Configuration des associations de sécurité
Configuration des associations de sécurité
La première étape de configuration IPsec consiste à sélectionner un type d’association de sécurité (SA) pour votre connexion IPsec. Vous devez configurer de manière statique toutes les spécifications pour les SA manuelles, mais vous pouvez vous fier à certaines valeurs par défaut lorsque vous configurez une SA dynamique IKE. Pour configurer une association de sécurité, reportez-vous aux sections suivantes.
Configuration des SA manuelles
Sur l’ES PIC, vous configurez une association de sécurité manuelle au niveau de la [edit security ipsec security-association name] hiérarchie. Incluez vos choix d’authentification, de chiffrement, de direction, de mode, de protocole et de SPI. Assurez-vous que ces choix sont configurés exactement de la même manière sur la passerelle IPsec distante.
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
Sur les PIC AS et MultiServices, vous configurez une association de sécurité manuelle au niveau de la [edit services ipsec-vpn rule rule-name] hiérarchie. Incluez vos choix en matière d’authentification, de chiffrement, de direction, de protocole et de SPI. Assurez-vous que ces choix sont configurés exactement de la même manière sur la passerelle IPsec distante.
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Configuration des SA dynamiques IKE
Sur le PIC ES, vous configurez une SA dynamique IKE au niveau de la [edit security ike] hiérarchie et [edit security ipsec] . Incluez vos choix de stratégies et de propositions IKE, qui incluent des options pour les algorithmes d’authentification, les méthodes d’authentification, les groupes Diffie-Hellman, le chiffrement, les modes IKE et les clés prépartagées. La stratégie IKE doit utiliser l’adresse IP de l’extrémité distante du tunnel IPsec comme nom de stratégie. Incluez également vos choix de stratégies et de propositions IPsec, qui incluent des options pour les modes d’authentification, de chiffrement, de protocoles, de Perfect Forward Secrecy (PFS) et d’IPsec. Assurez-vous que ces choix sont configurés exactement de la même manière sur la passerelle IPsec distante.
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
Sur les PIC AS et MultiServices, vous configurez une association de sécurité dynamique IKE aux [edit services ipsec-vpn ike]niveaux , [edit services ipsec-vpn ipsec], et hiérarchique [edit services ipsec-vpn rule rule-name] . Incluez vos choix de stratégies et de propositions IKE, qui incluent des options pour les algorithmes d’authentification, les méthodes d’authentification, les groupes Diffie-Hellman, le chiffrement, les modes IKE et les clés prépartagées. Incluez également vos choix de stratégies et de propositions IPsec, qui incluent des options pour les modes d’authentification, de chiffrement, de protocoles, PFS et IPsec. Assurez-vous que ces choix sont configurés exactement de la même manière sur la passerelle IPsec distante.
Si vous choisissez de ne pas configurer explicitement les stratégies et propositions IKE et IPsec sur les PIC AS et multiservices, votre configuration peut être configurée par défaut sur certaines valeurs prédéfinies. Ces valeurs par défaut sont indiquées dans le tableau 1.
Énoncé de politique IKE |
Valeur par défaut |
|---|---|
mode |
principal |
Propositions |
faire défaut |
| Énoncé de proposition IKE | Valeur par défaut |
algorithme d’authentification |
sha1 |
méthode d’authentification |
clés pré-partagées |
groupe dh |
groupe2 |
algorithme de chiffrement |
3des-cbc |
lifetime-secondes |
3600 (secondes) |
| Déclaration de stratégie IPsec | Valeur par défaut |
clés perfect-forward-secrecy |
groupe2 |
Propositions |
faire défaut |
| Déclaration de proposition IPsec | Valeur par défaut |
algorithme d’authentification |
hmac-sha1-96 |
algorithme de chiffrement |
3des-cbc |
lifetime-secondes |
28800 (secondes) |
protocole |
Esp |
Si vous utilisez le paramètre prédéfini de stratégie et de proposition IKE et IPsec par défaut dans les PIC AS et Multiservices, vous devez explicitement configurer une stratégie IKE et inclure une clé prépartagée. En effet, la méthode d’authentification par clés pré-partagées est l’une des valeurs prédéfinies de la proposition IKE par défaut.
À partir de Junos OS version 14.2, dans un environnement dans lequel les routeurs Juniper Networks MX Series interagissent avec les périphériques Cisco ASA, les associations de sécurité (SA) IKE et les SA IPsec sont immédiatement supprimées sur les périphériques Cisco ASA, mais elles sont conservées sur les routeurs MX Series. Par conséquent, une perte de trafic de 100 % se produit sur les routeurs MX lorsque le trafic est initié à partir des routeurs MX Series ou des périphériques Cisco ASA. Ce problème de perte de trafic excessive se produit lorsqu’un PIC de service est redémarré sur les routeurs MX Series, qu’une carte de ligne est redémarrée sur les routeurs MX Series ou lorsqu’une séquence de commandes d’arrêt/pas d’arrêt ou une modification du paramètre de vitesse est effectuée sur les périphériques Cisco ASA. Pour éviter ce problème de conservation des SA IKE et IPsec dans un tel déploiement, vous devez supprimer manuellement les SA IPsec et IKE en entrant respectivement les clear ipsec security-associations commandes et clear ike security-associations .
Si vous décidez de configurer les valeurs manuellement, les informations suivantes présentent la hiérarchie complète des instructions et les options pour les SA IKE dynamiques sur les PIC AS et multiservices :
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.