Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basé sur le routage avec IKEv2

Internet Key Exchange version 2 (IKEv2) est un protocole de tunnelisation basé sur IPsec qui fournit un canal de communication VPN sécurisé entre les équipements VPN pairs et définit la négociation et l’authentification des associations de sécurité IPsec de manière protégée.

Exemple : Configuration d’un VPN basé sur le routage pour IKEv2

Cet exemple montre comment configurer un VPN IPsec basé sur le routage pour permettre le transfert sécurisé des données entre une filiale et un bureau d’entreprise.

Conditions préalables

Cet exemple utilise le matériel suivant :

  • Équipement SRX240

  • Équipement SSG140

Avant de commencer, lisez Présentation d’IPsec.

Présentation

Dans cet exemple, vous configurez un VPN basé sur le routage pour une filiale de Chicago, dans l’Illinois, parce que vous souhaitez conserver les ressources du tunnel tout en obtenant des restrictions granulaires sur le trafic VPN. Les utilisateurs des bureaux de Chicago utiliseront le VPN pour se connecter à leur siège social de Sunnyvale, en Californie.

Dans cet exemple, vous configurez des interfaces, un routage par défaut IPv4, des zones de sécurité et des carnets d’adresses. Ensuite, vous configurez IKE Phase 1, IPsec Phase 2, une stratégie de sécurité et les paramètres TCP-MSS. Tableau 5 Reportez-vous Tableau 1 aux paramètres de configuration spécifiques utilisés dans cet exemple.

Tableau 1 : Informations sur l’interface, le routage statique, la zone de sécurité et le carnet d’adresses

Fonctionnalité

Nom

Paramètres de configuration

Interfaces

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (interface tunnel)

10.11.11.10/24

Routes statiques

0.0.0.0/0 (routage par défaut)

Le saut suivant est 10.1.1.1.

192.168.168.0/24

Le saut suivant est st0.0.

Zones de sécurité

Confiance

  • Tous les services système sont autorisés.

  • L’interface ge-0/0/0.0 est liée à cette zone.

Untrust

  • IKE est le seul service système autorisé.

  • L’interface ge-0/0/3.0 est liée à cette zone.

vpn-chicago

L’interface st0.0 est liée à cette zone.

Entrées du carnet d’adresses

Sunnyvale

  • Cette adresse s’adresse au carnet d’adresses de la zone de confiance.

  • L’adresse de cette entrée du carnet d’adresses est 192.168.10.0/24.

Chicago

  • Cette adresse correspond au carnet d’adresses de la zone non fiable.

  • L’adresse d’entrée de ce carnet d’adresses est 192.168.168.0/24.

Tableau 2 : Paramètres de configuration IKE de phase 1

Fonctionnalité

Nom

Paramètres de configuration

Proposition

proposition ike-phase1

  • Méthode d’authentification : clés pré-partagées

  • Groupe Diffie-Hellman : groupe2

  • Algorithme d’authentification : sha1

  • Algorithme de chiffrement : aes-128-cbc

Politique

stratégie ike-phase1

  • Mode: Principal

  • Référence de proposition : proposition ike-phase1

  • Méthode d’authentification des stratégies de phase 1 IKE : texte ascii à clé pré-partagée

Passerelle

gw-chicago

  • Référence de stratégie IKE : stratégie ike-phase1

  • Interface externe : ge-0/0/3.0

  • Adresse de la passerelle : 10.2.2.2

Tableau 3 : Paramètres de configuration de la phase 2 IPsec

Fonctionnalité

Nom

Paramètres de configuration

Proposition

proposition ipsec-phase2

  • Protocole: Esp

  • Algorithme d’authentification : hmac-sha1-96

  • Algorithme de chiffrement : aes-128-cbc

Politique

stratégie ipsec-phase2

  • Référence de proposition : proposition ipsec-phase2

  • PFS: Groupe Diffie-Hellman2

VPN

ipsec-vpn-chicago

  • Référence de la passerelle IKE : gw-chicago

  • Référence de la stratégie IPsec : stratégie ipsec-phase2

  • Lier à l’interface : st0.0

Tableau 4 : Paramètres de configuration des stratégies de sécurité

But

Nom

Paramètres de configuration

La stratégie de sécurité autorise le trafic de la zone de confiance vers la zone vpn-chicago.

vpn-tr-chi

  • Critères de correspondance :

    • source sunnyvale

    • adresse de destination chicago

    • application n’importe quelle

  • Action: Permis

La stratégie de sécurité autorise le trafic de la zone vpn-chicago vers la zone de confiance.

vpn-chi-tr

  • Critères de correspondance :

    • adresse source chicago

    • adresse de destination sunnyvale

    • application n’importe quelle

  • Action: Permis

Tableau 5 : Paramètres de configuration TCP-MSS

But

Paramètres de configuration

Tcp-MSS est négocié dans le cadre de la négociation à trois voies TCP et limite la taille maximale d’un segment TCP pour mieux s’adapter aux limites MTU d’un réseau. Pour le trafic VPN, la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trame, peuvent conduire le paquet ESP résultant à dépasser le MTU de l’interface physique, ce qui provoque la fragmentation. La fragmentation augmente la bande passante et les ressources des équipements.

Nous recommandons une valeur de 1350 comme point de départ pour la plupart des réseaux Ethernet avec une MTU de 1 500 ou plus. Vous devrez peut-être expérimenter différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un équipement du chemin possède un MTU plus faible ou s’il y a des frais généraux supplémentaires tels que PPP ou relais de trames.

Valeur MSS : 1350

Configuration

Configuration des informations sur l’interface, le routage statique, la zone de sécurité et le carnet d’adresses

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer les informations sur l’interface, la route statique, la zone de sécurité et le carnet d’adresses :

  1. Configurez les informations de l’interface Ethernet.

  2. Configurez les informations de routage statiques.

  3. Configurez la zone de sécurité non sécurisée.

  4. Attribuez une interface à la zone de sécurité.

  5. Spécifiez les services système autorisés pour la zone de sécurité.

  6. Configurez la zone de sécurité de confiance.

  7. Attribuez une interface à la zone de sécurité de confiance.

  8. Spécifiez les services système autorisés pour la zone de sécurité de confiance.

  9. Configurez l’entrée du carnet d’adresses pour la zone de sécurité de confiance.

  10. Configurez la zone de sécurité vpn-chicago.

  11. Attribuez une interface à la zone de sécurité.

  12. Configurez l’entrée du carnet d’adresses pour la zone vpn-chicago.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show routing-optionset show security zones les . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration d’IKE

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer IKE :

  1. Créez la proposition de phase 1 IKE.

  2. Définir la méthode d’authentification de la proposition IKE.

  3. Définir la proposition IKE groupe Diffie-Hellman.

  4. Définir l’algorithme d’authentification de la proposition IKE.

  5. Définir l’algorithme de chiffrement de la proposition IKE.

  6. Créer une stratégie IKE de phase 1.

  7. Indiquez une référence à la proposition IKE.

  8. Définir la méthode d’authentification de stratégie de phase 1 IKE.

  9. Créez une passerelle IKE Phase 1 et définissez son interface externe.

  10. Définir la référence de stratégie de phase 1 IKE.

  11. Définir l’adresse de la passerelle IKE phase 1.

  12. Définir la version de la passerelle IKE Phase 1.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration d’IPsec

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer IPsec :

  1. Créez une proposition IPsec de phase 2.

  2. Indiquez le protocole de proposition de phase 2 IPsec.

  3. Spécifiez l’algorithme d’authentification de la proposition de phase 2 IPsec.

  4. Spécifiez l’algorithme de chiffrement de la proposition IPsec de phase 2.

  5. Créez la stratégie IPsec de phase 2.

  6. Indiquez la référence de la proposition IPsec de phase 2.

  7. Spécifiez le PFS de phase 2 IPsec pour utiliser le groupe Diffie-Hellman 2.

  8. Indiquez la passerelle IKE.

  9. Indiquez la stratégie IPsec de phase 2.

  10. Indiquez l’interface à lier.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration des stratégies de sécurité

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer les stratégies de sécurité :

  1. Créez une stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone vpn-chicago.

  2. Créez une stratégie de sécurité pour autoriser le trafic de la zone vpn-chicago vers la zone de confiance.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de TCP-MSS

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer les informations TCP-MSS :

  1. Configurez les informations TCP-MSS.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de l’équipement SSG Series

Configuration rapide CLI

Pour référence, la configuration de l’équipement SSG Series est fournie. Pour plus d’informations sur la configuration des équipements SSG Series, consultez le Guide de référence Concepts et exemples ScreenOS, qui se trouve à l’adresse https://www.juniper.net/documentation.

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de l’état de la phase 1 de l’IKE

But

Vérifier l’état de la phase 1 de l’IKE.

Action

Avant de commencer le processus de vérification, vous devez envoyer le trafic d’un hôte du réseau 192.168.10/24 à un hôte du réseau 192.168.168/24. Pour les VPN basés sur le routage, le trafic peut être initié par l’équipement SRX Series via le tunnel. Lors du test des tunnels IPsec, il est recommandé d’envoyer le trafic de test d’un équipement distinct d’un côté du VPN vers un deuxième équipement de l’autre côté du VPN. Par exemple, lancez un ping entre 192.168.10.10 et 192.168.168.10.

Dans le mode opérationnel, saisissez la show security ike security-associations commande. Une fois que la commande a obtenu un numéro d’index, utilisez cette show security ike security-associations index index_number detail commande.

Sens

La show security ike security-associations commande répertorie tous les AS IKE actifs de phase 1. Si aucun AS n’est répertorié, l’établissement de la phase 1 a rencontré un problème. Vérifiez les paramètres de stratégie IKE et les paramètres d’interface externe dans votre configuration.

Si les AS sont répertoriés, consultez les informations suivantes :

  • Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la show security ike security-associations index detail commande pour obtenir plus d’informations sur le SA.

  • Adresse distante : vérifiez que l’adresse IP à distance est correcte.

  • État

    • UP : la sa de phase 1 a été établie.

    • DOWN — Il y avait un problème pour établir la phase 1 SA.

  • Mode : vérifiez que le mode approprié est utilisé.

Vérifiez que les éléments suivants sont corrects dans votre configuration :

  • Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE).

  • Paramètres de la stratégie IKE.

  • Informations clés pré-partagées.

  • Paramètres de proposition de phase 1 (qui doivent correspondre aux deux pairs).

La show security ike security-associations index 1 detail commande répertorie des informations supplémentaires sur le sa avec un numéro d’index de 1 :

  • Algorithmes d’authentification et de chiffrement utilisés

  • Durée de vie de la phase 1

  • Statistiques du trafic (peut être utilisée pour vérifier que le trafic circule correctement dans les deux directions)

  • Informations sur les rôles

    Il est préférable d’effectuer le dépannage sur l’appairage à l’aide du rôle de répondant.

  • Informations de l’initiateur et du répondant

  • Nombre d’ADRESSES IPSec créées

Vérification de l’état de la phase 2 de l’IPsec

But

Vérifier l’état de la phase 2 de l’IPsec.

Action

Dans le mode opérationnel, saisissez la show security ipsec security-associations commande. Une fois que la commande a obtenu un numéro d’index, utilisez cette show security ipsec security-associations index index_number detail commande.

Sens

Le résultat de la show security ipsec security-associations commande répertorie les informations suivantes :

  • Le numéro d’identification est 16384. Utilisez cette valeur avec la show security ipsec security-associations index commande pour obtenir plus d’informations sur ce SA particulier.

  • Une paire SA IPsec utilise le port 500.

  • Les SPIs, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux directions. La valeur 3363/ sans limite indique que la durée de vie de la phase 2 expire en 3363 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 après la mise en service du VPN.

  • Le vsys est le système racine, et il est toujours répertorié comme 0.

  • L’IKEv2 permet les connexions à partir d’un pair de version 2 et lance une négociation de la version 2.

Le résultat de la show security ipsec security-associations index 16384 detail commande répertorie les informations suivantes :

  • L’identité locale et l’identité distante constituent l’ID proxy du sa.

    Une incompatibilité d’ID proxy est l’une des causes les plus courantes d’une défaillance de phase 2. Si aucun SA IPsec n’est répertorié, vérifiez que les propositions de phase 2, y compris les paramètres d’ID proxy, sont correctes pour les deux pairs. Pour les VPN basés sur le routage, l’ID proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir d’une même adresse IP d’pair. Dans ce cas, un ID proxy unique pour chaque SA IPsec doit être spécifié. Pour certains fournisseurs tiers, l’ID proxy doit être saisi manuellement pour correspondre.

  • Une autre raison courante d’une défaillance de la phase 2 n’est pas la spécification de la liaison d’interface ST. Si IPsec n’est pas complet, vérifiez le journal kmd ou définissez des options de traçage.

Révision des statistiques et des erreurs pour une association de sécurité IPsec

But

Vérifiez les compteurs d’en-tête et les erreurs d’authentification et ESP pour un SA IPsec.

Action

Dans le mode opérationnel, saisissez la show security ipsec statistics index index_number commande à l’aide du numéro d’index du VPN pour lequel vous souhaitez afficher des statistiques.

Vous pouvez également utiliser la show security ipsec statistics commande pour examiner les statistiques et les erreurs pour tous les SAs.

Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics commande.

Sens

Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics commande plusieurs show security ipsec statistics detail fois pour confirmer que les compteurs de paquets cryptés et déchiffrés sont incrémentés. Vérifiez également que les autres compteurs d’erreurs augmentent.

Test du flux de trafic sur l’ensemble du VPN

But

Vérifiez le flux de trafic sur le VPN.

Action

Vous pouvez utiliser la ping commande de l’équipement SRX Series pour tester le flux de trafic vers un PC hôte distant. Assurez-vous de spécifier l’interface source afin que la recherche de route soit correcte et que les zones de sécurité appropriées soient référencées lors de la recherche de stratégie.

Dans le mode opérationnel, saisissez la ping commande.

Vous pouvez également utiliser la ping commande à partir de l’équipement SSG Series.

Sens

Si la ping commande échoue à partir de l’équipement SRX Series ou SSG Series, il peut y avoir un problème de routage, de stratégies de sécurité, d’hôte final ou de chiffrement et de déchiffrement des paquets ESP.

Exemple : Configuration de la gamme SRX Series pour le provisionnement de cellules Rssi avec la charge utile de configuration IKEv2

Dans les réseaux où de nombreux équipements sont déployés, la gestion du réseau doit être simple. La charge utile de configuration IKEv2 prend en charge le provisionnement de ces équipements sans toucher à la configuration de l’équipement ou à la configuration SRX Series. Cet exemple montre comment configurer une passerelle SRX Series pour prendre en charge le provisionnement de cellules en utilisant la charge utile de configuration IKEv2.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Deux équipements SRX Series configurés dans un cluster de châssis

  • Un équipement SRX Series configuré en tant que routeur intermédiaire

  • Deux clients cellulaires en deux cellules

  • Un serveur RADIUS configuré avec les informations de provisionnement des clients de cellules en attente

  • Junos OS Version 12.1X46-D10 ou ultérieure pour la prise en charge de la charge utile de configuration IKEv2

Présentation

Dans cet exemple, une srx series utilise la fonction de charge utile de configuration IKEv2 pour propager les informations de provisionnement à une série de cellules. Les cellules rssy sont livrées depuis l’usine avec une configuration standard qui leur permet de se connecter à la gamme SRX Series, mais les informations de provisionnement des cellules sont stockées sur un serveur RADIUS externe. Après avoir établi des connexions sécurisées avec les serveurs de provisionnement d’un réseau protégé, les cellules en charge du provisionnement reçoivent des informations de provisionnement complètes. La charge utile de configuration IKEv2 est prise en charge à la fois pour IPv4 et IPV6. Cet exemple couvre la charge utile de configuration IKEv2 pour IPv4, mais vous pouvez également configurer avec des adresses IPv6.

À partir de Junos OS version 20.3R1, nous prenons en charge la charge utile de configuration IKEv2 IPv6 pour l’attribution de l’adresse IPv6 sur la gamme SRX5000 d’équipements exécutant le processus jiked. La même prise en charge est incluse dans le processus vSRX qui s’exécute avec Junos OS version 21.1R1.

Figure 1 montre une topologie dans laquelle la gamme SRX Series prend en charge le provisionnement de cellules en utilisant la charge utile de configuration IKEv2.

Figure 1 : Prise en charge de SRX Series pour le provisionnement de cellules Rssi avec la charge utile de configuration IKEv2 Prise en charge de SRX Series pour le provisionnement de cellules Rssi avec la charge utile de configuration IKEv2

Chaque cellule de cette topologie lance deux VPN IPsec : un pour la gestion et un pour les données. Dans cet exemple, le trafic de gestion utilise le tunnel OAM Tunnel, tandis que le trafic de données transite par le tunnel sous le nom de tunnel 3GPP. Chaque tunnel prend en charge les connexions avec les serveurs de provisionnement OAM et 3GPP sur des réseaux distincts et configurables, nécessitant des instances de routage et des VPN distincts. Cet exemple fournit les options de phase 1 et 2 d’IKE pour établir les VPN OAM et 3GPP.

Dans cet exemple, la gamme SRX Series agit comme le serveur de charge utile de configuration IKEv2, en acquérant des informations de provisionnement auprès du serveur RADIUS et en fournissant ces informations aux clients cellulaires. La gamme SRX Series renvoie les informations de provisionnement pour chaque client autorisé dans la charge utile de configuration IKEv2 pendant la négociation du tunnel. La gamme SRX Series ne peut pas être utilisée comme équipement client.

En outre, la gamme SRX Series utilise les informations de la charge utile de configuration IKEv2 pour mettre à jour les valeurs de l’initiateur du sélecteur de trafic (TSi) et du répondeur de sélecteur de trafic (TSr) échangées avec le client pendant la négociation du tunnel. La charge utile de configuration utilise les valeurs TSi et TSr configurées sur la gamme SRX Series à l’aide de l’instruction proxy-identity au niveau de la hiérarchie [edit security ipsec vpn vpn-name ike]. Les valeurs TSi et TSr définissent le trafic réseau pour chaque VPN.

Le routeur intermédiaire achemine le trafic cellulaire vers les interfaces appropriées sur la gamme SRX Series.

Le processus suivant décrit la séquence de connexion :

  1. La cellule rssit lance un tunnel IPsec avec la gamme SRX Series à l’aide de la configuration en usine.

  2. La gamme SRX Series authentifie le client à l’aide des informations de certificat client et du certificat racine de l’autorité de certification inscrite dans la gamme SRX Series. Une fois l’authentification terminée, la gamme SRX Series transmet les informations d’identité IKE du certificat client au serveur RADIUS dans le cas d’une demande d’autorisation.

  3. Après avoir autorisé le client, le serveur RADIUS répond à la gamme SRX Series avec les informations de provisionnement du client :

    • Adresse IP (valeur TSi)

    • Masque de sous-réseau IP (facultatif ; la valeur par défaut est 32 bits)

    • Adresse DNS (facultatif)

  4. La gamme SRX Series renvoie les informations de provisionnement dans la charge utile de configuration IKEv2 pour chaque connexion client, et échange les valeurs TSi et TSr finales avec les cellules plus fiables. Dans cet exemple, la gamme SRX Series fournit les informations TSi et TSr suivantes pour chaque VPN :

    Connexion VPN

    Valeurs TSi/TSr fournies par SRX

    Le 1 OAM de Fixes

    Sti: 12.12.1.201/32, TSr : 192.168.2.0/24

    En 1 3GPP

    Sti: 13.13.1.201/32, TSr : 192.169.2.0/24, TSr : 13.13.0.0/16

    Le plus beau des 2 OAM

    Sti: 12.12.1.205/32, TSr : 192.168.2.0/24

    Ppp 2 3GPP

    Sti: 13.13.1.205/32, TSr : 192.169.2.0/24, TSr : 13.13.0.0/16

    Si les informations de provisionnement fournies par le serveur RADIUS incluent un masque de sous-réseau, la gamme SRX Series renvoie une deuxième valeur TSr pour la connexion client qui inclut le sous-réseau IP. Cela active la communication intrapeer pour les équipements de ce sous-réseau. Dans cet exemple, la communication interne est activée pour le sous-réseau associé au VPN 3GPP (13.13.0.0/16).

    La fonction de charge utile de configuration IKEv2 est prise en charge à la fois pour les interfaces de tunnel sécurisé (st0) point à multipoint et pour les interfaces point à point. Pour les interfaces point à multipoint, les interfaces doivent être numérotées et les adresses fournies dans la charge utile de configuration doivent se trouver dans la plage sous-réseau de l’interface point à multipoint associée.

    À partir de Junos OS version 20.1R1, nous prenons en charge la fonction de charge utile de configuration IKEv2 avec des interfaces point à point sur la gamme d’équipements SRX5000 et vSRX fonctionnant sous le même nom.

Tableau 6 affiche les options de phase 1 et 2 configurées sur la gamme SRX Series, y compris les informations relatives à l’établissement de tunnels OAM et 3GPP.

Tableau 6 : Options de phase 1 et de phase 2 pour la gamme SRX Series

Option

Valeur

Proposition IKE :

Nom de la proposition

IKE_PROP

Méthode d’authentification

Certificats numériques RSA

Groupe Diffie-Hellman (DH)

group5

Algorithme d’authentification

SHA-1

Algorithme de chiffrement

AES 256 CBC

Politique IKE :

Nom de la stratégie IKE

IKE_POL

Certificat local

Example_SRX

Passerelle IKE (OAM) :

Politique IKE

IKE_POL

Adresse IP distante

Dynamique

Type d’utilisateur IKE

group-ike-id

Local IKE ID

nom d’hôte srx_series.example.net

ID IKE distant

nom d’hôte .pico_cell.net

Interface externe

reth0.0

Profil d’accès

radius_pico

Version IKE

v2-only

Passerelle IKE (3GPP) :

Politique IKE

IKE_POL

Adresse IP distante

Dynamique

Type d’utilisateur IKE

group-ike-id

Local IKE ID

wildcard nom distingué OU=srx_series

ID IKE distant

nom générique OU =pico_cell

Interface externe

reth1

Profil d’accès

radius_pico

Version IKE

V2 uniquement

Proposition IPsec :

Nom de la proposition

IPSEC_PROP

Protocole

ESP

Algorithme d’authentification

HMAC SHA-1 96

Algorithme de chiffrement

AES 256 CBC

Stratégie IPsec :

Nom de la stratégie

IPSEC_POL

Clés PFS (Perfect Forward Secrecy)

groupe5

Propositions IPsec

IPSEC_PROP

VPN IPsec (OAM) :

Interface de liaison

st0.0

Passerelle IKE

OAM_GW

Identité du proxy local

192.168.2.0/24

Identité du proxy distant

0.0.0.0/0

Stratégie IPsec

IPSEC_POL

VPN IPsec (3GPP) :

Interface de liaison

st0.1

Passerelle IKE

3GPP_GW

Identité du proxy local

192.169.2.0/24

Identité du proxy distant

0.0.0.0/0

Stratégie IPsec

IPSEC_POL

Les certificats sont stockés sur les cellules d’encochage et sur la gamme SRX Series.

Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les équipements. Des stratégies de sécurité plus restrictives doivent être configurées pour les environnements de production. Voir la présentation des stratégies de sécurité.

Configuration

Configuration de la gamme SRX Series

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur de cli en mode configuration.

Pour configurer la gamme SRX Series :

  1. Configurez le cluster de châssis.

  2. Configurez les interfaces.

  3. Configurez les options de routage.

  4. Indiquez des zones de sécurité.

  5. Créez le profil RADIUS.

  6. Configurez les options de la phase 1.

  7. Indiquez les options de la phase 2.

  8. Spécifiez les instances de routage.

  9. Spécifiez des stratégies de sécurité pour autoriser le trafic de site à site.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show chassis clustershow interfacesshow security zonescommandes , , show access profile radius_pico, show security ipsecshow security ikeshow routing-instanceset .show security policies Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du routeur intermédiaire

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur de cli en mode configuration.

Pour configurer le routeur intermédiaire :

  1. Configurez les interfaces.

  2. Configurez les options de routage.

  3. Indiquez des zones de sécurité.

  4. Spécifiez les stratégies de sécurité.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show routing-optionset show security zonesshow security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de la cellule Portable (exemple de configuration)

Procédure étape par étape

L’information de la cellule en d’exemple est fournie à titre de référence. Des informations détaillées sur la configuration des cellules ne sont pas incluses dans ce document. La configuration d’usine des cellules de la cellule doit inclure les informations suivantes :

  • Certificat local (X.509v3) et informations d’identité IKE

  • Valeurs de sélecteur de trafic (TSi, TSr) définies sur any/any (0.0.0.0/0)

  • Informations d’identité et adresse IP publique de la gamme SRX Series IKE

  • Propositions de phase 1 et de phase 2 qui correspondent à la configuration de la gamme SRX Series

Dans cet exemple, les cellules du plus haut niveau utilisent un logiciel open source robusteSwan pour les connexions VPN IPsec. Ces informations sont utilisées par la gamme SRX Series pour le provisionnement des cellules en utilisant la charge utile de configuration IKEv2. Dans les réseaux sur lesquels de nombreux équipements sont déployés, la configuration de la cellule en ligne peut être identique, sauf pour les informations de certificat (leftcert) et d’identité (leftid). Les exemples de configurations suivants illustrent les paramètres d’usine.

  1. Révision de la configuration de Configy 1 :

    En l’an 1 : Exemple de configuration

  2. Révision de la configuration de Configy 2 :

    Configuration de l’exemple 2 deConfiguration DeConfiguration deConfiguration

Configuration du serveur RADIUS (exemple de configuration à l’aide d’un FreeRADIUS)

Procédure étape par étape

Les informations du serveur RADIUS fournies dans cet exemple sont fournies à titre de référence. Les informations complètes sur la configuration du serveur RADIUS dépassent la portée de ce document. Le serveur RADIUS renvoie les informations suivantes à la gamme SRX Series :

  • Adresse IP à trames

  • Netmask IP à trames (facultatif)

  • Dns principal et dns secondaire (facultatif)

Dans cet exemple, le serveur RADIUS dispose d’informations de provisionnement distinctes pour les connexions OAM et 3GPP. Le nom d’utilisateur est retiré des informations de certificat client fournies dans la demande d’autorisation SRX Series.

Si le serveur RADIUS acquiert les informations de provisionnement client d’un serveur DHCP, les informations d’identité du client transmises au serveur DHCP par le serveur RADIUS doivent être cohérentes avec les informations d’identité IKE du client transmises au serveur RADIUS par l’équipement SRX Series. Cela garantit la continuité de l’identité du client sur l’ensemble des différents protocoles.

Le canal de communication entre l’équipement SRX Series et le serveur RADIUS est protégé par un secret partagé RADIUS.

  1. Vérifiez la configuration RADIUS pour le VPN OAM D1 de Yrevis. Le serveur RADIUS contient les informations suivantes :

    Exemple de configuration RADIUS dans les versions 12.3X48 et Junos OS de Junos OS avant 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 et 18.1R3-S2 :

    Exemple de configuration FreeRADIUS :

    Exemple de configuration RADIUS à partir des versions 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 et 18.1R3-S2 :

    Exemple de configuration FreeRADIUS :

    Dans ce cas, le serveur RADIUS fournit le masque de sous-réseau par défaut (255.255.255.255), qui bloque le trafic intrapeer.

  2. Vérifiez la configuration RADIUS pour le VPN 3GPP 3GPP deLr. Le serveur RADIUS contient les informations suivantes :

    Exemple de configuration RADIUS dans les versions 12.3X48 et Junos OS de Junos OS avant 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 et 18.1R3-S2 :

    Exemple de configuration FreeRADIUS :

    Exemple de configuration RADIUS à partir des versions 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 et 18.1R3-S2 :

    Exemple de configuration FreeRADIUS :

    Dans ce cas, le serveur RADIUS fournit une valeur de masque de sous-réseau (255.255.0.0), qui active le trafic intra-équipement.

    À partir de Junos OS Version 20.1R1, vous pouvez configurer un mot de passe commun pour les demandes de charges utiles de configuration IKEv2 pour une configuration de passerelle IKE. Le mot de passe commun de 1 à 128 caractères permet à l’administrateur de définir un mot de passe commun. Ce mot de passe est utilisé entre l’équipement SRX Series et le serveur RADIUS lorsque l’équipement SRX Series demande une adresse IP pour le compte d’un pair IPsec distant à l’aide de la charge utile de configuration IKEv2. Le serveur RADIUS valide les informations d’identification avant de fournir des informations IP à l’équipement SRX Series pour la demande de charge utile de configuration. Vous pouvez configurer le mot de passe commun à l’aide config-payload-password configured-password de l’instruction de configuration au [edit security ike gateway gateway-name aaa access-profile access-profile-name] niveau de la hiérarchie. En outre, cet exemple crée deux tunnels à partir du même certificat client à l’aide de différentes parties du certificat pour les informations sur le nom d’utilisateur (identité IKE).

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de l’état de la phase 1 IKE pour la gamme SRX Series

But

Vérifier l’état de la phase 1 de l’IKE.

Action

Dans le mode opérationnel du nœud 0, saisissez la show security ike security-associations commande. Une fois que la commande a obtenu un numéro d’index, utilisez cette show security ike security-associations detail commande.

Sens

La show security ike security-associations commande répertorie toutes les SAS IKE de phase 1 actives avec les équipements de cellules en attente. Si aucun AS n’est répertorié, l’établissement de la phase 1 a rencontré un problème. Vérifiez les paramètres de stratégie IKE et les paramètres d’interface externe dans votre configuration. Cet exemple montre uniquement l’IKE Phase 1 SA pour le VPN OAM ; toutefois, un IKE Phase 1 SA distinct sera affiché affichant les paramètres IKE Phase 1 pour le VPN 3GPP.

Si les AS sont répertoriés, consultez les informations suivantes :

  • Index : cette valeur est unique pour chaque IKE SA : vous pouvez utiliser cette show security ike security-associations index detail commande pour obtenir plus d’informations sur le SA.

  • Adresse distante : vérifiez que l’adresse IP locale est correcte et que le port 500 est utilisé pour la communication peer-to-peer.

  • État du répondeur de rôles :

    • Vers le haut : la sa de phase 1 a été établie.

    • En panne : il y avait un problème pour établir la sa de phase 1.

  • Pair (distant) IKE ID : vérifiez que les informations sur le certificat sont correctes.

  • Identité locale et identité distante : vérifiez que ces adresses sont correctes.

  • Mode : vérifiez que le mode approprié est utilisé.

Vérifiez que les éléments suivants sont corrects dans votre configuration :

  • Interfaces externes (l’interface doit être celle qui envoie des paquets IKE)

  • Paramètres de la stratégie IKE

  • Paramètres de proposition de phase 1 (doivent correspondre entre les pairs)

La show security ike security-associations commande répertorie les informations supplémentaires suivantes sur les associations de sécurité :

  • Algorithmes d’authentification et de chiffrement utilisés

  • Durée de vie de la phase 1

  • Statistiques du trafic (peut être utilisée pour vérifier que le trafic circule correctement dans les deux directions)

  • Informations sur les rôles

    Il est préférable d’effectuer le dépannage sur l’appairage à l’aide du rôle de répondant.

  • Informations de l’initiateur et du répondant

  • Nombre d’ADRESSES IPSec créées

  • Nombre de négociations de phase 2 en cours

Vérification des associations de sécurité IPsec pour la gamme SRX Series

But

Vérifiez l’état IPsec.

Action

Dans le mode opérationnel du nœud 0, saisissez la show security ipsec security-associations commande. Une fois que la commande a obtenu un numéro d’index, utilisez cette show security ipsec security-associations detail commande.

Sens

Ces exemples illustrent les SAs actifs de phase 2 IKE pour Segmentation 1. Si aucun AS n’est répertorié, il y a eu un problème avec l’établissement de la phase 2. Vérifiez les paramètres de stratégie IPsec dans votre configuration. Pour chaque sa de phase 2 (OAM et 3GPP), les informations sont fournies dans la direction entrante et sortante. Le résultat de la show security ipsec security-associations commande répertorie les informations suivantes :

  • La passerelle distante a une adresse IP 1.1.1.1.

  • Les SPIs, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux directions. La valeur 3529/ indique que la durée de vie de la phase 2 expire en 3 529 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 après la mise en service du VPN.

  • La surveillance VPN n’est pas activée pour ce SA, comme indiqué par un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est en cours d’activation, et D indique que la surveillance est en panne.

  • Le système virtuel (vsys) est le système racine, et il répertorie toujours 0.

Le résultat ci-dessus des listes de show security ipsec security-associations index index_id detail commandes contient les informations suivantes :

  • L’identité locale et l’identité distante constituent l’ID proxy du sa.

    Une incompatibilité d’ID proxy est l’une des causes les plus courantes d’une défaillance de phase 2. Si aucun SA IPsec n’est répertorié, vérifiez que les propositions de phase 2, y compris les paramètres d’ID proxy, sont correctes pour les deux pairs. Pour les VPN basés sur le routage, l’ID proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir d’une même adresse IP d’pair. Dans ce cas, un ID proxy unique pour chaque SA IPsec doit être spécifié. Pour certains fournisseurs tiers, l’ID proxy doit être saisi manuellement pour correspondre.

  • Algorithmes d’authentification et de chiffrement utilisés.

  • Paramètres de proposition de phase 2 (qui doivent correspondre entre les pairs).

  • Liaisons tunnel sécurisées (st0.0 et st0.1) aux passerelles OAM et 3GPP.

Politique IKE avec une autorité de certification de confiance

Cet exemple montre comment lier un serveur d’autorité de certification fiable à une stratégie IKE de l’pair.

Avant de commencer, vous devez disposer d’une liste de toutes les CAs de confiance que vous souhaitez associer à la politique IKE du peer.

Vous pouvez associer une stratégie IKE à un seul profil d’autorité de certification fiable ou à un groupe d’autorité de certification fiable. Pour établir une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’ACA (ca-profiles) tout en validant le certificat. Un certificat émis par une source autre que l’autorité de certification certifiée ou le groupe d’autorité de certification approuvé n’est pas validé. Si une demande de validation de certificat provient d’une stratégie IKE, le profil d’autorité de certification associé à la stratégie IKE valide le certificat. Si une stratégie IKE n’est pas associée à une autorité de certification, le certificat est validé par l’un des profils d’autorité de certification configurés par défaut.

Dans cet exemple, un profil d’autorité de certification nommé root-ca est créé et un root-ca-identity est associé au profil.

Vous pouvez configurer un maximum de 20 profils d’autorité de certification que vous souhaitez ajouter à un groupe d’autorité de certification fiable. Vous ne pouvez pas valider votre configuration si vous configurez plus de 20 profils d’autorité de certification dans un groupe d’autorité de certification fiable.

  1. Créez un profil d’autorité de certification et associez un identifiant d’autorité de certification au profil.
  2. Définir une proposition IKE et la méthode d’authentification de la proposition IKE.
  3. Définir le groupe Diffie-Hellman, algorithme d’authentification, algorithme de chiffrement pour la proposition IKE.
  4. Configurez une stratégie IKE et associez-la à la proposition IKE.
  5. Configurez un identificateur de certificat local pour la stratégie IKE.
  6. Définir l’autorité de certification à utiliser pour la stratégie IKE.

Pour afficher les profils d’autorité de certification et les groupes d’autorité de certification configurés sur votre équipement, exécutez show security pki la commande.

La show security ike commande affiche le groupe de profils d’autorité de certification sous la stratégie IKE nommée ike_policy et le certificat associé à la stratégie IKE.