Tunnels à double pile sur une interface externe
Les tunnels à double pile, c’est-à-dire des tunnels IPv4 et IPv6 parallèles sur une interface physique unique vers un pair, sont pris en charge pour les VPN de site à site basés sur le routage. Une interface physique configurée avec des adresses IPv4 et IPv6 peut être utilisée comme interface externe pour des passerelles IPv4 et IPv6 sur le même homologue ou sur différents homologues en même temps.
Comprendre les modes de tunnel VPN
En mode tunnel VPN, IPsec encapsule le datagramme IP d’origine, y compris l’en-tête IP d’origine, dans un second datagramme IP. L’en-tête IP externe contient l’adresse IP de la passerelle, tandis que l’en-tête interne contient les adresses IP source et de destination ultimes. Les en-têtes IP externes et internes peuvent avoir un champ de protocole IPv4 ou IPv6. Les pare-feu SRX Series prennent en charge quatre modes de tunnel pour les VPN de site à site basés sur le routage.
Les tunnels IPv4-en-IPv4 encapsulent des paquets IPv4 à l’intérieur de paquets IPv4, comme illustré à la .Figure 1 Les champs de protocole pour les en-têtes externe et interne sont IPv4.
Les tunnels IPv6-en-IPv6 encapsulent des paquets IPv6 à l’intérieur de paquets IPv6, comme illustré à la .Figure 2 Les champs de protocole pour les en-têtes externe et interne sont IPv6.
Les tunnels IPv6-en-IPv4 encapsulent des paquets IPv6 à l’intérieur de paquets IPv4, comme illustré à la .Figure 3 Le champ de protocole de l’en-tête externe est IPv4 et le champ de protocole de l’en-tête interne est IPv6.
Les tunnels IPv4-en-IPv6 encapsulent des paquets IPv4 à l’intérieur de paquets IPv6, comme illustré à la .Figure 4 Le champ de protocole de l’en-tête externe est IPv6 et le champ de protocole de l’en-tête interne est IPv4.
Un seul tunnel VPN IPsec peut transporter à la fois le trafic IPv4 et IPv6. Par exemple, un tunnel IPv4 peut fonctionner simultanément dans les modes de tunnel IPv4-en-IPv4 et IPv6-en-IPv4. Pour autoriser le trafic IPv4 et IPv6 sur un seul tunnel VPN IPsec, l’interface st0 liée à ce tunnel doit être configurée à la fois family inet
avec et family inet6
.
Une interface physique configurée avec des adresses IPv4 et IPv6 peut être utilisée comme interface externe pour des tunnels IPv4 et IPv6 parallèles vers un pair dans un VPN de site à site basé sur le routage. Cette fonctionnalité est connue sous le nom de tunnels à double pile et nécessite des interfaces st0 distinctes pour chaque tunnel.
Pour les VPN basés sur des stratégies, IPv6-in-IPv6 est le seul mode tunnel pris en charge et il n’est pris en charge que sur les périphériques SRX300, SRX320, SRX340, SRX345 et SRX550HM.
Comprendre les tunnels à double pile sur une interface externe
Les tunnels à double pile, c’est-à-dire des tunnels IPv4 et IPv6 parallèles sur une interface physique unique vers un pair, sont pris en charge pour les VPN de site à site basés sur le routage. Une interface physique configurée avec des adresses IPv4 et IPv6 peut être utilisée comme interface externe pour des passerelles IPv4 et IPv6 sur le même homologue ou sur différents homologues en même temps. En Figure 5, les interfaces physiques reth0.0 et ge-0/0/0.1 prennent en charge des tunnels IPv4 et IPv6 parallèles entre deux appareils.
Dans , des Figure 5interfaces de tunnel sécurisé (st0) distinctes doivent être configurées pour chaque tunnel VPN IPsec. Les tunnels IPv4 et IPv6 parallèles liés à la même interface st0 ne sont pas pris en charge.
Un seul tunnel VPN IPsec peut transporter à la fois le trafic IPv4 et IPv6. Par exemple, un tunnel IPv4 peut fonctionner simultanément dans les modes de tunnel IPv4-en-IPv4 et IPv6-en-IPv4. Pour autoriser le trafic IPv4 et IPv6 sur un seul tunnel VPN IPsec, l’interface st0 liée à ce tunnel doit être configurée à la fois family inet
avec et family inet6
.
Si plusieurs adresses de la même famille d’adresses sont configurées sur la même interface externe pour un homologue VPN, nous vous recommandons de configurer local-address
au niveau de la hiérarchie [edit security ike gateway gateway-name
].
Si local-address
est configuré, l’adresse IPv4 ou IPv6 spécifiée est utilisée comme adresse de passerelle locale. Si une seule adresse IPv4 et une seule adresse IPv6 sont configurées sur une interface externe physique, local-address
aucune configuration n’est requise.
La local-address
valeur doit être une adresse IP configurée sur une interface du pare-feu SRX Series. Nous vous recommandons d’appartenir à l’interface local-address
externe de la passerelle IKE. Si local-address
elle n’appartient pas à l’interface externe de la passerelle IKE, l’interface doit se trouver dans la même zone que l’interface externe de la passerelle IKE et une stratégie de sécurité intrazone doit être configurée pour autoriser le trafic.
La local-address
valeur et l’adresse de la passerelle IKE distante doivent appartenir à la même famille d’adresses, IPv4 ou IPv6.
Si local-address
elle n’est pas configurée, l’adresse de la passerelle locale est basée sur l’adresse de la passerelle distante. Si l’adresse de la passerelle distante est une adresse IPv4, l’adresse de la passerelle locale est l’adresse IPv4 principale de l’interface physique externe. Si l’adresse de la passerelle distante est une adresse IPv6, l’adresse de la passerelle locale est l’adresse IPv6 principale de l’interface physique externe.
Voir également
Exemple : Configuration de tunnels à double pile sur une interface externe
Cet exemple montre comment configurer des tunnels IPv4 et IPv6 parallèles sur une seule interface physique externe vers un homologue pour les VPN de site à site basés sur le routage.
Conditions préalables
Avant de commencer, lisez Comprendre les modes de tunnel VPN.
La configuration illustrée dans cet exemple n’est prise en charge qu’avec les VPN de site à site basés sur le routage.
Présentation
Dans cet exemple, une interface Ethernet redondante sur l’équipement local prend en charge des tunnels IPv4 et IPv6 parallèles vers un appareil homologue :
Le tunnel IPv4 transporte le trafic IPv6 ; il fonctionne en mode tunnel IPv6-dans-IPv4. L’interface de tunnel sécurisée st0.0 liée au tunnel IPv4 est configurée avec la famille inet6 uniquement.
Le tunnel IPv6 transporte à la fois le trafic IPv4 et IPv6. il fonctionne à la fois en mode tunnel IPv4-in-IPv6 et IPv6-in-IPv6. L’interface de tunnel sécurisée st0.1 liée au tunnel IPv6 est configurée à la fois avec family inet et family inet6.
Tableau 1 affiche les options de phase 1 utilisées dans cet exemple. La configuration de l’option de phase 1 comprend deux configurations de passerelle IKE, l’une vers l’homologue IPv6 et l’autre vers l’homologue IPv4.
Option |
Valeur |
---|---|
Proposition IKE |
ike_proposal |
Méthode d’authentification |
Clés prépartagées |
Algorithme d’authentification |
MD5 |
Algorithme de chiffrement |
3DES CBC |
Vie |
3600 secondes |
Politique IKE |
ike_policy |
Mode |
Agressif |
Proposition IKE |
ike_proposal |
Clé pré-partagée |
Texte ASCII |
Passerelle IKE IPv6 |
ike_gw_v6 |
Politique IKE |
ike_policy |
Adresse de la passerelle |
2000::2 |
Interface externe |
reth1.0 |
Version IKE |
IKEv2 |
Passerelle IKE IPv4 |
ike_gw_v4 |
Politique IKE |
ike_policy |
Adresse de la passerelle |
20.0.0.2 |
Interface externe |
reth1.0 |
Tableau 2 montre les options de phase 2 utilisées dans cet exemple. La configuration de l’option Phase 2 comprend deux configurations VPN, l’une pour le tunnel IPv6 et l’autre pour le tunnel IPv4.
Option |
Valeur |
---|---|
Proposition IPsec |
ipsec_proposal |
Protocole |
ESP |
Algorithme d’authentification |
HMAC SHA-1 96 |
Algorithme de chiffrement |
3DES CBC |
Stratégie IPsec |
ipsec_policy |
Proposition |
ipsec_proposal |
IPv6 VPN |
test_s2s_v6 |
Lier l’interface |
st0.1 |
Passerelle IKE |
ike_gw_v6 |
Stratégie IKE IPsec |
ipsec_policy |
Établir des tunnels |
Immédiatement |
IPv4 VPN |
test_s2s_v4 |
Lier l’interface |
st0.0 |
Passerelle IKE |
ike_gw_4 |
Stratégie IKE IPsec |
ipsec_policy |
Les routes statiques suivantes sont configurées dans la table de routage IPv6 :
Acheminez le trafic IPv6 vers 3000 ::1/128 via st0.0.
Acheminez le trafic IPv6 vers 3000 ::2/128 via st0.1.
Une route statique est configurée dans la table de routage par défaut (IPv4) pour acheminer le trafic IPv4 vers 30.0.0.0/24 via st0.1.
Le traitement basé sur les flux du trafic IPv6 doit être activé avec l’option mode flow-based
de configuration au niveau de la hiérarchie [edit security forwarding-options family inet6
].
Topologie
En Figure 6, le pare-feu A de la SRX Series prend en charge les tunnels IPv4 et IPv6 vers l’appareil B. Le trafic IPv6 vers 3000 ::1/128 est acheminé via le tunnel IPv4, tandis que le trafic IPv6 vers 3000 ::2/128 et le trafic IPv4 vers 30.0.0.0/24 sont acheminés via le tunnel IPv6.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer des tunnels à double pile :
Configurez l’interface externe.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Configurez les interfaces de tunnel sécurisées.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Configurez les options de la phase 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Configurez les routes statiques.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Activez le transfert basé sur les flux IPv6.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces
, show security ike
, show security ipsec
, show routing-options
et show security forwarding-options
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { gigether-options { redundant-parent reth1; } } ge-8/0/1 { gigether-options { redundant-parent reth1; } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 20.0.0.1/24; } family inet6 { address 2000::1/64; } } } st0 { unit 0 { family inet; family inet6; } unit 1 { family inet6; } } [edit] user@host# show security ike proposal ike_proposal { authentication-method pre-shared-keys; authentication-algorithm md5; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } policy ike_policy { mode aggressive; proposals ike_proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway ike_gw_v6 { ike-policy ike_policy; address 2000::2; external-interface reth1.0; version v2-only; } gateway ike_gw_4 { ike-policy ike_policy; address 20.0.0.2; external-interface reth1.0; } [edit] user@host# show security ipsec proposal ipsec_proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_policy { proposals ipsec_proposal; } vpn test_s2s_v6 { bind-interface st0.1; ike { gateway ike_gw_v6; ipsec-policy ipsec_policy; } establish-tunnels immediately; } vpn test_s2s_v4 { bind-interface st0.0; ike { gateway ike_gw_4; ipsec-policy ipsec_policy; } } [edit] user@host# show routing-options rib inet6.0 { static { route 3000::1/128 next-hop st0.0; route 3000::2/128 next-hop st0.1; } } static { route 30.0.0.0/24 next-hop st0.1; } [edit] user@host# show security forwarding-options family { inet6 { mode flow-based; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1
- Vérification de l’état IPsec Phase 2
- Vérification des itinéraires
Vérification de l’état IKE Phase 1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations
commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2 1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de proposition de la phase 1 doivent correspondre sur les appareils homologues.
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations
commande.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Sens
La show security ipsec security-associations
commande répertorie toutes les IKE Phase 2 SA actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration. Les paramètres de la proposition de phase 2 doivent correspondre sur les appareils homologues.
Vérification des itinéraires
But
Vérifiez les itinéraires actifs.
Action
À partir du mode opérationnel, entrez la show route
commande.
user@host> show route inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.5.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.10.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.150.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.150.48.0/21 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.155.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.157.64.0/19 *[Direct/0] 3d 01:43:23 > via fxp0.0 10.157.72.36/32 *[Local/0] 3d 01:43:23 Local via fxp0.0 10.204.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.206.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 10.209.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 20.0.0.0/24 *[Direct/0] 03:45:41 > via reth1.0 20.0.0.1/32 *[Local/0] 03:45:41 Local via reth1.0 30.0.0.0/24 *[Static/5] 00:07:49 > via st0.1 50.0.0.0/24 *[Direct/0] 03:45:42 > via reth0.0 50.0.0.1/32 *[Local/0] 03:45:42 Local via reth0.0 172.16.0.0/12 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 192.168.0.0/16 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 192.168.102.0/23 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 207.17.136.0/24 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 207.17.136.192/32 *[Static/5] 3d 01:43:23 > to 10.157.64.1 via fxp0.0 inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 2000::/64 *[Direct/0] 03:45:41 > via reth1.0 2000::1/128 *[Local/0] 03:45:41 Local via reth1.0 3000::1/128 *[Static/5] 00:03:45 > via st0.0 3000::2/128 *[Static/5] 00:03:45 > via st0.1 5000::/64 *[Direct/0] 03:45:42 > via reth0.0 5000::1/128 *[Local/0] 03:45:42 Local via reth0.0 fe80::/64 *[Direct/0] 03:45:42 > via reth0.0 [Direct/0] 03:45:41 > via reth1.0 [Direct/0] 03:45:41 > via st0.0 [Direct/0] 03:45:13 > via st0.1 fe80::210:dbff:feff:1000/128 *[Local/0] 03:45:42 Local via reth0.0 fe80::210:dbff:feff:1001/128 *[Local/0] 03:45:41 Local via reth1.0
Sens
La show route
commande répertorie les entrées actives dans les tables de routage.