IPsec 隧道流量配置

流量配置定义了必须流经 IPsec 隧道的流量。您可以配置出站和入站防火墙过滤器，这些过滤器用于识别和引导要加密的流量，并确认解密的流量参数与为给定隧道定义的参数匹配。出站过滤器将应用于要从该 LAN 或 WAN 加密的传入流量的 LAN 或 WAN 接口。入站过滤器将应用于 ES PIC，以检查来自远程主机的流量传入策略。由于配置路由器以转发数据包比较复杂，因此不会进行自动检查以确保配置正确无误。请确保非常仔细地配置路由器。

注意：

IPsec 的有效防火墙过滤器语句包括 destination-port、 source-port、 protocol、 destination-address 和 source-address。

在 图 1 中，网关 A 保护网络 10.1.1.0/24，网关 B 保护网络 10.2.2.0/24。网关通过 IPsec 隧道连接。

网关 A 的 SA 和 ES 接口配置如下：

网关 B 的 SA 和 ES 接口配置如下：

用于出站流量的防火墙过滤器将流量引导通过所需的 IPsec 隧道，并确保隧道流量通过相应的接口排出（请参阅 IPsec 隧道流量配置概述）。此处，在安全网关 A 上创建出站防火墙过滤器;它会识别要加密的流量，并将其添加到承载内部 VPN 流量的接口的输入端：

注意：

出站流量过滤器上的源地址、端口和协议必须与入站流量过滤器上的目标地址、端口和协议匹配。出站流量过滤器上的目标地址、端口和协议必须与入站流量过滤器上的源地址、端口和协议匹配。

配置出站防火墙过滤器后，应用它：

出站过滤器应用于层次[edit interfaces fe-0/0/1 unit 0 family inet]结构级别的快速以太网接口。与快速以太网接口上配置的输入过滤器 （ipsec-encrypt-policy-filter） 上的 IPsec作术语 （term 1） 匹配的任何数据包都将被定向至层[edit interfaces es-0/1/0 unit 0 family inet]级的 ES PIC 接口。如果数据包从源地址 10.1.1.0/24 到达并发送到目标地址 10.2.2.0/24，则数据包转发引擎会将数据包定向到配置了 manual-sa1 SA 的 ES PIC 接口。ES PIC 接收数据包，应用 manual-sa1 SA，并通过隧道发送数据包。

路由器必须有到隧道端点的路由;如有必要，添加静态路由。

创建入站防火墙过滤器后，将其应用于 ES PIC。在这里，对解密的数据包应用入站防火墙过滤器 （ipsec-decrypt-policy-filter） 以执行最终策略检查。IPsec manual-sa1 SA 在 [edit interfaces es-1/2/0 unit 0 family inet] 层次结构级别引用，并解密传入数据包。

数据包转发引擎将 IPsec 数据包定向到 ES PIC。它使用数据包的 SPI、协议和目标地址来查找在其中一个 ES 接口上配置的 SA。IPsec manual-sa1 SA 在 [edit interfaces es-1/2/0 unit 0 family inet] 层次结构级别引用，用于解密传入数据包。处理数据包（解密和/或身份验证）时，将对解密的数据包应用输入防火墙过滤器 （ipsec-decrypt-policy-filter） 以执行最终策略检查。Term1 定义解密（和验证）的流量并执行所需的策略检查。

注意：

入站流量过滤器在 ES PIC 处理完数据包后应用，因此解密的流量定义为远程网关加密并发送到此路由器的任何流量。IKE 使用此过滤器来确定隧道所需的策略。在与远程网关协商期间，将使用此策略查找匹配的 SA 配置。

要为第 3 层 VPN 配置 ES 隧道接口，您需要在提供商边缘 （PE） 路由器和客户边缘 （CE） 路由器上配置 ES 隧道接口。您还需要在 PE 和 CE 路由器上配置 IPsec。