Sur cette page
Comprendre l’authentification spoke dans les déploiements AutoVPN
Exemple : Configuration d’AutoVPN de base avec iBGP pour le trafic IPv6
Exemple : Configuration d’AutoVPN avec des tunnels iBGP et Active-Backup
Exemple : Configuration d’AutoVPN avec OSPFv3 pour le trafic IPv6
Exemple : Transfert de trafic via un tunnel AutoVPN à l’aide de sélecteurs de trafic
Exemple : Garantir la disponibilité des tunnels VPN avec AutoVPN et les sélecteurs de trafic
AutoVPN sur les appareils en étoile
AutoVPN prend en charge un agrégateur VPN IPsec (appelé hub) qui sert de point de terminaison unique pour plusieurs tunnels vers des sites distants (appelés rayons). AutoVPN permet aux administrateurs réseau de configurer un hub pour les rayons actuels et futurs.
Comprendre l’AutoVPN
AutoVPN prend en charge un agrégateur VPN IPsec (appelé hub) qui sert de point de terminaison unique pour plusieurs tunnels vers des sites distants (appelés rayons). AutoVPN permet aux administrateurs réseau de configurer un hub pour les rayons actuels et futurs. Aucune modification de configuration n’est requise sur le hub lors de l’ajout ou de la suppression de spoke devices, ce qui permet aux administrateurs de gérer les déploiements réseau à grande échelle en toute flexibilité.
- Modes de tunnel sécurisés
- Authentification
- Configuration et gestion
- Comprendre les limitations d’AutoVPN
- Comprendre AutoVPN avec les sélecteurs de trafic
Modes de tunnel sécurisés
AutoVPN est pris en charge par les VPN IPsec basés sur le routage. Pour les VPN basés sur le routage, vous configurez une interface de tunnel sécurisé (st0) et la liez à un tunnel VPN IPsec. Les interfaces st0 dans les réseaux AutoVPN peuvent être configurées dans l’un des deux modes suivants :
Mode point à point : par défaut, une interface st0 configurée au niveau de la hiérarchie [
edit interfaces st0 unit x
] est en mode point à point. À partir de Junos OS version 17.4R1, l’adresse IPv6 est prise en charge sur AutoVPN.Mode point à multipoint : dans ce mode, l’option est configurée au niveau de la hiérarchie [
edit interfaces st0 unit x
] sur le hub et les rayons AutoVPN. Les interfaces st0 sur le hub et les rayons doivent être numérotées et l’adresse IP configurée sur un spoke doit exister dans le sous-réseau d’interfacemultipoint
st0 du hub.
Tableau 1 compare les modes d’interface de tunnel sécurisé point à point et point à multipoint d’AutoVPN.
Mode point à point |
Mode point à multipoint |
---|---|
Prend en charge IKEv1 ou IKEv2. |
Prend en charge IKEv1 ou IKEv2. |
Prend en charge le trafic IPv4 et IPv6. |
Prend en charge IPv4 ou IPv6. |
Sélecteurs de trafic |
Protocoles de routage dynamique (OSPF, OSPFv3 et iBGP) |
Détection des pairs morts |
Détection des pairs morts |
Permet aux périphériques spoke d’être des périphériques SRX Series ou tiers. |
Ce mode est uniquement pris en charge avec les pare-feu SRX Series. |
Authentification
Les AutoVPN prennent en charge les méthodes d’authentification par certificat et par clé prépartagée.
Pour l’authentification basée sur un certificat dans les hubs et les rayons AutoVPN, vous pouvez utiliser des certificats d’infrastructure à clé publique (PKI) X.509. Le type d’utilisateur IKE de groupe configuré sur le hub permet de spécifier des chaînes pour correspondre au champ d’objet alternatif dans les certificats spoke. Des correspondances partielles pour les champs d’objet dans les certificats spoke peuvent également être spécifiées. Reportez-vous à la section Présentation de l’authentification spoke dans les déploiements AutoVPN.
À partir de Junos OS version 21.2R1, la gamme SRX5000 avec carte SPC3 et pare-feu virtuel vSRX exécutant le processus iked prend en charge AutoVPN avec clé prépartagée amorcée.
La gamme SRX5000 avec la carte SPC3 et le pare-feu virtuel vSRX prend en charge AutoVPN avec PSK, uniquement si vous installez le junos-ike
package.
Nous prenons en charge AutoVPN avec les deux options suivantes :
- PSK auto-VPN amorcée : Plusieurs homologues se connectant à la même passerelle ayant une clé pré-partagée différente.
- PSK partagée Auto-VPN : Plusieurs homologues se connectant à la même passerelle ayant la même clé pré-partagée.
La PSK amorcée est différente de la PSK non amorcée (c’est-à-dire la même PSK partagée). La clé principale amorcée utilise la clé principale pour générer la clé PSK partagée pour l’homologue. Ainsi, chaque pair aura des PSK différentes se connectant à la même passerelle. Par exemple : Imaginons un scénario où l’homologue 1 avec l’ID IKE et l’homologue 2 avec l’ID user1@juniper.netuser2@juniper.net IKE tentent de se connecter à la passerelle. Dans ce scénario, la passerelle configurée comme contenant la clé principale configurée en tant que ThisIsMySecretPreSharedkey
contiendra les différentes clés PSK comme HUB_GW
suit :
Pair 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a
Pair 2 : 3db8385746f3d1e639435a882579a9f28464e5c7
Cela signifie que pour différents utilisateurs avec un ID utilisateur différent et une même clé principale générera une clé prépartagée différente ou unique.
Vous pouvez utiliser l’une ou l’autre ou seeded-pre-shared-key
pre-shared-key
pour la PSK Auto-VPN :
- Différentes clés prépartagées : Si le
seeded-pre-shared-key
est défini, une clé IKE prépartagée différente est utilisée par la passerelle VPN pour authentifier chaque homologue distant. Les clés prépartagées de l’homologue sont générées à l’aide de l’ensemblemaster-key
de la passerelle IKE et partagées entre les homologues.Pour permettre à la passerelle VPN d’utiliser une clé IKE prépartagée (PSK) différente pour authentifier chaque homologue distant, utilisez les nouvelles commandes
seeded-pre-shared-key ascii-text
CLI ouseeded-pre-shared-key hexadecimal
sous le niveau hiérarchique[edit security ike policy policy_name]
.Cette commande s’exclut mutuellement avec
pre-shared-key
la commande de la même hiérarchie.Voir la politique.
- Partagée/Même clé prépartagée : Si
pre-shared-key-type
n’est pas configurée, la clé PSK est considérée comme partagée. La même clé IKE prépartagée est utilisée par la passerelle VPN pour authentifier tous les homologues distants.Pour permettre à la passerelle VPN d’utiliser la même clé IKE PSK pour authentifier tous les homologues distants
pre-sharedkey ascii-text
, utilisez les commandes CLI existantes oupre-shared-key hexadecimal
.
Au niveau de la passerelle VPN, vous pouvez ignorer la validation de l’ID IKE à l’aide de l’instruction de configuration au niveau de general-ikeid
la [edit security ike gateway gateway_name dynamic]
hiérarchie. Si cette option est configurée, lors de l’authentification de l’homologue distant, la passerelle VPN autorise toute connexion d’ID IKE à distance. Reportez-vous à la section general-ikeid.
La gamme SRX5000 avec carte SPC3 et pare-feu virtuel vSRX exécutant le processus iked (avec le junos-ike
package) prend en charge les modes IKE suivants :
IKE Mode |
Gamme SRX5000 avec carte SPC3 et pare-feu virtuel vSRX exécutant le processus iked |
|
---|---|---|
PSK partagées |
PSK ensemencée |
|
IKEv2 |
Oui |
Oui |
IKEv2 avec n’importe quel |
Oui |
Oui |
Mode agressif IKEv1 |
Oui |
Oui |
Mode agressif IKEv1 avec |
Oui |
Oui |
Mode principal IKEv1 |
Oui |
Non |
Mode principal IKEv1 avec any-remote-id/ |
Oui |
Non |
Voir l’exemple : Configuration d’AutoVPN avec une clé pré-partagée.
Configuration et gestion
AutoVPN est configuré et géré sur les pare-feu SRX Series à l’aide de l’interface de ligne de commande. Plusieurs concentrateurs AutoVPN peuvent être configurés sur un seul pare-feu SRX Series. Le nombre maximal de rayons pris en charge par un concentrateur configuré est spécifique au modèle du pare-feu SRX Series.
Comprendre les limitations d’AutoVPN
Les fonctionnalités suivantes ne sont pas prises en charge pour AutoVPN :
Les VPN basés sur des stratégies ne sont pas pris en charge.
Le protocole de routage dynamique RIP n’est pas pris en charge avec les tunnels AutoVPN.
Les clés manuelles et les clés IKE à saisie automatique avec des clés prépartagées ne sont pas prises en charge.
La configuration de la liaison de tunnel next-hop statique (NHTB) sur le hub pour les rayons n’est pas prise en charge.
La multidiffusion n’est pas prise en charge.
Le type d’utilisateur ID IKE de groupe n’est pas pris en charge avec une adresse IP comme ID IKE.
Lorsque le type d’utilisateur IKE ID de groupe est utilisé, l’ID IKE ne doit pas chevaucher d’autres passerelles IKE configurées sur la même interface externe.
Comprendre AutoVPN avec les sélecteurs de trafic
Les hubs AutoVPN peuvent être configurés avec plusieurs sélecteurs de trafic pour protéger le trafic vers les rayons. Cette fonctionnalité offre les avantages suivants :
Une seule configuration VPN peut prendre en charge de nombreux homologues différents.
Les homologues VPN peuvent être des pare-feu non-SRX Series.
Un même homologue peut établir plusieurs tunnels avec le même VPN.
Un plus grand nombre de tunnels peut être pris en charge qu’avec AutoVPN avec des protocoles de routage dynamiques.
À partir de Junos OS version 17.4R1, les réseaux AutoVPN qui utilisent des interfaces de tunnel sécurisées en mode point à point prennent en charge les adresses IPv6 pour les sélecteurs de trafic et pour les homologues IKE.
Lorsque le tunnel hub-to-spoke est établi, le hub utilise l’insertion de route automatique (ARI), connue dans les versions précédentes sous le nom d’insertion de route inverse (RRI), pour insérer la route vers le préfixe spoke dans sa table de routage. La route ARI peut ensuite être importée dans des protocoles de routage et distribuée sur le réseau central.
AutoVPN avec sélecteurs de trafic peut être configuré avec l’interface de tunnel sécurisé (st0) en mode point à point pour IKEv1 et IKEv2.
Les protocoles de routage dynamique ne sont pas pris en charge sur les interfaces st0 lorsque des sélecteurs de trafic sont configurés.
Notez les mises en garde suivantes lors de la configuration d’AutoVPN avec des sélecteurs de trafic :
Les protocoles de routage dynamique ne sont pas pris en charge avec les sélecteurs de trafic avec des interfaces st0 en mode point à point.
La charge utile de configuration VPN et IKEv2 à découverte automatique ne peut pas être configurée avec AutoVPN avec les sélecteurs de trafic.
Les rayons peuvent être des pare-feu non-SRX Series ; Cependant, notez les différences suivantes :
Dans IKEv2, un spoke non-SRX Series peut proposer plusieurs sélecteurs de trafic dans une seule négociation SA. Ceci n’est pas pris en charge sur les pare-feu SRX Series et la négociation est rejetée.
Un spoke autre que SRX Series peut identifier des ports ou des protocoles spécifiques pour l’utilisation du sélecteur de trafic. Les ports et les protocoles ne sont pas pris en charge avec les sélecteurs de trafic sur les pare-feu SRX Series et la négociation est rejetée.
Voir également
Comprendre l’authentification spoke dans les déploiements AutoVPN
Dans les déploiements AutoVPN, les certificats PKI X.509 valides doivent être chargés sur les périphériques en étoile. Vous pouvez utiliser la show security pki local-certificate detail
commande pour afficher des informations sur les certificats chargés dans un périphérique.
Cette rubrique traite de la configuration sur le hub qui permet aux rayons de s’authentifier et de se connecter au hub à l’aide de certificats :
Configuration de l’ID IKE de groupe sur le hub
La fonctionnalité d’ID IKE de groupe permet à un certain nombre de périphériques spoke de partager une configuration IKE sur le concentrateur. L’identification du titulaire du certificat, dans les champs objet ou sujet alternatif du certificat X.509 de chaque rayon, doit contenir une partie commune à tous les rayons ; la partie commune de l’identification du certificat est spécifiée pour la configuration IKE sur le hub.
Par exemple, l’ID example.net
IKE peut être configuré sur le hub pour identifier les spokes avec les noms device1.example.net
d’hôte , device2.example.net
et device3.example.net
. Le certificat de chaque rayon doit contenir une identité de nom d’hôte dans le champ d’objet alternatif avec example.net
dans la partie la plus à droite du champ ; par exemple, device1.example.net
. Dans cet exemple, tous les spokes utilisent cette identité de nom d’hôte dans leur charge utile ID IKE. Lors de la négociation IKE, l’ID IKE d’un spoke est utilisé pour correspondre à la partie commune de l’identité IKE homologue configurée sur le hub. Un certificat valide authentifie le rayon.
La partie commune de l’identification du certificat peut être l’une des suivantes :
Un nom d’hôte partiel dans la partie la plus à droite du champ d’objet alternatif du certificat, par exemple
example.net
.Une adresse e-mail partielle dans la partie la plus à droite du champ d’objet alternatif du certificat, par exemple
@example.net
.Une chaîne de conteneur, un ensemble de caractères génériques, ou les deux pour correspondre aux champs d’objet du certificat. Les champs d’objet contiennent des détails sur le titulaire du certificat numérique au format ASN.1 (Abstract Syntax Notation One) au format DN. Les champs peuvent inclure une organisation, une unité organisationnelle, un pays, une localité ou un nom commun.
Pour configurer l’ID IKE d’un groupe afin qu’il corresponde aux champs d’objet dans les certificats, vous pouvez spécifier les types de correspondances d’identité suivants :
Container (Conteneur) : le hub authentifie l’ID IKE du spoke si les champs d’objet du certificat du spoke correspondent exactement aux valeurs configurées sur le hub. Plusieurs entrées peuvent être spécifiées pour chaque champ d’objet (par exemple,
ou=eng,ou=sw
). L’ordre des valeurs dans les champs doit correspondre.Caractère générique : le hub authentifie l’ID IKE du spoke si les champs d’objet du certificat du spoke correspondent aux valeurs configurées sur le hub. La correspondance générique ne prend en charge qu’une seule valeur par champ (par exemple,
ou=eng
maisou=sw
pasou=eng,ou=sw
). L’ordre des champs n’a pas d’importance.
L’exemple suivant configure un ID IKE de groupe avec le nom example.net
d’hôte partiel dans le champ Autre objet du certificat.
[edit] security { ike { policy common-cert-policy { proposals common-ike-proposal; certificate { local-certificate hub-local-certificate; } } gateway common-gateway-to-all-spoke-peer { ike-policy common-cert-policy; dynamic { hostname example.net; ike-user-type group-ike-id; } external-interface fe-0/0/2; } } }
Dans cet exemple, example.net
est la partie commune de l’identification du nom d’hôte utilisée pour tous les rayons. Tous les certificats X.509 sur les spokes doivent contenir une identité de nom d’hôte dans le champ d’objet alternatif avec example.net
dans la partie la plus à droite. Tous les spokes doivent utiliser l’identité du nom d’hôte dans leur charge utile ID IKE.
L’exemple suivant configure un ID IKE de groupe avec des caractères génériques pour qu’il corresponde aux valeurs sales
de l’unité organisationnelle et example
des champs d’objet de l’organisation du certificat.
[edit] security { ike { policy common-cert-policy { proposals common-ike-proposal; certificate { local-certificate hub-local-certificate; } } gateway common-gateway-to-all-spoke-peer { ike-policy common-cert-policy; dynamic { distinguished-name { wildcard ou=sales,o=example; } ike-user-type group-ike-id; } external-interface fe-0/0/2; } } }
Dans cet exemple, les champs ou=sales,o=example
sont la partie commune du champ objet dans les certificats attendus des rayons. Lors de la négociation IKE, si un spoke présente un certificat avec les champs cn=alice,ou=sales,o=example
d’objet dans son certificat, l’authentification réussit et le tunnel est établi. Si un spoke présente un certificat avec les champs cn=thomas,ou=engineer,o=example
d’objet dans son certificat, le certificat est rejeté par le hub car l’unité organisationnelle doit être sales
.
Exclusion d’une connexion spoke
Pour empêcher un spoke particulier de se connecter au hub, le certificat de ce spoke doit être révoqué. Le hub doit récupérer la dernière liste de révocation de certificats (CRL) de l’autorité de certification qui contient le numéro de série du certificat révoqué. Le hub refusera alors une connexion VPN à partir du spoke révoqué. Jusqu’à ce que la dernière CRL soit disponible dans le hub, celui-ci peut continuer à établir un tunnel à partir du spoke révoqué. Pour plus d’informations, reportez-vous à Présentation du protocole d’état des certificats en ligne et des listes de révocation de certificats et Présentation des profils d’autorité de certification.
Voir également
Vue d’ensemble de la configuration d’AutoVPN
Les étapes suivantes décrivent les tâches de base de la configuration d’AutoVPN sur les appareils en étoile. Le hub AutoVPN n’est configuré qu’une seule fois pour tous les rayons actuels et nouveaux.
Pour configurer le hub AutoVPN :
Pour configurer un périphérique spoke AutoVPN SRX Series :
Inscrivez un certificat d’autorité de certification et le certificat local dans l’appareil.
Utilisez la méthode d’authentification basée sur une clé prépartagée, si vous configurez l’authentification par clé prépartagée sur le hub.
Créez une interface st0 et configurez-la en mode point à multipoint.
Configurez une stratégie IKE pour qu’elle corresponde à la stratégie IKE configurée sur le hub.
Configurez une passerelle IKE avec un ID correspondant à l’ID IKE du groupe configuré sur le hub.
Configurez une stratégie IPsec pour qu’elle corresponde à la stratégie IPsec configurée sur le hub.
Configurez un protocole de routage dynamique.
Les exemples répertoriés dans cette rubrique utilisent des pare-feu SRX Series exécutant Junos OS pour les configurations en étoile. Si vos périphériques spoke n’exécutent pas Junos OS, vous devez configurer la liaison de tunnel Next-Hop. Pour plus d’informations, reportez-vous à la section Exemple : Configuration de la configuration VPN multipoint avec liaison de tunnel Next-Hop.
Voir également
Exemple : Configuration de l’AutoVPN de base avec iBGP
Cet exemple montre comment configurer un hub AutoVPN pour qu’il agisse comme un point de terminaison unique, puis configurer deux rayons pour qu’ils agissent comme des tunnels vers des sites distants. Cet exemple configure iBGP pour transférer les paquets via les tunnels VPN et utilise l’authentification par certificat.
Pour l’authentification avec une clé prépartagée, reportez-vous à l’étape « Configurer les options de la phase 1 » dans le hub pour configurer le Procédure étape par étape hub, spoke1 pour configurer le spoke1 et le spoke2 pour configurer le Procédure étape par étape spoke2.Procédure étape par étape
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois pare-feu SRX Series pris en charge comme concentrateur et rayons AutoVPN
-
Junos OS version 12.1X44-D10 et ultérieures avec AutoVPN
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN. Pour plus d’informations sur les exigences spécifiques à un protocole de routage dynamique, consultez la présentation des protocoles de routage.
Présentation
Cet exemple montre la configuration d’un concentrateur AutoVPN et les configurations ultérieures de deux rayons.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats des rayons contiennent la valeur de l’unité organisationnelle (UO) « SLT » dans le champ objet ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO.
Les rayons établissent des connexions VPN IPsec au hub, ce qui leur permet de communiquer entre eux et d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et tous les rayons doivent avoir les mêmes valeurs. Tableau 3 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
2 |
Algorithme d’authentification |
SHA-1 |
Algorithme de chiffrement |
AES 128 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Algorithme d’authentification |
HMAC MD5 96 |
Algorithme de chiffrement |
DES CBC |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
14 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Junos OS ne prend en charge qu’un seul niveau de hiérarchie de certificats.
Tableau 4 Affiche les options configurées sur le moyeu et sur tous les rayons.
Option |
Centre |
Tous les rayons |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
Dynamique |
1 0.1.1.1 |
ID IKE distant |
Nom distinctif (DN) sur le certificat du rayon avec la chaîne |
DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
GE-0/0/1.0 |
Rayon 1 : FE-0/0/1.0 Rayon 2 : GE-0/0/1.0 |
VPN: |
||
Lier l’interface |
st0.0 |
st0.0 |
Établir des tunnels |
(non configuré) |
Immédiatement après la validation de la configuration |
Tableau 5 Affiche les options de configuration qui sont différentes sur chaque rayon.
Option |
Rayon 1 |
Rayon 2 |
---|---|---|
Interface ST0.0 |
10.10.10.2/24 |
10.10.10.3/24 |
Interface avec le réseau interne |
(fe-0.0/4.0) 1 0.60.60.1/24 |
(fe-0.0/4.0) 1 0.70.70.1/24 |
Interface avec Internet |
(fe-0/0/1.0) 10.2.2.1/30 |
(GE-0/0/1.0) 10.3.3.1/30 |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 1 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile. Ignorez cette étape si vous utilisez des PSK.
- Inscrire des certificats d’équipement auprès de SCEP
- Configuration du Hub
- Configuration de Spoke 1
- Configuration de Spoke 2
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le spoke 2 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.1 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp cluster 10.2.3.4 set protocols bgp group ibgp peer-as 65010 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement bgp_nh_self term 1 from protocol bgp set policy-options policy-statement bgp_nh_self term 1 then next-hop self set policy-options policy-statement bgp_nh_self term 1 then accept set protocols bgp group ibgp export bgp_nh_self set protocols bgp group ibgp allow 10.10.10.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.1.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement bgp_nh_self term 1 from protocol bgp user@host# set policy-statement bgp_nh_self term 1 then next-hop self user@host# set policy-statement bgp_nh_self term 1 then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.1 user@host# set group ibgp export lan_nw user@host# set group ibgp cluster 10.2.3.4 user@host# set group ibgp peer-as 65010 user@host# set group ibgp allow 10.10.10.0/24 user@host# set group ibgp export bgp_nh_self [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.1.2 user@host# set autonomous-system 65010
-
Configurez les options de la phase 1.
Si vous avez l’intention d’utiliser des clés prépartagées au lieu de certificats pour l’authentification, apportez les modifications suivantes à votre configuration :
Dans la proposition ike, au niveau de la hiérarchie [
edit security ike proposal ike-proposal
], remplacez parauthentication-method rsa-signatures
.authentication-method pre-shared-keys
Pour plus d’informations sur les options, consultez proposition (IKE de sécurité).
Dans la stratégie ike, au niveau de la hiérarchie [
edit security ike policy policy-name
], remplacezcertificate local-certificate Local1
par .pre-shared-key ascii-text key
Par exemple,
set pre-shared-key ascii-text juniper123
Pour plus d’informations sur les options, consultez stratégie (IKE de sécurité).
Dans la passerelle ike, au niveau de la hiérarchie [
edit security ike gateway hub-to-spoke-gw
],Remplacez-le par le
dynamic distinguished-name wildcard OU=SLT
dynamic hostname domain-name
fichier .Par exemple,
set dynamic hostname juniper.net
Assurez-vous que votre appareil est capable de résoudre le nom d’hôte. Vous pouvez également utiliser
set dynamic general-ikeid
andset dynamic ike-user-type group-ike-id
pour l’identité dynamique des étoiles.
Remplacez-le par le
local-identity distinguished-name
local-identity hostname hub-hostname
fichier .Par exemple,
set local-identity hostname hub.juniper.net
.Assurez-vous que votre appareil est capable de résoudre le nom d’hôte. Vous pouvez également utiliser
inet ip-address
comme dansset local-identity inet 192.168.1.100
.
Pour plus d’informations sur les options, consultez Passerelle (IKE de sécurité).
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification. Ignorez cette étape si vous utilisez des PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } } [edit] user@host# show policy-options policy-statement bgp_nh_self { term 1 { from protocol bgp; then { next-hop self; accept; } } } policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; peer-as 65010; allow 10.10.10.0/24; export bgp_nh_self; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.1.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway hub-to-spoke-gw { ike-policy ike-policy1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn { bind-interface st0.0; ike { gateway hub-to-spoke-gw; ipsec-policy vpn-policy1; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.2 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.2 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set autonomous-system 10
-
Configurez les options de la phase 1.
Si vous avez l’intention d’utiliser des clés prépartagées au lieu de certificats pour l’authentification, apportez les modifications suivantes à votre configuration.
Dans la proposition ike, au niveau de la hiérarchie [
edit security ike proposal ike-proposal
], remplacez parauthentication-method rsa-signatures
.authentication-method pre-shared-keys
Dans la stratégie ike, au niveau de la hiérarchie [
edit security ike policy policy-name
], remplacezcertificate local-certificate Local1
par .pre-shared-key ascii-text key
Dans la passerelle ike, au niveau de la hiérarchie [
edit security ike gateway hub-to-spoke-gw
],Remplacez-le par le
local-identity distinguished-name
local-identity hostname spoke1-hostname
fichier .Par exemple,
set local-identity hostname spoke1.juniper.net
.
Remplacez-le par le
remote-identity distinguished-name
remote-identity hostname hub-hostname
fichier .Par exemple,
set remote-identity hostname hub.juniper.net
Assurez-vous que votre appareil est capable de résoudre le nom d’hôte. Vous pouvez également utiliser
inet ip-address
comme dansset local-identity inet 172.16.1.100
etset remote-identity inet 192.168.1.100
.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification. Ignorez cette étape si vous utilisez des PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.2/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.3 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 10.1.1.0/30 next-hop 10.3.3.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 2 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.3 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.3.3.2 user@host# set autonomous-system 10
-
Configurez les options de la phase 1.
Si vous avez l’intention d’utiliser des clés prépartagées au lieu de certificats pour l’authentification, apportez les modifications suivantes à votre configuration.
Dans la proposition ike, au niveau de la hiérarchie [
edit security ike proposal ike-proposal
], remplacez parauthentication-method rsa-signatures
.authentication-method pre-shared-keys
Dans la stratégie ike, au niveau de la hiérarchie [
edit security ike policy policy-name
], remplacezcertificate local-certificate Local1
par .pre-shared-key ascii-text key
Dans la passerelle ike, au niveau de la hiérarchie [
edit security ike gateway hub-to-spoke-gw
],Remplacez-le par le
local-identity distinguished-name
local-identity hostname spoke2-hostname
fichier .Par exemple,
set local-identity hostname spoke2.juniper.net
Remplacez-le par le
remote-identity distinguished-name
remote-identity hostname hub-hostname
fichier .Par exemple,
set remote-identity hostname hub.juniper.net
Assurez-vous que votre appareil est capable de résoudre le nom d’hôte. Vous pouvez également utiliser
inet ip-address
comme dansset local-identity inet 10.0.1.100
etset remote-identity inet 192.168.1.100
.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification. Ignorez cette étape si vous utilisez des PSK.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.70.70.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.3/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp { type internal; local-address 10.10.10.3; export lan_nw; neighbor 10.10.10.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.3.3.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1
- Vérification de l’état IPsec Phase 2
- Vérification des tunnels IPsec Next-Hop
- Vérification de BGP
- Vérification des itinéraires appris
Vérification de l’état IKE Phase 1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480163 UP a558717f387074ab 6d0135c5ecaed61d Main 10.3.3.1 5480162 UP 7a63d16a5a723df1 c471f7ae166d3a34 Main 10.2.2.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et les rayons.
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
À partir du mode opérationnel, entrez la security ipsec security-associations commande.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 9bf33bc7 3567/ unlim - root 500 10.2.2.1 >268173400 ESP:des/ md5 aae5196b 3567/ unlim - root 500 10.2.2.1 <268173401 ESP:des/ md5 69c24d81 622/ unlim - root 500 10.3.3.1 >268173401 ESP:des/ md5 e3fe0231 622/ unlim - root 500 10.3.3.1
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et les rayons.
Vérification des tunnels IPsec Next-Hop
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces des rayons. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification de BGP
But
Vérifiez que BGP fait référence aux adresses st0
IP des interfaces des spokes.
Action
À partir du mode opérationnel, entrez la show bgp summary commande.
user@host> show bgp summary Groups: 1 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 10 116 119 0 0 50:25 1/1/1/0 0/0/0/0 10.10.10.3 10 114 114 0 0 50:04 1/1/1/0 0/0/0/0
Vérification des itinéraires appris
But
Vérifiez que les chemins vers les rayons ont été appris.
Action
À partir du mode opérationnel, entrez la show route 10.60.60.0 commande.
user@host> show route 10.60.60.0 inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.60.60.0/24 *[BGP/170] 00:50:57, localpref 100 AS path: I > to 10.10.10.2 via st0.0
À partir du mode opérationnel, entrez la show route 10.70.70.0 commande.
user@host> show route 10.70.70.0 inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.70.70.0/24 *[BGP/170] 00:50:42, localpref 100 AS path: I > to 10.10.10.3 via st0.0
Exemple : Configuration d’AutoVPN de base avec iBGP pour le trafic IPv6
Cet exemple montre comment configurer un hub AutoVPN pour qu’il agisse comme un point de terminaison unique, puis configurer deux rayons pour qu’ils agissent comme des tunnels vers des sites distants. Cet exemple configure AutoVPN pour l’environnement IPv6 à l’aide d’iBGP pour transférer les paquets via les tunnels VPN à l’aide de l’authentification basée sur les certificats. Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois pare-feu SRX Series pris en charge en tant que concentrateur et rayons AutoVPN.
-
Junos OS version 18.1R1 et versions ultérieures.
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN. Pour plus d’informations sur les exigences spécifiques à un protocole de routage dynamique, consultez la présentation des protocoles de routage.
Présentation
Cet exemple montre la configuration d’un hub AutoVPN et les configurations ultérieures de deux rayons.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats des rayons contiennent la valeur de l’unité organisationnelle (UO) « SLT » dans le champ objet ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO.
Les rayons établissent des connexions VPN IPsec au hub, ce qui leur permet de communiquer entre eux et d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et tous les rayons doivent avoir les mêmes valeurs. Tableau 6 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
19 |
Algorithme d’authentification |
SHA-384 |
Algorithme de chiffrement |
AES 256 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Secondes à vie |
3000 |
Algorithme de chiffrement |
AES 256 GCM |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
19 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Junos OS ne prend en charge qu’un seul niveau de hiérarchie de certificats.
Tableau 7 Affiche les options configurées sur le moyeu et sur tous les rayons.
Option |
Centre |
Tous les rayons |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
Dynamique |
2001 :db8 :2000 ::1 |
ID IKE distant |
Nom distinctif (DN) sur le certificat du rayon avec la chaîne |
DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
ge-0/0/0 |
Rayon 1 : GE-0/0/0.0 Rayon 2 : GE-0/0/0.0 |
VPN: |
||
Lier l’interface |
st0.1 |
st0.1 |
Établir des tunnels |
(non configuré) |
établissement de tunnels sur le trafic |
Tableau 8 Affiche les options de configuration qui sont différentes sur chaque rayon.
Option |
Rayon 1 |
Rayon 2 |
---|---|---|
Interface ST0.0 |
2001 :db8 :7000 ::2/64 |
2001 :db8 :7000 ::3/64 |
Interface avec le réseau interne |
(GE-0/0/1.0) 2001 :DB8 :4000 ::1/64 |
(GE-0/0/1.0) 2001 :DB8 :6000 ::1/64 |
Interface avec Internet |
(GE-0/0/0.0) 2001 :DB8 :3000 ::2/64 |
(GE-0/0/0.0) 2001 :db8 :5000 ::2/64 |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 2 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile.
- Inscrire des certificats d’équipement auprès de SCEP
- Configuration du Hub
- Configuration de Spoke 1
- Configuration de Spoke 2
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le spoke 2 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 set routing-options autonomous-system 100 set routing-options forwarding-table export load_balance set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::1 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp cluster 10.1.3.4 set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp multipath set protocols bgp group ibgp allow 2001:db8:9000::/64 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept set policy-options policy-statement load_balance then load-balance per-packet
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::1 user@host# set group ibgp export ibgp user@host# set group ibgp cluster 10.1.3.4 user@host# set group ibgp peer-as 100 user@host# set group ibgp multipath user@host# set group ibgp allow 2001:db8:9000::/64 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 user@host# set autonomous-system 100 user@host# set forwarding-table export load_balance
-
Configurez les options de la phase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:2000::1/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1000::2/64; } } } st0 { unit 1{ multipoint; family inet6 { address 2001:db8:7000::1/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } policy-statement load_balance { then { load-balance per-packet; } } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::1; export ibgp; cluster 10.1.3.4; peer-as 100; multipath; allow 2001:db8:9000::/64; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:3000::/64 next-hop 2001:db8:2000::2; route 2001:db8:5000::/64 next-hop 2001:db8:2000::2; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::2 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::2 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 user@host# set autonomous-system 100
-
Configurez les options de la phase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1{ family inet6 { address 2001:db8:7000::2/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::2; export ibgp; peer-as 100; neighbor 2001:db8:9000::1; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:2000::/64 next-hop 2001:db8:3000::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GWA_SPOKE1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GWA_SPOKE_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::3 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 2 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::3 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 user@host# set autonomous-system 100
-
Configurez les options de la phase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1{ family inet6 { address 2001:db8:7000::3/64; } } } [edit] user@host# show policy-options policy-statement ibgp { from interface ge-0/0/1.0; then accept; } [edit] user@host# show protocols bgp { traceoptions { file bgp; flag all; } group ibgp { type internal; local-address 2001:db8:9000::3; export ibgp; peer-as 100; neighbor 2001:db8:9000::1; } } [edit] user@host# show routing-options rib inet6.0 { static { route route 2001:db8:2000::/64 next-hop 2001:db8:5000::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GWA_SPOKE2 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GWA_SPOKE_2; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE
- Vérification de l’état IPsec
- Vérification des tunnels IPsec Next-Hop
- Vérification de BGP
Vérification de l’état IKE
But
Vérifiez l’état IKE.
Action
À partir du mode opérationnel, entrez la show security ike sa commande.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Sens
La show security ike sa
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et les rayons.
Vérification de l’état IPsec
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec sa commande.
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Sens
La show security ipsec sa
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et les rayons.
Vérification des tunnels IPsec Next-Hop
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces des rayons. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification de BGP
But
Vérifiez que BGP fait référence aux adresses st0
IP des interfaces des spokes.
Action
À partir du mode opérationnel, entrez la show bgp summary commande.
user@host> show bgp summary Groups: 1 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet6.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State 2001:db8:9000::2 100 4 4 0 0 32 Establ inet6.0: 1/1/1/0 2001:db8:9000::3 100 4 4 0 0 8 Establ inet6.0: 1/1/1/0
Exemple : Configuration d’AutoVPN avec iBGP et ECMP
Cet exemple montre comment configurer deux tunnels VPN IPsec entre un concentrateur AutoVPN en étoile. Cet exemple configure iBGP avec ECMP (Equal-cost Multipath) pour transférer les paquets via les tunnels VPN à l’aide de l’authentification par certificat. Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Deux pare-feu SRX Series pris en charge en tant que hub AutoVPN en étoile
-
Junos OS version 12.1X44-D10 et ultérieures avec AutoVPN
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN.
Présentation
Cet exemple montre la configuration d’un concentrateur AutoVPN et d’un spoke avec deux tunnels VPN IPsec.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats sont inscrits dans le hub et dans le spoke pour chaque tunnel VPN IPsec. L’un des certificats du rayon contient la valeur de l’unité organisationnelle (OU) « SLT » dans le nom distinctif (DN) ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO. L’autre certificat pour le rayon contient la valeur d’unité d’organisation « SBU » dans le DN ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SBU » dans le champ UO.
Le spoke établit des connexions VPN IPsec au hub, ce qui lui permet d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et le spoke doivent avoir les mêmes valeurs.Tableau 9 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
2 |
Algorithme d’authentification |
SHA-1 |
Algorithme de chiffrement |
AES 128 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Algorithme d’authentification |
HMAC MD5 96 |
Algorithme de chiffrement |
DES CBC |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
14 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Junos OS ne prend en charge qu’un seul niveau de hiérarchie de certificats.
Tableau 10 Affiche les options configurées sur le moyeu et sur le spoke.
Option |
Centre |
Rayon 1 |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
moyeu à spoke-gw-1 : Dynamique Du moyeu aux rayons GW-2 : Dynamique |
Spoke-to-Hub-GW-1 : 1 0.1.1.1 Spoke-to-Hub-GW-2 : 10.1.2.1 |
ID IKE distant |
moyeu à spoke-gw-1 : DN sur le certificat du spoke avec la chaîne Du moyeu aux rayons GW-2 : DN sur le certificat du spoke avec la chaîne |
Spoke-to-Hub-GW-1 : DN sur le certificat du hub Spoke-to-Hub-GW-2 : DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
moyeu à spoke-gw-1 : GE-0/0/1.0 Du moyeu aux rayons GW-2 : GE-0/0/2.0 |
Spoke-to-Hub-GW-1 : FE-0/0/1.0 Spoke-to-Hub-GW-2 : FE-0/0/2.0 |
VPN: |
||
Lier l’interface |
hub-to-spoke-vpn-1 : st0.0 hub-à-spoke-vpn-2 : st0.1 |
Spoke-to-Hub-1 : st0.0 Spoke-to-Hub-2 : st0.1 |
Établir des tunnels |
(non configuré) |
Immédiatement après la validation de la configuration |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 3 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile.
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés pour chaque certificat.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscrivez les certificats locaux.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 10.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez les certificats locaux.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bengaluru, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 10.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés pour chaque certificat.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscrivez les certificats locaux.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez les certificats locaux.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
pour la section locale1 etSBU
pour la section locale 2. Les configurations IKE sur le hub incluentOU=SLT
etOU=SBU
pour identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement load_balance then load-balance per-packet set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 10.2.3.4 set protocols bgp group ibgp-1 multipath set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 10.2.3.5 set protocols bgp group ibgp-2 multipath set protocols bgp group ibgp-2 allow 10.20.20.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.2.2 set routing-options autonomous-system 65010 set routing-options forwarding-table export load_balance set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 10.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.20.20.1/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 10.2.3.4 user@host# set group ibgp-1 multipath user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 10.2.3.5 user@host# set group ibgp-2 multipath user@host# set group ibgp-2 allow 10.20.20.0/24 [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.2.2 user@host# set autonomous-system 65010 user@host# set forwarding-table export load_balance
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/2 { unit 0 { family inet { address 10.1.2.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } unit 1 { multipoint; family inet { address 10.20.20.1/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } policy-statement load_balance { then { load-balance per-packet; } } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; multipath; allow 10.10.10.0/24; } group ibgp-2 { type internal; local-address 10.20.20.1; export lan_nw; cluster 10.2.3.5; multipath; allow 10.20.20.0/24; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.2.2; } autonomous-system 65010; forwarding-table { export load_balance; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway hub-to-spoke-gw-1 { ike-policy ike-policy-1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } gateway hub-to-spoke-gw-2 { ike-policy ike-policy-2; dynamic { distinguished-name { wildcard OU=SBU; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/2.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn-1 { bind-interface st0.0; ike { gateway hub-to-spoke-gw-1; ipsec-policy vpn-policy; } } vpn hub-to-spoke-vpn-2 { bind-interface st0.1; ike { gateway hub-to-spoke-gw-2; ipsec-policy vpn-policy; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; ge-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 10.20.20.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.2 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 neighbor 10.20.20.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options static route 10.1.2.0/30 next-hop 10.3.3.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 10.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 10.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 10.20.20.2/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.2 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 neighbor 10.20.20.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set static route 10.1.2.0/30 next-hop 10.3.3.2 user@host# set autonomous-system 65010
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 10.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/2 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { family inet { address 10.10.10.2/24; } } unit 1 { family inet { address 10.20.20.2/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } group ibgp-2 { type internal; local-address 10.20.20.2; export lan_nw; neighbor 10.20.20.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; route 10.1.2.0/30 next-hop 10.3.3.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway spoke-to-hub-gw-1 { ike-policy ike-policy-1; address 1o.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } gateway spoke-to-hub-gw-2 { ike-policy ike-policy-2; address 1o.1.2.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/2.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub-1 { bind-interface st0.0; ike { gateway spoke-to-hub-gw-1; ipsec-policy vpn-policy; } establish-tunnels immediately; } vpn spoke-to-hub-2 { bind-interface st0.1; ike { gateway spoke-to-hub-gw-2; ipsec-policy vpn-policy; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; fe-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1
- Vérification de l’état IPsec Phase 2
- Vérification des tunnels IPsec Next-Hop
- Vérification de BGP
- Vérification des itinéraires appris
- Vérification de l’installation d’un itinéraire dans la table de transfert
Vérification de l’état IKE Phase 1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733049 UP bc9686796c2e52e9 1fbe46eee168f24e Main 10.2.2.1 3733048 UP a88db7ed23ec5f6b c88b81dff52617a5 Main 10.3.3.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et l’étoile.
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
À partir du mode opérationnel, entrez la security ipsec security-associations commande.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173315 ESP:des/ md5 93cfb417 1152/ unlim - root 500 10.2.2.1 >268173315 ESP:des/ md5 101de6f7 1152/ unlim - root 500 10.2.2.1 <268173313 ESP:des/ md5 272e29c0 1320/ unlim - root 500 10.3.3.1 >268173313 ESP:des/ md5 a3bf8fad 1320/ unlim - root 500 10.3.3.1
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et l’étoile.
Vérification des tunnels IPsec Next-Hop
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces des rayons. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification de BGP
But
Vérifiez que BGP fait référence aux adresses st0
IP des interfaces du spoke.
Action
À partir du mode opérationnel, entrez la show bgp summary commande.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 65010 4819 4820 0 2 1d 12:15:14 1/1/1/0 0/0/0/0 10.20.20.2 65010 4926 4928 0 0 1d 13:03:03 1/1/1/0 0/0/0/0
Vérification des itinéraires appris
But
Vérifiez que les itinéraires vers le rayon ont été appris.
Action
À partir du mode opérationnel, entrez la show route 10.60.60.0 detail commande.
user@host> show route 10.60.60.0 detail inet.0: 47 destinations, 48 routes (46 active, 0 holddown, 1 hidden) 10.60.60.0/24 (2 entries, 1 announced) *BGP Preference: 170/-101 Next hop type: Indirect Address: 0x167407c Next-hop reference count: 3 Source: 10.10.10.2 Next hop type: Router Next hop: 10.10.10.2 via st0.0 Next hop type: Router Next hop: 10.20.20.2 via st0.1, selected Protocol next hop: 10.10.10.2 Indirect next hop: 15c8000 262142 Protocol next hop: 10.20.20.2 Indirect next hop: 15c80e8 262143 State: <Act Int Ext> Local AS: 65010 Peer AS: 65010 Age: 1d 12:16:25 Metric2: 0 Task: BGP_10.10.10.10.2+53120 Announcement bits (2): 0-KRT 3-Resolve tree 1 AS path: I Accepted Multipath Localpref: 100 Router ID: 10.207.36.182 BGP Preference: 170/-101 Next hop type: Indirect Address: 0x15b8ac0 Next-hop reference count: 1 Source: 10.20.20.2 Next hop type: Router Next hop: 10.20.20.2 via st0.1, selected Protocol next hop: 10.20.20.2 Indirect next hop: 15c80e8 262143 State: <NotBest Int Ext> Inactive reason: Not Best in its group - Update source Local AS: 65010 Peer AS: 65010 Age: 1d 13:04:14 Metric2: 0 Task: BGP_10.20.20.20.2+50733 AS path: I Accepted MultipathContrib Localpref: 100 Router ID: 10.207.36.182
Vérification de l’installation d’un itinéraire dans la table de transfert
But
Vérifiez que les routes vers le spoke ont été installées dans la table de transfert.
Action
À partir du mode opérationnel, entrez la show route forwarding-table matching 10.60.60.0 commande.
user@host> show route forwarding-table matching 60.60.60.0 Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif 10.60.60.0/24 user 0 ulst 262144 1 indr 262142 2 10.10.10.2 ucst 572 3 st0.0 indr 262143 2 10.20.20.2 ucst 573 3 st0.1
Exemple : Configuration d’AutoVPN avec des tunnels iBGP et Active-Backup
Cet exemple montre comment configurer des tunnels VPN IPsec actifs et de secours entre un hub AutoVPN et un réseau en étoile. Cet exemple configure iBGP pour transférer le trafic via les tunnels VPN à l’aide de l’authentification basée sur les certificats . Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Deux pare-feu SRX Series pris en charge en tant que hub AutoVPN en étoile
-
Junos OS version 12.1X44-D10 et ultérieures avec AutoVPN
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN.
Présentation
Cet exemple montre la configuration d’un concentrateur AutoVPN et d’un spoke avec deux tunnels VPN IPsec.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats sont inscrits dans le hub et dans le spoke pour chaque tunnel VPN IPsec. L’un des certificats du rayon contient la valeur de l’unité organisationnelle (OU) « SLT » dans le nom distinctif (DN) ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO. L’autre certificat pour le rayon contient la valeur d’unité d’organisation « SBU » dans le DN ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SBU » dans le champ UO.
Le spoke établit des connexions VPN IPsec au hub, ce qui lui permet d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et le spoke doivent avoir les mêmes valeurs. Tableau 11 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
2 |
Algorithme d’authentification |
SHA-1 |
Algorithme de chiffrement |
AES 128 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Algorithme d’authentification |
HMAC MD5 96 |
Algorithme de chiffrement |
DES CBC |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
14 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Junos OS ne prend en charge qu’un seul niveau de hiérarchie de certificats.
Tableau 12 Affiche les options configurées sur le moyeu et sur le spoke.
Option |
Centre |
Rayon 1 |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
moyeu à spoke-gw-1 : Dynamique Du moyeu aux rayons GW-2 : Dynamique |
Spoke-to-Hub-GW-1 : 1 0.1.1.1 Spoke-to-Hub-GW-2 : 1 0.1.2.1 |
ID IKE distant |
moyeu à spoke-gw-1 : DN sur le certificat du spoke avec la chaîne Du moyeu aux rayons GW-2 : DN sur le certificat du spoke avec la chaîne |
Spoke-to-Hub-GW-1 : DN sur le certificat du hub Spoke-to-Hub-GW-2 : DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
moyeu à spoke-gw-1 : GE-0/0/1.0 Du moyeu aux rayons GW-2 : GE-0/0/2.0 |
Spoke-to-Hub-GW-1 : FE-0/0/1.0 Spoke-to-Hub-GW-2 : FE-0/0/2.0 |
VPN: |
||
Lier l’interface |
hub-to-spoke-vpn-1 : st0.0 hub-à-spoke-vpn-2 : st0.1 |
Spoke-to-Hub-1 : st0.0 Spoke-to-Hub-2 : st0.1 |
Moniteur VPN |
hub-to-spoke-vpn-1 : GE-0/0/1.0 (interface source) hub-à-spoke-vpn-2 : GE-0/0/2.0 (interface source) |
Spoke-to-Hub-1 : 1 0.1.1.1 (adresse IP de destination) Spoke-to-Hub-2 : 1 0.1.2.1 (adresse IP de destination) |
Établir des tunnels |
(non configuré) |
Immédiatement après la validation de la configuration |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 4 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Dans cet exemple, deux tunnels VPN IPsec sont établis entre le hub and spoke 1. Les informations de routage sont échangées via des sessions iBGP dans chaque tunnel. La correspondance de préfixe la plus longue pour la route vers 10.60.60.0/24 se fait via l’interface st0.0 sur le hub. Ainsi, le tunnel principal de l’itinéraire passe par les interfaces st0.0 sur le hub and spoke 1. L’itinéraire par défaut passe par le tunnel de secours sur les interfaces st0.1 du hub and spoke 1.
La surveillance VPN vérifie l’état des tunnels. S’il y a un problème avec le tunnel principal (par exemple, la passerelle de tunnel distante n’est pas accessible), l’état du tunnel passe à inactif et les données destinées à la version 10.60.60.0/24 sont réacheminées via le tunnel de sauvegarde.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile.
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés pour chaque certificat.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscrivez les certificats locaux.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 10.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez les certificats locaux.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bengaluru, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 10.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés pour chaque certificat.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
-
Inscrivez les certificats locaux.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez les certificats locaux.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
pour la section locale1 etSBU
pour la section locale 2. Les configurations IKE sur le hub incluentOU=SLT
etOU=SBU
pour identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 10.2.3.4 set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 10.2.3.5 set protocols bgp group ibgp-2 allow 10.20.20.0/24 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.2.2 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 vpn-monitor source-interface ge-0/0/1.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 vpn-monitor source-interface ge-0/0/2.0 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 10.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.20.20.1/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 10.2.3.4 user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 10.2.3.5 user@host# set group ibgp-2 allow 10.20.20.0/24 [edit routing-options] user@host# set static route 10.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 10.3.3.0/30 next-hop 10.1.2.2 user@host# set autonomous-system 65010
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
-
Configurez les options de la phase 2.
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor source-interface ge-0/0/1.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor source-interface ge-0/0/2.0 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/2 { unit 0 { family inet { address 10.1.2.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } unit 1 { multipoint; family inet { address 10.20.20.1/24; } } } [edit] user@host# show policy-options policy-statement lan_nw { from interface ge-0/0/3.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.1; export lan_nw; cluster 10.2.3.4; allow 10.10.10.0/24; } group ibgp-2 { type internal; local-address 10.20.20.1; export lan_nw; cluster 10.2.3.5; allow 10.20.20.0/24; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.2.2; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway hub-to-spoke-gw-1 { ike-policy ike-policy-1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } gateway hub-to-spoke-gw-2 { ike-policy ike-policy-2; dynamic { distinguished-name { wildcard OU=SBU; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/2.0; } [edit] user@host# show security ipsec vpn-monitor-options { interval 5; threshold 2; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn-1 { bind-interface st0.0; vpn-monitor { source-interface ge-0/0/1.0; } ike { gateway hub-to-spoke-gw-1; ipsec-policy vpn-policy; } } vpn hub-to-spoke-vpn-2 { bind-interface st0.1; vpn-monitor { source-interface ge-0/0/2.0; } ike { gateway hub-to-spoke-gw-2; ipsec-policy vpn-policy; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; ge-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 10.20.20.2/24 set policy-options policy-statement default_route from protocol static set policy-options policy-statement default_route from route-filter 0.0.0.0/0 exact set policy-options policy-statement default_route then accept set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 10.20.20.2 set protocols bgp group ibgp-2 export default_route set protocols bgp group ibgp-2 neighbor 10.20.20.1 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set routing-options static route 10.1.2.0/30 next-hop 10.3.3.2 set routing-options static route 0.0.0.0/0 next-hop st0.1 set routing-options autonomous-system 65010 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 10.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 10.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 vpn-monitor destination-ip 10.1.1.1 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 vpn-monitor destination-ip 10.1.2.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 10.20.20.2/24
-
Configurez le protocole de routage.
[edit policy-options] user@host# set policy-statement default_route from protocol static user@host# set policy-statement default_route from route-filter 0.0.0.0/0 exact user@host# set policy-statement default_route then accept user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 10.20.20.2 user@host# set group ibgp-2 export default_route user@host# set group ibgp-2 neighbor 10.20.20.1 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2 user@host# set static route 10.1.2.0/30 next-hop 10.3.3.2 user@host# set static route 0.0.0.0/0 next-hop st0.1 user@host# set autonomous-system 65010
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 10.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
-
Configurez les options de la phase 2.
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor destination-ip 10.1.1.1 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor destination-ip 10.1.2.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , show security ipsec
show security zones
show security pki
show policy-options
show routing-options
show security ike
show security policies
show protocols
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/2 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { family inet { address 10.10.10.2/24; } } unit 1 { family inet { address 10.20.20.2/24; } } } [edit] user@host# show policy-options policy-statement default_route { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } policy-statement lan_nw { from interface fe-0/0/4.0; then accept; } [edit] user@host# show protocols bgp { group ibgp-1 { type internal; local-address 10.10.10.2; export lan_nw; neighbor 10.10.10.1; } group ibgp-2 { type internal; local-address 10.20.20.2; export default_route; neighbor 10.20.20.1; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; route 10.1.2.0/30 next-hop 10.3.3.2; route 0.0.0.0/0 next-hop st0.1; } autonomous-system 65010; [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } policy ike-policy-2 { mode main; proposals ike-proposal; certificate { local-certificate Local2; } } gateway spoke-to-hub-gw-1 { ike-policy ike-policy-1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } gateway spoke-to-hub-gw-2 { ike-policy ike-policy-2; address 10.1.2.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/2.0; } [edit] user@host# show security ipsec vpn-monitor-options { interval 5; threshold 2; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub-1 { bind-interface st0.0; vpn-monitor { destination-ip 10.1.1.1; } ike { gateway spoke-to-hub-gw-1; ipsec-policy vpn-policy; } establish-tunnels immediately; } vpn spoke-to-hub-2 { bind-interface st0.1; vpn-monitor { destination-ip 10.1.2.1; } ike { gateway spoke-to-hub-gw-2; ipsec-policy vpn-policy; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; fe-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1 (les deux tunnels sont opérationnels)
- Vérification de l’état IPsec Phase 2 (les deux tunnels sont opérationnels)
- Vérification des tunnels IPsec next-hop (les deux tunnels sont actifs)
- Vérification du BGP (les deux tunnels sont opérationnels)
- Vérification des routes apprises (les deux tunnels sont opérationnels)
- Vérification de l’état de la phase 1 de l’IKE (le tunnel principal est en panne)
- Vérification de l’état IPsec Phase 2 (le tunnel principal est en panne)
- Vérification des tunnels IPsec de saut suivant (le tunnel principal est en panne)
- Vérification de BGP (arrêt du tunnel principal)
- Vérification des routes apprises (le tunnel principal est en panne)
Vérification de l’état IKE Phase 1 (les deux tunnels sont opérationnels)
But
Vérifiez l’état IKE Phase 1 lorsque les deux tunnels VPN IPSec sont opérationnels.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 10.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 10.2.2.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et l’étoile.
Vérification de l’état IPsec Phase 2 (les deux tunnels sont opérationnels)
But
Vérifiez l’état IPsec Phase 2 lorsque les deux tunnels VPN IPsec sont opérationnels.
Action
À partir du mode opérationnel, entrez la security ipsec security-associations commande.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173316 ESP:des/ md5 3cd96946 3555/ unlim U root 500 10.2.2.1 >268173316 ESP:des/ md5 1c09b9b 3555/ unlim U root 500 10.2.2.1 <268173313 ESP:des/ md5 7c6ffca3 3340/ unlim U root 500 10.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3340/ unlim U root 500 10.3.3.1
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et l’étoile.
Vérification des tunnels IPsec next-hop (les deux tunnels sont actifs)
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces du rayon. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification du BGP (les deux tunnels sont opérationnels)
But
Vérifiez que BGP fait référence aux adresses st0
IP des interfaces du spoke lorsque les deux tunnels VPN IPsec sont actifs.
Action
À partir du mode opérationnel, entrez la show bgp summary commande.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 65010 5 6 0 0 54 1/1/1/0 0/0/0/0 10.20.20.2 65010 13 16 0 0 4:29 1/1/1/0 0/0/0/0
Vérification des routes apprises (les deux tunnels sont opérationnels)
But
Vérifiez que les routes vers le spoke ont été apprises lorsque les deux tunnels sont opérationnels. La route vers 1 0.60.60.0/24 passe par l’interface st0.0 et la route par défaut passe par l’interface st0.1.
Action
À partir du mode opérationnel, entrez la show route 10.60.60.0 commande.
user@host> show route 10.60.60.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 60.60.60.0/24 *[BGP/170] 00:01:11, localpref 100 AS path: I > to 10.10.10.2 via st0.0
À partir du mode opérationnel, entrez la show route 0.0.0.0 commande.
user@host> show route 0.0.0.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:04:55, localpref 100 AS path: I > to 10.20.20.2 via st0.1
Vérification de l’état de la phase 1 de l’IKE (le tunnel principal est en panne)
But
Vérifiez l’état IKE Phase 1 lorsque le tunnel principal est inactif.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 10.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 10.2.2.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et l’étoile.
Vérification de l’état IPsec Phase 2 (le tunnel principal est en panne)
But
Vérifiez l’état IPsec Phase 2 lorsque le tunnel principal est inactif.
Action
À partir du mode opérationnel, entrez la security ipsec security-associations commande.
user@host> security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173313 ESP:des/ md5 7c6ffca3 3156/ unlim U root 500 10.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3156/ unlim U root 500 10.3.3.1
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et l’étoile.
Vérification des tunnels IPsec de saut suivant (le tunnel principal est en panne)
But
Vérifiez le tunnel IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces du rayon. Le saut suivant doit être associé au nom VPN IPsec correct, dans ce cas, le tunnel VPN de sauvegarde.
Vérification de BGP (arrêt du tunnel principal)
But
Vérifiez que BGP fait référence aux adresses st0
IP des interfaces du spoke lorsque le tunnel principal est inactif.
Action
À partir du mode opérationnel, entrez la show bgp summary commande.
user@host> show bgp summary Groups: 2 Peers: 1 Down peers: 0 Unconfigured peers: 1 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.20.20.2 10 20 24 0 0 7:24 1/1/1/0 0/0/0/0
Vérification des routes apprises (le tunnel principal est en panne)
But
Vérifiez que les routes vers le spoke ont été apprises lorsque le tunnel principal est hors service. La route vers 1 0.60.60.0/24 et la route par défaut passent par l’interface st0.1.
Action
À partir du mode opérationnel, entrez la show route 10.60.60.0 commande.
user@host> show route 60.60.60.0 inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:07:41, localpref 100 AS path: I > to 10.20.20.2 via st0.1
À partir du mode opérationnel, entrez la show route 0.0.0.0 commande.
user@host> show route 0.0.0.0 inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:07:47, localpref 100 AS path: I > to 10.20.20.2 via st0.1
Exemple : Configuration d’AutoVPN de base avec OSPF
Cet exemple montre comment configurer un hub AutoVPN pour qu’il agisse comme un point de terminaison unique, puis configurer deux rayons pour qu’ils agissent comme des tunnels vers des sites distants. Cet exemple configure OSPF pour transférer les paquets via les tunnels VPN à l’aide de l’authentification basée sur les certificats . Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois pare-feu SRX Series pris en charge comme concentrateur et rayons AutoVPN
-
Junos OS version 12.1X44-D10 et ultérieures avec AutoVPN
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN.
Présentation
Cet exemple montre la configuration d’un concentrateur AutoVPN et les configurations ultérieures de deux rayons.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats des rayons contiennent la valeur de l’unité organisationnelle (UO) « SLT » dans le champ objet ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO.
Les rayons établissent des connexions VPN IPsec au hub, ce qui leur permet de communiquer entre eux et d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et tous les rayons doivent avoir les mêmes valeurs. Tableau 13 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
2 |
Algorithme d’authentification |
SHA-1 |
Algorithme de chiffrement |
AES 128 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Algorithme d’authentification |
HMAC MD5 96 |
Algorithme de chiffrement |
DES CBC |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
14 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Junos OS ne prend en charge qu’un seul niveau de hiérarchie de certificats.
Tableau 14 Affiche les options configurées sur le moyeu et sur tous les rayons.
Option |
Centre |
Tous les rayons |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
Dynamique |
1 0.1.1.1 |
ID IKE distant |
Nom distinctif (DN) sur le certificat du rayon avec la chaîne |
DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
GE-0/0/1.0 |
Rayon 1 : FE-0/0/1.0 Rayon 2 : GE-0/0/1.0 |
VPN: |
||
Lier l’interface |
st0.0 |
st0.0 |
Établir des tunnels |
(non configuré) |
Immédiatement après la validation de la configuration |
Tableau 15 Affiche les options de configuration qui sont différentes sur chaque rayon.
Option |
Rayon 1 |
Rayon 2 |
---|---|---|
Interface ST0.0 |
10.10.10.2/24 |
10.10.10.3/24 |
Interface avec le réseau interne |
fe-0.0/4.0 : 10 0.60.60.1/24 |
fe-0.0/4.0 : 1 0.70.70.1/24 |
Interface avec Internet |
fe-0/0/1.0 : 10.2.2.1/30 |
GE-0/0/1.0 : 10.3.3.1/30 |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 5 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile.
- Inscrire des certificats d’équipement auprès de SCEP
- Configuration du Hub
- Configuration de Spoke 1
- Configuration de Spoke 2
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le spoke 2 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 10.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/3.0 set routing-options static route 10.2.2.0/30 next-hop 10.1.1.2 set routing-options static route 10.3.3.0/30 next-hop 10.1.1.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 10.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
-
Configurez le protocole de routage.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/3.0 [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 10.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 10.1.1.2
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.1/30; } } } ge-0/0/3 { unit 0 { family inet { address 10.50.50.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.1/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/3.0; } } [edit] user@host# show routing-options static { route 10.2.2.0/30 next-hop 10.1.1.2; route 10.3.3.0/30 next-hop 10.1.1.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway hub-to-spoke-gw { ike-policy ike-policy1; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec traceoptions { flag all; } proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn hub-to-spoke-vpn { bind-interface st0.0; ike { gateway hub-to-spoke-gw; ipsec-policy vpn-policy1; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces fe-0/0/1 unit 0 family inet address 10.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 10.1.1.0/30 next-hop 10.2.2.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 10.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
-
Configurez le protocole de routage.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 10.1.1.0/30 next-hop 10.2.2.2
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces fe-0/0/1 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.60.60.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.2/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; neighbor 10.10.10.1; } interface fe-0/0/4.0; } } [edit] user@host# show routing-options static { route 10.1.1.0/30 next-hop 10.2.2.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface fe-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 10.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 10.1.1.1/32 next-hop 10.3.3.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 10.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 2 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 10.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
-
Configurez le protocole de routage.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 10.1.1.1/32 next-hop 10.3.3.2
-
Configurez les options de la phase 1.
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 10.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
-
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.3.3.1/30; } } } fe-0/0/4 { unit 0 { family inet { address 10.70.70.1/24; } } } st0 { unit 0 { multipoint; family inet { address 10.10.10.3/24; } } } [edit] user@host# show protocols ospf { area 0.0.0.0 { interface st0.0 { interface-type p2mp; neighbor 10.10.10.1; } interface fe-0/0/4.0; } } [edit] user@host# show routing-options static { route 10.1.1.1/32 next-hop 10.3.3.2; } [edit] user@host# show security ike proposal ike-proposal { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy1 { mode main; proposals ike-proposal; certificate { local-certificate Local1; } } gateway spoke-to-hub-gw { ike-policy ike-policy1; address 10.1.1.1; local-identity distinguished-name; remote-identity distinguished-name; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm des-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal; } vpn spoke-to-hub { bind-interface st0.0; ike { gateway spoke-to-hub-gw; ipsec-policy vpn-policy1; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/4.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ca-profile1 { ca-identity ca-profile1; enrollment { url http://pc4/certsrv/mscep/mscep.dll; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1
- Vérification de l’état IPsec Phase 2
- Vérification des tunnels IPsec Next-Hop
- Vérification d’OSPF
- Vérification des itinéraires appris
Vérification de l’état IKE Phase 1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480159 UP 22432fb6f7fbc389 412b751f79b45099 Main 10.2.2.1 5480161 UP d455050707bc3eaf b3dde111232270d2 Main 10.3.3.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et les rayons.
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
À partir du mode opérationnel, entrez la security ipsec security-associations commande.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 f38eea12 2954/ unlim - root 500 10.2.2.1 >268173400 ESP:des/ md5 bb48d228 2954/ unlim - root 500 10.2.2.1 <268173401 ESP:des/ md5 bcd1390b 3530/ unlim - root 500 10.3.3.1 >268173401 ESP:des/ md5 77fcf6e2 3530/ unlim - root 500 10.3.3.1
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et les rayons.
Vérification des tunnels IPsec Next-Hop
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces des rayons. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification d’OSPF
But
Vérifiez qu’OSPF fait référence aux adresses st0
IP des interfaces des rayons.
Action
À partir du mode opérationnel, entrez la show ospf neighbor commande.
user@host> show ospf neighbor Address Interface State ID Pri Dead 10.10.10.3 st0.0 Full 10.255.226.179 128 32 10.10.10.2 st0.0 Full 10.207.36.182 128 38
Vérification des itinéraires appris
But
Vérifiez que les chemins vers les rayons ont été appris.
Action
À partir du mode opérationnel, entrez la show route 60.60.60.0 commande.
user@host> show route 10.60.60.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.60.60.0/24 *[OSPF/10] 00:51:13, metric 2 > to 10.10.10.2 via st0.0
À partir du mode opérationnel, entrez la show route 10.70.70.0 commande.
user@host> show route 10.70.70.0 inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.70.70.0/24 *[OSPF/10] 00:51:48, metric 2 > to 10.10.10.3 via st0.0
Exemple : Configuration d’AutoVPN avec OSPFv3 pour le trafic IPv6
Cet exemple montre comment configurer un hub AutoVPN pour qu’il agisse comme un point de terminaison unique, puis configurer deux rayons pour qu’ils agissent comme des tunnels vers des sites distants. Cet exemple configure AutoVPN pour environnement IPv6 à l’aide d’OSPFv3 pour transférer les paquets via les tunnels VPN à l’aide de l’authentification basée sur les certificats . Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Trois pare-feu SRX Series pris en charge en tant que concentrateur et rayons AutoVPN.
-
Junos OS version 18.1R1 et versions ultérieures.
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux.
Vous devez être familiarisé avec le protocole de routage dynamique utilisé pour transférer les paquets à travers les tunnels VPN.
Présentation
Cet exemple montre la configuration d’un AutoVPN avec le protocole de routage OSPFv3 sur le hub et les configurations ultérieures de deux rayons.
Dans cet exemple, la première étape consiste à inscrire des certificats numériques sur chaque appareil à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Les certificats des rayons contiennent la valeur de l’unité organisationnelle (UO) « SLT » dans le champ objet ; le hub est configuré avec un ID IKE de groupe pour correspondre à la valeur « SLT » dans le champ UO.
Les rayons établissent des connexions VPN IPsec au hub, ce qui leur permet de communiquer entre eux et d’accéder aux ressources du hub. Les options de tunnel IKE de phase 1 et de phase 2 configurées sur le hub AutoVPN et tous les rayons doivent avoir les mêmes valeurs. Tableau 16 affiche les options utilisées dans cet exemple.
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Certificats numériques RSA |
Groupe Diffie-Hellman (DH) |
19 |
Algorithme d’authentification |
SHA-384 |
Algorithme de chiffrement |
AES 256 CBC |
Politique IKE : |
|
Mode |
Principal |
Proposition IPsec : |
|
Protocole |
ESP |
Secondes à vie |
3000 |
Algorithme de chiffrement |
AES 256 GCM |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
19 |
La même autorité de certification (CA) est configurée sur tous les appareils.
Tableau 17 Affiche les options configurées sur le moyeu et sur tous les rayons.
Option |
Centre |
Tous les rayons |
---|---|---|
Passerelle IKE : |
||
Adresse IP distante |
Dynamique |
2001 :db8 :2000 ::1 |
ID IKE distant |
Nom distinctif (DN) sur le certificat du rayon avec la chaîne |
DN sur le certificat du hub |
Local IKE ID |
DN sur le certificat du hub |
DN sur le certificat du rayon |
Interface externe |
ge-0/0/0 |
Rayon 1 : GE-0/0/0.0 Rayon 2 : GE-0/0/0.0 |
VPN: |
||
Lier l’interface |
st0.1 |
st0.1 |
Établir des tunnels |
(non configuré) |
Immédiatement après la validation de la configuration |
Tableau 18 Affiche les options de configuration qui sont différentes sur chaque rayon.
Option |
Rayon 1 |
Rayon 2 |
---|---|---|
Interface ST0.1 |
2001 :db8 :7000 ::2/64 |
2001 :db8 :7000 ::3/64 |
Interface avec le réseau interne |
(GE-0/0/1.0) 2001 :DB8 :4000 ::1/64 |
(GE-0/0/1.0) 2001 :DB8 :6000 ::1/64 |
Interface avec Internet |
(GE-0/0/0.0) 2001 :DB8 :3000 ::2/64 |
(GE-0/0/0.0) 2001 :db8 :5000 ::2/64 |
Les informations de routage de tous les appareils sont échangées via les tunnels VPN.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
Topologie
Figure 6 montre les pare-feu SRX Series à configurer pour AutoVPN dans cet exemple.
Configuration
Pour configurer AutoVPN, effectuez les tâches suivantes :
La première section décrit comment obtenir des certificats d’autorité de certification et des certificats locaux en ligne à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) sur les équipements en étoile.
- Inscrire des certificats d’équipement auprès de SCEP
- Configuration du Hub
- Configuration de Spoke 1
- Configuration de Spoke 2
Inscrire des certificats d’équipement auprès de SCEP
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le hub :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2020 09:39 Not after: 11- 6-2021 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le rayon 1 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2020 09:40 Not after: 11- 6-2021 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Procédure étape par étape
Pour inscrire des certificats numériques auprès de SCEP sur le spoke 2 :
-
Configurez l’autorité de certification.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscrivez le certificat d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
-
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Vérifiez le certificat local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2020 10:02 Not after: 11- 6-2021 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
L’unité organisationnelle (UO) indiquée dans le champ objet est
SLT
. La configuration IKE sur le hub permetou=SLT
d’identifier le rayon.
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/l..0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::1 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le hub :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
-
Configurez le protocole de routage.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::1 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::1
-
Configurez les options de la phase 1.
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:2000::1/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1000::2/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::1/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:3000::/64 next-hop 2001:db8::1; route 2001:db8:5000::/64 next-hop 2001:db8::1; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm aes-256-gcm; set lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::2 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 1 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
-
Configurez le protocole de routage.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::2
-
Configurez les options de la phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::2/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GW_SPOKE_1 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_1; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de Spoke 2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le spoke 2 :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
-
Configurez le protocole de routage.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
-
Configurez les options de la phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
-
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
-
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
-
Configurez le profil de l’autorité de certification.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces
commandes , , , , show security policies
show security ike
show routing-options
show security ipsec
show protocols
show security zones
et .show security pki
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:7000::3/64; } } } [edit] user@host# show protocols ospf3 { traceoptions { file ospf; flag all; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike traceoptions { file ik; flag all; } proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GW_SPOKE_2 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; version v1-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_2; ipsec-policy IPSEC_POL; } establish-tunnels on-traffic; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE
- Vérification de l’état IPsec
- Vérification des tunnels IPsec Next-Hop
- Vérification d’OSPFv3
Vérification de l’état IKE
But
Vérifiez l’état IKE.
Action
À partir du mode opérationnel, entrez la show security ike sa commande.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Sens
La show security ike sa
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et les rayons.
Vérification de l’état IPsec
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec sa commande.
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Sens
La show security ipsec sa
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et les rayons.
Vérification des tunnels IPsec Next-Hop
But
Vérifiez les tunnels IPsec next-hop.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Sens
Les passerelles next-hop sont les adresses IP des st0
interfaces des rayons. Le saut suivant doit être associé au nom de VPN IPsec correct.
Vérification d’OSPFv3
But
Vérifiez qu’OSPFv3 fait référence aux adresses IP des st0
interfaces des rayons.
Action
À partir du mode opérationnel, entrez la show ospf3 neighbor detail commande.
Centre:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:2 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:18a1 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:35, adjacent 00:01:31 Hello suppressed 00:01:31 ago 2001:db8:7000:3 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:163c Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:41, adjacent 00:01:37 Hello suppressed 00:01:37 ago
Rayon 1 :
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:1 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:05:38, adjacent 00:05:38 Hello suppressed 00:05:34 ago
Rayon 2 :
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:7000:1 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:04:44, adjacent 00:04:44 Hello suppressed 00:04:40 ago
Exemple : Transfert de trafic via un tunnel AutoVPN à l’aide de sélecteurs de trafic
Cet exemple montre comment configurer des sélecteurs de trafic, au lieu de protocoles de routage dynamique, pour transférer des paquets via un tunnel VPN dans un déploiement AutoVPN. Lorsque des sélecteurs de trafic sont configurés, l’interface du tunnel sécurisé (st0) doit être en mode point à point. Les sélecteurs de trafic sont configurés à la fois sur le concentrateur et sur les appareils en étoile. L’exemple est l’utilisation de l’authentification basée sur les certificats. Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux pare-feu SRX Series connectés et configurés dans un cluster de châssis. Le cluster de châssis est le hub AutoVPN.
Un pare-feu SRX Series configuré en tant que rayon AutoVPN.
Junos OS version 12.3X48-D10 ou ultérieure.
Certificats numériques inscrits dans le hub et les appareils en étoile qui permettent aux appareils de s’authentifier mutuellement.
Avant de commencer :
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux. Reportez-vous à la section Présentation des demandes de certificat locales.
Enregistrez les certificats numériques dans chaque appareil. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux.
Présentation
Dans cet exemple, les sélecteurs de trafic sont configurés sur le réseau en étoile AutoVPN. Seul le trafic conforme au sélecteur de trafic configuré est transféré via le tunnel. Sur le hub, le sélecteur de trafic est configuré avec l’adresse IP locale 192.0.0.0/8 et l’adresse IP distante 172.0.0.0/8. Sur le spoke, le sélecteur de trafic est configuré avec l’adresse IP locale 172.0.0.0/8 et l’adresse IP distante 192.0.0.0/8.
Les adresses IP du sélecteur de trafic configurées sur le spoke peuvent être un sous-ensemble des adresses IP du sélecteur de trafic configurées sur le concentrateur. C’est ce qu’on appelle la correspondance flexible du sélecteur de trafic.
Certaines options de tunnel IKE de phase 1 et de phase 2 configurées sur les concentrateurs et rayons AutoVPN doivent avoir les mêmes valeurs. Tableau 19 affiche les valeurs utilisées dans cet exemple :
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Signatures RSA |
Groupe Diffie-Hellman (DH) |
group5 |
Algorithme d’authentification |
sha-1 |
Algorithme de chiffrement |
AES-256-CBC (en anglais seulement) |
Politique IKE : |
|
Mode |
Principal |
Certificat |
certificat-local |
Passerelle IKE : |
|
Dynamique |
caractère générique de nom distinctif DC=Common_component |
Type d’utilisateur IKE |
ID IKE du groupe |
Identité locale |
Nom distinctif |
Version |
v1 uniquement |
Proposition IPsec : |
|
Protocole |
Esp |
Algorithme d’authentification |
hmac-sha1-96 |
Algorithme de chiffrement |
AES-192-CBC |
Vie |
3600 secondes 150 000 kilo-octets |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
groupe5 |
Topologie
Figure 7 montre les pare-feu SRX Series à configurer pour cet exemple.
Configuration
Configuration du Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 10.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.168.81.1/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Hub_ID set security ike gateway HUB_GW ike-policy ikepol1 set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Domain_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 192.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 172.0.0.0/8 set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
À partir de Junos OS version 15.1X49-D120, vous pouvez configurer l’option reject-duplicate-connection
CLI au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic
] pour conserver une session de tunnel existante et rejeter les demandes de négociation pour un nouveau tunnel avec le même ID IKE. Par défaut, un tunnel existant est démantelé lorsqu’un nouveau tunnel avec le même ID IKE est établi. L’option reject-duplicate-connection
n’est prise en charge que lorsque ike-user-type group-ike-id
ou ike-user-type shared-ike-id
est configurée pour la passerelle IKE ; la configuration n’est aaa access-profile profile-name
pas prise en charge avec cette option.
Utilisez l’option reject-duplicate-connection
CLI uniquement lorsque vous êtes certain que le rétablissement d’un nouveau tunnel avec le même ID IKE doit être rejeté.
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le hub :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 10.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.168.81.1/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.2.2.1/24 user@host# set st0 unit 1 family inet
Configurez les options de la phase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Hub_ID [edit security ike gateway HUB_GW] user@host# set ike-policy ikepol1 user@host# set dynamic distinguished-name wildcard DC=Domain_component user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v1-only
Configurez les options de la phase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 192.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 172.0.0.0/8
Configurez les informations de certificat.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Configurez les zones de sécurité.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces
commandes , , show security ipsec
, , show security zones
show security ike
show security pki
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-0/0/3 { gigether-options { redundant-parent reth0; } } lo0 { unit 0 { family inet { address 10.100.1.100/24; } } redundant-pseudo-interface-options { redundancy-group 1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.168.81.1/8; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.2.2.1/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ikepol1 { mode main; proposals prop_ike; certificate { local-certificate Hub_ID; } } gateway HUB_GW { ike-policy ikepol1; dynamic distinguished-name wildcard DC=Domain_component; dynamic ike-user-type group-ike-id; local-identity distinguished-name; external-interface reth1; version v1-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-192-cbc; lifetime-seconds 3600; lifetime-kilobytes 150000; } policy ipsecpol1 { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ipsecpol1; } traffic-selector ts1 { local-ip 192.0.0.0/8; remote-ip 172.0.0.0/8; } } [edit] user@host# show security pki ca-profile rsa { ca-identity rsa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lo0.0; reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’étoile
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.2.2.253/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Spoke1_ID set security ike gateway SPOKE_GW ike-policy ikepol1 set security ike gateway SPOKE_GW address 10.2.2.1 set security ike gateway SPOKE_GW local-identity distinguished-name set security ike gateway SPOKE_GW remote-identity distinguished-name container DC=Domain_component set security ike gateway SPOKE_GW external-interface ge-0/0/3.0 set security ike gateway SPOKE_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn SPOKE_VPN bind-interface st0.1 set security ipsec vpn SPOKE_VPN ike gateway SPOKE_GW set security ipsec vpn SPOKE_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn SPOKE_VPN traffic-selector ts1 local-ip 172.0.0.0/8 set security ipsec vpn SPOKE_VPN traffic-selector ts1 remote-ip 192.0.0.0/8 set security ipsec vpn SPOKE_VPN establish-tunnels immediately set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le hub :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 172.16.1.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.2.2.253/24 user@host# set st0 unit 1 family inet
Configurez les options de la phase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Spoke1_ID [edit security ike gateway SPOKE_GW] user@host# set ike-policy ikepol1 user@host# set address 10.2.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container DC=Domain_component user@host# set external-interface ge-0/0/3.0 user@host# set version v1-only
Configurez les options de la phase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec SPOKE_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SPOKE_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 172.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 192.0.0.0/8 user@host# set establish-tunnels immediately
Configurez les informations de certificat.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Configurez les zones de sécurité.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/3.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces
commandes , , show security ipsec
, , show security zones
show security ike
show security pki
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 172.16.1.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 10.2.2.253/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ikepol1 { mode main; proposals prop_ike; certificate { local-certificate Spoke1_ID; } } gateway SPOKE_GW { ike-policy ikepol1; address 10.2.2.1; local-identity distinguished-name; remote-identity distinguished-name container DC=Domain_component; external-interface ge-0/0/3.0; version v1-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-192-cbc; lifetime-seconds 3600; lifetime-kilobytes 150000; } policy ipsecpol1 { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn SPOKE_VPN { bind-interface st0.1; ike { gateway SPOKE_GW; ipsec-policy ipsecpol1; } traffic-selector ts1 { local-ip 172.0.0.0/8; remote-ip 192.0.0.0/8; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile rsa { ca-identity rsa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; ge-0/0/3.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des tunnels
But
Vérifiez que des tunnels sont établis entre le hub AutoVPN et l’étoile.
Action
À partir du mode opérationnel, entrez les commandes et show security ike security-associations
show security ipsec security-associations
sur la centrale.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 1350248074 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.253 user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77594650 ESP:aes-cbc-192/sha1 ac97cb1 2799/ 150000 - root 500 10.2.2.253 >77594650 ESP:aes-cbc-192/sha1 828dc013 2798/ 150000 - root 500 10.2.2.253 user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 77594650 Virtual-system: root, VPN Name: HUB_VPN Local Gateway: 10.2.2.1, Remote Gateway: 10.2.2.253 Traffic Selector Name: ts1 Local Identity: ipv4(192.0.0.0-192.255.255.255) Remote Identity: ipv4(172.0.0.0-172.255.255.255) Version: IKEv1 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x24608b29 Tunnel events: Tue Dec 30 2014 11:30:21 -0800: IPSec SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:30:20 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (3 times) Location: FPC 5, PIC 0, KMD-Instance 1 Direction: inbound, SPI: ac97cb1, AUX-SPI: 0 Hard lifetime: Expires in 2796 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2211 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 5, PIC 0, KMD-Instance 1 Direction: outbound, SPI: 828dc013, AUX-SPI: 0 Hard lifetime: Expires in 2796 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2211 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64
À partir du mode opérationnel, entrez les commandes et show security ike security-associations
show security ipsec security-associations
sur le rayon.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 276505646 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.1 user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <69206018 ESP:aes-cbc-192/sha1 828dc013 2993/ 150000 - root 500 10.2.2.1 >69206018 ESP:aes-cbc-192/sha1 ac97cb1 2993/ 150000 - root 500 10.2.2.1 user@host> show security ipsec security-associations detail ID: 69206018 Virtual-system: root, VPN Name: SPOKE_VPN Local Gateway: 10.2.2.253, Remote Gateway: 10.2.2.1 Traffic Selector Name: ts1 Local Identity: ipv4(172.0.0.0-172.255.255.255) Remote Identity: ipv4(192.0.0.0-192.255.255.255) Version: IKEv1 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29 Tunnel events: Tue Dec 30 2014 11:30:20 -0800: IPSec SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (1 times) Tue Dec 30 2014 11:26:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Location: FPC 1, PIC 0, KMD-Instance 1 Direction: inbound, SPI: 828dc013, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2369 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 1, PIC 0, KMD-Instance 1 Direction: outbound, SPI: ac97cb1, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: 150000 kilobytes Soft lifetime: Expires in 2369 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Le concentrateur affiche un tunnel actif vers le rayon, tandis que le rayon affiche un tunnel actif vers le concentrateur.
Si aucune SA n’est répertoriée pour la phase 1 de l’IKE, cela signifie qu’il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 1 doivent correspondre sur le moyeu et l’étoile.
Si aucune SA n’est répertoriée pour la phase 2 de l’IKE, cela signifie qu’il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de la phase 2 doivent correspondre sur le moyeu et l’étoile.
Vérification des sélecteurs de trafic
But
Vérifiez les sélecteurs de trafic.
Action
À partir du mode opérationnel, entrez la commande sur la show security ipsec traffic-selector interface-name st0.1
centrale.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 192.0.0.0-192.255.255.255 172.0.0.0-172.255.255.255 st0.1 77594650 DC=Domain_component, CN=Spoke1_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
À partir du mode opérationnel, entrez la show security ipsec traffic-selector interface-name st0.1
commande sur le rayon.
user@host> show security ipsec traffic-selector interface-name st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 172.0.0.0-172.255.255.255 192.0.0.0-192.255.255.255 st0.1 69206018 DC=Domain_component, CN=Hub_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Sens
Un sélecteur de trafic est un accord entre des homologues IKE pour autoriser le trafic à traverser un tunnel si le trafic correspond à une paire spécifiée d’adresses locales et distantes. Seul le trafic conforme à un sélecteur de trafic est autorisé par le biais d’une SA. Les sélecteurs de trafic sont négociés entre l’initiateur et le répondeur (hub SRX Series).
Exemple : Garantir la disponibilité des tunnels VPN avec AutoVPN et les sélecteurs de trafic
La géoredondance correspond au déploiement de plusieurs sites géographiquement distants afin que le trafic puisse continuer à circuler sur le réseau d’un fournisseur, même en cas de panne de courant, de catastrophe naturelle ou d’autre événement catastrophique affectant un site. Dans un réseau d’opérateur mobile, plusieurs équipements eNodeB (Evolved Node B) peuvent être connectés au réseau central via des passerelles VPN IPsec géoredondantes sur les pare-feu SRX Series. Les routes alternatives vers les périphériques eNodeB sont distribuées au réseau central à l’aide d’un protocole de routage dynamique.
Cet exemple configure des concentrateurs AutoVPN avec plusieurs sélecteurs de trafic sur les pare-feu SRX Series pour garantir qu’il existe des passerelles VPN IPsec géoredondantes vers les périphériques eNodeB. L’insertion automatique de routes (ARI) permet d’insérer automatiquement des routes vers les périphériques eNodeB dans les tables de routage des hubs. Les routes ARI sont ensuite distribuées sur le réseau central du fournisseur via BGP. L’exemple est l’utilisation de l’authentification basée sur les certificats. Pour l’authentification avec une clé prépartagée, configurez une configuration similaire à celle illustrée à Exemple : Configuration de l’AutoVPN de base avec iBGP.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
-
Deux pare-feu SRX Series connectés et configurés dans un cluster de châssis. Le cluster de châssis est le hub AutoVPN A.
-
Un pare-feu SRX Series configuré en tant que hub AutoVPN B.
-
Junos OS version 12.3X48-D10 ou ultérieure.
-
Appareils eNodeB capables d’établir des tunnels VPN IPsec avec des concentrateurs AutoVPN. Les appareils eNodeB sont des fournisseurs d’équipements réseau tiers qui initient un tunnel VPN avec des hubs AutoVPN.
-
Certificats numériques inscrits dans les hubs et les appareils eNodeB qui permettent aux appareils de s’authentifier mutuellement.
Avant de commencer :
-
Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (telles que le mot de passe de demande) lorsque vous envoyez des demandes de certificats locaux. Reportez-vous à la section Présentation des demandes de certificat locales.
-
Enregistrez les certificats numériques dans chaque appareil. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux.
Cet exemple utilise le protocole de routage dynamique BGP pour annoncer les routes vers les périphériques eNodeB vers le réseau central.
Présentation
Dans cet exemple, deux concentrateurs AutoVPN sont configurés avec plusieurs sélecteurs de trafic sur les pare-feu SRX Series pour fournir des passerelles VPN IPsec géoredondantes aux périphériques eNodeB. ARI insère automatiquement des routes vers les périphériques eNodeB dans les tables de routage des hubs. Les routes ARI sont ensuite distribuées sur le réseau central du fournisseur via BGP.
Certaines options de tunnel IKE de phase 1 et de phase 2 configurées sur les concentrateurs AutoVPN et les périphériques eNodeB doivent avoir les mêmes valeurs. Tableau 20 affiche les valeurs utilisées dans cet exemple :
Option |
Valeur |
---|---|
Proposition IKE : |
|
Méthode d’authentification |
Signatures RSA |
Groupe Diffie-Hellman (DH) |
group5 |
Algorithme d’authentification |
sha-1 |
Algorithme de chiffrement |
AES-256-CBC (en anglais seulement) |
Politique IKE : |
|
Certificat |
certificat-local |
Passerelle IKE : |
|
Dynamique |
caractère générique de nom distinctif DC=Common_component |
Type d’utilisateur IKE |
ID IKE du groupe |
Détection des pairs morts |
tunnel-inactif de sonde |
Identité locale |
Nom distinctif |
Version |
v2 uniquement |
Proposition IPsec : |
|
Protocole |
Esp |
Algorithme d’authentification |
hmac-sha1-96 |
Algorithme de chiffrement |
AES-256-CBC (en anglais seulement) |
Stratégie IPsec : |
|
Groupe Perfect Forward Secrecy (PFS) |
groupe5 |
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité. Pour simplifier, la configuration des pare-feu SRX Series accepte tous les types de trafic entrant ; Cette configuration n’est pas recommandée pour les déploiements de production.
Topologie
Figure 8 montre les pare-feu SRX Series à configurer pour cet exemple.
Configuration
Configuration du Hub A
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 10.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 172.16.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubA_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 10.50.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 10.30.0.0/16 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.16.2.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set protocols bgp group internal-peers neighbor 172.16.2.4 set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 10.50.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 10.50.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le hub A :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 10.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 172.16.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.2.2.1/24 user@host# set st0 unit 1 family inet
-
Configurez les options de la phase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubA_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.16.0.0/16 user@host# set traffic-selector ts1 remote-ip 10.50.0.0/16 user@host# set traffic-selector ts2 local-ip 172.16.0.0/16 user@host# set traffic-selector ts2 remote-ip 10.30.0.0/16
-
Configurez le protocole de routage BGP.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.16.2.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.16.2.4
-
Configurez les options de routage.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 10.30.2.0/24 orlonger user@host# set term cp_allow from route-filter 10.30.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 10.50.1.0/24 orlonger user@host# set term mp_allow from route-filter 10.50.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.16.1.0/24 orlonger user@host# set term up_allow from route-filter 172.16.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
-
Configurez les informations de certificat.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
-
Configurez les zones de sécurité.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfaces
show security ike
commandes , , , , , show policy-options
show protocols bgp
show security pki
show security ipsec
show security zones
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-8/0/2 { gigether-options { redundant-parent reth1; } } ge-8/0/3 { gigether-options { redundant-parent reth0; } } lo0 { unit 0 { family inet { address 10.100.1.100/24; } } redundant-pseudo-interface-options { redundancy-group 1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 172.16.2.1/16; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.2.2.1/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ph1_ike_policy { proposals prop_ike; certificate { local-certificate HubA_certificate; } } gateway HUB_GW { ike-policy ph1_ike_policy; dynamic { distinguished-name { wildcard DC=Common_component; } ike-user-type group-ike-id; } dead-peer-detection { probe-idle-tunnel; } local-identity distinguished-name; external-interface reth1; version v2-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy ph2_ipsec_policy { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ph2_ipsec_policy; } traffic-selector ts1 { local-ip 172.16.0.0/16; remote-ip 10.50.0.0/16; } traffic-selector ts2 { local-ip 172.16.0.0/16; remote-ip 10.30.0.0/16; } } [edit] user@host# show protocols bgp group internal-peers { type internal; local-address 172.16.2.1; export [ inject_ts1_routes inject_ts2_routes inject_up_routes ]; neighbor 172.16.2.4; } [edit] user@host# show policy-options policy-statement inject_ts1_routes { term cp_allow { from { protocol static; route-filter 10.30.2.0/24 orlonger; route-filter 10.30.1.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_ts2_routes { term mp_allow { from { protocol static; route-filter 10.50.1.0/24 orlonger; route-filter 10.50.2.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_up_routes { term up_allow { from { protocol static; route-filter 172.16.1.0/24 orlonger; route-filter 172.16.2.0/24 orlonger; } then { next-hop self; accept; } } } [edit] user@host# show security pki ca-profile csa { ca-identity csa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lo0.0; reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration du Hub B
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 10.4.4.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/16 set interfaces lo0 unit 0 family inet address 10.100.1.101/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubB_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface ge-0/0/1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 10.50.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.16.0.0/16 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 10.30.0.0/8 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.16.1.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.2.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 10.30.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 10.50.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 10.50.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le hub B :
-
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.4.4.1/24 user@host# set ge-0/0/2 unit 0 family inet address 172.16.1.1/16 user@host# set lo0 unit 0 family inet address 10.100.1.101/24 user@host# set st0 unit 1 family inet
-
Configurez les options de la phase 1.
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubB_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1 user@host# set version v2-only
-
Configurez les options de la phase 2.
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.16.0.0/16 user@host# set traffic-selector ts1 remote-ip 10.50.0.0/16 user@host# set traffic-selector ts2 local-ip 172.16.0.0/16 user@host# set traffic-selector ts2 remote-ip 10.30.0.0/16
-
Configurez le protocole de routage BGP.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.16.1.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.16.1.2
-
Configurez les options de routage.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 10.30.2.0/24 orlonger user@host# set term cp_allow from route-filter 10.30.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 10.50.1.0/24 orlonger user@host# set term mp_allow from route-filter 10.50.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.16.1.0/24 orlonger user@host# set term up_allow from route-filter 172.16.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
-
Configurez les informations de certificat.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
-
Configurez les zones de sécurité.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/2.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces
show security ike
commandes , , show protocols bgp
, , show security zones
show security ipsec
show security pki
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.4.4.1/24; } } } ge-0/0/2 { unit 0 { family inet { address 172.16.1.1/16; } } } lo0 { unit 0 { family inet { address 10.100.1.101/24; } } } st0 { unit 1 { family inet; } } [edit] user@host# show security ike proposal prop_ike { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ph1_ike_policy { proposals prop_ike; certificate { local-certificate HubB_certificate; } } gateway HUB_GW { ike-policy ph1_ike_policy; dynamic { distinguished-name { wildcard DC=Common_component; } ike-user-type group-ike-id; } dead-peer-detection { probe-idle-tunnel; } local-identity distinguished-name; external-interface reth1; version v2-only; } [edit] user@host# show security ipsec proposal prop_ipsec { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy ph2_ipsec_policy { perfect-forward-secrecy { keys group5; } proposals prop_ipsec; } vpn HUB_VPN { bind-interface st0.1; ike { gateway HUB_GW; ipsec-policy ph2_ipsec_policy; } traffic-selector ts1 { local-ip 172.16.0.0/16; remote-ip 10.50.0.0/16; } traffic-selector ts2 { local-ip 172.16.0.0/16; remote-ip 10.30.0.0/16; } } [edit] user@host# show protocols bgp group internal-peers { type internal; local-address 172.16.1.1; export [ inject_ts1_routes inject_ts2_routes inject_up_routes ]; neighbor 172.16.1.2; } user@host# show policy-options policy-statement inject_ts1_routes { term cp_allow { from { protocol static; route-filter 10.30.2.0/24 orlonger; route-filter 10.30.1.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_ts2_routes { term mp_allow { from { protocol static; route-filter 10.50.1.0/24 orlonger; route-filter 10.50.2.0/24 orlonger; } then { next-hop self; accept; } } } policy-statement inject_up_routes { term up_allow { from { protocol static; route-filter 172.16.1.0/24 orlonger; route-filter 172.16.2.0/24 orlonger; } then { next-hop self; accept; } } } [edit] user@host# show security pki ca-profile csa { ca-identity csa; revocation-check { disable; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; lo0.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’eNodeB (exemple de configuration)
Procédure étape par étape
-
La configuration eNodeB de cet exemple est fournie à titre de référence. Les informations détaillées sur la configuration eNodeB dépassent le cadre de ce document. La configuration eNodeB doit inclure les informations suivantes :
-
Informations d’identité IKE et certificat local (X.509v3)
-
Informations d’identité IKE et adresse IP publique SRX Series
-
Propositions de phases 1 et 2 correspondant aux configurations des concentrateurs SRX Series
-
Résultats
Les périphériques eNodeB de cet exemple utilisent le logiciel open source strongSwan pour les connexions VPN basées sur IPsec :
config setup plutostart=yes plutodebug=all charondebug="ike 4, cfg 4, chd 4, enc 1" charonstart=yes #ikev2 deamon" nat_traversal=yes #<======= need to enable even no nat_t conn %default ikelifetime=60m keylife=45m rekeymargin=2m keyingtries=4 mobike=no conn Hub_A keyexchange=ikev2 authby=pubkey ike=aes256-sha-modp1536 esp=aes256-sha1-modp1536 leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt left=10.5.5.1 # self if leftsubnet=10.1.1.0/24 # left subnet leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id right=10.2.2.1 # peer if rightsubnet=10.1.1.0/24 # peer net for proxy id rightid="DC=Domain_component, CN=HubA_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id auto=add leftfirewall=yes dpdaction=restart dpddelay=10 dpdtimeout=120 rekeyfuzz=10% reauth=no conn Hub_B keyexchange=ikev2 authby=pubkey ike=aes256-sha-modp1536 esp=aes192-sha1-modp1536 leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt left=10.5.5.1 # self if leftsubnet=10.1.1.0/24 # self net for proxy id leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id right=10.4.4.1 # peer if rightsubnet=10.1.1.0/24 # peer net for proxy id rightid="DC=Domain_component, CN=HubB_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id auto=add leftfirewall=yes dpdaction=restart dpddelay=10 dpdtimeout=120 rekeyfuzz=10% reauth=no
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des tunnels sur les hubs AutoVPN
- Vérification des sélecteurs de trafic
- Vérification des routes ARI
Vérification des tunnels sur les hubs AutoVPN
But
Vérifiez que des tunnels sont établis entre le hub AutoVPN et les périphériques eNodeB.
Action
À partir du mode opérationnel, entrez les commandes et show security ike security-associations
show security ipsec security-associations
sur la centrale.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 276505706 UP 16d6e53f0866b5cc ccd8ca944da7b63e IKEv2 10.5.5.1 1350247532 UP d5f0cb3a3b18cb92 91269f05527217a0 IKEv2 10.1.1.1 user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77594626 ESP:aes-cbc-192/sha1 a82bbc3 3600/ 64 - root 500 10.1.1.1 >77594626 ESP:aes-cbc-192/sha1 c930a858 3600/ 64 - root 500 10.1.1.1 <69206018 ESP:aes-cbc-192/sha1 2b437fc 3600/ 64 - root 500 10.5.5.1 >69206018 ESP:aes-cbc-192/sha1 c6e02755 3600/ 64 - root 500 10.5.5.1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Le hub affiche deux tunnels actifs, un pour chaque périphérique eNodeB.
Si aucune SA n’est répertoriée pour la phase 1 de l’IKE, cela signifie qu’il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de proposition de la phase 1 doivent correspondre sur les appareils hub et eNodeB.
Si aucune SA n’est répertoriée pour la phase 2 de l’IKE, cela signifie qu’il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de phase 2 doivent correspondre sur les appareils hub et eNodeB.
Vérification des sélecteurs de trafic
But
Vérifiez les sélecteurs de trafic.
Action
À partir du mode opérationnel, entrez la show security ipsec traffic-selector interface-name st0.1
commande.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 10.1.1.0-10.1.1.255 10.1.1.0-10.1.1.255 st0.1 69206018 DC=Common_component, CN=enodebA, OU=Dept, O=Company, L=City, ST=CA, C=US 10.1.1.0-10.1.1.255 10.1.1.0-10.1.1.255 st0.1 77594626 DC=Common_component, CN=enodebB, OU=Dept, O=Company, L=City, ST=CA, C=US
Sens
Un sélecteur de trafic est un accord entre des homologues IKE pour autoriser le trafic à traverser un tunnel si le trafic correspond à une paire spécifiée d’adresses locales et distantes. Seul le trafic conforme à un sélecteur de trafic est autorisé par le biais d’une SA. Les sélecteurs de trafic sont négociés entre l’initiateur et le répondeur (hub SRX Series).
Vérification des routes ARI
But
Vérifiez que les routes ARI sont ajoutées à la table de routage.
Action
À partir du mode opérationnel, entrez la show route
commande.
user@host> show route inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 10.1.0.0/16 *[Static/5] 02:57:57 > to 2.2.2.253 via reth1.0 10.2.2.0/24 *[Direct/0] 02:58:43 > via reth1.0 10.2.2.1/32 *[Local/0] 02:59:25 Local via reth1.0 10.5.0.0/16 *[Static/5] 02:57:57 > to 2.2.2.253 via reth1.0 10.157.64.0/19 *[Direct/0] 21:54:52 > via fxp0.0 10.157.75.117/32 *[Local/0] 21:54:52 Local via fxp0.0 10.254.75.117/32 *[Direct/0] 21:54:52 > via lo0.0 10.30.1.0/24 *[ARI-TS/5] 02:28:10 [ARI route added based on TSi] > via st0.1 10.50.1.0/24 *[ARI-TS/5] 02:28:26 > via st0.1 10.80.0.0/16 *[Direct/0] 02:57:57 > via reth0.0 10.80.1.1/32 *[Local/0] 02:57:57 Local via reth0.0 10.100.1.0/24 *[Direct/0] 02:57:57 > via lo0.0 10.100.1.100/32 *[Local/0] 02:57:57 Local via lo0.0 10.102.1.0/24 *[Static/5] 02:57:57 > to 10.2.2.253 via reth1.0 10.104.1.0/24 *[Static/5] 02:57:57 > to 10.2.2.253 via reth1.0 172.16.0.0/12 *[Static/5] 21:54:52
Sens
L’insertion automatique de route (ARI) insère automatiquement une route statique pour le réseau distant et les hôtes protégés par un point de terminaison de tunnel distant. Une route est créée en fonction de l’adresse IP distante configurée dans le sélecteur de trafic. Dans le cas des sélecteurs de trafic, l’adresse distante configurée est insérée en tant que route dans l’instance de routage associée à l’interface st0 liée au VPN.
Routes statiques vers les destinations eNodeB 10.30.1.0/24 et 10.50.1.0/24 sont ajoutés à la table de routage du hub SRX Series. Ces routes sont accessibles via l’interface st0.1.
Exemple : Configuration d’AutoVPN avec une clé pré-partagée
Cet exemple montre comment configurer différentes clés IKE prépartagées utilisées par la passerelle VPN pour authentifier l’homologue distant. De même, pour configurer la même clé IKE prépartagée utilisée par la passerelle VPN pour authentifier l’homologue distant.
Reportez-vous à d’autres exemples de cette rubrique pour la configuration de bout en bout d’AutoVPN.
- Conditions préalables
- Configurer différentes clés IKE prépartagées
- Configurer la même clé IKE prépartagée
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
- MX240, MX480 et MX960 avec MX-SPC3 et Junos OS version 21.1R1 avec AutoVPN
- ou la gamme SRX5000 avec SPC3 et Junos OS version 21.2R1 qui prennent en charge AutoVPN
- ou pare-feu virtuel vSRX exécutant le processus iked (avec le
junos-ike
package) et Junos OS version 21.2R1 qui prennent en charge AutoVPN
Configurer différentes clés IKE prépartagées
Pour configurer différentes clés IKE prépartagées que la passerelle VPN utilise pour authentifier l’homologue distant, effectuez les tâches suivantes.
- Configurez la stratégie prépartagée pour IKE dans l’appareil avec le hub AutoVPN.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
Ou
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
Par exemple :
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
Ou
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- Affichez le pour l’homologue distant à l’aide du nom de la passerelle et de l’ID
pre-shared key
utilisateur.[edit] user@host> show security ike pre-shared-key gateway gateway-name user-id user-id
Par exemple :
user@host> show security ike pre-shared-key gateway-name HUB_GW user-id user1@juniper.net
Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- Configurez la clé PSK générée (« 79e4ea39f5c06834a3c4c031e37c6de24d46798a » à l’étape 2) dans la stratégie ike sur l’appareil homologue distant.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
Par exemple :
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (Facultatif) Pour contourner la validation de l’ID IKE et autoriser tous les types d’ID IKE, configurez
general-ikeid
l’instruction de configuration sous le niveau hiérarchique [modifier la passerelle ike de sécurité dynamique] de la passerelle gateway_name .[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Résultat
À partir du mode de configuration, confirmez votre configuration en entrant la commande show security. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity hostname hub.juniper.net; external-interface lo0.0; local-address 11.0.0.1; version v2-only; } }
Configurer la même clé IKE prépartagée
Pour configurer la même clé IKE prépartagée que la passerelle VPN utilise pour authentifier l’homologue distant, effectuez les tâches suivantes.
- Configurez la
pre-shared-key
stratégie commune for ike dans l’appareil avec le hub AutoVPN.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Par exemple :
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- Configurez la stratégie commune
pre-shared-key
sur ike pour l’appareil homologue distant.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Par exemple :
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (Facultatif) Pour contourner la validation de l’ID IKE et autoriser tous les types d’ID IKE, configurez
general-ikeid
l’instruction de configuration sous le niveau hiérarchique [modifier la passerelle ike de sécurité dynamique] de la passerelle gateway_name .[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Résultat
À partir du mode de configuration, confirmez votre configuration en entrant la commande show security. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host> show security ike { proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group14; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; lifetime-seconds 750; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA } gateway HUB_GW { ike-policy IKE_POL; dynamic { general-ikeid; ike-user-type group-ike-id; } local-identity user-at-hostname user1@juniper.net; external-interface lo0; local-address 11.0.0.1; version v2-only; } }
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
reject-duplicate-connection
CLI au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic
] pour conserver une session de tunnel existante et rejeter les demandes de négociation pour un nouveau tunnel avec le même ID IKE.