Citrix SD-WAN

Comment configurer le tunnel IPSec entre le SD-WAN et les périphériques tiers

Pour configurer le tunnel IPSec pour un service intranet ou LAN :

  1. Dans l’Éditeur de configuration, accédez à Connexions> Afficher le site> [Nom du site]> Tunnels IPSec. Choisissez un type de service (LAN ou Intranet).

  2. Entrez un nom pour le type de service. Pour le type de service Intranet, le serveur Intranet configuré détermine les adresses IP locales disponibles.

  3. Sélectionnez l’adresse IP locale disponible et entrez l’adresse IP homologue pour le chemin virtuel d’homologue avec.

    Paramètres de l'intranet des sites IPsec

    Types de tunnel IPSec

    Types de tunnel intranet IPSec

    Remarque

    Si le type de service est Intranet, l’adresse IP est prédéterminée par le service intranet choisi.

    Paramètres LAN des sites

  4. Configurez les paramètres IPSec en appliquant les critères décrits dans les tableaux suivants. Lorsque vous avez terminé, cliquez sur Appliquer pour enregistrer vos paramètres.

| Champ |Description | Valeur | | — | — | — | | Type de service | Choisissez un type de service dans le menu déroulant | Intranet, LAN | | Nom | Si le type de service est Intranet, choisissez dans la liste des services Intranet configurés dans le menu déroulant. Si le type de service est LAN, entrez un nom unique | Chaîne de texte | | IP locale | Choisissez l’adresse IP locale du tunnel IPSec dans le menu déroulant des adresses IP virtuelles disponibles configurées sur ce site | Adresse IP | | IP homologue | Entrez l’adresse IP homologue du tunnel IPSec | Adresse IP | | MTU | Entrez le **MTU** pour fragmenter les fragments IKE et IPSec | Valeur par défaut : 1500 | | Paramètres IKE | Version : Choisissez une version IKE dans le menu déroulant | IKEv1 IKEv2 | Mode | Choisissez un mode dans le menu déroulant | Conforme FIPS : Principal, Non conforme FIPS : Agressif | Identité | Choisir une identité dans le menu déroulant | Adresse IP automatique Manuel Adresse IP Adresse IP Utilisateur FQDN | Authentification | Choisissez le type d’authentification dans le menu déroulant | Clé pré-partagée : si vous utilisez une clé pré-partagée, copiez-la et collez-la dans ce champ. Cliquez sur l’icône Eyeball () pour afficher la clé pré-partagée. Certificat : Si vous utilisez un certificat d’identité, sélectionnez-le dans le menu déroulant. | | Valider l’identité des pairs | Activez cette case à cocher pour valider l’homologue de l’IKE. Si le type d’ID de l’homologue n’est pas pris en charge, n’activez pas cette fonctionnalité | Aucun | |Groupe DH | Choisir le groupe Diffie-Hellman à utiliser pour la génération de clés IKE dans le menu déroulant | Non conforme aux normes FIPS : Groupe 1, compatible FIPS : Groupe 2 Groupe 5 Groupe 14 Groupe 15 Groupe 16 Groupe 19 Groupe 20 Groupe 21 | Algorithme de hachage | Choisir un algorithme dans le menu déroulant pour authentifier les messages IKE | Non conforme aux normes FIPS : MD5 FIPS : SHA1 SHA-256 | Mode de chiffrement | Choisir le mode de chiffrement pour les messages IKE dans le menu déroulant | AES AES 192 bits AES 256 bits 128 bits | Durée de vie (s) | Entrez la durée préférée, en secondes, pour qu’une association de sécurité IKE existe | 3600 secondes (par défaut) | | Durée de vie (s) Max | Entrez la durée maximale préférée, en secondes, pour permettre à une association de sécurité IKE d’exister | 86400 secondes (par défaut) | | DPDD Délai (s) | Entrez le délai d’expiration de détection des pairs morts, en secondes, pour les connexions VPN |300 secondes (par défaut) | | IKEV2 | Authentification des pairs : Choisissez l’authentification par pair dans le menu déroulant | Certificat de clé pré-partagée en miroir | IKE2 - Clé pré-partagée | Clé pré-partagée de pair : Collez la clé pré-partagée homologue IKEv2 dans ce champ pour l’authentification. Click the eyeball () icon to view the Pre-Shared Key | Text string | | Integrity Algorithm | Choose an algorithm as the hashing algorithm to use for HMAC verification from the drop-down menu | Non-FIPS compliant: MD5 FIPS compliant: SHA1 SHA-256 |

Remarque :

Si le routeur IPSec terminant inclut le code HMAC (Message Authentication Code) basé sur le hachage dans la configuration, changez le mode IPsec en Exp+Auth avec un algorithme de hachage SHA1.

Paramètres IKE Tunnels IPSec

Paramètres IKE2 tunnels IPSec

Paramètres réseau protégés IPsec et IPsec :

Champ Description Valeur (s)
Type de tunnel Choisissez le type de tunnel dans le menu déroulant ESP ESP+Auth ESP+NULL AH
Groupe PFS Choisissez le groupe Diffie-Hellman à utiliser pour une génération parfaite de clés de secret dans le menu déroulant Aucun Groupe 1 Groupe 2 Groupe 5 Groupe 14 Groupe 15 Groupe 16 Groupe 19 Groupe 20 Groupe 21
Mode de chiffrement Choisissez le mode de chiffrement pour les messages IPsec dans le menu déroulant Si vous avez choisi ESP ou ESP+ Auth, sélectionnez l’une des options suivantes : AES 128 bits, AES 192 bits, AES 256 bits, AES 128 bits GCM 64 bits, AES 192 bits GCM 64 bits, AES 256 bits GCM 64 bits, AES 256 bits GCM 64 bits, AES 128 bits GCM 96 bits, AES 256 bits GCM 96 bits, AES 256 bits GCM 96 bits, AES 128 bits GCM 128 bits, 128 bits, AES 192 bits GCM 128 bits, AES 256 bits GCM 128 bits. Les AES 128/192/256 bits sont pris en charge par CBC.
Durée de vie (s) Entrez la durée, en secondes, pour autoriser l’existence d’une association de sécurité IPSec 28800 secondes (par défaut)
Durée de vie Max (s) Entrez la durée maximale, en secondes, pour autoriser l’existence d’une association de sécurité IPsec 86400 secondes (par défaut)
Durée de vie (Ko) Entrez la quantité de données, en kilo-octets, pour qu’une association de sécurité IPsec existe Kilo-octets
Durée de vie (Ko) Max Entrez la quantité maximale de données, en kilo-octets, pour autoriser une association de sécurité IPSec à exister Kilo-octets
Comportement d’incompatibilité réseau Choisissez l’action à effectuer si un paquet ne correspond pas aux réseaux protégés du tunnel IPSec dans le menu déroulant Déposer, envoyer non chiffré, utiliser un itinéraire non IPsec
Réseaux protégés IPsec Source IP/préfixe : Après avoir cliqué sur le bouton Ajouter (+ Ajouter), entrez l’ adresse IP source et le préfixe du trafic réseau que le tunnel IPsec protégera Adresse IP
Réseaux protégés IPsec IP/préfixe de destination : Entrez l’ adresse IP de destination et le préfixe du trafic réseau que le tunnel IPsec protégera Adresse IP

Paramètres du tunnel IPSec

Surveiller les tunnels IPSec

Accédez à Monitoring >IKE/IPSec dans l’interface graphique de l’appliance SD-WAN pour afficher et surveiller la configuration du tunnel IPSec.

Comment configurer le tunnel IPSec entre le SD-WAN et les périphériques tiers