Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Diriger le trafic vers un tunnel IPsec

Utilisation d’un filtre pour sélectionner le trafic à sécuriser

Pour le PIC ES, vous devez configurer un filtre de pare-feu afin de diriger le trafic vers le tunnel IPsec. Pour appliquer une association de sécurité au trafic qui correspond à un filtre de pare-feu, incluez l’instruction ipsec-sa sa-name au niveau de la [edit firewall filter filter-name term term-name then] hiérarchie.

Pour les PIC AS et multiservices, vous n’avez pas besoin de configurer un filtre de pare-feu distinct. Un filtre est déjà intégré à l’instruction VPN rule IPsec au niveau de la [edit services ipsec-vpn] hiérarchie. Pour appliquer une association de sécurité au trafic qui correspond à la règle VPN IPsec, incluez la dynamique ou l’instruction au manual niveau de la [edit services rule rule-name term term-name then] hiérarchie. Pour spécifier si la règle doit correspondre au trafic d’entrée ou de sortie, incluez l’instruction match-direction au niveau de la [edit services rule rule-name] hiérarchie.

Après avoir défini les règles de vos VPN IPsec, vous devez les appliquer à un ensemble de services. Pour ce faire, incluez l’instruction ipsec-vpn-rules rule-name au niveau de la [edit services service-set service-set-name] hiérarchie. Incluez une passerelle IPsec IPv4 ou IPv6 avec l’instruction local-gateway local-ip-address au niveau de la [edit services service-set service-set-name] hiérarchie.

En outre, vous devez sélectionner une seule interface ou une paire d’interfaces qui participent à IPsec. Pour sélectionner une seule interface, incluez l’instruction interface-service interface-name au niveau de la [edit services service-set service-set-name] hiérarchie. Pour sélectionner une paire d’interfaces et un saut suivant, incluez l’instruction next-hop-service au niveau de la [edit services service-set service-set-name] hiérarchie et spécifiez une interface interne et une interface externe. Seuls les ensembles de services de saut suivant prennent en charge IPsec dans les VPN de couche 3 et l’utilisation de protocoles de routage sur le tunnel IPsec.

Application du filtre ou du jeu de services à l’interface de réception du trafic à sécuriser

Pour le PIC ES, appliquez votre filtre de pare-feu sur l’interface d’entrée recevant le trafic que vous souhaitez envoyer au tunnel IPsec. Pour ce faire, incluez l’instruction filter au niveau de la [edit interfaces interface-name unit unit-number family inet] hiérarchie.

Pour les PIC AS et MultiServices, appliquez votre ensemble de services d’interface basé sur IPsec à l’interface d’entrée recevant le trafic que vous souhaitez envoyer au tunnel IPsec. Pour ce faire, incluez l’instruction service-set service-set-name au niveau de la [edit interfaces interface-name unit unit-number family inet service (input | output)] hiérarchie.

Pour configurer un service basé sur le saut suivant défini sur les PIC AS et MultiServices, incluez l’instruction service-domain au niveau de la [edit interfaces interface-name unit unit-number] hiérarchie et spécifiez une interface logique sur le PIC AS en tant qu’interface interne et une seconde interface logique sur le PIC AS en tant qu’interface externe.