Sur cette page
Comparaison des VPN basés sur les stratégies et ceux basés sur le routage
Comparaison des VPN basés sur les stratégies et des VPN basés sur le routage
Prise en charge VPN pour l’insertion de cartes de traitement de services
Prise en charge de la fonctionnalité VPN IPsec avec un nouveau package
Prise en charge des protocoles de routage sur les tunnels VPN IPsec
Présentation du VPN IPsec
Un VPN est un réseau privé qui utilise un réseau public pour connecter deux sites distants ou plus. Au lieu d’utiliser des connexions dédiées entre les réseaux, les VPN utilisent des connexions virtuelles acheminées (tunnelisées) via des réseaux publics. IPsec VPN est un protocole, se compose d’un ensemble de normes utilisées pour établir une connexion VPN.
Un VPN permet à des ordinateurs distants de communiquer en toute sécurité sur un WAN public tel qu’Internet.
Une connexion VPN peut relier deux réseaux locaux (VPN de site à site) ou un utilisateur commuté distant et un réseau local. Le trafic qui transite entre ces deux points passe par des ressources partagées telles que des routeurs, des commutateurs et d’autres équipements réseau qui composent le WAN public. Pour sécuriser la communication VPN tout en passant par le WAN, les deux participants créent un tunnel de sécurité IP (IPsec).
Le terme tunnel ne désigne pas le mode tunnel (voir Traitement des paquets en mode tunnel). Il s’agit plutôt de la connexion IPsec.
Topologies VPN IPsec sur pare-feu SRX Series
Voici quelques-unes des topologies VPN IPsec prises en charge par le système d’exploitation Junos :
VPN de site à site : connecte deux sites d’une organisation et permet des communications sécurisées entre les sites.
VPN en étoile : connectent les filiales au siège social au sein d’un réseau d’entreprise. Vous pouvez également utiliser cette topologie pour connecter des rayons entre eux en envoyant du trafic via le hub.
VPN d’accès à distance : permet aux utilisateurs travaillant à domicile ou en déplacement de se connecter au siège de l’entreprise et à ses ressources. Cette topologie est parfois appelée end-to-site tunnel.
Voir également
Comparaison des VPN basés sur les stratégies et ceux basés sur le routage
Il est important de comprendre les différences entre les VPN basés sur la politique et ceux basés sur le routage et pourquoi l’un peut être préférable à l’autre.
Tableau 1 répertorie les différences entre les VPN basés sur le routage et les VPN basés sur des stratégies.
VPN basés sur le routage |
VPN basés sur des stratégies |
---|---|
Avec les VPN basés sur le routage, une stratégie ne fait pas spécifiquement référence à un tunnel VPN. |
Avec les tunnels VPN basés sur des stratégies, un tunnel est traité comme un objet qui, avec la source, la destination, l’application et l’action, constitue une stratégie de tunnel qui autorise le trafic VPN. |
La stratégie fait référence à une adresse de destination. |
Dans une configuration VPN basée sur des stratégies, une stratégie de tunnel fait spécifiquement référence à un tunnel VPN par son nom. |
Le nombre de tunnels VPN basés sur le routage que vous créez est limité par le nombre d’entrées de route ou le nombre d’interfaces st0 prises en charge par l’appareil, le nombre le plus bas étant retenu. |
Le nombre de tunnels VPN basés sur des stratégies que vous pouvez créer est limité par le nombre de stratégies prises en charge par l’appareil. |
La configuration de tunnel VPN basée sur le routage est un bon choix lorsque vous souhaitez économiser les ressources du tunnel tout en définissant des restrictions granulaires sur le trafic VPN. |
Avec un VPN basé sur des stratégies, bien que vous puissiez créer plusieurs stratégies de tunnel référençant le même tunnel VPN, chaque paire de stratégies de tunnel crée une association de sécurité IPsec (SA) individuelle avec l’homologue distant. Chaque SA compte comme un tunnel VPN individuel. |
Avec une approche des VPN basée sur le routage, la régulation du trafic n’est pas couplée aux moyens de livraison. Vous pouvez configurer des dizaines de stratégies pour réguler le trafic circulant via un seul tunnel VPN entre deux sites, et une seule SA IPsec est à l’œuvre. En outre, une configuration VPN basée sur le routage vous permet de créer des stratégies référençant une destination atteinte par le biais d’un tunnel VPN dans laquelle l’action est refusé. |
Dans une configuration VPN basée sur une stratégie, l’action doit être autorisée et doit inclure un tunnel. |
Les VPN basés sur le routage prennent en charge l’échange d’informations de routage dynamique via les tunnels VPN. Vous pouvez activer une instance d’un protocole de routage dynamique, tel qu’OSPF, sur une interface st0 liée à un tunnel VPN. |
L’échange d’informations de routage dynamique n’est pas pris en charge dans les VPN basés sur des stratégies. |
Les configurations basées sur le routage sont utilisées pour les topologies en étoile. |
Les VPN basés sur des stratégies ne peuvent pas être utilisés pour les topologies en étoile. |
Avec les VPN basés sur le routage, une stratégie ne fait pas spécifiquement référence à un tunnel VPN. |
Lorsqu’un tunnel ne connecte pas de grands réseaux exécutant des protocoles de routage dynamique et que vous n’avez pas besoin de conserver des tunnels ou de définir diverses stratégies pour filtrer le trafic à travers le tunnel, un tunnel basé sur des stratégies est le meilleur choix. |
Les VPN basés sur le routage ne prennent pas en charge les configurations VPN d’accès à distance (commutées). |
Des tunnels VPN basés sur des stratégies sont nécessaires pour les configurations VPN d’accès à distance (commutée). |
Les VPN basés sur le routage peuvent ne pas fonctionner correctement avec certains fournisseurs tiers. |
Des VPN basés sur des stratégies peuvent être nécessaires si le tiers a besoin de SA distinctes pour chaque sous-réseau distant. |
Lorsque l’équipement de sécurité effectue une recherche d’itinéraire pour trouver l’interface par laquelle il doit envoyer le trafic pour atteindre une adresse, il trouve un itinéraire via une interface de tunnel sécurisée ( Dans le cas d’un tunnel VPN basé sur le routage, vous pouvez considérer un tunnel comme un moyen de distribuer le trafic, et vous pouvez considérer la stratégie comme une méthode permettant d’autoriser ou de refuser la distribution de ce trafic. |
Avec un tunnel VPN basé sur des stratégies, vous pouvez considérer un tunnel comme un élément dans la construction d’une stratégie. |
Les VPN basés sur le routage prennent en charge le NAT pour les interfaces st0. |
Les VPN basés sur des stratégies ne peuvent pas être utilisés si NAT est requis pour le trafic tunnelisé. |
L’ID de proxy est pris en charge pour les VPN basés sur l’itinéraire et les VPN basés sur des stratégies. Les tunnels basés sur le routage utilisent également plusieurs sélecteurs de trafic, également appelés ID multiproxy. Un sélecteur de trafic est un accord entre des homologues IKE pour autoriser le trafic à traverser un tunnel, si le trafic correspond à une paire spécifiée de préfixe d’adresse IP locale et distante, de plage de ports source, de plage de ports de destination et de protocole. Vous définissez un sélecteur de trafic au sein d’un VPN basé sur le routage spécifique, ce qui peut entraîner plusieurs SA IPsec de phase 2. Seul le trafic conforme à un sélecteur de trafic est autorisé par le biais d’une SA. Le sélecteur de trafic est généralement requis lorsque les périphériques de passerelle distante sont des équipements non-Juniper Networks.
Les VPN basés sur des stratégies ne sont pris en charge que sur SRX5400, SRX5600 et SRX5800 ligne. La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.
Voir également
Comparaison des VPN basés sur les stratégies et des VPN basés sur le routage
Tableau 2 résume les différences entre les VPN basés sur les stratégies et les VPN basés sur le routage.
VPN basés sur des stratégies |
VPN basés sur le routage |
---|---|
Dans les VPN basés sur des stratégies, un tunnel est traité comme un objet qui, avec la source, la destination, l’application et l’action, constitue une stratégie de tunnel qui autorise le trafic VPN. |
Dans les VPN basés sur le routage, une stratégie ne fait pas spécifiquement référence à un tunnel VPN. |
Une stratégie de tunnel fait spécifiquement référence à un tunnel VPN par son nom. |
Une route détermine quel trafic est envoyé à travers le tunnel en fonction d’une adresse IP de destination. |
Le nombre de tunnels VPN basés sur des stratégies que vous pouvez créer est limité par le nombre de tunnels pris en charge par l’appareil. |
Le nombre de tunnels VPN basés sur le routage que vous créez est limité par le nombre d’interfaces st0 (pour les VPN point à point) ou le nombre de tunnels pris en charge par l’appareil, le montant le plus bas étant retenu. |
Avec un VPN basé sur des stratégies, bien que vous puissiez créer plusieurs stratégies de tunnel référençant le même tunnel VPN, chaque paire de stratégies de tunnel crée une SA IPsec individuelle avec l’homologue distant. Chaque SA compte comme un tunnel VPN individuel. |
Étant donné que c’est la route, et non la stratégie, qui détermine quel trafic passe par le tunnel, plusieurs stratégies peuvent être prises en charge avec une seule SA ou VPN. |
Dans un VPN basé sur une stratégie, l’action doit être autorisée et doit inclure un tunnel. |
Dans un VPN basé sur le routage, la régulation du trafic n’est pas couplée aux moyens de sa livraison. |
L’échange d’informations de routage dynamique n’est pas pris en charge dans les VPN basés sur des stratégies. |
Les VPN basés sur le routage prennent en charge l’échange d’informations de routage dynamique via les tunnels VPN. Vous pouvez activer une instance d’un protocole de routage dynamique, tel qu’OSPF, sur une interface st0 liée à un tunnel VPN. |
Si vous avez besoin de plus de granularité que ce qu’une route peut fournir pour spécifier le trafic envoyé à un tunnel, l’utilisation d’un VPN basé sur des stratégies avec des politiques de sécurité est le meilleur choix. |
Les VPN basés sur les routes utilisent des routes pour spécifier le trafic envoyé à un tunnel ; une stratégie ne fait pas spécifiquement référence à un tunnel VPN. |
Avec un tunnel VPN basé sur des stratégies, vous pouvez considérer un tunnel comme un élément dans la construction d’une stratégie. |
Lorsque l’équipement de sécurité effectue une recherche d’itinéraire pour trouver l’interface par laquelle il doit envoyer le trafic pour atteindre une adresse, il trouve un itinéraire via une interface de tunnel sécurisé (st0). Dans le cas d’un tunnel VPN basé sur le routage, vous pouvez considérer un tunnel comme un moyen de distribuer le trafic, et vous pouvez considérer la stratégie comme une méthode permettant d’autoriser ou de refuser la distribution de ce trafic. |
Comprendre le traitement des paquets IKE et IPsec
Un tunnel VPN IPsec se compose de la configuration du tunnel et de la sécurité appliquée. Lors de la configuration du tunnel, les homologues établissent des associations de sécurité (SA), qui définissent les paramètres de sécurisation du trafic entre eux. (Reportez-vous à la section Présentation d’IPsec.) Une fois le tunnel établi, IPsec protège le trafic envoyé entre les deux points de terminaison du tunnel en appliquant les paramètres de sécurité définis par les SA lors de l’installation du tunnel. Dans l’implémentation de Junos OS, IPsec est appliqué en mode tunnel, qui prend en charge les protocoles ESP (Encapsulating Security Payload) et AH (Authentication Header).
Cette rubrique comprend les sections suivantes :
Traitement des paquets en mode tunnel
IPsec fonctionne selon l’un des deux modes suivants : transport ou tunnel. Lorsque les deux extrémités du tunnel sont des hôtes, vous pouvez utiliser l’un ou l’autre mode. Lorsqu’au moins un des points de terminaison d’un tunnel est une passerelle de sécurité, comme un routeur ou un pare-feu Junos OS, vous devez utiliser le mode tunnel. Les équipements Juniper Networks fonctionnent toujours en mode tunnel pour les tunnels IPsec.
En mode tunnel, l’intégralité du paquet IP d’origine (charge utile et en-tête) est encapsulée dans une autre charge utile IP, et un nouvel en-tête lui est ajouté, comme illustré à Figure 1la . L’intégralité du paquet d’origine peut être chiffrée, authentifiée ou les deux. Avec le protocole d’en-tête d’authentification (AH), l’AH et les nouveaux en-têtes sont également authentifiés. Avec le protocole ESP (Encapsulating Security Payload), l’en-tête ESP peut également être authentifié.
Dans un VPN de site à site, les adresses source et de destination utilisées dans le nouvel en-tête sont les adresses IP de l’interface sortante. Reportez-vous à la section Figure 2.
Dans un VPN commuté, il n’y a pas de passerelle de tunnel à l’extrémité du client d’accès à distance VPN du tunnel ; Le tunnel s’étend directement jusqu’au client lui-même (reportez-vous à la section Figure 3). Dans ce cas, sur les paquets envoyés par le client d’accès à distance, le nouvel en-tête et l’en-tête d’origine encapsulé ont la même adresse IP : celui de l’ordinateur du client.
Certains clients VPN, tels que Netscreen-Remote , utilisent une adresse IP interne virtuelle (également appelée « adresse collante »). Netscreen-Remote vous permet de définir l’adresse IP virtuelle. Dans ce cas, l’adresse IP interne virtuelle est l’adresse IP source dans l’en-tête du paquet d’origine du trafic provenant du client, et l’adresse IP que le FAI attribue dynamiquement au client d’accès à distance est l’adresse IP source dans l’en-tête externe.
Voir également
Distribution des sessions IKE et IPsec entre les SPU
Dans les appareils SRX5400, SRX5600 et SRX5800, IKE assure la gestion des tunnels pour IPsec et authentifie les entités finales. IKE effectue un échange de clés Diffie-Hellman (DH) pour générer un tunnel IPsec entre les périphériques réseau. Les tunnels IPsec générés par IKE sont utilisés pour chiffrer, déchiffrer et authentifier le trafic utilisateur entre les périphériques réseau au niveau de la couche IP.
Le VPN est créé en répartissant la charge de travail IKE et IPsec entre les différentes unités de traitement des services (SPU) de la plate-forme. Pour les tunnels de site à site, l’unité SPU la moins chargée est choisie comme SPU d’ancrage. Si plusieurs SPU ont la même plus petite charge, n’importe lequel d’entre eux peut être choisi comme SPU d’ancrage. Ici, la charge correspond au nombre de passerelles de site à site ou de tunnels VPN manuels ancrés sur un SPU. Pour les tunnels dynamiques, les tunnels dynamiques nouvellement établis utilisent un algorithme de tourniquet circulaire pour sélectionner le SPU.
Dans IPsec, la charge de travail est distribuée par le même algorithme que celui qui distribue l’IKE. La SA de phase 2 d’une paire de points de terminaison de tunnel VPN donnée est la propriété exclusive d’un SPU particulier, et tous les paquets IPsec appartenant à cette SA de phase 2 sont transférés à l’USP d’ancrage de cette SA pour le traitement IPsec.
Plusieurs sessions IPsec (Phase 2 SA) peuvent fonctionner sur une ou plusieurs sessions IKE. Le SPU sélectionné pour l’ancrage de la session IPsec est basé sur le SPU qui ancre la session IKE sous-jacente. Par conséquent, toutes les sessions IPsec qui s’exécutent sur une seule passerelle IKE sont gérées par le même SPU et ne sont pas équilibrées en charge sur plusieurs SPU.
Tableau 3 montre un exemple de gamme SRX5000 avec trois SPU exécutant sept tunnels IPsec sur trois passerelles IKE.
SPU |
Passerelle IKE |
IPsec Tunnel |
---|---|---|
SPU0 |
IKE-1 |
IPsec-1 |
IPsec-2 |
||
IPsec-3 |
||
SPU1 |
IKE-2 |
IPsec-4 |
IPsec-5 |
||
IPsec-6 |
||
SPU2 |
IKE-3 |
IPsec-7 |
Les trois SPU ont une charge égale d’une passerelle IKE chacun. Si une nouvelle passerelle IKE est créée, SPU0, SPU1 ou SPU2 peut être sélectionné pour ancrer la passerelle IKE et ses sessions IPsec.
La configuration et le démantèlement de tunnels IPsec existants n’affectent pas la session IKE sous-jacente ni les tunnels IPsec existants.
Utilisez la commande suivante show
pour afficher le nombre actuel de tunnels par SPU : show security ike tunnel-map
.
Utilisez l’option summary
de la commande pour afficher les points d’ancrage de chaque passerelle : show security ike tunnel-map summary
.
Prise en charge VPN pour l’insertion de cartes de traitement de services
Les périphériques SRX5400, SRX5600 et SRX5800 disposent d’une architecture de processeurs distribués basée sur châssis. La puissance de traitement du flux est partagée et est basée sur le nombre de cartes de traitement des services (SPC). Vous pouvez augmenter la puissance de traitement de l’appareil en installant de nouveaux SPC.
Dans un cluster à châssis SRX5400, SRX5600 ou SRX5800, vous pouvez insérer de nouveaux SPC sur les équipements sans affecter ni perturber le trafic sur les tunnels VPN IKE ou IPsec existants. Lorsque vous insérez un nouveau SPC dans chaque châssis du cluster, les tunnels existants ne sont pas affectés et le trafic continue de circuler sans interruption.
À partir de Junos OS version 19.4R1, sur tous les clusters de châssis de la gamme SRX5000, vous pouvez insérer une nouvelle carte SRX5K-SPC3 (SPC3) ou SRX5K-SPC-4-15-320 (SPC2) dans un châssis existant contenant une carte SPC3. Vous ne pouvez insérer les cartes que dans un emplacement plus haut que la carte SPC3 existante sur le châssis. Vous devez redémarrer le noeud après l’insertion de SPC3 pour activer la carte. Une fois le redémarrage du nud terminé, les tunnels IPsec sont distribués sur les cartes.
Toutefois, les tunnels existants ne peuvent pas utiliser la puissance de traitement des unités de traitement de services (SPU) dans les nouveaux SPC. Une nouvelle SPU peut ancrer de nouveaux tunnels dynamiques et de site à site. Il n’est toutefois pas garanti que les tunnels nouvellement configurés soient ancrés sur un nouveau SPU.
Les tunnels de site à site sont ancrés sur différents SPU selon un algorithme d’équilibrage de charge. L’algorithme d’équilibrage de charge dépend des threads de flux numériques utilisés par chaque USP. Les tunnels appartenant aux mêmes adresses IP de passerelle locale et distante sont ancrés sur le même SPU sur des threads RT de flux différents utilisés par le SPU. L’USP avec la plus petite charge est choisie comme SPU d’ancrage. Chaque SPU gère le nombre de threads RT de flux hébergés dans ce SPU particulier. Le nombre de threads RT de flux hébergés sur chaque SPU varie en fonction du type de SPU.
Facteur de charge du tunnel = Nombre de tunnels ancrés sur le SPU / Nombre total de threads RT de flux utilisés par le SPU.
Les tunnels dynamiques sont ancrés sur différents SPU selon un algorithme de tourniquet (round-robin). Il n’est pas garanti que les tunnels dynamiques nouvellement configurés soient ancrés sur le nouveau SPC.
À compter des versions 18.2R2 et 18.4R1 de Junos OS, toutes les fonctionnalités VPN IPsec existantes actuellement prises en charge sur SRX5K-SPC3 (SPC3) uniquement seront prises en charge sur les équipements SRX5400, SRX5600 et SRX5800 lorsque les cartes SRX5K-SPC-4-15-320 (SPC2) et SPC3 sont installées et fonctionnent sur l’équipement en mode cluster de châssis ou en mode autonome.
Lorsque les cartes SPC2 et SPC3 sont installées, vous pouvez vérifier le mappage de tunnel sur différents SPU à l’aide de la show security ipsec tunnel-distribution
commande.
Utilisez la commande show security ike tunnel-map
pour afficher le mappage de tunnel sur différents SPU avec uniquement une carte SPC2 insérée. La commande show security ike tunnel-map
n’est pas valide dans un environnement où des cartes SPC2 et SPC3 sont installées.
Insertion de la carte SPC3 : Lignes directrices et limites :
-
Dans un cluster de châssis, si l’un des noeuds a 1 carte SPC3 et l’autre noeud a 2 cartes SPC3, le basculement vers le noeud qui a 1 carte SPC3 n’est pas pris en charge.
-
Vous devez insérer le SPC3 ou le SPC2 dans un châssis existant dans un emplacement plus haut qu’un SPC3 actuel présent dans un emplacement inférieur.
-
Pour que SPC3 ISHU fonctionne, vous devez insérer la nouvelle carte SPC3 dans le numéro d’emplacement supérieur.
-
Sur SRX5800 groupe de châssis, vous ne devez pas insérer la carte SPC3 dans l’emplacement le plus élevé (emplacement n° 11) en raison de la limite d’alimentation et de répartition de la chaleur.
-
Nous ne prenons pas en charge l’élimination à chaud SPC3.
Tableau 4 résume la gamme SRX5000 avec carte SPC2 ou SPC3 qui prend en charge kmd
ou iked
traite :
Ligne SRX5000 |
Prise en |
---|---|
Gamme SRX5000 avec seule carte SPC2 installée |
Prend en charge |
Gamme SRX5000 avec seule carte SPC3 installée |
Prend en charge |
Gamme SRX5000 avec carte SPC2 et SPC3 installée |
Prend en charge |
Voir également
Prise en charge de l’accélération cryptographique sur la carte SRX5K-SPC3, les plates-formes SRX de milieu de gamme et le pare-feu virtuel vSRX
Gamme SRX5000 avec la carte SRX5K-SPC3 (carte de traitement des services), les plates-formes de milieu de gamme SRX (pare-feu SRX4100, SRX4200, SRX1500 et SRX4600 Series) et nécessite Pare-feu virtuel vSRX junos-ike
package en tant que logiciel de plan de contrôle pour installer et activer les fonctionnalités VPN IPsec.
-
Sur la gamme SRX5000 avec RE3, par défaut, le package est installé dans Junos OS versions 20.1R2, 20.2R2, 20.3R2,
junos-ike
20.4R1 et ultérieures. Par conséquent, iked le ikemd processus s’exécute par défaut sur le moteur de routage au lieu du démon de gestion de clé IPsec (kmd). La gamme SRX5000 avec SRX5K-SPC3 décharge les opérations cryptographiques sur le moteur cryptographique matériel. -
Les plates-formes de milieu de gamme SRX, qui couvrent les pare-feu SRX1500, SRX4100, SRX4200 et SRX4600 Series, déchargent les opérations cryptographiques DH, RSA et ECDSA sur le moteur cryptographique matériel avec des équipements exécutant
junos-ike
des logiciels. Cette fonctionnalité est disponible à partir de Junos OS version 23.2R1 sur les équipements sur lesquelsjunos-ike
le package est installé. Les périphériques qui continuent d’exécuter le logiciel hérité iked (processus kmd) ne prennent pas en charge cette fonctionnalité. -
Sur le pare-feu virtuel vSRX, le thread CPU du plan de données décharge les opérations DH, RSA et ECDSA. L’accélération matérielle n’est pas disponible sur ces appareils. Cette fonctionnalité est disponible à partir de Junos OS version 23.2R1 avec
junos-ike
le package installé sur le périphérique.
Le Tableau 5 décrit la prise en charge de l’accélération matérielle pour divers chiffrements :
Chiffrement | SRX1500 | SRX4100/SRX4200 | SRX4600 | SRX5K - SPC3 | vSRX3.0 | ||||
---|---|---|---|---|---|---|---|---|---|
KMD (en anglais seulement) | L’IKED | KMD (en anglais seulement) | L’IKED | KMD (en anglais seulement) | L’IKED | L’IKED | KMD (en anglais seulement) | L’IKED | |
DH (Groupes 1, 2, 5, 14) | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui |
DH (Groupes 19, 20) | Non | Oui | Non | Oui | Non | Oui | Oui | Oui | Oui |
DH (Groupes 15, 16) | Non | Oui | Non | Oui | Non | Oui | Oui | Oui | Oui |
DH Groupe 21 | Non | Oui | Non | Oui | Non | Oui | Oui | Oui | Oui |
DH Groupe 24 | Oui | Oui | Oui | Oui | Oui | Oui | Non | Non | Non |
RSA | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui |
ECDSA (256, 384, 521) | Non | Oui | Non | Oui | Non | Oui | Oui | Oui | Oui |
Pour installer le package IKE Junos sur votre pare-feu SRX Series, utilisez la commande suivante :
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Pour utiliser kmd
process afin d’activer les fonctionnalités VPN IPsec sur la gamme SRX5000 sans carte SPC3, vous devez exécuter la request system software delete junos-ike
commande. Après avoir exécuté la commande, redémarrez l’appareil.
Pour vérifier le package installé junos-ike
, utilisez la commande suivante :
user@host>
show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
Voir également
Prise en charge de la fonctionnalité VPN IPsec avec un nouveau package
Les deux processus iked et ikemd prennent en charge les fonctionnalités VPN IPsec sur les pare-feu SRX Series. Une seule instance de et ikemd exécuter sur le moteur de iked routage à la fois.
Par défaut, junos-ike
le package est installé dans Junos OS version 19.4R1 et ultérieures pour SRX5K-SPC3 avec RE3. Les processus et ikemd s’exécutant iked sur le moteur de routage sont disponibles avec ce package. Sur le SRX5K-SPC3 avec RE2, il s’agit d’un package optionnel qui doit être installé explicitement.
Pour redémarrer ikemd le processus dans le moteur de routine, utilisez la restart ike-config-management
commande.
Pour redémarrer iked le processus dans le moteur de routage, utilisez la restart ike-key-management
commande.
Tableau 6 affiche les détails des versions de Junos OS où junos-ike
le package est introduit.
Plate-forme |
Version de Junos OS avec |
---|---|
SRX5K-SPC3 avec RE3 |
19.4R1 et versions ultérieures en tant que package par défaut |
SRX5K-SPC3 avec RE2 |
18.2R1 et versions ultérieures en option |
Pare-feu virtuel vSRX |
20.3R1 et versions ultérieures en option |
SRX1500 |
22.3R1 et versions ultérieures en option |
SRX4100, SRX4200 SRX4600 |
22.3R1 et versions ultérieures en option |
SRX1600, SRX2300 |
23.4R1 et versions ultérieures en tant que package par défaut |
Le fait de ne pas tenir compte des versions de version de Junos OS spécifiées lors de l’installation du package peut entraîner le junos-ike
dysfonctionnement des fonctionnalités non prises en charge comme prévu.
Pour utiliser les fonctionnalités VPN IPsec à l’aide de l’ancien kmd processus sur la gamme SRX5000 sans carte SRX5K-SPC3, vous devez exécuter la request system software delete junos-ike
commande et redémarrer l’équipement.
Fonctionnalités VPN IPsec non prises en charge
Cette section vous fournit un résumé des fonctionnalités et des configurations VPN IPsec qui ne sont pas prises en charge dans la gamme SRX5000 avec SRX5K-SPC3 et sur les instances du pare-feu virtuel vSRX.
Pour déterminer si une fonctionnalité est prise en charge par une plate-forme spécifique ou une version de Junos OS, reportez-vous à l’Explorateur de fonctionnalités.
Tableau 7 récapitule les fonctionnalités VPN IPsec non prises en charge sur les pare-feu SRX Series et le pare-feu virtuel vSRX exécutant le processus iked :
Fonctionnalités |
Prise en charge sur la gamme SRX5000 avec instances SRX5K-SPC3 et pare-feu virtuel vSRX |
---|---|
Mode point à multipoint (PIM) indépendant du protocole AutoVPN. |
Non |
Configuration de la classe de transfert sur les VPN IPsec. |
Non |
VPN de groupe. |
Non |
Configuration de la taille des paquets pour la vérification IPsec des chemins de données. |
Non |
VPN IPsec basé sur des stratégies. |
Non |
Prise en charge des protocoles de routage sur les tunnels VPN IPsec
Nous prenons en charge les protocoles de routage tels que OSPF, BGP, PIM, RIP et BFD pour qu’ils s’exécutent sur les tunnels IPsec sur les pare-feu SRX Series et les routeurs MX Series en cours d’exécution kmd
ou iked
de traitement. La prise en charge du protocole varie en fonction du schéma d’adressage IP ou du type d’interface st0, point à point (P2P) ou point à multipoint (P2MP).
Tableau 8 résume la prise en charge du protocole OSPF sur les pare-feu SRX Series et les routeurs MX.
OSPF | ||||
---|---|---|---|---|
Équipements et appareils | P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Oui | Non | Oui | Non |
SRX5K-SPC3 | Oui | Non | Oui | Non |
SRX5K en mode mixte (SPC3 + SPC2) | Oui | Non | Oui | Non |
Pare-feu virtuel vSRX 3.0 | Oui | Non | Oui | Non |
MX-SPC3 | Oui | Non | Non | Non |
Tableau 9 résume la prise en charge du protocole OSPFv3 sur les pare-feu SRX Series et les routeurs MX.
OSPFv3 | ||||
---|---|---|---|---|
Équipements et appareils | Le P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Non | Oui | Non | Oui |
SRX5K-SPC3 | Non | Oui | Non | Oui |
SRX5K en mode mixte (SPC3 + SPC2) | Non | Oui | Non | Oui |
Pare-feu virtuel vSRX 3.0 | Non | Oui | Non | Oui |
MX-SPC3 | Non | Oui | Non | Non |
Tableau 10 résume la prise en charge du protocole BGP sur les pare-feu SRX Series et les routeurs MX.
BGP | ||||
---|---|---|---|---|
Équipements et appareils | Le P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Oui | Oui | Oui | Oui |
SRX5K-SPC3 | Oui | Oui | Oui | Oui |
SRX5K en mode mixte (SPC3 + SPC2) | Oui | Oui | Oui | Oui |
Pare-feu virtuel vSRX 3.0 | Oui | Oui | Oui | Oui |
MX-SPC3 | Oui | Oui | Non | Non |
Tableau 11 résume la prise en charge du protocole PIM sur les pare-feu SRX Series et les routeurs MX.
PIM | ||||
---|---|---|---|---|
Équipements et appareils | Le P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX550, SRX550 HM, SRX650, SRX1400, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Oui | Non | Non | Non |
SRX300, SRX320, SRX340, SRX345, SRX380 et SRX1500 | Oui | Non | Oui | Non |
SRX5K-SPC3 | Oui | Non | Non | Non |
SRX5K en mode mixte (SPC3 + SPC2) | Oui | Non | Non | Non |
Pare-feu virtuel vSRX | Oui | Non | Oui REMARQUE :
Le multithread n’est pas pris en charge. |
Non |
MX-SPC3 | Oui | Non | Non | Non |
Tableau 12 résume la prise en charge du protocole RIP sur les pare-feu SRX Series et les routeurs MX.
RIP | ||||
---|---|---|---|---|
Équipements et appareils | Le P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Oui | Oui | Non | Non |
SRX5K-SPC3 | Oui | Oui | Non | Non |
SRX5K en mode mixte (SPC3 + SPC2) | Oui | Oui | Non | Non |
Pare-feu virtuel vSRX 3.0 | Oui | Oui | Non | Non |
MX-SPC3 | Oui | Oui | Non | Non |
Tableau 13 résume la prise en charge du protocole BFP sur les pare-feu SRX Series et les routeurs MX.
BFD | ||||
---|---|---|---|---|
Équipements et appareils | Le P2P | Le P2MP | ||
IPv4 (en anglais) | Prise en charge IPv6 | IPv4 (en anglais) | Prise en charge IPv6 | |
SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 et SRX5K-SPC2 | Oui | Oui | Oui | Oui |
SRX5K-SPC3 | Oui | Oui | Oui | Oui |
SRX5K en mode mixte (SPC3 + SPC2) | Oui | Oui | Oui | Oui |
Pare-feu virtuel vSRX 3.0 | Oui | Oui | Oui | Oui |
MX-SPC3 | Oui | Oui | Non | Non |
Fenêtre anti-relecture
Sur les pare-feu SRX Series, anti-replay-window
est activé par défaut avec une valeur de taille de fenêtre de 64.
Sur la gamme SRX Series 5000 avec cartes SPC3 installées, vous pouvez configurer la taille dans la anti-replay-window
plage de 64 à 8192 (puissance de 2). Pour configurer la taille de la fenêtre, utilisez la nouvelle anti-replay-window-size
option. Un paquet entrant est validé pour une attaque par rejeu en fonction de ce anti-replay-window-size
qui est configuré.
Vous pouvez configurer replay-window-size
à deux niveaux différents :
-
Global level: configuré au niveau de la hiérarchie [
edit security ipsec
].Par exemple :
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object: configuré au niveau de la hiérarchie [
edit security ipsec vpn vpn-name ike
].Par exemple :
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
Si l’anti-relecture est configurée aux deux niveaux, la taille de la fenêtre configurée pour un niveau d’objet VPN est prioritaire sur la taille de la fenêtre configurée au niveau global. Si l’anti-relecture n’est pas configurée, la taille de la fenêtre est de 64 par défaut.
Pour désactiver l’option de fenêtre anti-relecture sur un objet VPN, utilisez la commande au niveau de la set no-anti-replay
hiérarchie [edit security ipsec vpn vpn-name ike
]. Vous ne pouvez pas désactiver l’anti-rejeu au niveau global.
Vous ne pouvez pas configurer à la fois anti-replay-window-size
et no-anti-replay
sur un objet VPN.
Voir également
Comprendre les VPN en étoile
Si vous créez deux tunnels VPN qui se terminent au niveau d’un périphérique, vous pouvez configurer une paire de routes afin que le périphérique dirige le trafic sortant d’un tunnel vers l’autre tunnel. Vous devez également créer une stratégie pour autoriser le trafic à passer d’un tunnel à l’autre. Un tel arrangement est connu sous le nom de VPN en étoile. (Reportez-vous à la section Figure 4.)
Vous pouvez également configurer plusieurs VPN et acheminer le trafic entre deux tunnels.
Les pare-feu SRX Series prennent uniquement en charge la fonctionnalité de réseau en étoile basée sur le routage.
Voir également
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
junos-ike
20.4R1 et ultérieures pour la gamme SRX5000 avec RE3. En conséquence ikedikemd , le processus s’exécute par défaut sur le moteur de routage au lieu du démon de gestion de clé IPsec (kmd).