Configuração de interfaces de criptografia
Configuração de interfaces de criptografia
Quando você configura a interface de criptografia, você associa a SA configurada a uma interface lógica. Essa configuração define o túnel, incluindo a unidade lógica, endereços de túnel, unidade de transmissão máxima (MTU), endereços de interface opcionais e o nome da SA IPsec para aplicar ao tráfego. Para configurar uma interface de criptografia, inclua as seguintes declarações no nível de [edit interfaces es-fpc/pic/port unit logical-unit-number] hierarquia:
family inet { ipsec-sa ipsec-sa; # name of security association to apply to packet address address; # local interface address inside local VPN destination address; # destination address inside remote VPN } tunnel { source source-address; destination destination-address; }
Os endereços configurados como a fonte e o destino do túnel são os endereços no cabeçalho IP externo do túnel.
Você deve configurar o endereço de origem do túnel localmente no roteador, e o endereço de destino do túnel deve ser um endereço válido para o gateway de segurança que está encerrando o túnel.
A placa de interface física (PIC) do ES é suportada em roteadores série M e T.
A SA deve ser uma SA válida no modo túnel. O endereço de interface e o endereço de destino listados são opcionais. O endereço de destino permite que o usuário configure uma rota estática para criptografar o tráfego. Se uma rota estática usar esse endereço de destino como próximo salto, o tráfego será encaminhado pela parte do túnel em que a criptografia ocorre.
- Especificando o nome da associação de segurança para interfaces de criptografia
- Configuração do MTU para interfaces de criptografia
- Exemplo: Configuração de uma interface de criptografia
Especificando o nome da associação de segurança para interfaces de criptografia
A associação de segurança é o conjunto de propriedades que define os protocolos para criptografar o tráfego da Internet. Para configurar interfaces de criptografia, você especifica o nome SA associado à interface, incluindo a ipsec-sa declaração no nível de [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] hierarquia:
ipsec-sa sa-name;
Para obter informações sobre a configuração da associação de segurança, consulte Configurando filtros para tráfego transitando pelo ES PIC.
Configuração do MTU para interfaces de criptografia
O valor de MTU de protocolo para interfaces de criptografia deve ser sempre menor do que o valor mtu de interface padrão de 3900 bytes; a configuração não se compromete se você selecionar um valor maior. Para definir o valor do MTU, inclua a mtu declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:
mtu bytes;
Para obter mais informações, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.
Exemplo: Configuração de uma interface de criptografia
Configure um túnel IPsec como uma interface lógica no ES PIC. A interface lógica especifica o túnel pelo qual o tráfego criptografado viaja. A ipsec-sa declaração associa o perfil de segurança à interface.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa manual-sa1; # name of security association to apply to packet
mtu 3800;
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuração de filtros para tráfego que transita pelo ES PIC
Esta seção contém os seguintes tópicos:
- Visão geral do tráfego
- Configurando a Associação de Segurança
- Configuração de um filtro de tráfego de saída
- Aplicando o filtro de tráfego de saída
- Configuração de um filtro de tráfego de entrada
- Aplicando o filtro de tráfego de entrada na interface de criptografia
Visão geral do tráfego
A configuração de tráfego define o tráfego que deve fluir pelo túnel. Você configura filtros de firewall de entrada e saída, que identificam e direcionam o tráfego a ser criptografado e confirma que os parâmetros de tráfego descriptografados correspondem aos definidos para o determinado túnel. O filtro de saída é aplicado à interface LAN ou WAN para o tráfego de entrada que você deseja criptografar. O filtro de entrada é aplicado ao ES PIC para verificar a política de tráfego vindo do host remoto. Devido à complexidade da configuração de um roteador para encaminhar pacotes, nenhuma verificação automática é feita para garantir que a configuração esteja correta.
As declarações válidas de filtros de firewall para IPsec sãodestination-port, source-porte source-addressprotocoldestination-address.
Na Figura 1, o gateway A protege a rede 10.1.1.0/24e o Gateway B protege a rede 10.2.2.0/24. Os gateways são conectados por um túnel IPsec. Para obter mais informações sobre firewalls, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
A interface SA e ES para o gateway A de segurança está configurada da seguinte forma:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
Configurando a Associação de Segurança
Para configurar a SA, inclua a security-association declaração no nível de [edit security] hierarquia:
security-association name {
mode (tunnel | transport);
manual {
direction (inbound | outbound | bi-directional) {
auxiliary-spi auxiliary-spi-value;
spi spi-value;
protocol (ah | esp | bundle);
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
}
dynamic {
replay-window-size (32 | 64);
ipsec-policy policy-name;
}
}
}
Para obter mais informações sobre a configuração de uma SA, consulte a Biblioteca de administração do Junos OS para dispositivos de roteamento. Para obter informações sobre a aplicação da SA em uma interface, consulte 147531Especificando o nome da Associação de Segurança para Interfaces de Criptografia.
Configuração de um filtro de tráfego de saída
Para configurar o filtro de tráfego de saída, inclua a filter declaração no nível de [edit firewall] hierarquia:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Para obter mais informações, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Exemplo: configuração de um filtro de tráfego de saída
Os filtros de firewall para tráfego de saída direcionam o tráfego pelo túnel IPsec desejado e garantem que o tráfego tunelado saia da interface apropriada (ver Figura 1). Aqui, um filtro de firewall de saída é criado no gateway A de segurança; identifica o tráfego a ser criptografado e o adiciona ao lado de entrada da interface que transporta o tráfego interno de rede virtual privada (VPN):
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
O endereço, a porta e o protocolo de origem no filtro de tráfego de saída devem corresponder ao endereço de destino, porta e protocolo no filtro de tráfego de entrada. O endereço de destino, a porta e o protocolo no filtro de tráfego de saída devem combinar com o endereço de origem, a porta e o protocolo no filtro de tráfego de entrada.
Aplicando o filtro de tráfego de saída
Depois de configurar o filtro de firewall de saída, você o aplica incluindo a filter declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:
filter { input filter-name; }
Exemplo: a aplicação do filtro de tráfego de saída
Aplique o filtro de tráfego de saída. O filtro de saída é aplicado na interface fast ethernet no nível de [edit interfaces fe-0/0/1 unit 0 family inet] hierarquia. Qualquer pacote que corresponda ao termo de ação IPsec (term 1) no filtro de entrada (ipsec-encrypt-policy-filter), configurado na interface Fast Ethernet, é direcionado para a interface ES PIC no nível de [edit interfaces es-0/1/0 unit 0 family inet] hierarquia. Assim, se um pacote chegar do endereço 10.1.1.0/24 de origem e for para o endereço 10.2.2.0/24de destino, o Mecanismo de encaminhamento de pacotes direciona o pacote para a interface ES PIC, que está configurada com o manual-sa1 SA. O ES PIC recebe o pacote, aplica o manual-sa1 SA e envia o pacote pelo túnel.
O roteador deve ter uma rota para o ponto de extremidade do túnel; adicionar uma rota estática, se necessário.
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Configuração de um filtro de tráfego de entrada
Para configurar um filtro de tráfego de entrada, inclua a filter declaração no nível de [edit firewall] hierarquia:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Para obter mais informações, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Exemplo: configuração de um filtro de tráfego de entrada
Configure um filtro de firewall de entrada. Este filtro executa a verificação final da política de IPsec e é criado no gateway de segurança A. A verificação de política garante que apenas pacotes compatíveis com o tráfego configurado para este túnel sejam aceitos.
[edit firewall]
filter ipsec-decrypt-policy-filter {
term term1 { # perform policy check
from {
source-address { # remote network
10.2.2.0/24;
}
destination-address { # local network
10.1.1.0/24;
}
then accept;
Aplicando o filtro de tráfego de entrada na interface de criptografia
Depois de criar o filtro de firewall de entrada, você pode aplicá-lo ao ES PIC. Para aplicar o filtro ao ES PIC, inclua a filter declaração no nível de [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] hierarquia:
filter {
input filter;
}
O filtro de entrada é o nome do filtro aplicado ao tráfego recebido. Para um exemplo de configuração, veja Exemplo: Configuração de um filtro de tráfego de entrada. Para obter mais informações sobre filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.
Exemplo: a aplicação do filtro de tráfego de entrada na interface de criptografia
Aplique o filtro de firewall de entrada (ipsec-decrypt-policy-filter) no pacote descriptografado para realizar a verificação final da política. O SA IPsec manual-sa1 é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e descriptografa o pacote de entrada.
O mecanismo de encaminhamento de pacotes direciona pacotes IPsec para o ES PIC. Ele usa o índice de parâmetros de segurança (SPI), protocolo e endereço de destino do pacote para procurar a SA configurada em uma das interfaces ES. O IPsec manual-sa1 SA é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e é usado para descriptografar o pacote de entrada. Quando os pacotes são processados (descriptografados, autenticados ou ambos), o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. term1 Define o tráfego descriptografado (e verificado) e realiza a verificação de política necessária. Para obter informações sobre term1, veja Exemplo: Configuração de um filtro de tráfego de entrada.
O filtro de tráfego de entrada é aplicado após o ES PIC processar o pacote, de modo que o tráfego descriptografado é definido como qualquer tráfego que o gateway remoto está criptografando e enviando para este roteador. O IKE usa este filtro para determinar a política necessária para um túnel. Essa política é usada durante a negociação com o gateway remoto para encontrar a configuração SA correspondente.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Configuração de uma interface de túnel ES para uma VPN de camada 3
Para configurar uma interface de túnel ES para uma VPN de Camada 3, você precisa configurar uma interface de túnel ES no roteador de borda do provedor (PE) e no roteador de borda do cliente (CE). Você também precisa configurar o IPsec nos roteadores PE e CE. Para obter mais informações sobre a configuração de um túnel ES para uma VPN de Camada 3, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.
Configuração da redundância ES PIC
Você pode configurar a redundância de ES PIC em roteadores série M e T que têm vários PICs ES. Com a redundância do ES PIC, um ES PIC está ativo e outro ES PIC está em espera. Quando o ES PIC primário tem uma falha de manutenção, o backup fica ativo, herda todos os túneis e SAs e atua como o novo próximo salto para o tráfego IPsec. O restabelecimento de túneis no backup ES PIC não exige novas negociações de Internet Key Exchange (IKE). Se o ES PIC primário estiver on-line, ele permanecerá em espera e não antecipará o backup. Para determinar qual PIC está ativo no momento, use o show ipsec redundancy comando.
A redundância de ES PIC é suportada em roteadores série M e T.
Para configurar um PIC ES como backup, inclua a backup-interface declaração no nível de [edit interfaces fpc/pic/port es-options] hierarquia:
backup-interface es-fpc/pic/port;
Exemplo: Configuração da redundância do ES PIC
Depois de criar o filtro de firewall de entrada, aplique-o no PIC ES primário. Aqui, o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. O SA IPsec manual-sa1 é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e descriptografa o pacote de entrada. Este exemplo não mostra a configuração de SA e filtro. Para obter informações sobre a configuração de SA e filtros, consulte a Biblioteca de administração do Junos OS para dispositivos de roteamento, as políticas de roteamento, filtros de firewall e o guia de usuário de policiais de tráfego, e exemplo: configurando um filtro de tráfego de entrada.
[edit interfaces]
es-1/2/0 {
es-options {
backup-interface es-1/0/0;
}
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
filter {
input ipsec-decrypt-policy-filter;
}
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
}
Configuração da redundância de túneis IPsec
Você pode configurar a redundância de túnel IPsec especificando um endereço de destino de backup. O roteador local envia keepalives para determinar a acessibilidade do local remoto. Quando o peer não é mais acessível, um novo túnel é estabelecido. Por até 60 segundos durante o failover, o tráfego é desativado sem a notificação. A Figura 2 mostra túneis IPsec primários e de backup.
de túnel IPsec
Para configurar a redundância de túnel IPsec, inclua a backup-destination declaração no nível de [edit interfaces unit logical-unit-number tunnel] hierarquia:
backup-destinationaddress; destination address; source address;
A redundância de túnel é suportada em roteadores série M e T.
Os destinos primários e de backup devem estar em diferentes roteadores.
Os túneis devem ser distintos uns dos outros e as políticas devem corresponder.
Para obter mais informações sobre túneis, veja a configuração da interface de túnel nos roteadores da Série MX.