarchie.
  4. Ensemble de règles de service de groupe en fonction d’une définition définie par un ensemble de services en configurant l’instruction service-set au niveau de la [edit services] hiérarchie.
  5. Appliquez le service défini sur une interface en incluant l’instruction service-set au niveau de la [edit interfaces interface-name unit logical-unit-number family inet service (input | output)] hiérarchie. Vous pouvez également configurer des interfaces logiques comme destination du saut suivant en incluant l’instruction next-hop-service au niveau de la [edit services service-set service-set-name] hiérarchie.
    Note:

    Vous pouvez configurer des règles de service IDS, NAT et de pare-feu dynamique au sein du même ensemble de services. Vous devez configurer les services IPsec dans un ensemble de services distinct, bien que vous puissiez appliquer les deux ensembles de services au même PIC.

Exemple : Configuration des interfaces de service

La configuration suivante inclut tous les éléments nécessaires à la configuration des services sur une interface :

Configuration des paramètres de délai d’expiration par défaut pour les interfaces de services

Vous pouvez spécifier des paramètres par défaut globaux pour certains compteurs qui s’appliquent à l’intégralité de l’interface. Il existe trois déclarations de ce type :

  • inactivity-timeout: définit le délai d’inactivité des flux établis, après quoi ils ne sont plus valides.

  • open-timeout: définit la période d’expiration pour l’établissement de session TCP (Transmission Control Protocol), pour une utilisation avec des défenses SYN-cookie contre les intrusions sur le réseau.

  • close-timout: définit la période d’expiration pour la déchirure de session TCP (Transmission Control Protocol).

Pour configurer un paramètre pour la période d’expiration d’inactivité, incluez l’instruction inactivity-timeout au niveau de la [edit interfaces interface-name services-options] hiérarchie :

La valeur par défaut est 30 secondes. La plage de valeurs possibles varie de 4 à 86 400 secondes. Toute valeur que vous configurez dans la définition du protocole d’application remplace la valeur spécifiée ici ; pour plus d’informations, voir Configuration des propriétés de l’application.

Pour configurer un paramètre pour la période d’expiration de session TCP, incluez l’instruction open-timeout au niveau de la [edit interfaces interface-name services-options] hiérarchie :

La valeur par défaut est 5 secondes. La plage de valeurs possibles est de 4 à 224 secondes. Toute valeur que vous configurez dans la définition du service de détection des intrusions (IDS) remplace la valeur spécifiée ici ; pour plus d’informations, voir Configuration des règles IDS sur une MS-DPC.

Pour configurer un paramètre pour la période d’expiration de session TCP, incluez l’instruction close-timeout au niveau de la [edit interfaces interface-name services-options] hiérarchie :

La valeur par défaut est 1 seconde. La plage de valeurs possibles varie de 2 à 300 secondes.

Utilisation de messages keep-alive pour un meilleur contrôle des délais d’expiration d’inactivité TCP

Des messages continus sont générés automatiquement pour éviter les délais d’inactivité TCP. Le nombre de messages à conserver en vie par défaut est 4. Toutefois, vous pouvez configurer le nombre de messages à conserver en entrant l’instruction tcp-tickles au niveau de la [edit interaces interface-name service-options] hiérarchie.

Lorsque le délai d’expiration est généré pour un flux TCP bidirectionnel, des paquets continus sont envoyés pour réinitialiser le compteur. Si le nombre de paquets continus consécutifs envoyés dans un flux atteint la limite définie ou par défaut, la conversation est supprimée. Il existe plusieurs scénarios possibles, en fonction de la définition du nombre maximum de inactivity-timer messages à conserver par défaut ou configurés.

  • Si la valeur configurée des messages keep-alive est zéro et inactivity-timeout n’est PAS configurée (auquel cas la valeur de délai d’expiration par défaut de 30 est utilisée), aucun paquet keep-alive n’est envoyé. La conversation est supprimée lorsque tout flux de la conversation est inactif pendant plus de 30 secondes.

  • Si la valeur configurée des messages keep-alive est zéro et que celle-ci inactivity-timeout est configurée, aucun paquet keep-alive n’est envoyé, et la conversation est supprimée lorsque tout flux de la conversation est inactif pour plus que la valeur d’expiration configurée.

  • Si le nombre maximal de messages keep-alive par défaut ou configurés est un nombre d’entier positif, et si l’un des flux d’une conversation est inactif pour plus que la valeur par défaut ou configurée pour inactivity-timeout les paquets keep-alive, sont envoyés. Si les hôtes ne répondent pas au nombre configuré de paquets continus consécutifs, la conversation est supprimée. L’intervalle entre les paquets en vie sera de 1 seconde. Toutefois, si l’hôte renvoie un paquet ACK, le flux correspondant devient actif et les paquets keep-alive ne sont pas envoyés tant que le flux n’est plus inactif.

Voir aussi

Configuration de la journalisation système pour les interfaces de services

Vous spécifiez des propriétés qui contrôlent la manière dont les messages du journal système sont générés pour l’interface dans son ensemble. Si vous configurez différentes valeurs pour les mêmes propriétés au niveau de la [edit services service-set service-set-name] hiérarchie, les valeurs définies par le service remplacent les valeurs configurées pour l’interface. Pour plus d’informations sur la configuration des propriétés du jeu de services, consultez Configuration de la journalisation du système pour les ensembles de services.

Note:

À partir de Junos OS Version 14.2R5, 15.1R3 et 16.1R1, pour les interfaces multiservices (ms-), vous ne pouvez pas configurer la journalisation système pour PCP et ALG en incluant les journaux pcp et les instructions alg-logs au niveau de la hiérarchie [edit services-set service-set service-set-name syslog hostname class]. Un message d’erreur s’affiche si vous tentez de valider une configuration contenant les journaux pcp et les options de journaux alg pour définir la journalisation système pour PCP et ALG pour les interfaces ms.

Pour configurer les valeurs de journalisation système par défaut à l’échelle de l’interface, incluez l’instruction syslog au niveau de la [edit interfaces interface-name services-options] hiérarchie :

Configurez l’instruction host avec un nom d’hôte ou une adresse IP qui spécifie le serveur cible du journal système. Le nom local d’hôte dirige les messages de journal système vers le moteur de routage. Pour les serveurs de journaux système externes, le nom de l’hôte doit être joignable à partir de la même instance de routage vers laquelle le paquet de données initial (qui a déclenché l’établissement de session) est livré. Vous pouvez spécifier un seul nom d’hôte de journalisation système.

À partir de La version 17.4R1 de Junos OS, vous pouvez configurer jusqu’à quatre serveurs de journaux système (combinaison d’hôtes de journaux système locaux et de collecteurs de journaux système distants) pour chaque service défini pour l’interface ms hiérarchique [edit interfaces interface-name services-options] .

Le tableau 2 répertorie les niveaux de gravité que vous pouvez spécifier dans les instructions de configuration au niveau de la [edit interfaces interface-name services-options syslog host hostname] hiérarchie. Les niveaux de jusqu’à emergency info sont de l’ordre de la gravité la plus élevée (effet le plus important sur le fonctionnement) au plus bas.

Tableau 2 : Niveaux de gravité des messages du journal système

Niveau de gravité

Description

any

Inclut tous les niveaux de gravité

emergency

Panique du système ou autre état qui provoque l’arrêt du fonctionnement du routeur

alert

Conditions nécessitant une correction immédiate, telles qu’une base de données système corrompue

critical

Conditions critiques, telles que les erreurs de disque dur

error

Les conditions d’erreur qui ont généralement moins de conséquences graves que les erreurs d’urgence, d’alerte et les niveaux critiques

warning

Conditions garantissant une surveillance

notice

Des conditions qui ne sont pas des erreurs, mais qui peuvent justifier une manipulation particulière

info

Événements ou conditions d’intérêt non terroristes

Nous vous recommandons de définir le niveau error de gravité de la journalisation système pendant le fonctionnement normal. Pour surveiller l’utilisation des ressources PIC, définissez le niveau sur warning. Pour collecter des informations sur une attaque d’intrusion lorsqu’une erreur du système de détection d’intrusion est détectée, définissez le niveau sur notice une interface spécifique. Pour déboguer une configuration ou consigner la fonctionnalité de traduction d’adresses réseau (NAT), définissez le niveau sur info.

Pour plus d’informations sur les messages de journalisation système, consultez l’Explorateur des journaux système.

Pour utiliser un code de facilité particulier pour toutes les connexions à l’hôte de journalisation système spécifié, incluez l’instruction facility-override au niveau de la [edit interfaces interface-name services-options syslog host hostname] hiérarchie :

Les sites pris en charge incluent authorization: , ftpdaemon, kernelet userjusqu’à local0 local7.

Pour spécifier un préfixe texte pour toutes les connexions à cet hôte de journalisation système, incluez l’instruction log-prefix au niveau de la [edit interfaces interface-name services-options syslog host hostname] hiérarchie :

Voir aussi

Configuration du protocole TLS Syslog sur MS-MPC et MS-MIC

Présentation de la sécurité de la couche transport (TLS)

À partir de Junos OS version 19.1R1, vous pouvez configurer Transport Layer Security (TLS) pour les messages syslog générés par les services qui s’exécutent sur les cartes de services MS-MPC ou MS-MIC sur un routeur MX. Les services peuvent être l’un des suivants :

  • Junos Address Aware (anciennement appelé feaures NAT)

  • Junos VPN Site Secure (anciennement appelé fonctionnalités IPsec)

  • Junos Network Secure (anciennement appelé fonctionnalités de pare-feu dynamique)

Le protocole TLS (Transport Layer Security) est un protocole au niveau des applications qui fournit une technologie de chiffrement pour Internet. Tls s’appuie sur des certificats et des paires de clés publiques et privées pour ce niveau de sécurité. Il s’agit du protocole de sécurité le plus couramment utilisé pour les applications nécessitant un échange sécurisé de données sur un réseau, par exemple les transferts de fichiers, les connexions VPN, la messagerie instantanée et la voix sur IP (VoIP).

Le protocole TLS est utilisé pour l’échange de certificats, l’authentification mutuelle et les chiffrements de négociation afin de sécuriser le flux contre les altérations et interceptions potentielles. TLS est parfois appelé SSL (Secure Sockets Layer). Les protocoles TLS et SSL ne sont pas interopérables, bien que TLS offre actuellement une certaine rétrocompatibilité.

Avantages de TLS

Le protocole TLS assure la transmission sécurisée des données entre un client et un serveur grâce à une combinaison de confidentialité, d’authentification, de confidentialité et d’intégrité des données.

Les trois services essentiels de TLS

Le protocole TLS est conçu pour fournir trois services essentiels aux applications qui l’exécutent : le chiffrement, l’authentification et l’intégrité des données.

  • Chiffrement : afin d’établir un canal de données cryptographiquement sécurisé, le serveur et le client doivent convenir des suites de chiffrement utilisées et des clés utilisées pour chiffrer les données. Le protocole TLS spécifie une séquence de négociation bien définie pour effectuer cet échange. TLS utilise le cryptographie à clé publique, qui permet au client et au serveur de négocier une clé secrète partagée sans avoir à établir une connaissance préalable l’une de l’autre, et de le faire via un canal non chiffré.

  • Authentification : dans le cadre de la négociation TLS, le protocole permet au serveur et au client d’authentifier leur identité. La confiance implicite entre le client et le serveur (parce que le client accepte le certificat généré par le serveur) est un aspect important de TLS. Il est extrêmement important que l’authentification du serveur ne soit pas compromise. cependant, dans la réalité, les certificats autosignés et les certificats présentant des anomalies sont abondants. Les anomalies peuvent inclure des certificats expirés, des instances de nom commun ne correspondant pas à un nom de domaine, etc.

  • Intégrité : avec le chiffrement et l’authentification en place, le protocole TLS effectue le mécanisme de tramage des messages et signe chaque message à l’aide d’un code MAC (Message Authentication Code). L’algorithme MAC effectue la somme de contrôle efficace et les clés sont négociées entre le client et le serveur.

Négociation TLS

Chaque session TLS commence par une négociation au cours de laquelle le client et le serveur s’accordent sur la clé de sécurité spécifique et les algorithmes de chiffrement à utiliser pour cette session. À ce stade, le client authentifie également le serveur. Le serveur peut, éventuellement, authentifier le client. Une fois la négociation terminée, le transfert des données chiffrées peut commencer.

Chiffrement du trafic Syslog avec TLS

Le protocole TLS garantit que les messages syslog sont envoyés et reçus de manière sécurisée sur le réseau. TLS utilise des certificats pour authentifier et chiffrer la communication. Le client authentifie le serveur en demandant son certificat et sa clé publique. Le serveur peut également demander un certificat au client, ce qui permet une authentification mutuelle.

Un certificat sur le serveur qui identifie le serveur et le certificat d’autorité de certification (CA) émis par le serveur doivent être disponibles avec le client pour TLS afin de chiffrer le trafic syslog.

Pour une authentification mutuelle du client et du serveur, un certificat avec le client qui identifie le client et le certificat d’autorité de certification émis par le client doit être disponible sur le serveur. L’authentification mutuelle garantit que le serveur syslog accepte les messages de journalisation uniquement des clients autorisés.

TLS est utilisé comme transport sécurisé pour contrer toutes les menaces principales contre le syslog répertorié ci-dessous :

  • Confidentialité pour contrer la divulgation du contenu du message.

  • Vérification de l’intégrité pour contrer les modifications apportées à un message, saut par saut.

  • Authentification serveur ou mutuelle pour contrer les mascarades.

TLS Versions

Voici les versions de TLS :

  • TLS version 1.0 : assure la sécurité des communications sur les réseaux en assurant la confidentialité et l’intégrité des données entre les applications en communication

  • TLS version 1.1 : cette version améliorée de TLS offre une protection contre les attaques de chaînage par chiffrement (CBC).

  • TLS version 1.2 : cette version améliorée de TLS offre une flexibilité accrue pour la négociation des algorithmes de cryptage.

Présentation de la configuration du protocole de transport TLS pour Syslog Messages

À partir de Junos OS version 19.1R1, vous pouvez configurer un routeur MX Series afin d’utiliser TLS (Transport Layer Security) pour les messages syslog générés par les services exécutés sur les cartes de services MS-MPC ou MS-MIC d’un routeur MX Series.

Les packages de services suivants sont préinstallés et préconfigurés sur MS-MIC et MS-MPC :

  • Junos Traffic Vision (anciennement Jflow)

  • Junos Address Aware (anciennement appelé fonctionnalités NAT)

  • Junos VPN Site Secure (anciennement appelé fonctionnalités IPsec)

  • Junos Network Secure (anciennement appelé fonctionnalité de pare-feu dynamique)

  • Junos Services Crypto Base PIC Package

  • Passerelles de niveau applicative des services Junos

Vous pouvez configurer au maximum quatre serveurs syslog pour chaque ensemble de services et les envoyer aux serveurs.

Les messages Syslog sont envoyés via une connexion dédiée créée pour un ensemble donné de paramètres de configuration uniques :

  • Adresse IP source

  • Adresse IP de destination (serveur TCP/TLS)

  • Port

  • Nom du profil SSL (pour la connexion TLS)

    Note:

    Si le profil ssl n’est pas configuré sous la hiérarchie tcp-log, il s’agit alors d’un transport TCP non TLS.

Note:

Si plusieurs ensembles de services disposent de la configuration de journalisation TCP/TLS avec les mêmes paramètres que ceux mentionnés ci-dessus, les journaux générés à partir des sessions de tous ces ensembles de services partagent la même connexion.

Cette fonctionnalité prend en charge à la fois IPv4 et IPv6.
Note:

La connexion TCP/TLS configurée reste active jusqu’à ce que la configuration soit présente, même en l’absence d’événements de journalisation.

La configuration sylog TCP/TLS est prise en charge pour une journalisation sécurisée et fiable uniquement sur le plan de données.

Pour l’AMS (Aggregated Multi Service) avec plusieurs membres actifs, chaque membre crée une connexion TCP/TLS distincte et les syslogs générés par chaque PIC membre sont envoyés via leurs connexions uniques.

Configuration de TCP/TLS pour les messages Syslog

Vous pouvez utiliser les protocoles de transport TCP/TLS pour envoyer des messages syslog de manière fiable et sécurisée à des serveurs syslog externes.

Pour configurer les protocoles TCP/TLS pour les messages syslog :

  1. Configurez le profil de lancement SSL.
    Note:

    La configuration du profil d’initiation SSL est facultative si vous n’utilisez pas l’option TLS/TCP pour les messages syslog.

    version du protocole : la valeur par défaut est la valeur all. Une fois définies sur all SSL version 3 et TLSL version 1, elles sont gérées. La valeur par défaut est recommandée.

    chiffrements privilégiés —strong chiffrements avec force de clé >= 168 bits. L’utilisation de chiffrements puissants est recommandée.

    Reportez-vous à la section Initiation (Services) pour configurer tous les paramètres de l’instruction de lancement.

  2. Configurez les paramètres du journal TCP.

    adresse source : adresse source pour la journalisation tcp.

  3. Configurez le profil SSL pour la journalisation TCP. 

    [edit services service-set]
user@router# set ss1 syslog host server -ip tcp-log ssl-profile ssl-profile-name

    ssl-profile : nom du profil SSL pour la journalisation tcp

    Reportez-vous au profil (SSL Initiation) pour configurer toutes les options de ssl-profile.

  4. [Facultatif] Configurez le nom de l’instance de routage pour la journalisation tcp.

    vrf-name : nom de l’instance de routage pour la journalisation tcp.

  5. Validez la configuration.

    Une fois la validation effectuée, la configuration crée une nouvelle connexion TCP avec une connexion TLS si le profil SSL est configuré.

  6. Vérifier la configuration à l’aide de la show services tcp-log connections commande :

    La connexion syslog TCP/TLS est établie avec l’infrastructure de sessions de données de couche 4 des services de MS-MPC, et le statut de la session peut être suivi avec la commande suivante :

    Note:

    L’id de session des deux commandes doit correspondre à celui mis en évidence dans les bold éléments ci-dessus.
Tableau Historique des versions
Libération
Description
14,2R5
À partir de Junos OS Version 14.2R5, 15.1R3 et 16.1R1, pour les interfaces multiservices (ms-), vous ne pouvez pas configurer la journalisation système pour PCP et ALG en incluant les journaux pcp et les instructions alg-logs au niveau de la hiérarchie [edit services-set service-set service-set-name syslog hostname class].