Tunnels ES pour VPN de couche 3
Configuration d’une interface de tunnel ES pour les VPN de couche 3
Une interface de tunnel ES vous permet de configurer un tunnel de sécurité IP (IPsec) entre les routeurs PE et CE d’un VPN de couche 3. Le tunnel IPsec peut inclure un ou plusieurs sauts.
Les sections suivantes expliquent comment configurer une interface de tunnel ES entre les routeurs PE et CE d’un VPN de couche 3 :
- Configuration de l’interface de tunnel ES sur le routeur PE
- Configuration de l’interface de tunnel ES sur le routeur CE
Configuration de l’interface de tunnel ES sur le routeur PE
Pour configurer l’interface de tunnel ES sur le routeur PE, incluez l’instruction unit suivante :
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Par défaut, l’adresse de destination du tunnel est supposée se trouver dans la table de routage Internet par défaut, inet.0. Pour les tunnels IPsec utilisant l’association de sécurité manuelle (SA), si l’adresse de destination du tunnel ne figure pas dans la table de routage inet.0 par défaut, vous devez spécifier la table de routage à rechercher pour l’adresse de destination du tunnel en configurant l’instruction routing-instance. C’est le cas si l’interface d’encapsulation du tunnel est également configurée sous l’instance de routage.
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]Note:Pour les tunnels IPsec utilisant SA dynamique, l’adresse de destination du tunnel doit se trouver dans la table de routage Internet par défaut, inet.0.
Pour terminer la configuration de l’interface de tunnel ES, incluez l’instruction interface de l’interface ES sous l’instance de routage appropriée :
interface interface-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration de l’interface de tunnel ES sur le routeur CE
Pour configurer l’interface de tunnel ES sur le routeur CE, incluez l’instruction unit suivante :
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Configuration d’une interface tunnel ES entre un routeur PE et CE
Cet exemple montre comment configurer une interface de tunnel ES entre un routeur PE et un routeur CE dans un VPN de couche 3. La topologie de réseau utilisée dans cet exemple est illustrée à la Figure 1.
Pour configurer cet exemple, vous devez suivre les étapes décrites dans les sections suivantes :
- Configuration d’IPsec sur le routeur PE1
- Configuration de l’instance de routage sans l’interface d’encapsulation
- Configuration de l’instance de routage avec l’interface d’encapsulation
- Configuration de l’interface de tunnel ES sur le routeur CE1
- Configuration d’IPsec sur le routeur CE1
Configuration d’IPsec sur le routeur PE1
Configurer la sécurité IP (IPsec) sur le routeur PE1 :
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
Configuration de l’instance de routage sans l’interface d’encapsulation
Vous pouvez configurer l’instance de routage sur le routeur PE1 avec ou sans l’interface d’encapsulation (t3-0/1/3 dans cet exemple). Les sections suivantes expliquent comment configurer l’instance de routage sans celui-ci :
- Configuration de l’instance de routage sur le routeur PE1
- Configuration de l’interface de tunnel ES sur le routeur PE1
- Configuration de l’interface d’encapsulation pour le tunnel ES
Configuration de l’instance de routage sur le routeur PE1
Configurez l’instance de routage sur le routeur PE1 :
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuration de l’interface de tunnel ES sur le routeur PE1
Configurez l’interface du tunnel ES sur le routeur PE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuration de l’interface d’encapsulation pour le tunnel ES
Dans cet exemple, interface t3-0/1/3 est l’interface d’encapsulation du tunnel ES. Configurer l’interface t3-0/1/3:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuration de l’instance de routage avec l’interface d’encapsulation
Si l’interface d’encapsulation de tunnel, t3-0/1/3, est également configurée sous l’instance de routage, vous devez spécifier le nom de l’instance de routage dans la définition de l’interface. Le système utilise cette instance de routage pour rechercher l’adresse de destination du tunnel IPsec à l’aide de l’association de sécurité manuelle.
Les sections suivantes expliquent comment configurer l’instance de routage avec l’interface d’encapsulation :
- Configuration de l’instance de routage sur le routeur PE1
- Configuration de l’interface de tunnel ES sur le routeur PE1
- Configuration de l’interface d’encapsulation sur le routeur PE1
Configuration de l’instance de routage sur le routeur PE1
Configurez l’instance de routage sur le routeur PE1 (y compris l’interface d’encapsulation du tunnel) :
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuration de l’interface de tunnel ES sur le routeur PE1
Configurez l’interface du tunnel ES sur le routeur PE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuration de l’interface d’encapsulation sur le routeur PE1
Configurez l’interface d’encapsulation sur le routeur PE1 :
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuration de l’interface de tunnel ES sur le routeur CE1
Configurez l’interface du tunnel ES sur le routeur CE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
Configuration d’IPsec sur le routeur CE1
Configurer IPsec sur le routeur CE1 :
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}