AUF DIESER SEITE
Übersicht über die Konfiguration des IPsec-Tunneldatenverkehrs
Beispiel: Konfigurieren eines Filters für ausgehenden Datenverkehr
Beispiel: Anwenden eines Filters für ausgehenden Datenverkehr
Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr für eine Richtlinienprüfung
Konfiguration der ES-Tunnelschnittstelle für ein Layer 3-VPN
Konfiguration des IPsec-Tunneldatenverkehrs
Übersicht über die Konfiguration des IPsec-Tunneldatenverkehrs
Die Datenverkehrskonfiguration definiert den Datenverkehr, der durch den IPsec-Tunnel fließen muss. Sie konfigurieren ausgehende und eingehende Firewall-Filter, die den zu verschlüsselnden Datenverkehr identifizieren und weiterleiten und bestätigen, dass die Parameter für den entschlüsselten Datenverkehr mit den für den jeweiligen Tunnel definierten Parametern übereinstimmen. Der ausgehende Filter wird auf die LAN- oder WAN-Schnittstelle für den eingehenden Datenverkehr angewendet, den Sie von diesem LAN oder WAN verschlüsseln möchten. Der eingehende Filter wird auf den ES-PIC angewendet, um die Richtlinie für den vom Remote-Host eingehenden Datenverkehr zu überprüfen. Aufgrund der Komplexität der Konfiguration eines Routers für die Weiterleitung von Paketen wird nicht automatisch überprüft, ob die Konfiguration korrekt ist. Stellen Sie sicher, dass Sie den Router sehr sorgfältig konfigurieren.
Die gültigen Firewall-Filteranweisungen für IPsec sind destination-port, source-port, protocol, destination-address und source-address.
In Abbildung 1 schützt Gateway A das Netzwerk 10.1.1.0/24 und Gateway B das Netzwerk 10.2.2.0/24. Die Gateways sind über einen IPsec-Tunnel verbunden.
Die SA- und ES-Schnittstellen für Gateway A sind wie folgt konfiguriert:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
Die SA- und ES-Schnittstellen für Gateway B sind wie folgt konfiguriert:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
Siehe auch
Beispiel: Konfigurieren eines Filters für ausgehenden Datenverkehr
Firewall-Filterfür ausgehenden Datenverkehr leiten den Datenverkehr durch den gewünschten IPsec-Tunnel und stellen sicher, dass der getunnelte Datenverkehr die entsprechende Schnittstelle verlässt (siehe Übersicht über die Konfiguration des IPsec-Tunneldatenverkehrs). Hier wird ein ausgehender Firewallfilter für das Sicherheits-Gateway A erstellt. Es identifiziert den zu verschlüsselnden Datenverkehr und fügt ihn der Eingangsseite der Schnittstelle hinzu, die den internen VPN-Datenverkehr überträgt:
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
Die Quelladresse, der Port und das Protokoll im Filter für ausgehenden Datenverkehr müssen mit der Zieladresse, dem Port und dem Protokoll im Filter für eingehenden Datenverkehr übereinstimmen. Die Zieladresse, der Port und das Protokoll im Filter für ausgehenden Datenverkehr müssen mit der Quelladresse, dem Port und dem Protokoll im Filter für eingehenden Datenverkehr übereinstimmen.
Siehe auch
Beispiel: Anwenden eines Filters für ausgehenden Datenverkehr
Nachdem Sie den Filter für ausgehende Firewalls konfiguriert haben, wenden Sie ihn an:
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Der Ausgangsfilter wird auf der Fast-Ethernet-Schnittstelle auf der [edit interfaces fe-0/0/1 unit 0 family inet] Hierarchieebene angewendet. Jedes Paket, das dem IPsec-Aktionsterm (term 1) auf dem auf der Fast-Ethernet-Schnittstelle konfigurierten Eingangsfilter (ipsec-encrypt-policy-filter) entspricht, wird an die ES PIC-Schnittstelle auf der [edit interfaces es-0/1/0 unit 0 family inet] Hierarchieebene weitergeleitet. Wenn ein Paket von der Quelladresse 10.1.1.0/24 kommt und an die Zieladresse 10.2.2.0/24 geht, leitet die Packet Forwarding Engine das Paket an die ES PIC-Schnittstelle weiter, die mit der manual-sa1 SA konfiguriert ist. Der ES PIC empfängt das Paket, wendet die manual-sa1 SA an und sendet das Paket durch den Tunnel.
Der Router muss über eine Route zum Tunnelendpunkt verfügen. Fügen Sie bei Bedarf eine statische Route hinzu.
Siehe auch
Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr für eine Richtlinienprüfung
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Hier wird auf dem Sicherheits-Gateway A ein eingehender Firewall-Filter erstellt, der die abschließende IPsec-Richtlinienprüfung durchführt. Diese Prüfung stellt sicher, dass nur Pakete akzeptiert werden, die mit dem für diesen Tunnel konfigurierten Datenverkehr übereinstimmen. Dieser Filter wird über die CLI-Schnittstelle auf Hierarchieebene [edit firewall family inet] konfiguriert.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Führen Sie die folgenden Aufgaben aus, um dieses Beispiel zu konfigurieren:
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
Konfigurieren des Firewall-Filters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Firewall-Filter, der Datenverkehr aus dem Remotenetzwerk 10.2.2.0/24 abfängt, ipsec-decrypt-policy-filter der für das lokale 10.1.1.0/24 Netzwerk bestimmt ist:
Erstellen Sie den Firewall-Filter:
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
Konfigurieren Sie den Abgleich für Quell- und Zieladressen:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
Konfigurieren Sie den Filter so, dass er den übereinstimmenden Datenverkehr akzeptiert:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
Anmerkung:Die accept-Anweisung in der
term term1ist nur für diesen Filter vorgesehen. Datenverkehr, der nicht mit diesem Filterbegriff übereinstimmt, wird von der standardmäßigen Firewall-Aktion verworfen.Bestätigen Sie Ihre Kandidaten-Firewall-Konfiguration, indem Sie den
showKonfigurationsbefehl auf der[edit firewall family inet]Hierarchieebene ausführen[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Um diesen Filter zu implementieren, wenden Sie ihn als Eingabefilter auf die
es-0/1/0logische Schnittstelle von Gateway A an. Weitere Informationen finden Sie unter Beispiel: Anwenden eines Filters für eingehenden Datenverkehr auf einen ES PIC für eine Richtlinienprüfung .
Beispiel: Anwenden eines Filters für eingehenden Datenverkehr auf einen ES PIC für eine Richtlinienprüfung
Nachdem Sie den eingehenden Firewallfilter erstellt haben, wenden Sie ihn auf das ES-PIC an. Hier wird der eingehende Firewallfilter (ipsec-decrypt-policy-filter) auf das entschlüsselte Paket angewendet, um die abschließende Richtlinienprüfung durchzuführen. Die IPsec-Sicherheitszuordnung manual-sa1 wird auf der [edit interfaces es-1/2/0 unit 0 family inet] Hierarchieebene referenziert und entschlüsselt das eingehende Paket.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Die Packet Forwarding Engine leitet IPsec-Pakete an das ES PIC weiter. Es verwendet die SPI, das Protokoll und die Zieladresse des Pakets, um die SA zu suchen, die auf einer der ES-Schnittstellen konfiguriert ist. Die IPsec-Sicherheitszuordnung manual-sa1 wird auf der [edit interfaces es-1/2/0 unit 0 family inet] Hierarchieebene referenziert und zum Entschlüsseln des eingehenden Pakets verwendet. Wenn die Pakete verarbeitet werden (entschlüsselt, authentifiziert oder beides), wird der Eingabe-Firewallfilter (ipsec-decrypt-policy-filter) auf das entschlüsselte Paket angewendet, um die abschließende Richtlinienprüfung durchzuführen. Term1 definiert den entschlüsselten (und verifizierten) Datenverkehr und führt die erforderliche Richtlinienprüfung durch.
Der Filter für eingehenden Datenverkehr wird angewendet, nachdem der ES PIC das Paket verarbeitet hat, sodass der entschlüsselte Datenverkehr als jeglicher Datenverkehr definiert wird, den das Remote-Gateway verschlüsselt und an diesen Router sendet. IKE verwendet diesen Filter, um die für einen Tunnel erforderliche Richtlinie zu bestimmen. Diese Richtlinie wird während der Aushandlung mit dem Remote-Gateway verwendet, um die passende SA-Konfiguration zu finden.
Siehe auch
Konfiguration der ES-Tunnelschnittstelle für ein Layer 3-VPN
Um eine ES-Tunnelschnittstelle für ein Layer 3-VPN zu konfigurieren, müssen Sie eine ES-Tunnelschnittstelle auf dem PE-Router (Provider Edge) und auf dem CE-Router (Customer Edge) konfigurieren. Außerdem müssen Sie IPsec auf den PE- und CE-Routern konfigurieren.