Sur cette page
Présentation de la configuration du VPN IPsec avec clé automatique IKE
Options de configuration recommandées pour un VPN de site à site avec adresses IP statiques
Comprendre les VPN IPsec avec des points de terminaison dynamiques
Configuration des ID IKE distants pour les VPN de site à site
Comprendre l’authentification OSPF et OSPFv3 sur les équipements SRX Series
Présentation de la configuration VPN IPsec
Une connexion VPN peut relier deux RÉSEAUX LOCAUX (VPN de site à site) ou un utilisateur distant et un LAN. Le trafic qui circule entre ces deux points passe par des ressources partagées telles que des routeurs, des commutateurs et d’autres équipements réseau qui composent le WAN public. Un tunnel IPsec est créé entre deux équipements participants pour sécuriser les communications VPN.
Présentation de la configuration du VPN IPsec avec clé automatique IKE
La négociation VPN IPsec se déroule en deux phases. Au cours de la phase 1, les participants établissent un canal sécurisé dans lequel négocier l’association de sécurité IPsec (SA). Au cours de la phase 2, les participants négocient la sa IPsec pour l’authentification du trafic qui traversera le tunnel.
Cette présentation décrit les étapes de base pour configurer un VPN IPsec basé sur des routes ou des stratégies à l’aide de clés ou de certificats IKE (clés ou certificats pré-partagés).
Pour configurer un VPN IPsec basé sur des routes ou des stratégies à l’aide de la clé automatique IKE :
Voir également
Options de configuration recommandées pour un VPN de site à site avec adresses IP statiques
Tableau 1 répertorie les options de configuration d’un VPN générique de site à site entre deux équipements de sécurité dotés d’adresses IP statiques. Le VPN peut être basé sur des routes ou des stratégies.
Configuration Option |
Commentaire |
|---|---|
Options de configuration IKE : |
|
Mode principal |
Utilisé lorsque les pairs ont des adresses IP statiques. |
Certificats RSA ou DSA |
Les certificats RSA ou DSA peuvent être utilisés sur l’équipement local. Spécifiez le type de certificat (PKCS7 ou X.509) sur l’homologue. |
Diffie-Hellman (DH) groupe 14 |
Le groupe DH 14 offre plus de sécurité que les groupes DH 1, 2 ou 5. |
Chiffrement AES (Advanced Encryption Standard) |
L’AES est cryptographiquement plus solide que data encryption standard (DES) et triple DES (3DES) lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS (Federal Information Processing Standards) et les normes EAL4 des Critères communs. |
Authentification Secure Hash Algorithm 256 (SHA-256) |
Sha-256 offre plus de sécurité cryptographique que SHA-1 ou Message Digest 5 (MD5). |
Options de configuration IPsec : |
|
Perfect Forward Secrecy (PFS) DH group 14 |
Pfs DH Group 14 offre une sécurité accrue, car les pairs effectuent un deuxième échange DH pour produire la clé utilisée pour le chiffrement et le déchiffrement IPsec. |
Protocole ESP (Encapsulating Security Payload) |
L’ESP assure à la fois la confidentialité par le chiffrement et l’encapsulation du paquet IP d’origine et l’intégrité par l’authentification. |
Chiffrement AES |
AES est cryptographiquement plus fort que DES et 3DES lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour FIPS et les normes EAL4 des critères communs. |
Authentification SHA-256 |
Sha-256 offre plus de sécurité cryptographique que SHA-1 ou MD5. |
Protection anti-replay |
Activé par défaut. La désactivation de cette fonctionnalité peut résoudre les problèmes de compatibilité avec des pairs tiers. |
Voir également
Options de configuration recommandées pour les VPN de site à site ou d’accès à distance avec adresses IP dynamiques
Tableau 2 répertorie les options de configuration d’un VPN générique de site à site ou d’accès à distance, où les équipements homologues disposent d’adresses IP dynamiques.
Configuration Option |
Commentaire |
|---|---|
Options de configuration IKE : |
|
Mode principal |
Utilisé avec les certificats. |
Certificats 2048 bits |
Des certificats RSA ou DSA peuvent être utilisés. Spécifiez le certificat à utiliser sur l’équipement local. Spécifiez le type de certificat (PKCS7 ou X.509) sur l’homologue. |
Diffie-Hellman (DH) groupe 14 |
Le groupe DH 14 offre plus de sécurité que les groupes DH 1, 2 ou 5. |
Chiffrement AES (Advanced Encryption Standard) |
L’AES est cryptographiquement plus solide que data encryption standard (DES) et triple DES (3DES) lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour les normes FIPS (Federal Information Processing Standards) et les normes EAL4 des Critères communs. |
Authentification Secure Hash Algorithm 256 (SHA-256) |
Sha-256 offre plus de sécurité cryptographique que SHA-1 ou Message Digest 5 (MD5). |
Options de configuration IPsec : |
|
Perfect Forward Secrecy (PFS) DH group 14 |
Pfs DH Group 14 offre une sécurité accrue, car les pairs effectuent un deuxième échange DH pour produire la clé utilisée pour le chiffrement et le déchiffrement IPsec. |
Protocole ESP (Encapsulating Security Payload) |
L’ESP assure à la fois la confidentialité par le chiffrement et l’encapsulation du paquet IP d’origine et l’intégrité par l’authentification. |
Chiffrement AES |
AES est cryptographiquement plus fort que DES et 3DES lorsque les longueurs de clé sont égales. Algorithme de chiffrement approuvé pour FIPS et les normes EAL4 des critères communs. |
Authentification SHA-256 |
Sha-256 offre plus de sécurité cryptographique que SHA-1 ou MD5. |
Protection anti-replay |
Activé par défaut. Cette désactivation peut résoudre les problèmes de compatibilité avec des pairs tiers. |
Voir également
Comprendre les VPN IPsec avec des points de terminaison dynamiques
- Présentation
- Identité IKE
- Mode agressif pour la stratégie IKEv1
- Stratégies IKE et interfaces externes
- NAT
- IDs IKE de groupe et partagés
Présentation
Un homologue VPN IPsec peut avoir une adresse IP qui n’est pas connue de l’homologue avec lequel il établit la connexion VPN. Par exemple, une adresse IP peut être attribuée dynamiquement au moyen du protocole DHCP (Dynamic Host Configuration Protocol). Cela peut être le cas d’un client d’accès distant dans une filiale ou un bureau à domicile ou d’un appareil mobile qui se déplace entre différents emplacements physiques. Ou encore, l’homologue peut être situé derrière un équipement NAT qui traduit l’adresse IP source d’origine de l’homologue en une autre adresse. Un appair VPN avec une adresse IP inconnue est appelé point de terminaison dynamique , tandis qu’un VPN établi avec un terminal dynamique est appelé VPN de terminal dynamique.
Sur les équipements SRX Series, IKEv1 ou IKEv2 est pris en charge avec des VPN dynamiques des terminaux. Les VPN dynamiques des terminaux sur les équipements SRX Series prennent en charge le trafic IPv4 sur des tunnels sécurisés. À partir de la version 15.1X49-D80 de Junos OS, les VPN dynamiques des terminaux sur les équipements SRX Series prennent en charge le trafic IPv6 dans les tunnels sécurisés.
Le trafic IPv6 n’est pas pris en charge pour les réseaux AutoVPN.
Les sections suivantes décrivent les éléments à noter lors de la configuration d’un VPN avec un point de terminaison dynamique.
Identité IKE
Sur le terminal dynamique, une identité IKE doit être configurée pour que l’équipement s’identifie à son homologue. L’identité locale du point de terminaison dynamique est vérifiée sur l’homologue. Par défaut, l’équipement SRX Series s’attend à ce que l’identité IKE soit l’une des suivantes :
Lorsque des certificats sont utilisés, un nom unique (DN) peut être utilisé pour identifier les utilisateurs ou une organisation.
Un nom d’hôte ou un nom de domaine complet (FQDN) qui identifie le terminal.
Nom de domaine complet de l’utilisateur (UFQDN), également appelé user-at-hostname. Il s’agit d’une chaîne qui suit le format de l’adresse e-mail.
Mode agressif pour la stratégie IKEv1
Lorsque IKEv1 est utilisé avec des VPN dynamiques pour les terminaux, la stratégie IKE doit être configurée en mode agressif. IKEv2 n’utilise pas de mode agressif, vous pouvez donc configurer le mode principal ou le mode agressif lorsque vous utilisez IKEv2 avec des VPN de terminaux dynamiques.
Stratégies IKE et interfaces externes
À partir de Junos OS version 12.3X48-D40, junos OS version 15.1X49-D70 et junos OS version 17.3R1, toutes les passerelles de points de terminaison dynamiques configurées sur les équipements SRX Series qui utilisent la même interface externe peuvent utiliser des stratégies IKE différentes, mais les stratégies IKE doivent utiliser la même proposition IKE. Cela s’applique aux IKEv1 et IKEv2.
NAT
Si le point de terminaison dynamique se trouve derrière un équipement NAT, NAT-T doit être configuré sur l’équipement SRX Series. Des exigences de maintenance NAT peuvent être nécessaires pour maintenir la traduction NAT pendant la connexion entre les pairs VPN. Par défaut, NAT-T est activé sur les équipements SRX Series et les keepalives NAT sont envoyés à des intervalles de 20 secondes.
IDs IKE de groupe et partagés
Vous pouvez configurer un tunnel VPN individuel pour chaque terminal dynamique. Pour les VPN dynamiques des points de terminaison IPv4, vous pouvez utiliser l’ID IKE de groupe ou les fonctionnalités d’ID IKE partagées pour permettre à un certain nombre de points de terminaison dynamiques de partager une configuration de passerelle IKE.
L’ID IKE de groupe vous permet de définir une partie commune d’un ID IKE complet pour tous les points de terminaison dynamiques, comme « example.net ». Une partie spécifique à l’utilisateur, telle que le nom d’utilisateur « Bob », concaté avec la partie commune forme un ID IKE complet (Bob.example.net) qui identifie de manière unique chaque connexion utilisateur.
L’ID IKE partagé permet aux terminaux dynamiques de partager un seul ID IKE et une clé prépartage.
Voir également
Comprendre la configuration de l’identité IKE
L’identification IKE (IKE ID) est utilisée pour la validation des équipements vpn homologues lors de la négociation IKE. L’ID IKE reçu par l’équipement SRX Series d’un pair distant peut être une adresse IPv4 ou IPv6, un nom d’hôte, un nom de domaine complet (FQDN), un FQDN utilisateur (UFQDN) ou un nom unique (DN). L’ID IKE envoyé par l’homologue distant doit correspondre à ce qui est attendu par l’équipement SRX Series. Dans le cas contraire, la validation de l’ID IKE échoue et le VPN n’est pas établi.
- Types d’ID IKE
- ID IKE distants et VPN site à site
- IDs IKE distants et VPN dynamiques des terminaux
- ID IKE local de l’équipement SRX Series
Types d’ID IKE
Les équipements SRX Series prennent en charge les types d’identités IKE suivants pour les pairs distants :
Une adresse IPv4 ou IPv6 est couramment utilisée avec les VPN de site à site, où l’homologue distant dispose d’une adresse IP statique.
Un nom d’hôte est une chaîne qui identifie le système peer distant. Il peut s’agir d’un FQDN qui se résout à une adresse IP. Il peut également s’agir d’un FQDN partiel utilisé conjointement avec un type d’utilisateur IKE pour identifier un utilisateur distant spécifique.
Lorsqu’un nom d’hôte est configuré au lieu d’une adresse IP, la configuration validée et l’établissement du tunnel ultérieur sont basés sur l’adresse IP actuellement résolue. Si l’adresse IP de l’homologue distant change, la configuration n’est plus valide.
Un UFQDN est une chaîne qui suit le même format qu’une adresse e-mail, telle que
user@example.com.Un DN est un nom utilisé avec les certificats numériques pour identifier un utilisateur de manière unique. Par exemple, un DN peut être « CN=utilisateur, DC=example, DC=com ». Vous pouvez également utiliser le
containermot clé pour spécifier que l’ordre des champs d’un DN et leurs valeurs correspondent exactement au DN configuré, ou utiliser lewildcardmot-clé pour spécifier que les valeurs des champs d’un DN doivent correspondre, mais que l’ordre des champs n’a aucune importance.À partir de la version 19.4R1 de Junos OS, vous ne pouvez désormais configurer qu’un seul attribut DN dynamique entre
container-stringetwildcard-stringau niveau[edit security ike gateway gateway_name dynamic distinguished-name]de la hiérarchie. Si vous essayez de configurer le deuxième attribut après avoir configuré le premier attribut, le premier attribut est remplacé par le deuxième attribut. Avant de mettre à niveau votre équipement, vous devez supprimer l’un des attributs si vous avez configuré les deux attributs.Un type d’utilisateur IKE peut être utilisé avec AutoVPN et les VPN d’accès distant lorsque plusieurs pairs distants se connectent à la même passerelle VPN sur l’équipement SRX Series. Configurez
ike-user-type group-ike-idpour spécifier un ID IKE de groupe ouike-user-type shared-ike-idpour spécifier un ID IKE partagé.
ID IKE distants et VPN site à site
Pour les VPN de site à site, l’ID IKE de l’homologue distant peut être l’adresse IP de la carte d’interface réseau sortante, une adresse de bouclage, un nom d’hôte ou un ID IKE configuré manuellement, selon la configuration de l’équipement homologue.
Par défaut, les équipements SRX Series s’attendent à ce que l’ID IKE de l’homologue distant soit l’adresse IP configurée avec la set security ike gateway gateway-name address configuration. Si l’ID IKE de l’homologue distant est une valeur différente, vous devez configurer l’instruction remote-identity au niveau de la hiérarchie [edit security ike gateway gateway-name].
Par exemple, une passerelle IKE sur les équipements SRX Series est configurée avec la set security ike gateway remote-gateway address 203.0.113.1 commande. Cependant, l’ID IKE envoyé par l’homologue distant est host.example.net. Il existe une incompatibilité entre ce que l’équipement SRX Series attend pour l’ID IKE de l’homologue distant (203.0.113.1) et l’ID IKE réel (host.example.net) envoyé par le pair. Dans ce cas, la validation de l’ID IKE échoue. Utilisez le set security ike gateway remote-gateway remote-identity hostname host.example.net pour correspondre à l’ID IKE reçu de l’homologue distant.
IDs IKE distants et VPN dynamiques des terminaux
Pour les VPN dynamiques des points de terminaison, l’ID IKE attendu de l’homologue distant est configuré avec les options au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic]. Pour AutoVPN, hostnameike-user-type group-ike-id peut être utilisé lorsque plusieurs pairs ont un nom de domaine commun. Si des certificats sont utilisés pour vérifier l’homologue, un DN peut être configuré.
ID IKE local de l’équipement SRX Series
Par défaut, l’équipement SRX Series utilise l’adresse IP de son interface externe pour l’homologue distant comme id IKE. Il est possible de remplacer cet ID IKE en configurant l’instruction local-identity au niveau de la hiérarchie [edit security ike gateway gateway-name] Si vous devez configurer l’instruction local-identity sur un équipement SRX Series, assurez-vous que l’ID IKE configuré correspond à l’ID IKE attendu par l’homologue distant.
Voir également
Configuration des ID IKE distants pour les VPN de site à site
Par défaut, les équipements SRX Series valident l’ID IKE reçu de l’homologue avec l’adresse IP configurée pour la passerelle IKE. Dans certaines configurations réseau, l’ID IKE reçu de l’homologue (qui peut être une adresse IPv4 ou IPv6, un nom de domaine complet [FQDN], nom unique ou adresse e-mail) ne correspond pas à la passerelle IKE configurée sur l’équipement SRX Series. Cela peut entraîner un échec de validation de phase 1.
Pour modifier la configuration de l’équipement SRX Series ou de l’équipement peer pour l’ID IKE utilisé :
Sur l’équipement SRX Series, configurez l’instruction
remote-identityau niveau de la hiérarchie [edit security ike gateway gateway-name] pour qu’elle corresponde à l’ID IKE reçu de l’homologue. Les valeurs peuvent être une adresse IPv4 ou IPv6, un FQDN, un nom unique ou une adresse e-mail.Si vous ne configurez
remote-identitypas , l’équipement utilise l’adresse IPv4 ou IPv6 qui correspond par défaut à l’homologue distant.Sur l’équipement homologue, assurez-vous que l’ID IKE est le même que celui
remote-identityconfiguré sur l’équipement SRX Series. Si l’équipement homologue est un équipement SRX Series, configurez l’instructionlocal-identityau niveau de la hiérarchie [edit security ike gateway gateway-name] Les valeurs peuvent être une adresse IPv4 ou IPv6, un FQDN, un nom unique ou une adresse e-mail.
Voir également
Comprendre l’authentification OSPF et OSPFv3 sur les équipements SRX Series
OSPFv3 n’a pas de méthode d’authentification intégrée et s’appuie sur la suite IP Security (IPsec) pour fournir cette fonctionnalité. L’IPsec fournit l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre les replays et la non-répudiation de la source. Vous pouvez utiliser IPsec pour sécuriser des interfaces OSPFv3 spécifiques et des liaisons virtuelles, et pour chiffrer les paquets OSPF.
OSPFv3 utilise l’en-tête d’authentification IP (AH) et les parties ESP (Ip Encapsulating Security Payload) du protocole IPsec pour authentifier les informations de routage entre pairs. AH peut fournir une intégrité sans connexion et une authentification de l’origine des données. Il offre également une protection contre les replays. AH authentifie autant d’en-tête IP que possible, ainsi que les données de protocole de niveau supérieur. Cependant, certains champs d’en-tête IP peuvent changer en cours de transit. Parce que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. L’ESP peut fournir un chiffrement et une confidentialité limitée des flux de trafic ou une intégrité sans connexion, l’authentification de l’origine des données et un service anti-replay.
L’IPsec est basé sur des associations de sécurité (SA). Un SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Cette connexion simplex fournit des services de sécurité aux paquets transportés par le SA. Ces spécifications comprennent des préférences pour le type d’authentification, de chiffrement et de protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Un SA permet de chiffrer et d’authentifier un flux particulier dans une seule direction. Par conséquent, dans le trafic bidirectionnel normal, les flux sont sécurisés par une paire de SA. Un SA à utiliser avec OSPFv3 doit être configuré manuellement et utiliser le mode de transport. Les valeurs statiques doivent être configurées aux deux extrémités du SA.
Pour configurer IPsec pour OSPF ou OSPFv3, définissez d’abord un SA manuel avec l’option security-association sa-name au niveau de la hiérarchie [edit security ipsec]. Cette fonctionnalité prend uniquement en charge les clés manuelles bidirectionnelles en mode transport. Les SA manuels ne nécessitent aucune négociation entre les pairs. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuels définissent statiquement les valeurs, les algorithmes et les clés de l’indice de paramètres de sécurité (SPI) à utiliser et nécessitent des configurations correspondantes sur les deux points de terminaison (pairs OSPF ou OSPFv3). En conséquence, chaque pair doit disposer des mêmes options configurées pour que la communication ait lieu.
Le choix réel des algorithmes de chiffrement et d’authentification est laissé à votre administrateur IPsec; toutefois, nous avons les recommandations suivantes :
Utilisez l’ESP avec chiffrement null pour assurer l’authentification des en-têtes de protocole, mais pas de l’en-tête IPv6, des en-têtes d’extension et des options. Avec le chiffrement null, vous choisissez de ne pas chiffrer les en-têtes de protocole. Cela peut être utile à des fins de dépannage et de débogage. Pour plus d’informations sur le chiffrement NULL, consultez la RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez ESP avec DES ou 3DES pour une confidentialité totale.
Utilisez l’AH pour fournir l’authentification des en-têtes de protocole, des champs immuables dans les en-têtes IPv6 et des en-têtes et options d’extension.
Le SA configuré est appliqué aux configurations OSPF ou OSPFv3 comme suit :
Pour une interface OSPF ou OSPFv3, incluez l’instruction
ipsec-sa nameau niveau de la hiérarchie [edit protocols ospf area area-id interface interface-name] ou [edit protocols ospf3 area area-id interface interface-name]. Un seul nom IPsec SA peut être spécifié pour une interface OSPF ou OSPFv3 ; cependant, différentes interfaces OSPF/OSPFv3 peuvent spécifier le même SA IPsec.Pour un lien virtuel OSPF ou OSPFv3, incluez l’instruction
ipsec-sa nameau niveau de la hiérarchie [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] ou [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]. Vous devez configurer le même SA IPsec pour toutes les liaisons virtuelles avec la même adresse de point de terminaison distante.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPF ou OSPFv3 sur les équipements SRX Series :
Les configurations VPN manuelles configurées au niveau de la hiérarchie [
edit security ipsec vpn vpn-name manual] ne peuvent pas être appliquées aux interfaces OSPF ou OSPFv3 ou aux liaisons virtuelles pour assurer l’authentification et la confidentialité IPsec.Vous ne pouvez pas configurer IPsec pour l’authentification OSPF ou OSPFv3 si un VPN IPsec existant est configuré sur l’équipement avec les mêmes adresses locales et distantes.
L’authentification IPsec pour OSPF ou OSPFv3 n’est pas prise en charge sur les interfaces st0 du tunnel sécurisé.
La re-clé manuelle n’est pas prise en charge.
Les sla IKE (Internet Key Exchange) dynamiques ne sont pas pris en charge.
Seul le mode de transport IPsec est pris en charge. En mode transport, seule la charge utile (les données que vous transférez) du paquet IP est chiffrée, authentifiée ou les deux. Le mode tunnel n’est pas pris en charge.
Étant donné que seuls les SAs manuels bidirectionnels sont pris en charge, tous les pairs OSPFv3 doivent être configurés avec le même SA IPsec. Vous configurez une SA bidirectionnelle manuelle au niveau de la hiérarchie [
edit security ipsec] .Vous devez configurer le même SA IPsec pour toutes les liaisons virtuelles avec la même adresse de point de terminaison distante.
Voir également
Exemple : Configuration de l’authentification IPsec pour une interface OSPF sur un équipement SRX Series
Cet exemple montre comment configurer et appliquer une association de sécurité manuelle (SA) à une interface OSPF.
Conditions préalables
Avant de commencer :
Configurez les interfaces de l’équipement.
Configurez les identifiants de routeur pour les équipements de votre réseau OSPF.
Contrôlez l’élection du routeur désigné OSPF.
Configurez un réseau OSPF à zone unique.
Configurez un réseau OSPF multi-zones.
Présentation
Vous pouvez utiliser l’authentification IPsec pour OSPF et OSPFv3. Vous configurez le SA manuel séparément et l’appliquez à la configuration OSPF applicable. Tableau 3 répertorie les paramètres et les valeurs configurés pour le SA manuel dans cet exemple.
Paramètre |
Valeur |
|---|---|
Nom DE SA |
sa1 |
Mode |
Transport |
Direction |
Bidirectionnel |
Protocole |
AH |
SPI |
256 |
Algorithme d’authentification Clé |
hmac-md5-96 (ASCII) 123456789012abc |
Algorithme de chiffrement Clé |
des (ASCII) cba210987654321 |
Configuration
Configuration manuelle d’un SA
Configuration rapide cli
Pour configurer rapidement un SA manuel à utiliser pour l’authentification IPsec sur une interface OSPF, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [edit] puis saisissez commit à partir du mode de configuration.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer un SA manuel :
Spécifiez un nom pour le SA.
[edit] user@host# edit security ipsec security-association sa1
Spécifiez le mode du SA manuel.
[edit security ipsec security-association sa1] user@host# set mode transport
Configurez la direction du SA manuel.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Configurez le protocole IPsec à utiliser.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Configurez la valeur du SPI.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Configurez l’algorithme et la clé d’authentification.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Configurez l’algorithme et la clé de chiffrement.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Résultats
Confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Après avoir configuré le mot de passe, vous ne voyez plus le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Activation de l’authentification IPsec pour une interface OSPF
Configuration rapide cli
Pour appliquer rapidement une sa manuelle utilisée pour l’authentification IPsec à une interface OSPF, copiez la commande suivante, collez-la dans un fichier texte, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez la commande dans la CLI au niveau de la hiérarchie [edit] et saisissez commit ensuite le mode de configuration.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procédure étape par étape
Pour activer l’authentification IPsec pour une interface OSPF :
Créez une zone OSPF.
Pour spécifier OSPFv3, incluez l’instruction
ospf3au niveau de la[edit protocols]hiérarchie.[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Appliquez le sa manuel IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Résultats
Confirmez votre configuration en entrant la show ospf interface detail commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Pour confirmer votre configuration OSPFv3, saisissez la show protocols ospf3 commande.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres de l’association de sécurité IPsec
- Vérification de l’association de sécurité IPsec sur l’interface OSPF
Vérification des paramètres de l’association de sécurité IPsec
But
Vérifiez les paramètres d’association de sécurité IPsec configurés. Vérifiez les informations suivantes :
Le champ Association de sécurité affiche le nom de l’association de sécurité configurée.
Le champ SPI affiche la valeur que vous avez configurée.
Le champ Mode affiche le mode de transport.
Le champ Type affiche manuellement le type d’association de sécurité.
Action
Depuis le mode opérationnel, saisissez la show ospf interface detail commande.
Vérification de l’association de sécurité IPsec sur l’interface OSPF
But
Vérifiez que l’association de sécurité IPsec que vous avez configurée a été appliquée à l’interface OSPF. Vérifiez que le champ IPsec NOM SA affiche le nom de l’association de sécurité IPsec configurée.
Action
À partir du mode opérationnel, saisissez la show ospf interface detail commande pour OSPF et la show ospf3 interface detail commande pour OSPFv3.
Configuration du VPN IPsec à l’aide de l’assistant VPN
L’assistant VPN vous permet d’effectuer une configuration VPN IPsec de base, y compris les phases 1 et 2. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.
Pour configurer le VPN IPsec à l’aide de l’assistant VPN :
- Sélectionnez
Configure>Device Setup>VPNl’interface J-Web. - Cliquez sur le bouton Launch VPN Wizard.
- Suivez les invites de l’assistant.
La partie supérieure gauche de la page de l’Assistant indique où vous en êtes dans le processus de configuration. La zone inférieure gauche de la page affiche une aide sensible aux champs. Lorsque vous cliquez sur un lien sous le titre Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, veillez à fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.
Voir également
Exemple : Configuration d’un VPN en étoile
Cet exemple montre comment configurer un VPN IPsec en étoile pour un déploiement de niveau entreprise.
Conditions préalables
Cet exemple utilise le matériel suivant :
Équipement SRX240
Équipement SRX5800
Équipement SSG140
Avant de commencer, lisez Présentation IPsec.
Présentation
Cet exemple explique comment configurer un VPN en étoile typiquement présent dans les déploiements de filiales. Le hub est le bureau de l’entreprise, et il y a deux rayons : une filiale à Sunnyvale, en Californie, et une filiale à Westford, dans le Massachusetts. Les utilisateurs des filiales utiliseront le VPN pour transférer des données en toute sécurité avec le siège de l’entreprise.
Figure 1 montre un exemple de topologie VPN en étoile. Dans cette topologie, un équipement SRX5800 est situé au siège de l’entreprise. Un équipement SRX Series est situé sur la filiale de Westford, et un équipement SSG140 est situé à la filiale de Sunnyvale.
Dans cet exemple, vous configurez le hub des bureaux d’entreprise, le westford spoke et le sunnyvale spoke. Vous configurez d’abord les interfaces, les routes statiques et par défaut IPv4, les zones de sécurité et les carnets d’adresses. Ensuite, vous configurez les paramètres IKE de phase 1 et IPsec de phase 2, et liez l’interface st0.0 au VPN IPsec. Sur le hub, vous configurez st0.0 pour le multipoint et ajoutez une entrée de table NHTB statique pour le rayon Sunnyvale. Enfin, vous configurez la stratégie de sécurité et les paramètres TCP-MSS. Tableau 8 Consultez Tableau 4 les paramètres de configuration spécifiques utilisés dans cet exemple.
En étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Interfaces |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Parlé |
Interfaces |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
Centre |
Zones de sécurité |
confiance |
|
non sécurisée |
|
||
vpn |
L’interface st0.0 est liée à cette zone. |
||
Parlé |
Zones de sécurité |
confiance |
|
non sécurisée |
|
||
vpn |
L’interface st0.0 est liée à cette zone. |
||
Centre |
Entrées du carnet d’adresses |
local-net |
|
sunnyvale-net |
|
||
westford-net |
|
||
Parlé |
Entrées du carnet d’adresses |
local-net |
|
corp-net |
|
||
sunnyvale-net |
|
En étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Proposition |
ike-phase1-proposal |
|
Politique |
ike-phase1-policy |
|
|
Passerelle |
gw-westford |
|
|
gw-sunnyvale |
|
||
Parlé |
Proposition |
Proposition de phase 1 |
|
Politique |
Stratégie d’ike phase1 |
|
|
Passerelle |
gw-corporate |
|
En étoile |
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
Proposition |
ipsec-phase2-proposal |
|
Politique |
ipsec-phase2-policy |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
Parlé |
Proposition |
Proposition ipsec phase2 |
|
Politique |
Stratégie ipsec phase2 |
|
|
VPN |
vpn-entreprise |
|
En étoile |
But |
Nom |
Paramètres de configuration |
|---|---|---|---|
Centre |
La stratégie de sécurité autorise le trafic de la zone de confiance à la zone VPN. |
locaux en rayon |
|
La stratégie de sécurité autorise le trafic de la zone VPN à la zone de confiance. |
spokes-to-local |
Critères de correspondance :
|
|
La stratégie de sécurité autorise le trafic intrazone. |
en haut-à-d’autres |
Critères de correspondance :
|
|
Parlé |
La stratégie de sécurité autorise le trafic de la zone de confiance à la zone VPN. |
à l’entreprise |
|
La stratégie de sécurité autorise le trafic de la zone VPN à la zone de confiance. |
de l’entreprise |
Critères de correspondance :
|
|
La stratégie de sécurité autorise le trafic de la zone de confiance à la zone de confiance. |
n’importe quel permis |
Critères de correspondance :
|
But |
Paramètres de configuration |
|---|---|
Le TCC-MSS est négocié dans le cadre de la négociation TCP à trois voies et limite la taille maximale d’un segment TCP pour mieux adapter les limites MTU sur un réseau. Pour le trafic VPN, la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trame, peuvent entraîner le paquet ESP résultant de dépasser le MTU de l’interface physique, ce qui provoque la fragmentation. La fragmentation se traduit par une utilisation accrue de la bande passante et des ressources d’équipement. La valeur 1350 est un point de départ recommandé pour la plupart des réseaux Ethernet avec un MTU de 1 500 ou plus. Vous devrez peut-être tester différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un équipement du chemin a un MTU inférieur, ou s’il y a des frais supplémentaires tels que PPP ou relais de trames. |
Valeur MSS : 1350 |
Configuration
- Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le hub
- Configuration d’IKE pour le hub
- Configuration d’IPsec pour le hub
- Configuration des stratégies de sécurité pour le hub
- Configuration de TCP-MSS pour le hub
- Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour westford spoke
- Configuration d’IKE pour Westford Spoke
- Configuration d’IPsec pour Westford Spoke
- Configuration des stratégies de sécurité pour westford spoke
- Configuration de TCP-MSS pour westford spoke
- Configuration du Sunnyvale Spoke
Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le hub
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le hub :
Configurez les informations de l’interface Ethernet.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configurez les informations de route statiques.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Configurez la zone de sécurité de non confiance.
[edit ] user@hub# set security zones security-zone untrust
Assignez une interface à la zone de sécurité non fiable.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Spécifiez les services système autorisés pour la zone de sécurité non fiable.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Configurez la zone de sécurité de confiance.
[edit] user@hub# edit security zones security-zone trust
Assignez une interface à la zone de sécurité trust.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Créez un carnet d’adresses et attachez-y une zone.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Configurez la zone de sécurité VPN.
[edit] user@hub# edit security zones security-zone vpn
Attribuez une interface à la zone de sécurité vpn.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Créez un autre carnet d’adresses et attachez-y une zone.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-options, show security zoneset les show security address-book commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration d’IKE pour le hub
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer IKE pour le hub :
Créez la proposition de phase 1 de l’IKE.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Définir la proposition IKE groupe Diffie-Hellman.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Créez une stratégie IKE de phase 1.
[edit security ike] user@hub# set policy ike-phase1-policy
Définissez le mode de stratégie IKE de phase 1.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Définissez la méthode d’authentification des stratégies de phase 1 IKE.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Créez une passerelle IKE de phase 1 et définissez son interface externe.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Définissez la référence de la stratégie IKE de phase 1.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Définissez l’adresse de passerelle de phase 1 IKE.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Créez une passerelle IKE de phase 1 et définissez son interface externe.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Définissez la référence de la stratégie IKE de phase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Définissez l’adresse de passerelle de phase 1 IKE.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration d’IPsec pour le hub
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer IPsec pour le hub :
Créez une proposition IPsec de phase 2.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Spécifiez le protocole de proposition IPsec de phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Spécifiez l’algorithme d’authentification de la proposition de phase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Spécifiez l’algorithme de chiffrement IPsec de phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Créez la stratégie IPsec de phase 2.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Spécifiez la référence de la proposition IPsec de phase 2.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Spécifiez la phase 2 PFS IPsec pour utiliser le groupe 2 de Diffie-Hellman.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Spécifiez les passerelles IKE.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Spécifiez les stratégies IPsec de phase 2.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Spécifiez l’interface à lier.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Configurez l’interface st0 en tant que multipoint.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Ajoutez des entrées de table NHTB statiques pour les bureaux de Sunnyvale et Westford.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration des stratégies de sécurité pour le hub
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les stratégies de sécurité du hub :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance à la zone VPN.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Créez la stratégie de sécurité pour autoriser le trafic de la zone VPN à la zone de confiance.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Créez la stratégie de sécurité pour autoriser le trafic intra-zone.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration de TCP-MSS pour le hub
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security flow tcp-mss ipsec-vpn mss 1350
Procédure étape par étape
Pour configurer les informations TCP-MSS pour le hub :
Configurez les informations TCP-MSS.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration des informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour westford spoke
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les informations de base sur le réseau, la zone de sécurité et le carnet d’adresses pour le westford spoke :
Configurez les informations de l’interface Ethernet.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Configurez les informations de route statiques.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Configurez la zone de sécurité de non confiance.
[edit] user@spoke# set security zones security-zone untrust
Assignez une interface à la zone de sécurité.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Spécifiez les services système autorisés pour la zone de sécurité non fiable.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Configurez la zone de sécurité de confiance.
[edit] user@spoke# edit security zones security-zone trust
Assignez une interface à la zone de sécurité trust.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Configurez la zone de sécurité VPN.
[edit] user@spoke# edit security zones security-zone vpn
Attribuez une interface à la zone de sécurité vpn.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Créez un carnet d’adresses et attachez-y une zone.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Créez un autre carnet d’adresses et attachez-y une zone.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-options, show security zoneset les show security address-book commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration d’IKE pour Westford Spoke
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer IKE pour le westford spoke :
Créez la proposition de phase 1 de l’IKE.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Définir la proposition IKE groupe Diffie-Hellman.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Créez une stratégie IKE de phase 1.
[edit security ike] user@spoke# set policy ike-phase1-policy
Définissez le mode de stratégie IKE de phase 1.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Définissez la méthode d’authentification des stratégies de phase 1 IKE.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Créez une passerelle IKE de phase 1 et définissez son interface externe.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Définissez la référence de la stratégie IKE de phase 1.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Définissez l’adresse de passerelle de phase 1 IKE.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration d’IPsec pour Westford Spoke
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer IPsec pour le westford spoke :
Créez une proposition IPsec de phase 2.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Spécifiez le protocole de proposition IPsec de phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Spécifiez l’algorithme d’authentification de la proposition de phase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Spécifiez l’algorithme de chiffrement IPsec de phase 2.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Créez la stratégie IPsec de phase 2.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Spécifiez la référence de la proposition IPsec de phase 2.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Spécifiez la phase 2 PFS IPsec pour utiliser le groupe 2 de Diffie-Hellman.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Spécifiez la passerelle IKE.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Spécifiez la stratégie IPsec de phase 2.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Spécifiez l’interface à lier.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration des stratégies de sécurité pour westford spoke
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les stratégies de sécurité du westford spoke :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance à la zone VPN.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Créez la stratégie de sécurité pour autoriser le trafic de la zone VPN à la zone de confiance.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration de TCP-MSS pour westford spoke
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security flow tcp-mss ipsec-vpn mss 1350
Procédure étape par étape
Pour configurer TCP-MSS pour le westford spoke :
Configurez les informations TCP-MSS.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration du Sunnyvale Spoke
Configuration rapide cli
Cet exemple utilise un équipement SSG Series pour le rayon Sunnyvale. Pour référence, la configuration de l’équipement SSG Series est fournie. Pour plus d’informations sur la configuration des équipements SSG Series, consultez le Concepts and Examples ScreenOS Reference Guide, situé à l’adresse https://www.juniper.net/documentation.
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de l’état de la phase 1 de l’IKE
- Vérification de l’état de la phase 2 IPsec
- Vérification des liaisons de tunnel au saut suivant
- Vérification des routes statiques pour les LAN locaux homologues distants
- Révision des statistiques et des erreurs pour une association de sécurité IPsec
- Test du flux de trafic sur le VPN
Vérification de l’état de la phase 1 de l’IKE
But
Vérifiez le statut de la phase 1 de l’IKE.
Action
Avant de commencer le processus de vérification, vous devez envoyer le trafic d’un hôte du réseau 192.168.10/24 à un hôte des réseaux 192.168.168/24 et 192.168.178/24 pour mettre les tunnels en service. Pour les VPN basés sur le routage, vous pouvez envoyer le trafic initié à partir de l’équipement SRX Series par le tunnel. Lorsque vous testez des tunnels IPsec, nous vous recommandons d’envoyer le trafic de test d’un équipement distinct d’un côté du VPN vers un deuxième équipement de l’autre côté du VPN. Par exemple, lancer un ping de 192.168.10.10 à 192.168.168.10.
Depuis le mode opérationnel, saisissez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail commande.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneSens
La show security ike security-associations commande répertorie tous les SA de phase 1 IKE actifs. Si aucun AS n’est répertorié, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres d’interface externes dans votre configuration.
Si des AS sont répertoriés, consultez les informations suivantes :
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la
show security ike security-associations index detailcommande pour obtenir plus d’informations sur le SA.Adresse distante : vérifiez que l’adresse IP distante est correcte.
État
UP : la phase 1 SA a été établie.
DOWN : il y a eu un problème pour établir le SA de phase 1.
Mode : vérifiez que le bon mode est utilisé.
Vérifiez que les informations suivantes sont correctes dans votre configuration :
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
Paramètres de stratégie IKE
Informations clés prépartage
Les paramètres de la proposition de phase 1 (doivent correspondre aux deux pairs)
La show security ike security-associations index 1 detail commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1 :
Algorithmes d’authentification et de chiffrement utilisés
Durée de vie de la phase 1
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic circule correctement dans les deux sens)
Informations sur le rôle de l’initateur et du répondeur
Le dépannage est mieux effectué sur l’homologue en utilisant le rôle de répondeur.
Nombre de SAs IPsec créés
Nombre de négociations de phase 2 en cours
Vérification de l’état de la phase 2 IPsec
But
Vérifiez le statut IPsec phase 2.
Action
Depuis le mode opérationnel, saisissez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail commande.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Sens
Le résultat de la show security ipsec security-associations commande répertorie les informations suivantes :
Le numéro d’identification est 16385. Utilisez cette valeur avec la
show security ipsec security-associations indexcommande pour obtenir plus d’informations sur ce SA particulier.Il existe une paire IPsec SA utilisant le port 500, ce qui indique qu’aucun NAT-traversal n’est implémenté. (NAT-traversal utilise le port 4500 ou un autre port aléatoire à nombre élevé.)
Les SPIs, la durée de vie (en quelques secondes) et les limites d’utilisation (ou taille de vie en Ko) sont affichés dans les deux sens. La valeur 28756/unlim indique que la durée de vie de la phase 2 expire en 28756 secondes et qu’aucune taille de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 après la mise en service du VPN.
La surveillance VPN n’est pas activée pour ce SA, comme l’indique un trait d’union dans la colonne mon. Si la surveillance VPN est activée, U indique que la surveillance est en cours et D indique que la surveillance est en panne.
Le système virtuel (vsys) est le système racine, et il répertorie toujours 0.
Le résultat de la show security ipsec security-associations index 16385 detail commande répertorie les informations suivantes :
L’identité locale et l’identité distante constituent l’ID proxy du SA.
Une incompatibilité d’ID proxy est l’une des causes les plus courantes d’une défaillance de phase 2. Si aucune IPsec SA n’est répertoriée, vérifiez que les propositions de phase 2, y compris les paramètres d’ID proxy, sont correctes pour les deux pairs. Pour les VPN basés sur le routage, l’ID proxy par défaut est local=0.0.0.0/0, distant=0.0.0.0/0 et service=any. Des problèmes peuvent se produire avec plusieurs VPN basés sur le routage à partir de la même ADRESSE IP homologue. Dans ce cas, un ID de proxy unique pour chaque SA IPsec doit être spécifié. Pour certains fournisseurs tiers, l’ID proxy doit être entré manuellement pour correspondre.
Une autre raison courante de l’échec de la phase 2 est l’absence de spécification de la liaison d’interface ST. Si l’IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez des options de traçage.
Vérification des liaisons de tunnel au saut suivant
But
Une fois la phase 2 terminée pour tous les pairs, vérifiez les liaisons du tunnel du saut suivant.
Action
Depuis le mode opérationnel, saisissez la show security ipsec next-hop-tunnels commande.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Sens
Les passerelles de saut suivant sont les adresses IP des interfaces st0 de tous les pairs distants. Le saut suivant doit être associé au nom VPN IPsec correct. S’il n’y a pas d’entrée NHTB, il n’y a aucun moyen pour l’équipement hub de faire la différence entre le VPN IPsec et le saut suivant.
Le champ Flag possède l’une des valeurs suivantes :
Statique : la NHTB a été configurée manuellement dans les configurations d’interface st0.0, ce qui est requis si l’homologue n’est pas un équipement SRX Series.
Auto : nhtb n’a pas été configuré, mais l’entrée a été automatiquement remplie dans la table NHTB lors des négociations de phase 2 entre deux équipements SRX Series
Il n’y a pas de tableau NHTB pour les sites en spoke dans cet exemple. D’un point de vue parlé, l’interface st0 reste une liaison point à point avec une seule liaison VPN IPsec.
Vérification des routes statiques pour les LAN locaux homologues distants
But
Vérifiez que la route statique fait référence à l’adresse IP st0 de l’homologue en spoke.
Action
Depuis le mode opérationnel, saisissez la show route commande.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0Le saut suivant est l’adresse IP st0 de l’homologue distant, et les deux routes pointent vers st0.0 comme interface sortante.
Révision des statistiques et des erreurs pour une association de sécurité IPsec
But
Examinez les compteurs d’en-têtes d’ESP et d’authentification et les erreurs pour une association de sécurité IPsec.
Action
Depuis le mode opérationnel, saisissez la show security ipsec statistics index commande.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Vous pouvez également utiliser la show security ipsec statistics commande pour examiner les statistiques et les erreurs pour tous les SA.
Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics commande.
Sens
Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics commande ou show security ipsec statistics detail plusieurs fois pour confirmer que les compteurs de paquets chiffrés et déchiffrés sont incrémentés. Vous devez également vérifier si les autres compteurs d’erreurs sont incrémentants.
Test du flux de trafic sur le VPN
But
Vérifiez le flux de trafic sur le VPN.
Action
Vous pouvez utiliser la ping commande de l’équipement SRX Series pour tester le flux de trafic vers un PC hôte distant. Assurez-vous de spécifier l’interface source pour que la recherche de route soit correcte et que les zones de sécurité appropriées soient référencées lors de la recherche de stratégie.
Depuis le mode opérationnel, saisissez la ping commande.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Vous pouvez également utiliser la ping commande de l’équipement SSG Series.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Sens
Si la ping commande de l’équipement SRX Series ou SSG Series échoue, il peut y avoir un problème de routage, de stratégies de sécurité, d’hôte final ou de chiffrement et de déchiffrement des paquets ESP.
container-string et wildcard-string au niveau [edit security ike gateway gateway_name dynamic distinguished-name] de la hiérarchie. Si vous essayez de configurer le deuxième attribut après avoir configuré le premier attribut, le premier attribut est remplacé par le deuxième attribut. Avant de mettre à niveau votre équipement, vous devez supprimer l’un des attributs si vous avez configuré les deux attributs.