IPsec 隧道流量配置
IPsec 隧道流量配置概述
信息流配置定义了必须通过 IPsec隧道 的流量。您可配置出站和入站防火墙过滤器,这些过滤器用于识别和指示要加密的流量,以及确认解密的流量参数是否与为给定隧道定义的流量参数匹配。对于要加密的 LAN 或 WAN 的传入流量,出站过滤器会应用于 LAN 或 WAN 接口。入站过滤器应用于 ES PIC,以检查来自远程主机的流量的策略。由于配置路由器以转发数据包的复杂性,因此不会执行自动检查来确保配置正确。请务必非常小心地配置路由器。
IPsec 的有效防火墙过滤器语句是目标端口、源端口、协议、目标地址和源地址。
在 图 1中,网关 A 保护网络 10.1.1.0/24,而网关 B 保护网络 10.2.2.0/24。网关通过 IPsec 隧道连接。
网关 A 的 SA 和 ES 接口配置如下:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
网关 B 的 SA 和 ES 接口配置如下:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
另请参阅
示例:配置出站流量过滤器
出站流量的 防火墙过滤器 用于通过所需IPsec隧道传输流量,并确保隧道流量通过相应的接口(请参阅IPsec 隧道流量配置概述 )。此处在安全网关 A 上创建了出站防火墙过滤器;它将识别要加密的信息流,并添加到承载内部 VPN 流量的接口的输入侧:
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
出站流量过滤器上的源地址、端口和协议必须与入站流量过滤器上的目标地址、端口和协议匹配。出站信息流过滤器上的目标地址、端口和协议必须与入站流量过滤器上的源地址、端口和协议匹配。
另请参阅
示例:应用出站流量过滤器
配置出站防火墙过滤器之后,可以应用该过滤器:
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
出站过滤器在 层次结构级别的快速以太网接口 [edit interfaces fe-0/0/1 unit 0 family inet] 上应用。在快速以太网接口上配置的输入过滤器 ( ) 上匹配 IPsec 操作术语 ( ) 的任何数据包将定向到 层次结构级别的 term 1 ipsec-encrypt-policy-filter ES PIC [edit interfaces es-0/1/0 unit 0 family inet] 接口。如果数据包从源地址 10.1.1.0/24 到达目标地址 10.2.2.0/24,数据包转发引擎 将数据包引导至 ES PIC 接口,该接口会配置 SA。 manual-sa1 ES PIC 接收数据包,应用 manual-sa1 SA,并通过隧道发送数据包。
路由器必须具有到隧道端点的路由;必要时添加静态路由。
另请参阅
示例:为策略检查配置入站流量过滤器
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在这里,在安全网关 A 上会创建入站防火墙过滤器,用于执行最终 IPsec 策略检查。此检查可确保仅接受与为此隧道配置的信息流匹配的数据包。此过滤器通过层次结构级别的 CLI 接口 [edit firewall family inet] 配置。
配置
以下示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在CLI 模式下使用 CLI编辑器。
要配置此示例,请执行以下任务:
CLI快速配置
要快速配置此示例,请复制以下配置命令到文本文件中,删除所有换行符,然后将这些命令粘贴到 层次结构级别的 CLI [edit] 中。
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
配置防火墙过滤器
逐步过程
要配置防火墙过滤器, ipsec-decrypt-policy-filter 它从发往本地网络的远程网络捕获 10.2.2.0/24 10.1.1.0/24 流量:
创建防火墙过滤器:
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
配置源地址和目标地址的匹配:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
将过滤器配置为接受匹配的流量:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
注意:中的 accept 语句
term term1仅适用于此过滤器。与此过滤器术语不匹配的流量将被默认防火墙操作丢弃。在层次结构级别发出配置命令,
show以确认候选[edit firewall family inet]防火墙配置[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }如果命令输出未显示预期的配置,请重复此示例中的说明,以更正配置。
如果完成设备配置,请提交候选配置。
[edit] user@host# commit
要实施此过滤器,您可将它用作网关
es-0/1/0A 逻辑接口的输入过滤器。请参阅 示例:将入站流量过滤器应用于 ES PIC 以执行策略检查 了解详细信息。
示例:将入站流量过滤器应用于用于策略检查的 ES PIC
创建入站防火墙过滤器之后,请应用到 ES PIC。在这里,对解密的数据包应用入站防火墙过滤器 ( )以执行 ipsec-decrypt-policy-filter 最终策略检查。IPsec manual-sa1 SA 在 层次结构级别中引用 [edit interfaces es-1/2/0 unit 0 family inet] ,然后解密传入数据包。
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
该数据包转发引擎将 IPsec 数据包引导至 ES PIC。它使用数据包的 SPI、协议和目标地址查找其中一个 ES 接口上配置的 SA。IPsec SA 在 层次结构级别中引用,用于解密 manual-sa1 [edit interfaces es-1/2/0 unit 0 family inet] 传入数据包。处理(解密、认证或两者)数据包时,对解密的数据包应用输入防火墙过滤器 ( )以执行 ipsec-decrypt-policy-filter 最终策略检查。Term1 用于定义解密(和验证)流量并执行所需的策略检查。
在 ES PIC 处理数据包之后,将应用入站信息流过滤器,因此解密的流量定义为远程网关正在加密并发送到此路由器的任何流量。IKE使用此过滤器来确定隧道所需的策略。与远程网关协商期间,此策略用于查找匹配的 SA 配置。
另请参阅
第 3 层 VPN 的 ES 隧道接口配置
要配置第 3 层 VPN 的 ES 隧道接口,需要在提供商边缘 (PE) 路由器和客户边缘 (客户边缘) 路由器上配置 ES 隧道接口。您还需要在 PE 路由器和路由器上客户边缘 IPsec。