IBM Cloud Docs
Configuration d'IPsec sur Vyatta 5400

Configuration d'IPsec sur Vyatta 5400

L'unité Brocade 5400 vRouter (Vyatta) est l'unité "locale" concernant le tunnel IPsec (Internet Security Protocol). Chacune des commandes suivantes exécute des fonctions différentes pour configurer les connexions IPsec de site à site. Notez que l'exemple ci-après illustre le tunnel sur le réseau public SoftLayer. Utilisez bond0 pour les connexions de site à site IPsec privées.

  1. Indiquez au tunnel l'objectif de interface bond1 :

    • set vpn ipsec ipsec-interfaces interface bond1

  2. Configurez la première phase du tunnel à deux phases. Entrez les commandes appropriées pour :

    • Créer un groupe ike nommé test et utiliser dh-group comme type d'échange de clé.
    • Spécifier le type de chiffrement à utiliser ; si celui-ci n'est pas configuré, l'unité utilise aes128 par défaut.
    • Utiliser la fonction de hachage sha-1.

    set vpn ipsec ike-group TestIKE proposal 1 dh-group '2' set vpn ipsec ike-group TestIKE proposal 1 encryption 'aes128' set vpn ipsec ike-group TestIKE proposal 1 hash 'sha1'

  3. Configurez la deuxième phase du tunnel à deux phases. Entrez les commandes appropriées pour :

    • Désactiver la confidentialité persistante parfaite (PFS) car les unités ne peuvent pas toutes l'utiliser. (La mention ESP dans la commande correspond à la seconde partie du chiffrement.)
    • Spécifier le type de chiffrement à utiliser ; si celui-ci n'est pas configuré, l'unité utilise aes128 par défaut.
    • Utiliser la fonction has sha-1.

    set vpn ipsec esp-group TestESP pfs disabl۪ set vpn ipsec esp-group TestESP proposal 1 encryption aes128۪ set vpn ipsec esp-group TestESP proposal 1 hash sha1۪

  4. Configurez les paramètres de chiffrement de site à site IPsec. Entrez les commandes appropriées pour :

    • Spécifier l'adresse IP distante et indiquer qu'IPsec utilise une valeur confidentielle pré-partagée.
    • Utiliser l'adresse IP distante et le secret TestPSK.
    • Affecter la valeur TestESP au groupe esp par défaut pour le tunnel.
    • Indiquez à IPsec qu'il doit utiliser ike-group TestIKE, qui a été défini précédemment.

    set vpn ipsec site-to-site peer 169.54.254.117 authentication mode pre-shared-secret۪ set vpn ipsec site-to-site peer 169.54.254.117 authentication pre-shared-secret TestPSK۪ set vpn ipsec site-to-site peer 169.54.254.117 default-esp-group TestESP۪ set vpn ipsec site-to-site peer 169.54.254.117 ike-group TestIKE۪

  5. Créez le mappage pour le tunnel IPsec. Conformément à l'exemple présenté dans le document, entrez les commandes appropriées pour :

    • Indiquer au tunnel qu'il doit mapper l'adresse IP distante 169.54.254.117 à l'adresse IP locale de bond1, 50.97.240.219.
    • Router uniquement des adresses IP avec le sous-réseau 10.54.9.152/29 résidant dans l'interface de serveur local vers le serveur distant 169.54.254.117.
    • Router le trafic distant du tunnel 1169.54.254.117 vers le sous-réseau distant de 192.168.1.2/32.

    set vpn ipsec site-to-site peer 169.54.254.117 local-address ۪50.97.240.219 set vpn ipsec site-to-site peer 169.54.254.117 tunnel 1 local prefix 10.54.9.152/29 set vpn ipsec site-to-site peer 169.54.254.117 tunnel 1 remote prefix 192.168.1.2/32

L'étape suivante consiste à configurer l'unité côté distant, qui est une unité Brocade 5400 vRouter 6.6.5 R.

  • Utilisez l'unité que vous venez de configurer (en mode opérationnel) pour entrer la commande show configuration commands. La liste des commandes utilisées pour configurer l'unité s'affiche.
  • Copiez les commandes dans un éditeur de texte. Les commandes utilisées pour configurer l'unité locale sont utilisées pour configurer le serveur distant et des modifications sont apportées à l'adresse IP afin qu'elle pointe vers l'unité Brocade 5400 vRouter 6.6.5R sur SoftLayer.

La configuration côté distant utilisée précédemment est présentée ci-dessous. Les modifications qui sont nécessaires pour la configuration côté local sont affichées en gras.

Configuration côté distant :

set vpn ipsec ipsec-interfaces interface eth1

set vpn ipsec esp-group TestESP pfs disable۪

set vpn ipsec esp-group TestESP proposal 1 encryption aes128۪

set vpn ipsec esp-group TestESP proposal 1 hash sha1۪

set vpn ipsec ike-group TestIKE proposal 1 dh-group 2

set vpn ipsec ike-group TestIKE proposal 1 encryption aes128۪

set vpn ipsec ike-group TestIKE proposal 1 hash sha1۪

set vpn ipsec ipsec-interfaces interface eth1۪

set vpn ipsec site-to-site peer 50.97.240.219 authentication mode pre-shared-secret (L'IP homologue site à site a été permutée)

set vpn ipsec site-to-site peer 50.97.240.219 authentication pre-shared-secret TestPSK۪

set vpn ipsec site-to-site peer 50.97.240.219 default-esp-group TestESP۪

set vpn ipsec site-to-site peer 50.97.240.219 ike-group TestIKE۪

set vpn ipsec site-to-site peer 50.97.240.219 local-address 169.54.254.117 (L'adresse IP locale a été permutée.)

set vpn ipsec site-to-site peer 50.97.240.219 tunnel 1 local prefix 192.168.1.2/32

set vpn ipsec site-to-site peer 50.97.240.219 tunnel 1 remote prefix 10.54.9.152/29 (Le préfixe local et le préfixe distant n'ont pas été échangés.)

  • Copiez et collez les nouvelles commandes dans le serveur distant (assurez-vous d'être en mode de configuration), entrez commit, puis procédez à la sauvegarde.
  • Entrez run show vpn ike sa pour déterminer si le tunnel a été établi.

Récapitulatif des opérations effectuées : vous avez routé des adresses IP uniquement avec le sous-réseau 10.54.9.152/29 résidant dans l'interface locale (bond1, 50.97.240.219) vers uniquement des sous-réseaux 192.168.1.2/32 sur le service distant résidant dans l'interface avec l'adresse IP 169.54.254.117.