Configuração de tráfego de túnel IPsec
Visão geral da configuração de tráfego de túnel IPsec
A configuração de tráfego define o tráfego que deve fluir pelo túnel IPsec. Você configura filtros de firewall de entrada e saída, que identificam e direcionam o tráfego a ser criptografado e confirma que os parâmetros de tráfego descriptografados correspondem aos definidos para o determinado túnel. O filtro de saída é aplicado à interface LAN ou WAN para o tráfego de entrada que você deseja criptografar dessa LAN ou WAN. O filtro de entrada é aplicado ao ES PIC para verificar a política de tráfego vindo do host remoto. Devido à complexidade da configuração de um roteador para encaminhar pacotes, nenhuma verificação automática é feita para garantir que a configuração esteja correta. Certifique-se de configurar o roteador com muito cuidado.
As declarações válidas de filtros de firewall para IPsec são portas de destino, porta de origem, protocolo, endereço de destino e endereço-fonte.
Na Figura 1, o Gateway A protege a rede 10.1.1.0/24, e o Gateway B protege a rede 10.2.2.0/24. Os gateways são conectados por um túnel IPsec.
As interfaces SA e ES para Gateway A estão configuradas da seguinte forma:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
As interfaces SA e ES para Gateway B estão configuradas da seguinte forma:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
Veja também
Exemplo: configuração de um filtro de tráfego de saída
Os filtros de firewallpara tráfego de saída direcionam o tráfego pelo túnel IPsec desejado e garantem que o tráfego em tunelamento saia da interface apropriada (veja visão geral da configuração do túnel IPsec). Aqui, um filtro de firewall de saída é criado no gateway A de segurança; identifica o tráfego a ser criptografado e o adiciona ao lado de entrada da interface que transporta o tráfego VPN interno:
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
O endereço, a porta e o protocolo de origem no filtro de tráfego de saída devem corresponder ao endereço de destino, porta e protocolo no filtro de tráfego de entrada. O endereço de destino, a porta e o protocolo no filtro de tráfego de saída devem combinar com o endereço de origem, a porta e o protocolo no filtro de tráfego de entrada.
Veja também
Exemplo: a aplicação de um filtro de tráfego de saída
Depois de configurar o filtro de firewall de saída, você o aplica:
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
O filtro de saída é aplicado na interface fast ethernet no nível de [edit interfaces fe-0/0/1 unit 0 family inet] hierarquia. Qualquer pacote que corresponda ao termo de ação IPsec (term 1) no filtro de entrada (ipsec-encrypt-policy-filter), configurado na interface Fast Ethernet, é direcionado para a interface ES PIC no nível de [edit interfaces es-0/1/0 unit 0 family inet] hierarquia. Se um pacote chegar do endereço fonte 10.1.1.0/24 e for para o endereço de destino 10.2.2.0/24, o Mecanismo de encaminhamento de pacotes direciona o pacote para a interface ES PIC, que está configurada com o manual-sa1 SA. O ES PIC recebe o pacote, aplica o manual-sa1 SA e envia o pacote pelo túnel.
O roteador deve ter uma rota para o endpoint do túnel; adicionar uma rota estática, se necessário.
Veja também
Exemplo: configuração de um filtro de tráfego de entrada para uma verificação de políticas
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Aqui, um filtro de firewall de entrada, que realiza a verificação final da política de IPsec, é criado no gateway A de segurança. Essa verificação garante que apenas os pacotes compatíveis com o tráfego configurado para este túnel sejam aceitos. Este filtro está configurado por meio da interface CLI no nível de [edit firewall family inet] hierarquia.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
Configuração do filtro de firewall
Procedimento passo a passo
Para configurar o filtro de firewall, ipsec-decrypt-policy-filter que flagra o tráfego do netowrk remoto 10.2.2.0/24 destinado à rede local 10.1.1.0/24 :
Crie o filtro de firewall:
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
Configure a correspondência para endereços de origem e destino:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
Configure o filtro para aceitar o tráfego combinado:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
Nota:A declaração de aceitação dentro do
term term1é apenas para este filtro. O tráfego que não corresponde a este termo do filtro será descartado pela ação padrão do firewall.Confirme a configuração do firewall do seu candidato emitindo o
showcomando de configuração no nível hierárquicos[edit firewall family inet][edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Para implementar este filtro, você o aplica como um filtro de entrada para a
es-0/1/0interface lógica do Gateway A. Veja exemplo: a aplicação de um filtro de tráfego de entrada em um PIC ES para obter mais informações sobre a verificação de políticas.
Exemplo: aplicar um filtro de tráfego de entrada em um PIC ES para uma verificação de políticas
Depois de criar o filtro de firewall de entrada, aplique-o no ES PIC. Aqui, o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. O SA IPsec manual-sa1 é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e descriptografa o pacote de entrada.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
O mecanismo de encaminhamento de pacotes direciona pacotes IPsec para o ES PIC. Ele usa o SPI, protocolo e endereço de destino do pacote para procurar a SA configurada em uma das interfaces ES. O IPsec manual-sa1 SA é referenciado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e é usado para descriptografar o pacote de entrada. Quando os pacotes são processados (descriptografados, autenticados ou ambos), o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. O termo1 define o tráfego descriptografado (e verificado) e realiza a verificação de política necessária.
O filtro de tráfego de entrada é aplicado após o ES PIC processar o pacote, de modo que o tráfego descriptografado é definido como qualquer tráfego que o gateway remoto está criptografando e enviando para este roteador. O IKE usa este filtro para determinar a política necessária para um túnel. Essa política é usada durante a negociação com o gateway remoto para encontrar a configuração SA correspondente.
Veja também
Configuração de interface de túnel ES para uma VPN de camada 3
Para configurar uma interface de túnel ES para uma VPN de Camada 3, você precisa configurar uma interface de túnel ES no roteador de borda do provedor (PE) e no roteador de borda do cliente (CE). Você também precisa configurar o IPsec nos roteadores PE e CE.