Sur cette page
Présentation de la configuration du VPN IPsec avec IKE à clé automatique
Options de configuration recommandées pour les VPN de site à site avec des adresses IP statiques
Comprendre les VPN IPsec avec points de terminaison dynamiques
Configuration des ID IKE distants pour les VPN de site à site
Comprendre l’authentification OSPF et OSPFv3 sur les pare-feu SRX Series
Présentation de la configuration du VPN IPsec
Une connexion VPN peut relier deux réseaux locaux (VPN de site à site) ou un utilisateur commuté distant et un réseau local. Le trafic qui transite entre ces deux points passe par des ressources partagées telles que des routeurs, des commutateurs et d’autres équipements réseau qui composent le WAN public. Un tunnel IPsec est créé entre deux appareils participants pour sécuriser la communication VPN.
Présentation de la configuration du VPN IPsec avec IKE à clé automatique
La négociation du VPN IPsec se déroule en deux phases. Au cours de la phase 1, les participants établissent un canal sécurisé dans lequel ils peuvent négocier l’association de sécurité IPsec (SA). Dans la phase 2, les participants négocient l’SA IPsec pour authentifier le trafic qui transitera par le tunnel.
Cette présentation décrit les étapes de base pour configurer un VPN IPsec basé sur une route ou une stratégie à l’aide de l’IKE à clé automatique (clés ou certificats prépartagés).
Pour configurer un VPN IPsec basé sur une route ou une stratégie à l’aide de la clé automatique IKE :
Voir également
Options de configuration recommandées pour les VPN de site à site avec des adresses IP statiques
Tableau 1 répertorie les options de configuration d’un VPN de site à site générique entre deux équipements de sécurité avec des adresses IP statiques. Le VPN peut être basé sur un routage ou sur une stratégie.
Configuration Option |
Commentaire |
|---|---|
Options de configuration IKE : |
|
Mode principal |
Utilisé lorsque les homologues ont des adresses IP statiques. |
Certificats RSA ou DSA |
Les certificats RSA ou DSA peuvent être utilisés sur l’appareil local. Spécifiez le type de certificat (PKCS7 ou X.509) sur l’homologue. |
Diffie-Hellman (DH) groupe 14 |
Le groupe DH 14 offre plus de sécurité que les groupes DH 1, 2 ou 5. |
Chiffrement AES (Advanced Encryption Standard) |
Sur le plan cryptographique, AES est plus puissant que le standard de chiffrement des données (DES) et le triple DES (3DES) lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS (Federal Information Processing Standards) et Common Criteria EAL4. |
Authentification SHA-256 (Secure Hash Algorithm 256) |
SHA-256 offre une plus grande sécurité cryptographique que SHA-1 ou Message Digest 5 (MD5) . |
Options de configuration IPsec : |
|
Perfect Forward Secrecy (PFS) DH groupe 14 |
Le groupe PFS DH 14 offre une sécurité accrue, car les homologues effectuent un deuxième échange DH pour produire la clé utilisée pour le chiffrement et le déchiffrement IPsec. |
Protocole ESP (Encapsulating Security Payload) |
L’ESP assure à la fois la confidentialité par le chiffrement et l’encapsulation du paquet IP d’origine et l’intégrité par l’authentification. |
Chiffrement AES |
D’un point de vue cryptographique, AES est plus fort que DES et 3DES lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS et Common Criteria EAL4. |
Authentification SHA-256 |
SHA-256 offre plus de sécurité cryptographique que SHA-1 ou MD5. |
Protection anti-rejeu |
Activé par défaut. La désactivation de cette fonctionnalité peut résoudre les problèmes de compatibilité avec les homologues tiers. |
Voir également
Options de configuration recommandées pour les VPN de site à site ou d’accès à distance avec des adresses IP dynamiques
Tableau 2 répertorie les options de configuration d’un VPN générique de site à site ou d’accès commuté, où les périphériques homologues ont des adresses IP dynamiques.
Configuration Option |
Commentaire |
|---|---|
Options de configuration IKE : |
|
Mode principal |
Utilisé avec les certificats. |
Certificats 2048 bits |
Les certificats RSA ou DSA peuvent être utilisés. Spécifiez le certificat à utiliser sur l’appareil local. Spécifiez le type de certificat (PKCS7 ou X.509) sur l’homologue. |
Diffie-Hellman (DH) groupe 14 |
Le groupe DH 14 offre plus de sécurité que les groupes DH 1, 2 ou 5. |
Chiffrement AES (Advanced Encryption Standard) |
Sur le plan cryptographique, AES est plus puissant que le standard de chiffrement des données (DES) et le triple DES (3DES) lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS (Federal Information Processing Standards) et Common Criteria EAL4. |
Authentification SHA-256 (Secure Hash Algorithm 256) |
SHA-256 offre une plus grande sécurité cryptographique que SHA-1 ou Message Digest 5 (MD5). |
Options de configuration IPsec : |
|
Perfect Forward Secrecy (PFS) DH groupe 14 |
Le groupe PFS DH 14 offre une sécurité accrue, car les homologues effectuent un deuxième échange DH pour produire la clé utilisée pour le chiffrement et le déchiffrement IPsec. |
Protocole ESP (Encapsulating Security Payload) |
L’ESP assure à la fois la confidentialité par le chiffrement et l’encapsulation du paquet IP d’origine et l’intégrité par l’authentification. |
Chiffrement AES |
D’un point de vue cryptographique, AES est plus fort que DES et 3DES lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS et Common Criteria EAL4. |
Authentification SHA-256 |
SHA-256 offre plus de sécurité cryptographique que SHA-1 ou MD5. |
Protection anti-rejeu |
Activé par défaut. La désactivation de cette option peut résoudre les problèmes de compatibilité avec les pairs tiers. |
Voir également
Comprendre les VPN IPsec avec points de terminaison dynamiques
- Présentation
- Identité IKE
- Mode agressif pour la stratégie IKEv1
- Stratégies IKE et interfaces externes
- NAT
- ID IKE de groupe et partagés
Présentation
Un homologue VPN IPsec peut avoir une adresse IP qui n’est pas connue de son homologue avec lequel il établit la connexion VPN. Par exemple, un homologue peut se voir attribuer une adresse IP de manière dynamique au moyen du protocole DHCP (Dynamic Host Configuration Protocol). Il peut s’agir d’un client d’accès à distance dans une succursale ou un bureau à domicile, ou d’un appareil mobile qui se déplace d’un emplacement physique à l’autre. L’homologue peut également se trouver derrière un périphérique NAT qui traduit l’adresse IP source d’origine de l’homologue en une adresse différente. Un homologue VPN avec une adresse IP inconnue est appelé un point de terminaison dynamique et un VPN établi avec un point de terminaison dynamique est appelé VPN de point de terminaison dynamique.
Sur les pare-feu SRX Series, IKEv1 ou IKEv2 est pris en charge avec des VPN de point de terminaison dynamiques. Les VPN dynamiques de point de terminaison sur les pare-feu SRX Series prennent en charge le trafic IPv4 sur les tunnels sécurisés. À partir de Junos OS version 15.1X49-D80, les VPN de point de terminaison dynamiques sur les pare-feu SRX Series prennent en charge le trafic IPv6 sur les tunnels sécurisés.
Le trafic IPv6 n’est pas pris en charge pour les réseaux AutoVPN.
Les sections suivantes décrivent les éléments à prendre en compte lors de la configuration d’un VPN avec un point de terminaison dynamique.
Identité IKE
Sur le point de terminaison dynamique, une identité IKE doit être configurée pour que l’appareil puisse s’identifier auprès de son homologue. L’identité locale du point de terminaison dynamique est vérifiée sur l’homologue. Par défaut, le pare-feu SRX Series s’attend à ce que l’identité IKE soit l’une des suivantes :
Lorsque des certificats sont utilisés, un nom distinctif (DN) peut être utilisé pour identifier des utilisateurs ou une organisation.
Un nom d’hôte ou un nom de domaine complet (FQDN) qui identifie le point de terminaison.
Un nom de domaine complet de l’utilisateur (UFQDN), également connu sous le nom d’utilisateur au nom d’hôte. Il s’agit d’une chaîne qui suit le format de l’adresse e-mail.
Mode agressif pour la stratégie IKEv1
Lorsque IKEv1 est utilisé avec des VPN de point de terminaison dynamiques, la stratégie IKE doit être configurée pour le mode agressif.
Stratégies IKE et interfaces externes
À compter de Junos OS version 12.3X48-D40, Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, toutes les passerelles de point de terminaison dynamiques configurées sur des pare-feu SRX Series qui utilisent la même interface externe peuvent utiliser des stratégies IKE différentes, mais les stratégies IKE doivent utiliser la même proposition IKE. Cela s’applique à IKEv1 et IKEv2.
NAT
Si le point de terminaison dynamique se trouve derrière un périphérique NAT, NAT-T doit être configuré sur le pare-feu SRX Series. Des keepalives NAT peuvent être nécessaires pour maintenir la traduction NAT pendant la connexion entre les homologues VPN. Par défaut, NAT-T est activé sur les pare-feu SRX Series et les keepalives NAT sont envoyés toutes les 20 secondes.
ID IKE de groupe et partagés
Vous pouvez configurer un tunnel VPN individuel pour chaque point de terminaison dynamique. Pour les VPN de point de terminaison dynamiques IPv4, vous pouvez utiliser les fonctionnalités d’ID IKE de groupe ou d’ID IKE partagé pour permettre à un certain nombre de points de terminaison dynamiques de partager une configuration de passerelle IKE.
L’ID IKE de groupe vous permet de définir une partie commune d’un ID IKE complet pour tous les points de terminaison dynamiques, par exemple « example.net ». Une partie spécifique à l’utilisateur, telle que le nom d’utilisateur « Bob », concaténée avec la partie commune, forme un ID IKE complet (Bob.example.net) qui identifie de manière unique chaque connexion utilisateur.
L’ID IKE partagé permet aux points de terminaison dynamiques de partager un ID IKE unique et une clé prépartagée.
Voir également
Comprendre la configuration de l’identité IKE
L’identification IKE (IKE ID) est utilisée pour la validation des périphériques homologues VPN lors de la négociation IKE. L’ID IKE reçu par le pare-feu SRX Series d’un homologue distant peut être une adresse IPv4 ou IPv6, un nom d’hôte, un nom de domaine complet (FQDN), un nom de domaine complet (FQDN), un nom de domaine complet d’utilisateur (UFQDN) ou un nom distinctif (DN). L’ID IKE envoyé par l’homologue distant doit correspondre à ce qui est attendu par le pare-feu SRX Series. Dans le cas contraire, la validation de l’ID IKE échoue et le VPN n’est pas établi.
- Types d’ID IKE
- ID IKE distants et VPN de site à site
- ID IKE distants et VPN de point de terminaison dynamique
- ID IKE local du pare-feu SRX Series
Types d’ID IKE
Les pare-feu SRX Series prennent en charge les types d’identités IKE suivants pour les homologues distants :
Une adresse IPv4 ou IPv6 est couramment utilisée avec les VPN de site à site, où l’homologue distant dispose d’une adresse IP statique.
Un nom d’hôte est une chaîne qui identifie le système homologue distant. Il peut s’agir d’un nom de domaine complet qui correspond à une adresse IP. Il peut également s’agir d’un nom de domaine complet partiel utilisé conjointement avec un type d’utilisateur IKE pour identifier un utilisateur distant spécifique.
Lorsqu’un nom d’hôte est configuré à la place d’une adresse IP, la configuration validée et l’établissement du tunnel ultérieur sont basés sur l’adresse IP actuellement résolue. Si l’adresse IP de l’homologue distant change, la configuration n’est plus valide.
Un UFQDN est une chaîne qui suit le même format qu’une adresse e-mail, telle que
user@example.com.Un DN est un nom utilisé avec les certificats numériques pour identifier de manière unique un utilisateur. Par exemple, un DN peut être « CN = utilisateur, DC = exemple, DC = com ». Si vous le souhaitez, vous pouvez utiliser le mot-clé pour spécifier que l’ordre des champs d’un DN et leurs valeurs correspondent exactement au DN configuré, ou utiliser le
containerwildcardmot-clé pour spécifier que les valeurs des champs d’un DN doivent correspondre, mais que l’ordre des champs n’a pas d’importance.À partir de Junos OS version 19.4R1, vous ne pouvez désormais configurer qu’un seul attribut DN dynamique au sein de la hiérarchie et au
container-stringniveau[edit security ike gateway gateway_name dynamic distinguished-name]dewildcard-stringcelle-ci. Si vous essayez de configurer le deuxième attribut après avoir configuré le premier, le premier attribut est remplacé par le second. Avant de mettre à niveau votre appareil, vous devez supprimer l’un des attributs si vous avez configuré les deux attributs.Un type d’utilisateur IKE peut être utilisé avec AutoVPN et les VPN d’accès distant lorsque plusieurs homologues distants se connectent à la même passerelle VPN sur le pare-feu SRX Series. Configurez
ike-user-type group-ike-idpour spécifier un ID IKE de groupe ouike-user-type shared-ike-idpour spécifier un ID IKE partagé.
ID IKE distants et VPN de site à site
Pour les VPN de site à site, l’ID IKE de l’homologue distant peut être l’adresse IP de la carte d’interface réseau sortante, une adresse de bouclage, un nom d’hôte ou un ID IKE configuré manuellement, en fonction de la configuration de l’appareil homologue.
Par défaut, les pare-feu SRX Series s’attendent à ce que l’ID IKE de l’homologue distant corresponde à l’adresse IP configurée avec la set security ike gateway gateway-name address configuration. Si l’ID IKE de l’homologue distant est une valeur différente, vous devez configurer l’instruction remote-identity au niveau de la hiérarchie [edit security ike gateway gateway-name].
Par exemple, une passerelle IKE sur les pare-feu SRX Series est configurée avec la set security ike gateway remote-gateway address 203.0.113.1 commande. Toutefois, l’ID IKE envoyé par l’homologue distant est host.example.net. Il existe un décalage entre ce que le pare-feu SRX Series attend pour l’ID IKE de l’homologue distant (203.0.113.1) et l’ID IKE réel (host.example.net) envoyé par l’homologue. Dans ce cas, la validation de l’ID IKE échoue. Utilisez le set security ike gateway remote-gateway remote-identity hostname host.example.net pour faire correspondre l’ID IKE reçu de l’homologue distant.
ID IKE distants et VPN de point de terminaison dynamique
Pour les VPN de point de terminaison dynamiques, l’ID IKE attendu de l’homologue distant est configuré avec les options au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic]. Pour AutoVPN, hostname combiné avec ike-user-type group-ike-id peut être utilisé lorsqu’il y a plusieurs homologues qui ont un nom de domaine commun. Si des certificats sont utilisés pour vérifier l’homologue, un DN peut être configuré.
ID IKE local du pare-feu SRX Series
Par défaut, le pare-feu SRX Series utilise l’adresse IP de son interface externe vers l’homologue distant comme ID IKE. Cet ID IKE peut être remplacé en configurant l’instruction local-identity au niveau de la hiérarchie [edit security ike gateway gateway-name]. Si vous devez configurer l’instruction sur un pare-feu SRX Series, assurez-vous que l’ID IKE configuré correspond à l’ID IKE attendu par l’homologue local-identity distant.
Voir également
Configuration des ID IKE distants pour les VPN de site à site
Par défaut, les pare-feu SRX Series valident l’ID IKE reçu de l’homologue avec l’adresse IP configurée pour la passerelle IKE. Dans certaines configurations réseau, l’ID IKE reçu de l’homologue (qui peut être une adresse IPv4 ou IPv6, un nom de domaine complet [FQDN], un nom distinctif ou une adresse e-mail) ne correspond pas à la passerelle IKE configurée sur le pare-feu SRX Series. Cela peut conduire à un échec de validation de phase 1.
Pour modifier la configuration du pare-feu SRX Series ou de l’appareil homologue pour l’ID IKE utilisé :
Sur le pare-feu SRX Series, configurez l’instruction au niveau de la hiérarchie [
edit security ike gateway gateway-name] pour qu’elle corresponde à l’ID IKE reçu de l’homologueremote-identity. Il peut s’agir d’une adresse IPv4 ou IPv6, d’un nom de domaine complet, d’un nom distinctif ou d’une adresse e-mail.Si vous ne configurez
remote-identitypas , l’appareil utilise l’adresse IPv4 ou IPv6 qui correspond par défaut à l’homologue distant.Sur l’appareil homologue, vérifiez que l’ID IKE est identique à celui
remote-identityconfiguré sur le pare-feu SRX Series. Si l’appareil homologue est un pare-feu SRX Series, configurez l’instructionlocal-identityau niveau de la hiérarchie [edit security ike gateway gateway-name]. Il peut s’agir d’une adresse IPv4 ou IPv6, d’un nom de domaine complet, d’un nom distinctif ou d’une adresse e-mail.
Voir également
Comprendre l’authentification OSPF et OSPFv3 sur les pare-feu SRX Series
OSPFv3 ne dispose pas de méthode d’authentification intégrée et s’appuie sur la suite de sécurité IP (IPsec) pour fournir cette fonctionnalité. IPsec assure l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre la relecture et la non-répudiation de la source. Vous pouvez utiliser IPsec pour sécuriser des interfaces OSPFv3 et des liens virtuels spécifiques, et pour chiffrer les paquets OSPF.
OSPFv3 utilise l’en-tête d’authentification IP (AH) et les parties ESP (IP Encapsulating Security Payload) du protocole IPsec pour authentifier les informations de routage entre homologues. AH peut fournir une intégrité sans connexion et une authentification de l’origine des données. Il offre également une protection contre les rediffusions. AH authentifie autant que possible l’en-tête IP, ainsi que les données de protocole de niveau supérieur. Toutefois, certains champs d’en-tête IP peuvent changer en cours de route. Étant donné que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. ESP peut fournir le chiffrement et la confidentialité du flux de trafic limité ou l’intégrité sans connexion, l’authentification de l’origine des données et un service anti-rejeu.
IPsec est basé sur les associations de sécurité (SA). Une SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Cette connexion simplex fournit des services de sécurité aux paquets transportés par la SA. Ces spécifications incluent des préférences concernant le type d’authentification, le chiffrement et le protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Une SA est utilisée pour chiffrer et authentifier un flux particulier dans une direction. Par conséquent, dans un trafic bidirectionnel normal, les flux sont sécurisés par une paire de SA. Une SA à utiliser avec OSPFv3 doit être configurée manuellement et utiliser le mode transport. Les valeurs statiques doivent être configurées aux deux extrémités de la SA.
Pour configurer IPsec pour OSPF ou OSPFv3, commencez par définir une SA manuelle avec l’option security-association sa-name au niveau de la hiérarchie [edit security ipsec]. Cette fonctionnalité ne prend en charge que les SA à clé manuelle bidirectionnelle en mode transport. Les SA manuelles ne nécessitent aucune négociation entre les pairs. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles définissent de manière statique les valeurs, les algorithmes et les clés de l’index des paramètres de sécurité (SPI) à utiliser et nécessitent des configurations correspondantes sur les deux points de terminaison (homologues OSPF ou OSPFv3). Par conséquent, chaque homologue doit avoir les mêmes options configurées pour que la communication ait lieu.
Le choix des algorithmes de chiffrement et d’authentification est laissé à votre administrateur IPsec ; Cependant, nous avons les recommandations suivantes :
Utilisez ESP avec chiffrement NULL pour fournir une authentification aux en-têtes de protocole, mais pas à l’en-tête, aux en-têtes d’extension et aux options IPv6. Avec le chiffrement nul, vous choisissez de ne pas fournir de chiffrement sur les en-têtes de protocole. Cela peut être utile à des fins de dépannage et de débogage. Pour plus d’informations sur le chiffrement NULL, consultez RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez ESP avec DES ou 3DES pour une confidentialité totale.
Utilisez AH pour fournir l’authentification aux en-têtes de protocole, aux champs immuables dans les en-têtes IPv6, ainsi qu’aux en-têtes et options d’extension.
La SA configurée est appliquée aux configurations OSPF ou OSPFv3 comme suit :
Pour une interface OSPF ou OSPFv3, incluez l’instruction
ipsec-sa nameau niveau de la hiérarchie [] ou [edit protocols ospf area area-id interface interface-nameedit protocols ospf3 area area-id interface interface-name]. Un seul nom de SA IPsec peut être spécifié pour une interface OSPF ou OSPFv3 ; Toutefois, différentes interfaces OSPF/OSPFv3 peuvent spécifier la même SA IPsec.Pour un lien virtuel OSPF ou OSPFv3, incluez l’instruction
ipsec-sa nameau niveau de la hiérarchie [] ou [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idedit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]. Vous devez configurer la même SA IPsec pour toutes les liaisons virtuelles ayant la même adresse de point de terminaison distant.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPF ou OSPFv3 sur les pare-feu SRX Series :
Les configurations VPN manuelles configurées au niveau de la hiérarchie [
edit security ipsec vpn vpn-name manual] ne peuvent pas être appliquées aux interfaces OSPF ou OSPFv3 ou aux liens virtuels pour fournir l’authentification et la confidentialité IPsec.Vous ne pouvez pas configurer IPsec pour l’authentification OSPF ou OSPFv3 si un VPN IPsec est déjà configuré sur l’équipement avec les mêmes adresses locales et distantes.
IPsec pour l’authentification OSPF ou OSPFv3 n’est pas pris en charge sur les interfaces st0 de tunnel sécurisé.
La ressaisie des touches manuelles n’est pas prise en charge.
Les SA IKE (Dynamic Internet Key Exchange) ne sont pas prises en charge.
Seul le mode de transport IPsec est pris en charge. En mode transport, seule la charge utile (les données que vous transférez) du paquet IP est chiffrée, authentifiée ou les deux. Le mode tunnel n’est pas pris en charge.
Étant donné que seules les SA manuelles bidirectionnelles sont prises en charge, tous les homologues OSPFv3 doivent être configurés avec la même SA IPsec. Vous configurez une SA bidirectionnelle manuelle au niveau de la hiérarchie [
edit security ipsec].Vous devez configurer la même SA IPsec pour toutes les liaisons virtuelles ayant la même adresse de point de terminaison distant.
Voir également
Exemple : configuration de l’authentification IPsec pour une interface OSPF sur un pare-feu SRX Series
Cet exemple montre comment configurer et appliquer une association de sécurité (SA) manuelle à une interface OSPF.
Conditions préalables
Avant de commencer :
Configurez les interfaces de l’appareil.
Configurez les identificateurs de routeur pour les périphériques de votre réseau OSPF.
Contrôlez le choix du routeur désigné par l’OSPF.
Configurez un réseau OSPF à zone unique.
Configurez un réseau OSPF multizone.
Présentation
Vous pouvez utiliser l’authentification IPsec pour OSPF et OSPFv3. Vous configurez la SA manuelle séparément et l’appliquez à la configuration OSPF applicable. Tableau 3 répertorie les paramètres et les valeurs configurés pour la SA manuelle dans cet exemple.
Paramètre |
Valeur |
|---|---|
Nom de la SA |
sa1 |
Mode |
Transport |
Direction |
Bidirectionnel |
Protocole |
AH |
SPI |
256 |
Algorithme d’authentification Clé |
HMAC-MD5-96 (ASCII) 123456789012abc |
Algorithme de chiffrement Clé |
des (ASCII) cba210987654321 |
Configuration
Configuration d’une SA manuelle
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement une SA manuelle à utiliser pour l’authentification IPsec sur une interface OSPF, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [edit], puis passez commit en mode de configuration.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer une SA manuelle :
Spécifiez un nom pour la SA.
[edit] user@host# edit security ipsec security-association sa1
Spécifiez le mode de l’AS manuel.
[edit security ipsec security-association sa1] user@host# set mode transport
Configurez la direction de la SA manuelle.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Configurez le protocole IPsec à utiliser.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Configurez la valeur du SPI.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Configurez l’algorithme et la clé d’authentification.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Configurez l’algorithme et la clé de chiffrement.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Résultats
Confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez configuré le mot de passe, vous ne voyez pas le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Activation de l’authentification IPsec pour une interface OSPF
Configuration rapide de l’interface de ligne de commande
Pour appliquer rapidement une SA manuelle utilisée pour l’authentification IPsec à une interface OSPF, copiez la commande suivante, collez-la dans un fichier texte, modifiez les détails nécessaires pour qu’elle corresponde à votre configuration réseau, copiez et collez la commande dans l’interface de ligne de commande au niveau de la hiérarchie [edit], puis passez commit en mode de configuration.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procédure étape par étape
Pour activer l’authentification IPsec pour une interface OSPF :
Créez une zone OSPF.
Pour spécifier OSPFv3, incluez l’instruction
ospf3au niveau de la[edit protocols]hiérarchie.[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Appliquez la SA manuelle IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Résultats
Confirmez votre configuration en entrant la show ospf interface detail commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Pour confirmer votre configuration OSPFv3, entrez la show protocols ospf3 commande.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres d’association de sécurité IPsec
- Vérification de l’association de sécurité IPsec sur l’interface OSPF
Vérification des paramètres d’association de sécurité IPsec
But
Vérifiez les paramètres d’association de sécurité IPsec configurés. Vérifiez les informations suivantes :
Le champ Association de sécurité affiche le nom de l’association de sécurité configurée.
Le champ SPI affiche la valeur que vous avez configurée.
Le champ Mode affiche le mode de transport.
Le champ Type affiche manuel comme type d’association de sécurité.
Action
À partir du mode opérationnel, entrez la show ospf interface detail commande.
Vérification de l’association de sécurité IPsec sur l’interface OSPF
But
Vérifiez que l’association de sécurité IPsec que vous avez configurée a été appliquée à l’interface OSPF. Vérifiez que le champ Nom de la SA IPsec affiche le nom de l’association de sécurité IPsec configurée.
Action
En mode opérationnel, entrez la commande pour OSPF, puis entrez la show ospf interface detailshow ospf3 interface detail commande pour OSPFv3.
Configuration du VPN IPsec à l’aide de l’assistant VPN
L’assistant VPN vous permet d’effectuer une configuration VPN IPsec de base, y compris la phase 1 et la phase 2. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.
Pour configurer le VPN IPsec à l’aide de l’Assistant VPN :
- Sélectionnez
Configure>Device Setup>VPNdans l’interface J-Web. - Cliquez sur le bouton Lancer l’assistant VPN.
- Suivez les instructions de l’assistant.
La partie supérieure gauche de la page de l’assistant indique où vous en êtes dans le processus de configuration. La zone inférieure gauche de la page affiche l’aide sensible au champ. Lorsque vous cliquez sur un lien sous l’en-tête Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, assurez-vous de fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.
Voir également
Exemple : Configuration d’un VPN en étoile
Cet exemple montre comment configurer un VPN IPsec en étoile pour un déploiement de classe entreprise. Pour le VPN IPSec de site à site avec IKEv1 et IKEv2, voir VPN IPsec basé sur le routage avec IKEv1 et VPN IPsec basé sur le routage avec IKEv1 respectivement.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-route-based-ipsec-vpns.html#id-example-configuring-a-route-based-vpn
Conditions préalables
Cet exemple utilise le matériel suivant :
Appareil SRX240
SRX5800 appareil
Appareil SSG140
Avant de commencer, lisez Présentation d’IPsec.
Présentation
Cet exemple décrit comment configurer un VPN en étoile que l’on trouve généralement dans les déploiements de filiales. Le hub est le siège social, et il y a deux branches : une succursale à Sunnyvale, en Californie, et une succursale à Westford, dans le Massachusetts. Les utilisateurs des filiales utiliseront le VPN pour transférer des données en toute sécurité vers le siège social.
Figure 1 présente un exemple de topologie VPN en étoile. Dans cette topologie, un équipement SRX5800 se trouve au siège social. Un pare-feu SRX Series est situé à la succursale de Westford et un dispositif SSG140 est situé à la succursale de Sunnyvale.
Dans cet exemple, vous configurez le hub de siège social, le rayon Westford et le rayon Sunnyvale. Tout d’abord, vous configurez les interfaces, les routes IPv4 statiques et par défaut, les zones de sécurité et les carnets d’adresses. Ensuite, vous configurez les paramètres IKE Phase 1 et IPsec Phase 2, et liez l’interface st0.0 au VPN IPsec. Sur le hub, vous configurez st0.0 pour le multipoint et ajoutez une entrée de table NHTB statique pour le rayon Sunnyvale. Enfin, vous configurez la stratégie de sécurité et les paramètres TCP-MSS. Consultez Tableau 4 les Tableau 8 paramètres de configuration spécifiques utilisés dans cet exemple.
Moyeu ou étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Interfaces |
GE-0/0/0.0 |
192.168.10.1/24 |
GE-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Parlé |
Interfaces |
GE-0/0/0.0 |
10.3.3.2/30 |
GE-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
Centre |
Zones de sécurité |
confiance |
|
Untrust |
|
||
Vpn |
L’interface st0.0 est liée à cette zone. |
||
Parlé |
Zones de sécurité |
confiance |
|
Untrust |
|
||
Vpn |
L’interface st0.0 est liée à cette zone. |
||
Centre |
Entrées du carnet d’adresses |
local-net |
|
sunnyvale-net |
|
||
westford-net (en anglais seulement) |
|
||
Parlé |
Entrées du carnet d’adresses |
local-net |
|
corp-net (en anglais seulement) |
|
||
sunnyvale-net |
|
Moyeu ou étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Proposition |
IKE-phase1-proposition |
|
Politique |
ike-phase1-policy |
|
|
Passerelle |
GW-Westford (en anglais seulement) |
|
|
GW-Sunnyvale (en anglais seulement) |
|
||
Parlé |
Proposition |
IKE-phase1-proposition |
|
Politique |
ike-phase1-policy |
|
|
Passerelle |
GW-CORPORATE (en anglais seulement) |
|
Moyeu ou étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Proposition |
Proposition ipsec-phase2 |
|
Politique |
politique ipsec-phase2 |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
Parlé |
Proposition |
Proposition ipsec-phase2 |
|
Politique |
politique ipsec-phase2 |
|
|
VPN |
vpn-corporatif |
|
Moyeu ou étoile |
But |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
La politique de sécurité autorise le trafic de la zone de confiance vers la zone vpn. |
local en étoile |
|
La politique de sécurité autorise le trafic de la zone vpn vers la zone de confiance. |
porte-à-local |
Critères de correspondance :
|
|
La politique de sécurité autorise le trafic intrazone. |
rayon à rayon |
Critères de correspondance :
|
|
Parlé |
La politique de sécurité autorise le trafic de la zone de confiance vers la zone vpn. |
to-corp |
|
La politique de sécurité autorise le trafic de la zone vpn vers la zone de confiance. |
from-corp |
Critères de correspondance :
|
|
La stratégie de sécurité autorise le trafic de la zone d’approbation vers la zone de confiance. |
permis-tout |
Critères de correspondance :
|
But |
Paramètres de configuration |
|---|---|
TCC-MSS est négocié dans le cadre de l’établissement de liaison TCP à trois voies et limite la taille maximale d’un segment TCP afin de mieux s’adapter aux limites MTU d’un réseau. Pour le trafic VPN, la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trames, peuvent entraîner un dépassement de la MTU de l’interface physique par le paquet ESP résultant, ce qui entraîne une fragmentation. La fragmentation augmente l’utilisation de la bande passante et des ressources des appareils. La valeur 1350 est un point de départ recommandé pour la plupart des réseaux Ethernet dont la MTU est supérieure ou égale à 1500. Vous devrez peut-être tester différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un périphérique du chemin d’accès a une MTU inférieure ou s’il existe une surcharge supplémentaire telle que PPP ou Frame Relay. |
Valeur MSS : 1350 |
Configuration
- Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le hub
- Configuration d’IKE pour le Hub
- Configuration d’IPsec pour le Hub
- Configuration des stratégies de sécurité pour le hub
- Configuration de TCP-MSS pour le hub
- Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le Westford Spoke
- Configuration d’IKE pour le Westford Spoke
- Configuration d’IPsec pour le Westford Spoke
- Configuration des stratégies de sécurité pour le Westford Spoke
- Configuration de TCP-MSS pour le Westford Spoke
- Configuration du rayon Sunnyvale
Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les informations de base du réseau, de la zone de sécurité et du carnet d’adresses pour le hub :
Configurez les informations de l’interface Ethernet.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configurez les informations d’itinéraire statiques.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Configurez la zone de sécurité untrust.
[edit ] user@hub# set security zones security-zone untrust
Attribuez une interface à la zone de sécurité untrust.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Spécifiez les services système autorisés pour la zone de sécurité non approuvée.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Configurez la zone de sécurité de confiance.
[edit] user@hub# edit security zones security-zone trust
Attribuez une interface à la zone de sécurité de confiance.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Créez un carnet d’adresses et attachez-y une zone.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Configurez la zone de sécurité VPN.
[edit] user@hub# edit security zones security-zone vpn
Attribuez une interface à la zone de sécurité vpn.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Créez un autre carnet d’adresses et attachez-y une zone.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces, show routing-options, show security zoneset show security address-book. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’IKE pour le Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IKE pour le hub :
Créez la proposition IKE Phase 1.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Définissez le groupe Diffie-Hellman de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Créez une stratégie IKE Phase 1.
[edit security ike] user@hub# set policy ike-phase1-policy
Définissez le mode de stratégie IKE Phase 1.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Définissez la méthode d’authentification de la stratégie IKE Phase 1.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Créez une passerelle IKE Phase 1 et définissez son interface externe.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Définissez la référence de stratégie IKE Phase 1.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Définissez l’adresse de passerelle IKE Phase 1.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Créez une passerelle IKE Phase 1 et définissez son interface externe.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Définissez la référence de stratégie IKE Phase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Définissez l’adresse de passerelle IKE Phase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’IPsec pour le Hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec pour le hub :
Créez une proposition IPsec Phase 2.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Spécifiez le protocole de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Spécifiez l’algorithme d’authentification de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Spécifiez l’algorithme de chiffrement de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Créez la stratégie IPsec Phase 2.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Spécifiez la référence de proposition IPsec Phase 2.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Spécifiez le PFS IPsec Phase 2 pour utiliser le groupe Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Spécifiez les passerelles IKE.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Spécifiez les stratégies IPsec Phase 2.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Spécifiez l’interface à lier.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Configurez l’interface st0 en tant que multipoint.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Ajoutez des entrées de table NHTB statiques pour les bureaux de Sunnyvale et de Westford.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration des stratégies de sécurité pour le hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les stratégies de sécurité pour le hub :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone vpn.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Créez la politique de sécurité pour autoriser le trafic de la zone vpn vers la zone de confiance.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Créez la stratégie de sécurité pour autoriser le trafic intrazone.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration de TCP-MSS pour le hub
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security flow tcp-mss ipsec-vpn mss 1350
Procédure étape par étape
Pour configurer les informations TCP-MSS pour le hub :
Configurez les informations TCP-MSS.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le Westford Spoke
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les informations de base du réseau, de la zone de sécurité et du carnet d’adresses pour le Westford spoke :
Configurez les informations de l’interface Ethernet.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Configurez les informations d’itinéraire statiques.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Configurez la zone de sécurité untrust.
[edit] user@spoke# set security zones security-zone untrust
Attribuez une interface à la zone de sécurité.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Spécifiez les services système autorisés pour la zone de sécurité non approuvée.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Configurez la zone de sécurité de confiance.
[edit] user@spoke# edit security zones security-zone trust
Attribuez une interface à la zone de sécurité de confiance.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Configurez la zone de sécurité VPN.
[edit] user@spoke# edit security zones security-zone vpn
Attribuez une interface à la zone de sécurité vpn.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Créez un carnet d’adresses et attachez-y une zone.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Créez un autre carnet d’adresses et attachez-y une zone.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces, show routing-options, show security zoneset show security address-book. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’IKE pour le Westford Spoke
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IKE pour le Westford spoke :
Créez la proposition IKE Phase 1.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Définissez le groupe Diffie-Hellman de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Créez une stratégie IKE Phase 1.
[edit security ike] user@spoke# set policy ike-phase1-policy
Définissez le mode de stratégie IKE Phase 1.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Définissez la méthode d’authentification de la stratégie IKE Phase 1.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Créez une passerelle IKE Phase 1 et définissez son interface externe.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Définissez la référence de stratégie IKE Phase 1.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Définissez l’adresse de passerelle IKE Phase 1.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’IPsec pour le Westford Spoke
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec pour le Westford spoke :
Créez une proposition IPsec Phase 2.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Spécifiez le protocole de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Spécifiez l’algorithme d’authentification de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Spécifiez l’algorithme de chiffrement de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Créez la stratégie IPsec Phase 2.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Spécifiez la référence de proposition IPsec Phase 2.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Spécifiez le PFS IPsec Phase 2 pour utiliser le groupe Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Spécifiez la passerelle IKE.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Spécifiez la stratégie IPsec Phase 2.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Spécifiez l’interface à lier.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration des stratégies de sécurité pour le Westford Spoke
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer des stratégies de sécurité pour le Westford spoke :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone vpn.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Créez la politique de sécurité pour autoriser le trafic de la zone vpn vers la zone de confiance.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration de TCP-MSS pour le Westford Spoke
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security flow tcp-mss ipsec-vpn mss 1350
Procédure étape par étape
Pour configurer TCP-MSS pour le Westford spoke :
Configurez les informations TCP-MSS.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration du rayon Sunnyvale
Configuration rapide de l’interface de ligne de commande
Cet exemple utilise un périphérique SSG Series pour le rayon Sunnyvale. Pour référence, la configuration du périphérique SSG Series est fournie. Pour plus d’informations sur la configuration des périphériques SSG Series, reportez-vous à la section , qui se trouve à Concepts and Examples ScreenOS Reference Guidehttps://www.juniper.net/documentation.
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’état de la phase 1 de l’IKE
- Vérification de l’état IPsec Phase 2
- Vérification des liaisons de tunnel Next-Hop
- Vérification des routes statiques pour les réseaux locaux homologues distants
- Examen des statistiques et des erreurs pour une association de sécurité IPsec
- Test du flux de trafic sur le VPN
Vérification de l’état de la phase 1 de l’IKE
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
Avant de commencer le processus de vérification, vous devez envoyer le trafic d’un hôte du réseau 192.168.10/24 vers un hôte des réseaux 192.168.168/24 et 192.168.178/24 pour activer les tunnels. Pour les VPN basés sur le routage, vous pouvez envoyer le trafic initié à partir du pare-feu SRX Series via le tunnel. Lorsque vous testez des tunnels IPsec, nous vous recommandons d’envoyer le trafic de test d’un périphérique distinct d’un côté du VPN vers un second périphérique de l’autre côté du VPN. Par exemple, lancez un ping de 192.168.10.10 à 192.168.168.10.
À partir du mode opérationnel, entrez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail commande.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneSens
La show security ike security-associations commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index detailSA.Remote Address (Adresse distante) : vérifiez que l’adresse IP distante est correcte.
État
UP : l’AS de phase 1 a été établie.
BAS : un problème est survenu lors de l’établissement de l’AS de phase 1.
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les informations suivantes sont correctes dans votre configuration :
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
Paramètres de stratégie IKE
Informations clés prépartagées
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations index 1 detail commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1 :
Algorithmes d’authentification et de chiffrement utilisés
Durée de vie de la phase 1
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
Informations sur les rôles de l’initiateur et de l’intervenant
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
Nombre de SA IPsec créées
Nombre de négociations de phase 2 en cours
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail commande.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Sens
La sortie de la show security ipsec security-associations commande répertorie les informations suivantes :
Le numéro d’identification est le 16385. Utilisez cette valeur avec la
show security ipsec security-associations indexcommande pour obtenir plus d’informations sur cette SA particulière.Il existe une paire SA IPsec utilisant le port 500, ce qui indique qu’aucune traversée NAT n’est implémentée. (La traversée NAT utilise le port 4500 ou un autre port aléatoire à nombre élevé.)
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 28756/ unlim indique que la durée de vie de la phase 2 expire dans 28756 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
La sortie de la show security ipsec security-associations index 16385 detail commande répertorie les informations suivantes :
L’identité locale et l’identité distante constituent l’ID de proxy de la SA.
Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec de phase 2. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions de phase 2, y compris les paramètres d’ID de proxy, sont correctes pour les deux homologues. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir de la même adresse IP homologue. Dans ce cas, un ID de proxy unique doit être spécifié pour chaque SA IPsec. Pour certains fournisseurs tiers, l’ID de proxy doit être saisi manuellement pour correspondre.
Une autre raison fréquente de l’échec de la phase 2 est la non-spécification de la liaison d’interface ST. Si IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez les options de traçage.
Vérification des liaisons de tunnel Next-Hop
But
Une fois la phase 2 terminée pour tous les homologues, vérifiez les liaisons de tunnel du saut suivant.
Action
À partir du mode opérationnel, entrez la show security ipsec next-hop-tunnels commande.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Sens
Les passerelles next-hop sont les adresses IP des interfaces st0 de tous les homologues spoke distants. Le saut suivant doit être associé au nom de VPN IPsec correct. S’il n’existe pas d’entrée NHTB, l’équipement central n’a aucun moyen de différencier quel VPN IPsec est associé à quel saut suivant.
Le champ Indicateur a l’une des valeurs suivantes :
Statique : NHTB a été configuré manuellement dans les configurations d’interface st0.0, ce qui est requis si l’homologue n’est pas un pare-feu SRX Series.
Auto : NHTB n’a pas été configuré, mais l’entrée a été automatiquement renseignée dans la table NHTB pendant les négociations de phase 2 entre deux pare-feu SRX Series
Il n’y a pas de table NHTB pour l’un des sites spoke dans cet exemple. Du point de vue des étoiles, l’interface st0 est toujours une liaison point à point avec une seule liaison VPN IPsec.
Vérification des routes statiques pour les réseaux locaux homologues distants
But
Vérifiez que la route statique fait référence à l’adresse IP st0 de l’homologue spoke.
Action
À partir du mode opérationnel, entrez la show route commande.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0Le saut suivant est l’adresse IP st0 de l’homologue distant, et les deux routes pointent vers st0.0 en tant qu’interface sortante.
Examen des statistiques et des erreurs pour une association de sécurité IPsec
But
Examinez les compteurs d’en-tête et les erreurs ESP et d’authentification pour une association de sécurité IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec statistics index commande.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Vous pouvez également utiliser la show security ipsec statistics commande pour consulter les statistiques et les erreurs de toutes les SA.
Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics commande.
Sens
Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics commande ou show security ipsec statistics detail plusieurs fois pour confirmer que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreur sont incrémentés.
Test du flux de trafic sur le VPN
But
Vérifiez le flux de trafic sur le VPN.
Action
Vous pouvez utiliser la ping commande du pare-feu SRX Series pour tester le flux de trafic vers un PC hôte distant. Veillez à spécifier l’interface source afin que la recherche d’itinéraire soit correcte et que les zones de sécurité appropriées soient référencées lors de la recherche de stratégie.
À partir du mode opérationnel, entrez la ping commande.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Vous pouvez également utiliser la ping commande à partir du périphérique SSG Series.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Sens
Si la ping commande échoue à partir de l’équipement SRX Series ou SSG Series, il peut y avoir un problème avec le routage, les stratégies de sécurité, l’hôte final ou le chiffrement et le déchiffrement des paquets ESP.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
container-string niveau [edit security ike gateway gateway_name dynamic distinguished-name] de wildcard-string celle-ci. Si vous essayez de configurer le deuxième attribut après avoir configuré le premier, le premier attribut est remplacé par le second. Avant de mettre à niveau votre appareil, vous devez supprimer l’un des attributs si vous avez configuré les deux attributs.