Tunnels ES pour VPN de couche 3
Configuration d’une interface tunnel ES pour les VPN de couche 3
Une interface tunnel ES vous permet de configurer un tunnel IP Security (IPsec) entre les routeurs PE et CE d’un VPN de couche 3. Le tunnel IPsec peut inclure un ou plusieurs sauts.
Les sections suivantes expliquent comment configurer une interface de tunnel ES entre les routeurs PE et CE d’un VPN de couche 3 :
- Configuration de l’interface du tunnel ES sur le routeur PE
- Configuration de l’interface du tunnel ES sur le routeur CE
Configuration de l’interface du tunnel ES sur le routeur PE
Pour configurer l’interface du tunnel ES sur le routeur PE, incluez la unit déclaration :
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Par défaut, l’adresse de destination du tunnel est censée être dans la table de routage Internet par défaut, inet.0. Pour les tunnels IPsec utilisant une association de sécurité manuelle (SA), si l’adresse de destination du tunnel ne se trouve pas dans la table de routage inet.0 par défaut, vous devez spécifier la table de routage à rechercher l’adresse de destination du tunnel en configurant l’instruction routing-instance . C’est le cas si l’interface d’encapsulation de tunnel est également configurée sous l’instance de routage.
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]Note:Pour les tunnels IPsec utilisant une sa dynamique, l’adresse de destination du tunnel doit être dans la table de routage Internet par défaut, inet.0.
Pour terminer la configuration de l’interface du tunnel ES, incluez l’instruction interface de l’interface ES sous l’instance de routage appropriée :
interface interface-name;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration de l’interface du tunnel ES sur le routeur CE
Pour configurer l’interface du tunnel ES sur le routeur CE, incluez la unit déclaration :
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Configuration d’une interface de tunnel ES entre un routeur PE et CE
Cet exemple montre comment configurer une interface tunnel ES entre un routeur PE et un routeur CE dans un VPN de couche 3. La topologie du réseau utilisée dans cet exemple est illustrée en figure 1.
Pour configurer cet exemple, vous devez suivre les étapes des sections suivantes :
- Configuration d’IPsec sur le routeur PE1
- Configuration de l’instance de routage sans interface d’encapsulation
- Configuration de l’instance de routage avec l’interface d’encapsulation
- Configuration de l’interface du tunnel ES sur le routeur CE1
- Configuration d’IPsec sur le routeur CE1
Configuration d’IPsec sur le routeur PE1
Configurer la sécurité IP (IPsec) sur le routeur PE1 :
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
Configuration de l’instance de routage sans interface d’encapsulation
Vous pouvez configurer l’instance de routage sur le routeur PE1 avec ou sans l’interface d’encapsulation (t3-0/1/3 dans cet exemple). Les sections suivantes expliquent comment configurer l’instance de routage sans elle :
- Configuration de l’instance de routage sur le routeur PE1
- Configuration de l’interface tunnel ES sur le routeur PE1
- Configuration de l’interface d’encapsulation pour le tunnel ES
Configuration de l’instance de routage sur le routeur PE1
Configurez l’instance de routage sur le routeur PE1 :
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuration de l’interface tunnel ES sur le routeur PE1
Configurez l’interface du tunnel ES sur le routeur PE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuration de l’interface d’encapsulation pour le tunnel ES
Dans cet exemple, l’interface t3-0/1/3 est l’interface d’encapsulation du tunnel ES. Configurer l’interface t3-0/1/3:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuration de l’instance de routage avec l’interface d’encapsulation
Si l’interface d’encapsulation de tunnel est t3-0/1/3également configurée sous l’instance de routage, vous devez spécifier le nom de l’instance de routage sous la définition de l’interface. Le système utilise cette instance de routage pour rechercher l’adresse de destination du tunnel IPsec à l’aide d’une association de sécurité manuelle.
Les sections suivantes expliquent comment configurer l’instance de routage avec l’interface d’encapsulation :
- Configuration de l’instance de routage sur le routeur PE1
- Configuration de l’interface tunnel ES sur le routeur PE1
- Configuration de l’interface d’encapsulation sur le routeur PE1
Configuration de l’instance de routage sur le routeur PE1
Configurez l’instance de routage sur le routeur PE1 (y compris l’interface d’encapsulation de tunnel) :
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuration de l’interface tunnel ES sur le routeur PE1
Configurez l’interface du tunnel ES sur le routeur PE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuration de l’interface d’encapsulation sur le routeur PE1
Configurez l’interface d’encapsulation sur le routeur PE1 :
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuration de l’interface du tunnel ES sur le routeur CE1
Configurez l’interface du tunnel ES sur le routeur CE1 :
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
Configuration d’IPsec sur le routeur CE1
Configurer IPsec sur le routeur CE1 :
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}