Configuração de tráfego de túnel IPsec
Visão geral da configuração de tráfego de túnel IPsec
A configuração de tráfego define o tráfego que deve fluir pelo túnel IPsec. Você configura filtros de firewall de entrada e saída, que identificam e direcionam o tráfego a ser criptografado e confirma que os parâmetros de tráfego descriptografados correspondem aos definidos para o determinado túnel. O filtro de saída é aplicado à interface LAN ou WAN para o tráfego de entrada que você deseja criptografar dessa LAN ou WAN. O filtro de entrada é aplicado ao ES PIC para verificar a política de tráfego vindo do host remoto. Devido à complexidade da configuração de um roteador para encaminhar pacotes, nenhuma verificação automática é feita para garantir que a configuração esteja correta. Certifique-se de configurar o roteador com muito cuidado.
As declarações válidas de filtros de firewall para IPsec são portas de destino, porta de origem, protocolo, endereço de destino e endereço-fonte.
Na Figura 1, o Gateway A protege a rede 10.1.1.0/24, e o Gateway B protege a rede 10.2.2.0/24. Os gateways são conectados por um túnel IPsec.
As interfaces SA e ES para Gateway A estão configuradas da seguinte forma:
[edit security ipsec] security-association manual-sa1 { manual { direction bidirectional { protocol esp; spi 2312; authentication { algorithm hmac-md5-96; key ascii-text 1234123412341234; } encryption { algorithm 3des-cbc; key ascii-text 123456789009876543211234; } } } } [edit interfaces es-0/1/0] unit 0 { tunnel { source 10.5.5.5; destination 10.6.6.6; } family inet { ipsec-sa manual-sa1; address 10.1.1.8/32 { destination 10.1.1.9; } } }
As interfaces SA e ES para Gateway B estão configuradas da seguinte forma:
[edit security ipsec] security-association manual-sa1 { manual { direction bidirectional { protocol esp; spi 2312; authentication { algorithm hmac-md5-96; key ascii-text 1234123412341234; } encryption { algorithm 3des-cbc; key ascii-text 123456789009876543211234; } } } } [edit interfaces es-0/1/0] unit 0 { tunnel { source 10.6.6.6; destination 10.5.5.5; } family inet { ipsec-sa manual-sa1; address 10.1.1.9/32; { destination 10.1.1.8; } } }
Veja também
Exemplo: configuração de um filtro de tráfego de saída
Os filtros de firewallpara tráfego de saída direcionam o tráfego pelo túnel IPsec desejado e garantem que o tráfego em tunelamento saia da interface apropriada (veja visão geral da configuração do túnel IPsec). Aqui, um filtro de firewall de saída é criado no gateway A de segurança; identifica o tráfego a ser criptografado e o adiciona ao lado de entrada da interface que transporta o tráfego VPN interno:
[edit firewall] filter ipsec-encrypt-policy-filter { term term1 { from { source-address { # local network 10.1.1.0/24; } destination-address { # remote network 10.2.2.0/24; } } then ipsec-sa manual-sa1; # apply SA name to packet term default { then accept; }
O endereço, a porta e o protocolo de origem no filtro de tráfego de saída devem corresponder ao endereço de destino, porta e protocolo no filtro de tráfego de entrada. O endereço de destino, a porta e o protocolo no filtro de tráfego de saída devem combinar com o endereço de origem, a porta e o protocolo no filtro de tráfego de entrada.
Veja também
Exemplo: a aplicação de um filtro de tráfego de saída
Depois de configurar o filtro de firewall de saída, você o aplica:
[edit interfaces] fe-0/0/1 { unit 0 { family inet { filter { input ipsec-encrypt-policy-filter; } address 10.1.1.254/24; } } }
O filtro de saída é aplicado na interface fast ethernet no nível de [edit interfaces fe-0/0/1 unit 0 family inet]
hierarquia. Qualquer pacote que corresponda ao termo de ação IPsec (term 1
) no filtro de entrada (ipsec-encrypt-policy-filter
), configurado na interface Fast Ethernet, é direcionado para a interface ES PIC no nível de [edit interfaces es-0/1/0 unit 0 family inet]
hierarquia. Se um pacote chegar do endereço fonte 10.1.1.0/24 e for para o endereço de destino 10.2.2.0/24, o Mecanismo de encaminhamento de pacotes direciona o pacote para a interface ES PIC, que está configurada com o manual-sa1
SA. O ES PIC recebe o pacote, aplica o manual-sa1
SA e envia o pacote pelo túnel.
O roteador deve ter uma rota para o endpoint do túnel; adicionar uma rota estática, se necessário.
Veja também
Exemplo: configuração de um filtro de tráfego de entrada para uma verificação de políticas
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Aqui, um filtro de firewall de entrada, que realiza a verificação final da política de IPsec, é criado no gateway A de segurança. Essa verificação garante que apenas os pacotes compatíveis com o tráfego configurado para este túnel sejam aceitos. Este filtro está configurado por meio da interface CLI no nível de [edit firewall family inet]
hierarquia.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
Configuração do filtro de firewall
Procedimento passo a passo
Para configurar o filtro de firewall, ipsec-decrypt-policy-filter
que flagra o tráfego do netowrk remoto 10.2.2.0/24
destinado à rede local 10.1.1.0/24
:
Crie o filtro de firewall:
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
Configure a correspondência para endereços de origem e destino:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
Configure o filtro para aceitar o tráfego combinado:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
Nota:A declaração de aceitação dentro do
term term1
é apenas para este filtro. O tráfego que não corresponde a este termo do filtro será descartado pela ação padrão do firewall.Confirme a configuração do firewall do seu candidato emitindo o
show
comando de configuração no nível hierárquicos[edit firewall family inet]
[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Para implementar este filtro, você o aplica como um filtro de entrada para a
es-0/1/0
interface lógica do Gateway A. Veja exemplo: a aplicação de um filtro de tráfego de entrada em um PIC ES para obter mais informações sobre a verificação de políticas.
Exemplo: aplicar um filtro de tráfego de entrada em um PIC ES para uma verificação de políticas
Depois de criar o filtro de firewall de entrada, aplique-o no ES PIC. Aqui, o filtro de firewall de entrada (ipsec-decrypt-policy-filter
) é aplicado no pacote descriptografado para realizar a verificação final da política. O SA IPsec manual-sa1
é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet]
hierarquia e descriptografa o pacote de entrada.
[edit interfaces] es-1/2/0 { unit 0 { tunnel { source 10.5.5.5; # tunnel source address destination 10.6.6.6; # tunnel destination address } family inet { filter { input ipsec-decrypt-policy-filter; } ipsec-sa manual-sa1; # SA name applied to packet address 10.1.1.8/32 { # local interface address inside local VPN destination 10.2.2.254; # destination address inside remote VPN } } }
O mecanismo de encaminhamento de pacotes direciona pacotes IPsec para o ES PIC. Ele usa o SPI, protocolo e endereço de destino do pacote para procurar a SA configurada em uma das interfaces ES. O IPsec manual-sa1
SA é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet]
hierarquia e é usado para descriptografar o pacote de entrada. Quando os pacotes são processados (descriptografados, autenticados ou ambos), o filtro de firewall de entrada (ipsec-decrypt-policy-filter
) é aplicado no pacote descriptografado para realizar a verificação final da política. O termo1 define o tráfego descriptografado (e verificado) e realiza a verificação de política necessária.
O filtro de tráfego de entrada é aplicado após o ES PIC processar o pacote, de modo que o tráfego descriptografado é definido como qualquer tráfego que o gateway remoto está criptografando e enviando para este roteador. O IKE usa este filtro para determinar a política necessária para um túnel. Essa política é usada durante a negociação com o gateway remoto para encontrar a configuração SA correspondente.
Veja também
Configuração de interface de túnel ES para uma VPN de camada 3
Para configurar uma interface de túnel ES para uma VPN de Camada 3, você precisa configurar uma interface de túnel ES no roteador de borda do provedor (PE) e no roteador de borda do cliente (CE). Você também precisa configurar o IPsec nos roteadores PE e CE.