Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

IPsec 隧道流量配置

IPsec 隧道流量配置概述

流量配置定义必须流经 IPsec 隧道的流量。您可以配置出站和入站防火墙过滤器,用于识别和定向要加密的流量,并确认解密的流量参数与为给定隧道定义的流量参数匹配。出站过滤器将应用于要加密的 LANWAN 之外的传入流量的 LAN 或 WAN 接口。入站过滤器将应用于 ES PIC,以检查策略中是否有来自远程主机的流量。由于配置路由器以转发数据包的复杂性,因此不会执行自动检查以确保配置正确。确保非常仔细地配置路由器。

注意:

IPsec 的有效防火墙过滤器语句包括 目标端口源端口协议目标地址源地址

在图 1 中,网关 A 保护网络 10.1.1.0/24,网关 B 保护网络 10.2.2.0/24。网关通过 IPsec 隧道连接。

图 1:示例:连接安全网关 Example: IPsec Tunnel Connecting Security Gateways的 IPsec 隧道

网关 A 的 SA 和 ES 接口配置如下:

网关 B 的 SA 和 ES 接口配置如下:

参见

示例:配置出站流量过滤器

出站流量的防火墙过滤器将流量引导通过所需的 IPsec 隧道,并确保隧道流量流出相应的接口(请参阅 IPsec 隧道流量配置概述)。此处,将在安全网关 A 上创建出站防火墙过滤器;它标识要加密的流量,并将其添加到承载内部 VPN 流量的接口的输入端:

注意:

出站流量过滤器上的源地址、端口和协议必须与入站流量过滤器上的目标地址、端口和协议匹配。出站流量过滤器上的目标地址、端口和协议必须与入站流量过滤器上的源地址、端口和协议匹配。

参见

示例:应用出站流量过滤器

配置出站防火墙过滤器后,请应用它:

出站过滤器应用于层次结构级别的快速以太网接口[edit interfaces fe-0/0/1 unit 0 family inet]。在快速以太网接口上配置的输入过滤器 () 上与 IPsecipsec-encrypt-policy-filter 操作项 (term 1) 匹配的任何数据包都将定向到层次结构级别的 ES PIC 接口[edit interfaces es-0/1/0 unit 0 family inet]。如果数据包从源地址 10.1.1.0/24 到达并转到目标地址 10.2.2.0/24,数据包转发引擎会将数据包定向到 ES manual-sa1 PIC 接口,该接口配置了 SA。ES PIC 接收数据包,应用 manual-sa1 SA,然后通过隧道发送数据包。

路由器必须具有到隧道端点的路由;如有必要,添加静态路由。

参见

示例:为策略检查配置入站流量过滤器

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

此处,将在安全网关 A 上创建一个入站防火墙过滤器,用于执行最终 IPsec 策略检查。此检查可确保仅接受与为此隧道配置的流量匹配的数据包。此过滤器通过层次结构级别的 CLI 接口 [edit firewall family inet] 进行配置。

配置

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。

配置防火墙过滤器

分步过程

要配置防火墙过滤器,ipsec-decrypt-policy-filter以捕获来自发往本地10.1.1.0/24网络的远程10.2.2.0/24网络的流量,请执行以下操作:

  1. 创建防火墙过滤器:

  2. 配置源地址和目标地址的匹配:

  3. 配置过滤器以接受匹配的流量:

    注意:

    中的 term term1 accept 语句仅适用于此筛选器。与此过滤器术语不匹配的流量将被默认防火墙操作丢弃。

  4. 通过在层次结构级别发出 show 配置命令 [edit firewall family inet] 来确认候选防火墙配置

    如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  5. 如果完成设备配置,请提交候选配置。

    要实现此过滤器,请将其作为输入过滤器 es-0/1/0 应用于网关 A 的逻辑接口。有关详细信息,请参阅 示例:将入站流量过滤器应用于 ES PIC 以进行策略检查

参见

示例:将入站流量过滤器应用于 ES PIC 以进行策略检查

创建入站防火墙过滤器后,将其应用于 ES PIC。在这里,入站防火墙过滤器 (ipsec-decrypt-policy-filter) 应用于解密数据包以执行最终策略检查。IPsec manual-sa1 SA 在层次结构级别引用 [edit interfaces es-1/2/0 unit 0 family inet] 并解密传入数据包。

数据包转发引擎将 IPsec 数据包定向到 ES PIC。它使用数据包的 SPI、协议和目标地址来查找在其中一个 ES 接口上配置的 SA。IPsec manual-sa1 SA 在层次结构级别引用 [edit interfaces es-1/2/0 unit 0 family inet] ,用于解密传入数据包。处理数据包(解密和/或身份验证)时,将对解密数据包应用输入防火墙过滤器 (ipsec-decrypt-policy-filter) 以执行最终策略检查。Term1 定义解密(和验证)的流量并执行所需的策略检查。

注意:

入站流量过滤器在 ES PIC 处理数据包后应用,因此解密流量定义为远程网关加密并发送到此路由器的任何流量。IKE 使用此过滤器来确定隧道所需的策略。在与远程网关协商期间使用此策略来查找匹配的 SA 配置。

参见

第 3 层 VPN 的 ES 隧道接口配置

要为第 3 层 VPN 配置 ES 隧道接口,您需要在提供商边缘 (PE) 路由器和客户边缘 (客户边缘) 路由器上配置 ES 隧道接口。您还需要在 PE 和 客户边缘 路由器上配置 IPsec。

参见