Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration d’une stratégie IKE

Configuration d’une stratégie IKE pour les clés prépartagées

Une stratégie IKE définit une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE. Il définit une adresse d’homologue, la clé prépartagée pour l’homologue donné et les propositions nécessaires pour cette connexion. Au cours de la négociation IKE, IKE recherche une stratégie IKE identique sur les deux homologues. L’homologue qui initie la négociation envoie toutes ses stratégies à l’homologue distant, qui tente de trouver une correspondance.

Une correspondance est établie lorsque les deux stratégies des deux homologues ont une proposition qui contient les mêmes attributs configurés. Si les durées de vie ne sont pas identiques, la durée de vie plus courte entre les deux stratégies (de l’hôte et de l’homologue) est utilisée. La clé prépartagée configurée doit également correspondre à son homologue.

Pour vous assurer qu’au moins une proposition correspondra à la proposition d’un pair distant, vous pouvez créer plusieurs propositions classées par ordre de priorité pour chaque pair. Pour ce faire, configurez la ou les propositions et associez-les à une stratégie IKE et, éventuellement, hiérarchisez la liste dans l’instruction, où elles sont évaluées dans l’ordre policy de la liste.

Incluez l’instruction policy au niveau de la [edit security ike] hiérarchie et spécifiez une destination de tunnel IPsec comme adresse homologue :

Les tâches de configuration d’une stratégie IKE sont les suivantes :

Configuration de la description d’une stratégie IKE

Pour spécifier une description pour une stratégie IKE, incluez l’instruction description au niveau de la [edit security ike policy ike-peer-address] hiérarchie :

Configuration du mode d’une stratégie IKE

La stratégie IKE comporte deux modes : agressif et principal. Par défaut, le mode principal est activé. Le mode principal utilise six messages, répartis en trois échanges, pour établir l’IKE SA. (Ces trois étapes sont la négociation IKE SA, un échange de clés Diffie-Hellman et l’authentification de l’homologue.) Le mode principal permet également à un pair de masquer son identité.

Le mode agressif établit également une SA et des clés IKE authentifiées. Cependant, le mode agressif utilise la moitié du nombre de messages, a moins de pouvoir de négociation et n’offre pas de protection de l’identité. L’homologue peut utiliser le mode agressif ou principal pour démarrer la négociation IKE ; L’homologue distant accepte le mode envoyé par l’homologue.

Pour configurer le mode de stratégie IKE, incluez l’instruction mode et spécifiez aggressive ou main au niveau de la [edit security ike policy ike-peer-address] hiérarchie :

Pour Junos OS en mode FIPS, l’option agressive pour IKEv1 n’est pas prise en charge avec l’instruction mode au niveau de la [edit services ipsec-vpn ike policy policy-name] hiérarchie.

Configuration de la clé prépartagée pour une stratégie IKE

Les clés prépartagées de stratégie IKE authentifient les homologues. Vous devez configurer manuellement une clé prépartagée, qui doit correspondre à celle de son homologue. Il peut s’agir d’une clé texte ASCII (alphanumérique) ou d’une clé hexadécimale.

Un certificat local est une alternative à la clé prépartagée. Une opération de validation échoue si une clé prépartagée ou un certificat local n’est pas configuré.

Pour configurer une clé prépartagée de stratégie IKE, incluez l’instruction pre-shared-key au niveau de la [edit security ike policy ike-peer-address] hiérarchie :

Association de propositions à une stratégie IKE

La proposition de stratégie IKE est une liste d’une ou plusieurs propositions associées à une stratégie IKE.

Pour configurer une proposition de stratégie IKE, incluez l’instruction proposals au niveau de la [edit security ike policy ike-peer-address] hiérarchie et spécifiez un ou plusieurs noms de proposition :

Voir aussi

Exemple : Configuration d’une stratégie IKE

Définissez deux stratégies IKE : la stratégie 10.1.1.2 et la stratégie 10.1.1.1. Chaque stratégie est associée à proposal-1 et proposal-2.

Note:

Les mises à jour apportées à la configuration actuelle de la proposition et de la stratégie IKE ne sont pas appliquées à la SA IKE actuelle . Les mises à jour sont appliquées aux nouvelles IKE SA.

Si vous souhaitez que les nouvelles mises à jour prennent effet immédiatement, vous devez effacer les associations de sécurité IKE existantes afin qu’elles soient rétablies avec la configuration modifiée. Pour plus d’informations sur la façon d’effacer l’association de sécurité IKE actuelle, consultez l’Explorateur CLI.
Note:

Lors de la configuration de plusieurs tunnels IPSec entre homologues IPSec, les tunnels IPSec peuvent se terminer sur plusieurs adresses locales sur une interface physique d’un homologue IPSec et vice-versa.

Voir aussi