Configuration du trafic de tunnel IPsec
Présentation de la configuration du trafic de tunnel IPsec
La configuration du trafic définit le trafic qui doit transiter par le tunnel IPsec. Vous configurez des filtres de pare-feu sortants et entrants, qui identifient et dirigent le trafic à chiffrer et confirment que les paramètres de trafic déchiffré correspondent à ceux définis pour le tunnel donné. Le filtre sortant est appliqué à l’interface LAN ou WAN pour le trafic entrant que vous souhaitez chiffrer en provenance de ce LAN ou WAN. Le filtre entrant est appliqué au PIC ES pour vérifier la stratégie de trafic provenant de l’hôte distant. En raison de la complexité de la configuration d’un routeur pour transférer des paquets, aucune vérification automatique n’est effectuée pour s’assurer que la configuration est correcte. Assurez-vous de configurer le routeur avec le plus grand soin.
Les instructions de filtres de pare-feu valides pour IPsec sont destination-port, source-port, protocol, destination-address et source-address.
Sur la Figure 1, la passerelle A protège le réseau 10.1.1.0/24 et la passerelle B protège le réseau 10.2.2.0/24. Les passerelles sont reliées par un tunnel IPsec.
passerelles de sécurité
Les interfaces SA et ES de la passerelle A sont configurées comme suit :
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
Les interfaces SA et ES de la passerelle B sont configurées comme suit :
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
Voir aussi
Exemple : Configuration d’un filtre de trafic sortant
Les filtres de pare-feupour le trafic sortant dirigent le trafic via le tunnel IPsec souhaité et garantissent que le trafic tunnelisé sort par l’interface appropriée (voir Présentation de la configuration du trafic de tunnel IPsec). Ici, un filtre de pare-feu sortant est créé sur la passerelle de sécurité A ; il identifie le trafic à chiffrer et l’ajoute au côté d’entrée de l’interface qui transporte le trafic VPN interne :
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
L’adresse source, le port et le protocole du filtre de trafic sortant doivent correspondre à l’adresse de destination, au port et au protocole du filtre de trafic entrant. L’adresse de destination, le port et le protocole du filtre de trafic sortant doivent correspondre à l’adresse source, au port et au protocole du filtre de trafic entrant.
Voir aussi
Exemple : Application d’un filtre de trafic sortant
Une fois que vous avez configuré le filtre de pare-feu sortant, vous l’appliquez :
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Le filtre sortant est appliqué sur l’interface Fast Ethernet au niveau de la [edit interfaces fe-0/0/1 unit 0 family inet] hiérarchie. Tout paquet correspondant au terme d’action IPsec (term 1) sur le filtre d’entrée (ipsec-encrypt-policy-filter), configuré sur l’interface Fast Ethernet, est dirigé vers l’interface PIC ES au niveau de la [edit interfaces es-0/1/0 unit 0 family inet] hiérarchie. Si un paquet arrive de l’adresse source 10.1.1.0/24 et va à l’adresse de destination 10.2.2.0/24, le moteur de transfert de paquets dirige le paquet vers l’interface PIC ES, qui est configurée avec la manual-sa1 SA. Le PIC ES reçoit le paquet, applique la manual-sa1 SA et envoie le paquet via le tunnel.
Le routeur doit disposer d’un itinéraire vers le point de terminaison du tunnel ; Ajoutez une route statique si nécessaire.
Voir aussi
Exemple : configuration d’un filtre de trafic entrant pour une vérification de stratégie
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Aperçu
Ici, un filtre de pare-feu entrant, qui effectue la vérification finale de la stratégie IPsec, est créé sur la passerelle de sécurité A. Cette vérification permet de s’assurer que seuls les paquets qui correspondent au trafic configuré pour ce tunnel sont acceptés. Ce filtre est configuré via l’interface CLI au niveau de la [edit firewall family inet] hiérarchie.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
Configuration du filtre de pare-feu
Procédure étape par étape
Pour configurer le filtre de pare-feu, ipsec-decrypt-policy-filter qui intercepte le trafic du réseau distant 10.2.2.0/24 à destination du réseau local 10.1.1.0/24 :
Créez le filtre de pare-feu :
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
Configurez la correspondance pour les adresses source et de destination :
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
Configurez le filtre pour qu’il accepte le trafic correspondant :
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
Note:L’instruction accept de l’ne
term term1concerne que ce filtre. Le trafic qui ne correspond pas à ce terme de filtre sera supprimé par l’action de pare-feu par défaut.Confirmez la configuration de votre pare-feu candidat en exécutant la
showcommande de configuration au niveau de la[edit firewall family inet]hiérarchie[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Pour implémenter ce filtre, vous devez l’appliquer en tant que filtre d’entrée à l’interface logique de la
es-0/1/0passerelle A. Pour plus d’informations, reportez-vous à la section Exemple : Application d’un filtre de trafic entrant à un PIC ES pour une vérification de stratégie .
Exemple : Application d’un filtre de trafic entrant à un PIC ES pour une vérification de stratégie
Une fois que vous avez créé le filtre de pare-feu entrant, appliquez-le au PIC ES. Ici, le filtre de pare-feu entrant (ipsec-decrypt-policy-filter) est appliqué au paquet déchiffré pour effectuer la vérification finale de la stratégie. La SA IPsec manual-sa1 est référencée au niveau de la [edit interfaces es-1/2/0 unit 0 family inet] hiérarchie et déchiffre le paquet entrant.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Le moteur de transfert de paquets dirige les paquets IPsec vers le PIC ES. Il utilise le SPI, le protocole et l’adresse de destination du paquet pour rechercher la SA configurée sur l’une des interfaces ES. La SA IPsec manual-sa1 est référencée au niveau de la [edit interfaces es-1/2/0 unit 0 family inet] hiérarchie et est utilisée pour déchiffrer le paquet entrant. Lorsque les paquets sont traités (déchiffrés, authentifiés ou les deux), le filtre de pare-feu d’entrée (ipsec-decrypt-policy-filter) est appliqué sur le paquet déchiffré pour effectuer la vérification finale de la stratégie. Term1 définit le trafic déchiffré (et vérifié) et effectue la vérification de stratégie requise.
Le filtre de trafic entrant est appliqué une fois que le PIC ES a traité le paquet, de sorte que le trafic déchiffré est défini comme tout trafic que la passerelle distante chiffre et envoie à ce routeur. IKE utilise ce filtre pour déterminer la stratégie requise pour un tunnel. Cette stratégie est utilisée lors de la négociation avec la passerelle distante pour trouver la configuration de SA correspondante.
Voir aussi
Configuration de l’interface de tunnel ES pour un VPN de couche 3
Pour configurer une interface de tunnel ES pour un VPN de couche 3, vous devez configurer une interface de tunnel ES sur le routeur PE (Provider Edge) et sur le routeur CE (Customer Edge). Vous devez également configurer IPsec sur les routeurs PE et CE.