Profils d’accès IKE
Un profil d’accès Internet Key Exchange (IKE) est utilisé pour négocier les associations de sécurité IKE et IPsec avec des pairs dynamiques. Vous ne pouvez configurer qu’un seul profil de tunnel par ensemble de services pour tous les pairs dynamiques. La clé prépartage configurée dans le profil est utilisée pour l’authentification IKE de tous les pairs dynamiques qui se terminent dans cet ensemble de services. Vous pouvez également utiliser la méthode de certificat numérique pour l’authentification IKE avec des pairs dynamiques. Incluez l’instruction ike-policy policy-name au niveau de la [edit access profile profile-name client * ike] hiérarchie. policy-name Est le nom de la stratégie IKE que vous définissez au niveau de la [edit services ipsec-vpn ike policy policy-name] hiérarchie.
Le profil du tunnel IKE spécifie toutes les informations dont vous avez besoin pour mener à bien la négociation IKE. Chaque protocole dispose de sa propre hiérarchie d’déclarations au sein de l’instruction client pour configurer des paires de valeurs d’attributs spécifiques au protocole, mais une seule configuration client est autorisée pour chaque profil. Voici la hiérarchie de configuration.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } dead-peer-detection{ interval seconds threshold number } ike-policy policy-name; initiate-dead-peer-detection; interface-id string-value; ipsec-policy ipsec-policy; pre-shared-key (ascii-text character-string | hexadecimal hexadecimal-digits); reverse-route } } }
Pour les pairs dynamiques, Junos OS ne prend en charge que le mode principal IKE avec la clé prépartage et les méthodes de certificat numérique. Dans ce mode, une adresse IPv6 ou IPv4 est utilisée pour identifier un homologue de tunnel afin d’obtenir la clé prépartage ou les informations de certificat numérique. La valeur * client (wildcard) signifie que la configuration au sein de ce profil est valable pour tous les pairs dynamiques qui se terminent au sein de l’ensemble de services accédant à ce profil.
L’énoncé suivant constitue le profil IKE :
allowed-proxy-pair— Au cours de la négociation IKE de phase 2, l’homologue distant fournit son adresse réseau (remote) et l’adresse réseau de son homologue (local). Étant donné que plusieurs tunnels dynamiques sont authentifiés par le même mécanisme, cette déclaration doit inclure la liste des combinaisons possibles. Si l’homologue dynamique ne présente pas de combinaison valide, la négociation IKE de phase 2 échoue.
Par défaut, remote 0.0.0.0/0 local 0.0.0.0/0 est utilisé si aucune valeur n’est configurée.
dead-peer-detection: permet à l’équipement d’utiliser la détection des pairs morts (DPD). Le DPD est une méthode utilisée par les équipements pour vérifier l’existence et la disponibilité actuelles des équipements homologues IPsec. Un équipement effectue cette vérification en envoyant à ses pairs des charges utiles chiffrées de notification de phase 1 (R-U-THERE) et en attendant les accusés de réception DPD (R-U-THERE-ACK). Utilisez l’optionintervalpour spécifier les secondes entre les messages à envoyer. Utilisez l’optionthresholdpour spécifier le nombre maximal de messages (1 à 10) à envoyer.ike-policy— Nom de la stratégie IKE qui définit le certificat numérique local ou la clé prépartage utilisée pour authentifier l’homologue dynamique lors de la négociation IKE. Vous devez inclure cette déclaration pour utiliser la méthode de certificat numérique pour l’authentification IKE avec un pair dynamique. Vous définissez la stratégie IKE au niveau de la[edit services ipsec-vpn ike policy policy-name]hiérarchie.initiate-dead-peer-detection— Détecte les pairs morts sur les tunnels IPsec dynamiques.interface-id— Identifiant d’interface, attribut obligatoire utilisé pour extraire les informations sur l’interface de service logique de la session.ipsec-policy— Nom de la stratégie IPsec qui définit les informations de stratégie IPsec pour la session. Vous définissez la stratégie IPsec au niveau de la[edit services ipsec-vpn ipsec policy policy-name]hiérarchie. Si aucune stratégie n’est définie, toute politique proposée par l’homologue dynamique est acceptée.pre-shared-key: clé utilisée pour authentifier l’homologue dynamique lors de la négociation de la phase 1 de l’IKE. Cette clé est connue des deux bouts grâce à un mécanisme sécurisé hors bande. Vous pouvez configurer la valeur en format ouascii-textenhexadecimalformat. C’est une valeur obligatoire.reverse-route—(routeurs M Series et MX Series avec as ou PIC multiservices uniquement) Configurez un routage inverse pour les tunnels IPsec dynamiques des points de terminaison.