Configuration des associations de sécurité pour IPsec sur un PIC ES
Pour utiliser les services de sécurité IPsec , vous devez créer une SA entre les hôtes. Une SA est une connexion simplexe qui permet à deux hôtes de communiquer entre eux en toute sécurité au moyen d’IPsec. Vous pouvez configurer deux types de SA :
Manuel : ne nécessite aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Par conséquent, chaque homologue doit avoir les mêmes options configurées pour que la communication ait lieu. Pour plus d’informations sur la configuration d’une SA manuelle, consultez Configuration des associations de sécurité IPsec manuelles pour un ES PIC.
Dynamic (Dynamique) : spécifiez les propositions à négocier avec l’homologue de tunnel. Les clés sont générées dans le cadre de la négociation et n’ont donc pas besoin d’être spécifiées dans la configuration. La SA dynamique comprend un ou plusieurs énoncés de proposition , qui vous permettent de hiérarchiser une liste de protocoles et d’algorithmes à négocier avec l’homologue. Pour plus d’informations sur la configuration d’une SA dynamique, reportez-vous à la section Association de sécurité configurée à une interface logique.
Note:Junos OS n’effectue pas de vérification de validation lorsqu’un nom de SA référencé dans la section de protocole Border Gateway Protocol (BGP) n’est pas configuré au niveau hiérarchique [modifier la sécurité ipsec].
Nous vous recommandons de ne pas configurer plus de 512 associations de sécurité dynamique par carte d’interface physique (PIC) ES.
Pour configurer une SA pour IPsec pour un PIC ES, incluez l’instruction security-association au niveau de la hiérarchie [edit security ipsec] :
[edit security ipsec] security-associationsa-name;
Vous configurez une SA dynamique pour les PIC AS et MultiServices aux niveaux hiérarchiques [edit services ipsec-vpn rule-name rule term term-name then dynamic], [edit services ipsec-vpn ike] et [edit services ipsec-vpn ipsec].
Pour plus d’informations, reportez-vous au chapitre « Consignes de configuration des services IPsec » de la bibliothèque d’interfaces des services Junos OS pour les périphériques de routage.
Les tâches de configuration des SA pour IPsec pour un PIC ES sont les suivantes :
Configuration de la description d’une SA
Pour spécifier la description d’une SA IPsec, incluez l’instruction de description au niveau hiérarchique de l’association sa-namede sécurité ip sec edit :
[edit security ipsec security-association sa-name] descriptiondescription;
Configuration du mode de transport IPsec
En mode transport, la partie données du paquet IP est chiffrée, mais pas l’en-tête IP. Le mode transport ne peut être utilisé que lorsque le point de terminaison de communication et le point de terminaison cryptographique sont identiques. Les passerelles de réseau privé virtuel (VPN) qui fournissent des services de chiffrement et de déchiffrement pour les hôtes protégés ne peuvent pas utiliser le mode transport pour les communications VPN protégées. Vous configurez des SA manuelles et vous devez configurer des valeurs statiques aux deux extrémités de l’AS.
Lorsque vous utilisez le mode transport, Junos OS prend en charge BGP et OSPFv3 pour les SA manuelles.
Pour configurer la sécurité IPsec pour le mode transport, incluez l’instruction mode avec l’option transport au niveau hiérarchique de modifier la sécurité ipsec security-association sa-name] :
[edit security ipsec security-association sa-name] mode transport;
Pour appliquer le mode tunnel, configurez les SA manuelles en mode transport, puis référencez-les par leur nom au niveau hiérarchique [modifier les protocoles bgp] afin de protéger une session avec un homologue donné.
Vous pouvez configurer BGP pour établir une relation d’homologue sur des tunnels chiffrés.
Configuration du mode tunnel IPsec
Vous utilisez le mode tunnel lorsque vous utilisez des clés prépartagées avec IKE pour authentifier des homologues, ou des certificats numériques avec IKE pour authentifier des homologues.
Lorsque vous utilisez des clés prépartagées, vous configurez manuellement une clé prépartagée, qui doit correspondre à celle de son homologue. Avec les certificats numériques, chaque routeur est inscrit dynamiquement ou manuellement auprès d’une autorité de certification (CA). Lorsqu’un tunnel est établi, les clés publiques utilisées pour IPsec sont obtenues dynamiquement via IKE et validées par rapport au certificat de l’autorité de certification. Cela évite la configuration manuelle des clés sur les routeurs au sein de la topologie. L’ajout d’un nouveau routeur à la topologie ne nécessite aucune modification de la configuration de sécurité des routeurs existants.
Pour configurer IPsec en mode tunnel, incluez l’instruction mode avec l’option tunnel au niveau hiérarchique de modifier l’association ipsec security-association sa-name:
[edit security ipsec security-association sa-name] mode tunnel;
Junos OS prend en charge BGP et OSPFv3 en mode transport.
Pour activer le mode tunnel, suivez les étapes décrites dans les sections suivantes :