Configuration d’un profil d’accès IKE pour les tunnels de point de terminaison dynamique IPsec
Configuration d’un profil d’accès IKE pour les tunnels de point de terminaison dynamique IPsec
Vous ne pouvez configurer qu’un seul profil de tunnel par ensemble de services pour tous les homologues dynamiques. La clé prépartagée configurée dans le profil est utilisée pour l’authentification IKE de tous les homologues dynamiques se terminant dans cet ensemble de services.
Le profil de tunnel IKE spécifie toutes les informations nécessaires pour terminer la négociation IKE. Pour plus d’informations sur les profils d’accès, reportez-vous au Guide de configuration des principes de base du système Junos.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
Pour les homologues dynamiques, Junos OS prend uniquement en charge le mode principal IKE avec la méthode d’authentification par clé prépartagée. Dans ce mode, une adresse IPv4 ou IPv6 est utilisée pour identifier un pair de tunnel afin d’obtenir les informations de clé prépartagées. La valeur client * (caractère générique) signifie que la configuration au sein de ce profil est valide pour tous les homologues dynamiques se terminant dans l’ensemble de services accédant à ce profil.
Les instructions suivantes sont les parties du profil IKE :
allowed-proxy-pair : au cours de la négociation IKE de phase 2, l’homologue distant fournit son adresse réseau (distante) et l’adresse réseau de son homologue (locale). Étant donné que plusieurs tunnels dynamiques sont authentifiés via le même mécanisme, cette instruction doit inclure la liste des combinaisons possibles. Si l’homologue dynamique ne présente pas de combinaison valide, la négociation IKE de phase 2 échoue.
Par défaut, remote 0.0.0.0/0 local 0.0.0.0/0 est utilisé si aucune valeur n’est configurée.
pre-shared-key : clé obligatoire utilisée pour authentifier l’homologue dynamique lors de la négociation IKE phase 1. Cette clé doit être configurée aux deux extrémités du tunnel et distribuée par le biais d’un mécanisme sécurisé hors bande. Vous pouvez configurer la valeur de clé au format hexadécimal ou ascii-text .
interface-id : identificateur d’interface, attribut obligatoire utilisé pour dériver les informations d’interface de service logique de la session.
ipsec-policy : nom de la stratégie IPsec qui définit les informations de stratégie IPsec pour la session. Vous définissez la stratégie IPsec au niveau de la
[edit services ipsec-vpn ipsec policy policy-name]hiérarchie. Si aucune stratégie n’est définie, toute stratégie proposée par l’homologue dynamique est acceptée.
Configuration du Service Set pour les tunnels de point de terminaison dynamique IPsec
Pour effectuer une configuration dynamique de tunnel de point de terminaison, vous devez référencer le profil d’accès IKE configuré au niveau de la hiérarchie [modifier l’accès] dans l’ensemble de services. Pour ce faire, incluez l’instruction ike-access-profile au niveau de la hiérarchie [edit services service-set name ipsec-vpn-options] :
[edit services] service-set name { next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; } ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } }
Vous ne pouvez référencer qu’un seul profil d’accès dans chaque ensemble de services. Ce profil est utilisé pour négocier les associations de sécurité IKE et IPsec avec des homologues dynamiques uniquement.
Si vous configurez un profil d’accès IKE dans un ensemble de services, aucun autre ensemble de services ne peut partager la même adresse de passerelle locale .
Configuration de l’identificateur d’interface pour les tunnels de point de terminaison dynamique IPsec
Vous pouvez configurer un identificateur d’interface pour un groupe d’homologues dynamiques, qui spécifie la ou les interfaces logiques des services adaptatifs qui participent à la négociation IPsec dynamique. En affectant le même identificateur d’interface à plusieurs interfaces logiques, vous pouvez créer un pool d’interfaces à cet effet. Pour configurer, incluez l’instruction ipsec-interface-id au niveau de la hiérarchie [modifier les interfaces interface-name] :
[edit interfaces sp-fpc/pic/port] unit logical-unit-number { dial-options { ipsec-interface-id identifier; (shared | dedicated); } }
Si vous spécifiez l’identificateur d’interface dans l’instruction, dial-options cette interface logique fait partie du pool identifié par l’identificateur d’interface IPsec.
Un seul identificateur d’interface peut être spécifié à la fois. Vous pouvez inclure l’instruction ipsec-interface-id ou l’instruction l2tp-interface-id , mais pas les deux simultanément.
L’instruction shared permet de partager une interface logique entre plusieurs tunnels. L’instruction dedicated spécifie que l’interface logique est associée à un seul tunnel, ce qui est nécessaire lorsque vous configurez un tunnel de type lien IPsec. Vous devez inclure l’instruction dedicated lorsque vous spécifiez une valeur ipsec-interface-id .
Configuration de plusieurs tunnels routés dans un seul ensemble de services Next-Hop
Si vous le souhaitez, vous pouvez configurer plusieurs tunnels IPSec routés au sein d’un même ensemble de services next-hop. Pour ce faire, commencez par établir plusieurs interfaces de services en tant qu’interfaces internes en incluant l’instruction service-domain inside au niveau de la hiérarchie [edit interfaces sp-fpc/pic/port unit logical-unit-number]. Ensuite, incluez l’instruction ipsec-inside-interface au niveau de la [edit services ipsec-vpn rule rule-name term term-name from] hiérarchie.
Par souci de concision, l’intégralité des propositions et stratégies IPsec et IKE n’est pas présentée dans l’exemple suivant.
[edit]
interfaces {
sp-3/3/0 {
unit 3 {
family inet;
service-domain inside;
}
unit 4 {
family inet;
service-domain outside;
}
unit 5 {
family inet;
service-domain inside;
}
}
}
services {
service-set link_type_ss_1 {
next-hop-service {
inside-service-interface sp-3/3/0.3;
outside-service-interface sp-3/3/0.4;
}
ipsec-vpn-options {
local-gateway 10.8.7.2;
}
ipsec-vpn-rules link_rule_1;
}
ipsec-vpn {
rule link_rule_1 {
term 1 {
from {
ipsec-inside-interface sp-3/3/0.3;
}
then {
remote-gateway 10.10.7.3;
backup-remote-gateway 10.8.7.1;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
term 2 {
from {
ipsec-inside-interface sp-3/3/0.5;
}
then {
remote-gateway 10.12.7.5;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
match-direction input;
}
}
}
Pour confirmer que votre configuration fonctionne, exécutez la show services ipsec-vpn ipsec security-associations commande. Notez que chaque interface interne IPsec que vous avez affectée à chaque tunnel IPsec est incluse dans la sortie de cette commande.
user@router> show services ipsec-vpn ipsec security-associations
Service set: link_type_ss_1
Rule: link_rule_1, Term: 1, Tunnel index: 1
Local gateway: 10.8.7.2, Remote gateway: 10.8.7.1
IPSec inside interface: sp-3/3/0.3
Direction SPI AUX-SPI Mode Type Protocol
inbound 3216392497 0 tunnel dynamic ESP
outbound 398917249 0 tunnel dynamic ESP
Rule: link_rule_1, Term: 2, Tunnel index: 2
Local gateway: 10.8.7.2, Remote gateway: 10.12.7.5
IPSec inside interface: sp-3/3/0.5
Direction SPI AUX-SPI Mode Type Protocol
inbound 762146783 0 tunnel dynamic ESP
outbound 319191515 0 tunnel dynamic ESP