Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de tráfego de túnel IPsec

Visão geral da configuração do tráfego do túnel IPsec

A configuração de tráfego define o tráfego que deve fluir pelo túnel IPsec. Você configura filtros de firewall de saída e entrada, que identificam e direcionam o tráfego a ser criptografado e confirmam que parâmetros de tráfego descriptografados correspondem aos definidos para o determinado túnel. O filtro de saída é aplicado à interface LAN ou WAN para o tráfego de entrada que você deseja criptografar fora dessa LAN ou WAN. O filtro de entrada é aplicado ao ES PIC para verificar a política de tráfego proveniente do host remoto. Devido à complexidade de configurar um roteador para encaminhar pacotes, nenhuma verificação automática é feita para garantir que a configuração esteja correta. Certifique-se de configurar o roteador com muito cuidado.

Nota:

As declarações de filtro de firewall válidas para IPsec são portas de destino, porta de origem, protocolo, endereço de destino e endereço de origem.

Na Figura 1, o Gateway A protege a rede 10.1.1.0/24, e o Gateway B protege a rede 10.2.2.0/24. Os gateways são conectados por um túnel IPsec.

Figura 1: Exemplo: gateways de segurança de conexão de túnel IPsec Example: IPsec Tunnel Connecting Security Gateways

As interfaces SA e ES do Gateway A estão configuradas da seguinte forma:

As interfaces SA e ES para Gateway B estão configuradas da seguinte forma:

Exemplo: configurar um filtro de tráfego de saída

Os filtros de firewallpara tráfego de saída direcionam o tráfego pelo túnel IPsec desejado e garantem que o tráfego em túnel saia da interface apropriada (consulte a visão geral da configuração de tráfego do túnel IPsec). Aqui, um filtro de firewall de saída é criado no Gateway A de segurança; ela identifica o tráfego a ser criptografado e o adiciona ao lado de entrada da interface que transporta o tráfego VPN interno:

Nota:

O endereço, a porta e o protocolo de origem no filtro de tráfego de saída devem combinar o endereço de destino, a porta e o protocolo no filtro de tráfego de entrada. O endereço de destino, a porta e o protocolo no filtro de tráfego de saída devem combinar o endereço de origem, a porta e o protocolo no filtro de tráfego de entrada.

Exemplo: aplicar um filtro de tráfego de saída

Depois de configurar o filtro de firewall de saída, você o aplica:

O filtro de saída é aplicado na interface Fast Ethernet no nível de [edit interfaces fe-0/0/1 unit 0 family inet] hierarquia. Qualquer pacote que corresponda ao termo de ação IPsec (term 1) no filtro de entrada (ipsec-encrypt-policy-filter), configurado na interface Fast Ethernet, é direcionado para a interface ES PIC no nível de [edit interfaces es-0/1/0 unit 0 family inet] hierarquia. Se um pacote chegar do endereço de origem 10.1.1.1.0/24 e for para o endereço de destino 10.2.2.0/24, o Mecanismo de Encaminhamento de Pacotes direciona o pacote para a interface ES PIC, que está configurada com o manual-sa1 SA. O ES PIC recebe o pacote, aplica o manual-sa1 SA e envia o pacote pelo túnel.

O roteador deve ter uma rota até o endpoint do túnel; adicionar uma rota estática, se necessário.

Exemplo: configurar um filtro de tráfego de entrada para uma verificação de políticas

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Aqui, um filtro de firewall de entrada, que executa a verificação final da política IPsec, é criado no Gateway A de segurança. Esta verificação garante que apenas pacotes que correspondam ao tráfego configurado para este túnel sejam aceitos. Este filtro está configurado pela interface CLI no nível de [edit firewall family inet] hierarquia.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.

Configurando o filtro de firewall

Procedimento passo a passo

Para configurar o filtro de firewall, ipsec-decrypt-policy-filter que captura o tráfego da rede remota 10.2.2.0/24 destinada à rede local 10.1.1.0/24 :

  1. Crie o filtro de firewall:

  2. Configure a correspondência para endereços de origem e destino:

  3. Configure o filtro para aceitar o tráfego combinado:

    Nota:

    A declaração de aceitação dentro do term term1 é apenas para este filtro. O tráfego que não corresponda a esse termo de filtro será descartado pela ação padrão do firewall.

  4. Confirme sua configuração de firewall candidato emitindo o show comando de configuração no nível de [edit firewall family inet] hierarquia

    Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  5. Se você terminar de configurar o dispositivo, comprometa sua configuração de candidato.

    Para implementar este filtro, você o aplica como um filtro de entrada para a es-0/1/0 interface lógica do Gateway A. Veja exemplo: aplicar um filtro de tráfego de entrada em um ES PIC para obter informações sobre a verificação de políticas.

Exemplo: aplicar um filtro de tráfego de entrada em um ES PIC para uma verificação de políticas

Depois de criar o filtro de firewall de entrada, aplique-o ao ES PIC. Aqui, o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. O IPsec manual-sa1 SA é mencionado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e descriptografa o pacote de entrada.

O mecanismo de encaminhamento de pacotes direciona pacotes IPsec para o ES PIC. Ele usa o SPI, protocolo e endereço de destino do pacote para procurar a SA configurada em uma das interfaces ES. O IPsec manual-sa1 SA é mencionado no nível de [edit interfaces es-1/2/0 unit 0 family inet] hierarquia e é usado para descriptografar o pacote de entrada. Quando os pacotes são processados (descriptografados, autenticados ou ambos), o filtro de firewall de entrada (ipsec-decrypt-policy-filter) é aplicado no pacote descriptografado para realizar a verificação final da política. O termo1 define o tráfego descriptografado (e verificado) e realiza a verificação de política necessária.

Nota:

O filtro de tráfego de entrada é aplicado após o ES PIC processar o pacote, de modo que o tráfego descriptografado é definido como qualquer tráfego que o gateway remoto está criptografando e enviando para este roteador. O IKE usa este filtro para determinar a política necessária para um túnel. Essa política é usada durante a negociação com o gateway remoto para encontrar a configuração SA correspondente.

Configuração da interface do túnel ES para uma VPN de Camada 3

Para configurar uma interface de túnel ES para uma VPN de Camada 3, você precisa configurar uma interface de túnel ES no roteador de borda do provedor (PE) e no roteador de borda do cliente (CE). Você também precisa configurar o IPsec nos roteadores PE e CE.