Exemple : Configuration manuelle de la SA AS PIC
de topologie SA du manuel AS PIC
La figure 1 montre une topologie IPSec similaire à celle utilisée dans l’exemple SA manuel ES PIC. La différence réside dans le fait que les routeurs 2 et 3 établissent un tunnel IPSec à l’aide d’un AS PIC et utilisent des paramètres SA manuels légèrement modifiés. Les routeurs 1 et 4 fournissent à nouveau une connectivité de base et sont utilisés pour vérifier que le tunnel IPSec est opérationnel.
Sur le routeur 1, fournissez une connectivité OSPF de base au routeur 2.
Routeur 1
[edit]
interfaces {
so-0/0/0 {
description "To R2 so-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
routing-options {
router-id 10.0.0.1;
}
protocols {
ospf {
area 0.0.0.0 {
interface so-0/0/0.0;
interface lo0.0;
}
}
}
Sur le routeur 2, activez OSPF comme protocole de routage sous-jacent pour vous connecter aux routeurs 1 et 3. Configurez une SA manuelle bidirectionnelle dans une règle appelée rule-manual-SA-BiEspshades au niveau de la [edit ipsec-vpn rule] hiérarchie. Référencez cette règle dans un ensemble de services appelé service-set-manual-BiEspshades au niveau de la [edit services service-set] hiérarchie.
Configurez toutes les spécifications de votre SA manuelle. Utilisez ESP pour le protocole, 261 pour le SPI, HMAC-SHA1-96 pour l’authentification, DES-CBC pour le chiffrement, une clé d’authentification ASCII 20 bits pour la clé d’authentification SHA-1 et une clé de chiffrement ASCII 8 bits pour la clé d’authentification DES-CBC. (Pour plus d’informations sur la longueur des clés, reportez-vous à la section Longueurs des clés d’authentification et de chiffrement.)
Pour diriger le trafic vers l’AS PIC et le tunnel IPSec, configurez un ensemble de services de type next-hop et ajoutez l’interface logique des services adaptatifs utilisée comme interface interne IPSec dans la configuration OSPF.
Routeur 2
[edit]
interfaces {
so-0/0/0 {
description "To R1 so-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
so-0/0/1 {
description "To R3 so-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
sp-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 { # sp-1/2/0.1 is the IPSec inside interface.
family inet;
service-domain inside;
}
unit 2 { # sp-1/2/0.2 is the IPSec outside interface.
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
routing-options {
router-id 10.0.0.2;
}
protocols {
ospf {
area 0.0.0.0 {
interface so-0/0/0.0;
interface lo0.0;
interface sp-1/2/0.1; # This sends OSPF traffic over the IPSec tunnel.
}
}
}
services {
service-set service-set-manual-BiEspshades { # Define your service set here.
next-hop-service { # Required for dynamic routing protocols such as OSPF.
inside-service-interface sp-1/2/0.1;
outside-service-interface sp-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.1; # Specify the local IP address of the IPSec tunnel.
}
ipsec-vpn-rules rule-manual-SA-BiEspshades; # Reference the IPSec rule here.
}
ipsec-vpn {
rule rule-manual-SA-BiEspshades { # Define your IPSec VPN rule here.
term term-manual-SA-BiEspshades {
then {
remote-gateway 10.1.15.2; # The remote IP address of the IPSec tunnel.
manual { # Define the manual SA specifications here.
direction bidirectional {
protocol esp;
spi 261;
authentication {
algorithm hmac-sha1-96;
key ascii-text "$ABC123";
## The unencrypted key is juniperjuniperjunipe (20 characters for HMAC-SHA-1-96).
}
encryption {
algorithm des-cbc;
key ascii-text "$ABC123";
## The unencrypted key is juniperj (8 characters for DES-CBC).
}
}
}
}
}
match-direction input; # Correct match direction for next-hop service sets.
}
}
}
}
security {
pki {
auto-re-enrollment {
certificate-id certificate-name {
ca-profile ca-profile-name;
challenge-password password;
re-enroll-trigger-time-percentage percentage; #Percentage of validity-period
# (specified in certificate) when automatic
# reenrollment should be initiated.
re-generate-keypair;
validity-period number-of-days;
}
}
}
Sur le routeur 3, activez OSPF comme protocole de routage sous-jacent pour vous connecter aux routeurs 2 et 4. Configurez une SA manuelle bidirectionnelle dans une règle appelée rule-manual-SA-BiEspshades au niveau de la [edit ipsec-vpn rule] hiérarchie. Référencez cette règle dans un ensemble de services appelé service-set-manual-BiEspshades au niveau de la [edit services service-set] hiérarchie.
Configurez les mêmes spécifications pour votre SA manuelle que celles que vous avez spécifiées sur le routeur 2. Utilisez ESP pour le protocole, 261 pour le SPI, HMAC-SHA1-96 pour l’authentification, DES-CBC pour le chiffrement, une clé d’authentification ASCII 20 bits pour la clé d’authentification SHA-1 et une clé de chiffrement ASCII 8 bits pour la clé d’authentification DES-CBC. (Pour plus d’informations sur la longueur des clés, reportez-vous à la section Longueurs des clés d’authentification et de chiffrement.)
Pour diriger le trafic vers l’AS PIC et le tunnel IPSec, configurez un ensemble de services de type next-hop et ajoutez l’interface logique des services adaptatifs utilisée comme interface interne IPSec dans la configuration OSPF.
Routeur 3
[edit]
interfaces {
so-0/0/0 {
description "To R4 so-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
so-0/0/1 {
description "To R2 so-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
sp-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 { # sp-1/2/0.1 is the IPSec inside interface.
family inet;
service-domain inside;
}
unit 2 { # sp-1/2/0.2 is the IPSec outside interface.
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
routing-options {
router-id 10.0.0.3;
}
protocols {
ospf {
area 0.0.0.0 {
interface so-0/0/0.0;
interface lo0.0;
interface sp-1/2/0.1; # This sends OSPF traffic over the IPSec tunnel.
}
}
}
services {
service-set service-set-manual-BiEspshades { # Define your service set here.
next-hop-service { # Required for dynamic routing protocols such as OSPF.
inside-service-interface sp-1/2/0.1;
outside-service-interface sp-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.2; # Specify the local IP address of the IPSec tunnel.
}
ipsec-vpn-rules rule-manual-SA-BiEspshades; # Reference the IPSec rule here.
}
ipsec-vpn {
rule rule-manual-SA-BiEspshades { # Define your IPSec VPN rule here.
term term-manual-SA-BiEspshades {
then {
remote-gateway 10.1.15.1; # The remote IP address of the IPSec tunnel.
manual { # Define the manual SA specifications here.
direction bidirectional {
protocol esp;
spi 261;
authentication {
algorithm hmac-sha1-96;
key ascii-text "$ABC123";
## The unencrypted key is juniperjuniperjunipe (20 characters for HMAC-SHA-1-96).
}
encryption {
algorithm des-cbc;
key ascii-text "$ABC123";
## The unencrypted key is juniperj (8 characters for DES-CBC).
}
}
}
}
}
match-direction input; # Specify in which direction the rule should match.
}
}
}
}
Sur le routeur 4, fournissez une connectivité OSPF de base au routeur 3.
Routeur 4
[edit]
interfaces {
so-0/0/0 {
description "To R3 so-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
routing-options {
router-id 10.0.0.4;
}
protocols {
ospf {
area 0.0.0.0 {
interface so-0/0/0.0;
interface lo0.0;
}
}
}
Vérification de votre travail
Pour vérifier le bon fonctionnement d’une SA IPSec manuelle sur l’AS PIC, utilisez les commandes suivantes :
-
Ping
-
show services ipsec-vpn ipsec security-associations(détail) -
show services ipsec-vpn ipsec statistics
Les sections suivantes montrent la sortie de ces commandes utilisées avec l’exemple de configuration :
Routeur 1
Sur le routeur 1, envoyez une ping commande à l’interface lo0 du routeur 4 pour envoyer le trafic via le tunnel IPsec.
user@R1> ping 10.0.0.4 PING 10.0.0.4 (10.0.0.4): 56 data bytes 64 bytes from 10.0.0.4: icmp_seq=0 ttl=254 time=1.375 ms 64 bytes from 10.0.0.4: icmp_seq=1 ttl=254 time=18.375 ms 64 bytes from 10.0.0.4: icmp_seq=2 ttl=254 time=1.120 ms ^C --- 10.0.0.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.120/6.957/18.375/8.075 ms
Routeur 2
Pour vérifier que l’association de sécurité IPSec est active, exécutez la commande show services ipsec-vpn ipsec security-associations detail . Notez que la SA contient les paramètres que vous avez spécifiés, tels que ESP pour le protocole et HMAC-SHA1-96 pour l’algorithme d’authentification.
user@R2> show services ipsec-vpn ipsec security-associations detail
Service set: service-set-manual-BiEspshades
Rule: rule-manual-SA-BiEspshades, Term: term-manual-SA-BiEspshades,
Tunnel index: 1
Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2
Local identity: ipv4_subnet(any:0,[0..7]=10.0.0.0/8)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Direction: inbound, SPI: 261, AUX-SPI: 0
Mode: tunnel, Type: manual, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
Anti-replay service: Disabled
Direction: outbound, SPI: 261, AUX-SPI: 0
Mode: tunnel, Type: manual, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
Anti-replay service: Disabled
Pour vérifier que le trafic transite sur le tunnel IPsec bidirectionnel, exécutez la show services ipsec-vpn statistics commande suivante :
user@R2> show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-manual-BiEspshades ESP Statistics: Encrypted bytes: 1616 Decrypted bytes: 1560 Encrypted packets: 20 Decrypted packets: 19 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Routeur 3
Pour vérifier que l’association de sécurité IPsec est active, exécutez la show services ipsec-vpn ipsec security-associations detail commande. Pour réussir, la SA sur le routeur 3 doit contenir les mêmes paramètres que ceux que vous avez spécifiés sur le routeur 2.
user@R3> show services ipsec-vpn ipsec security-associations detail
Service set: service-set-manual-BiEspshades
Rule: rule-manual-SA-BiEspshades, Term: term-manual-SA-BiEspshades,
Tunnel index: 1
Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1
Local identity: ipv4_subnet(any:0,[0..7]=10.0.0.0/8)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Direction: inbound, SPI: 261, AUX-SPI: 0
Mode: tunnel, Type: manual, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
Anti-replay service: Disabled
Direction: outbound, SPI: 261, AUX-SPI: 0
Mode: tunnel, Type: manual, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: des-cbc
Anti-replay service: Disabled
Pour vérifier que le trafic transite sur le tunnel IPsec bidirectionnel, exécutez la show services ipsec-vpn statistics commande suivante :
user@R3> show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-manual-BiEspshades ESP Statistics: Encrypted bytes: 1560 Decrypted bytes: 1616 Encrypted packets: 19 Decrypted packets: 20 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0