Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Umleiten des Datenverkehrs in einen IPsec-Tunnel

Verwenden eines Filters zur Auswahl des zu sichernden Datenverkehrs

Für den ES PIC müssen Sie einen Firewallfilter konfigurieren, um den Datenverkehr in den IPsec-Tunnel zu leiten. Wenn Sie eine Sicherheitszuordnung auf Datenverkehr anwenden möchten, der mit einem Firewallfilter übereinstimmt, fügen Sie die ipsec-sa sa-name Anweisung auf Hierarchieebene [edit firewall filter filter-name term term-name then] ein.

Für die AS- und MultiServices-PICs müssen Sie keinen separaten Firewallfilter konfigurieren. Auf Hierarchieebene [edit services ipsec-vpn] ist bereits ein Filter in die IPsec-VPN-Anweisung rule integriert. Wenn Sie eine Sicherheitszuordnung auf Datenverkehr anwenden möchten, der der IPsec-VPN-Regel entspricht, schließen Sie die dynamische oder-Anweisung manual auf Hierarchieebene [edit services rule rule-name term term-name then] ein. Wenn Sie angeben möchten, ob die Regel mit dem Eingabe- oder Ausgabedatenverkehr übereinstimmen soll, fügen Sie die match-direction Anweisung auf Hierarchieebene [edit services rule rule-name] ein.

Nachdem Sie die Regeln für Ihre IPsec-VPNs definiert haben, müssen Sie die Regeln auf einen Dienstsatz anwenden. Fügen Sie dazu die ipsec-vpn-rules rule-name Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein. Schließen Sie ein IPv4- oder IPv6-IPsec-Gateway mit der local-gateway local-ip-address Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein.

Außerdem müssen Sie entweder eine einzelne Schnittstelle oder ein Paar von Schnittstellen auswählen, die an IPsec teilnehmen. Um eine einzelne Schnittstelle auszuwählen, fügen Sie die interface-service-Anweisung interface-name auf Hierarchieebene [edit services service-set service-set-name] ein. Um ein Schnittstellenpaar und einen nächsten Hop auszuwählen, schließen Sie die next-hop-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein, und geben Sie eine interne und eine externe Schnittstelle an. Nur Next-Hop-Service-Sets unterstützen IPsec innerhalb von Layer-3-VPNs und die Verwendung von Routing-Protokollen über den IPsec-Tunnel.

Anwenden des Filters oder Dienstsatzes auf die Schnittstelle, die den zu sichernden Datenverkehr empfängt

Wenden Sie für das ES PIC Ihren Firewall-Filter auf die Eingabeschnittstelle an, die den Datenverkehr empfängt, den Sie an den IPsec-Tunnel senden möchten. Fügen Sie dazu die filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit unit-number family inet] ein.

Wenden Sie für die AS- und MultiServices-PICs Ihren IPsec-basierten Schnittstellendienstsatz auf die Eingabeschnittstelle an, die den Datenverkehr empfängt, den Sie an den IPsec-Tunnel senden möchten. Fügen Sie dazu die service-set service-set-name Anweisung auf Hierarchieebene [edit interfaces interface-name unit unit-number family inet service (input | output)] ein.

Um einen Next-Hop-basierten Servicesatz auf den AS- und MultiServices-PICs zu konfigurieren, fügen Sie die service-domain Anweisung auf Hierarchieebene [edit interfaces interface-name unit unit-number] ein und geben Sie eine logische Schnittstelle auf dem AS PIC als interne Schnittstelle und eine zweite logische Schnittstelle auf dem AS PIC als externe Schnittstelle an.