IPsec トンネルへのトラフィックの誘導

ES PICでは、トラフィックをIPsecトンネルに誘導するようにファイアウォールフィルターを設定する必要があります。ファイアウォールフィルターに一致するトラフィックにセキュリティアソシエーションを適用するには、[edit firewall filter filter-name term term-name then]階層レベルで ipsec-sa sa-name ステートメントを含めます。

ASとマルチサービスPICでは、個別のファイアウォールフィルターを設定する必要はありません。フィルターは、[edit services ipsec-vpn]階層レベルのIPsec VPN ruleステートメントにすでに組み込まれています。IPsec VPNルールに一致するトラフィックにセキュリティアソシエーションを適用するには、[edit services rule rule-name term term-name then]階層レベルで動的ステートメントまたはmanualステートメントを含めます。ルールが入力トラフィックと出力トラフィックのどちらに一致するかを指定するには、[edit services rule rule-name]階層レベルで match-direction ステートメントを含めます。

IPsec VPN のルールを定義したら、そのルールをサービス セットに適用する必要があります。これを行うには、[edit services service-set service-set-name]階層レベルで ipsec-vpn-rules rule-name ステートメントを含めます。[edit services service-set service-set-name]階層レベルに local-gateway local-ip-address ステートメントがある IPv4 または IPv6 IPsec ゲートウェイを含めます。

また、IPsec に参加する単一のインターフェイスまたはインターフェイスのペアを選択する必要があります。単一のインターフェイスを選択するには、[edit services service-set service-set-name]階層レベルに interface-service interface-name ステートメントを記述します。インターフェイスのペアとネクスト ホップを選択するには、[edit services service-set service-set-name]階層レベルで next-hop-service ステートメントを含め、内部インターフェイスと外部インターフェイスを指定します。レイヤー 3 VPN 内の IPsec と、IPsec トンネルを介したルーティング プロトコルの使用をサポートするのは、ネクストホップ サービス セットのみです。

ES PICでは、IPsecトンネルに送信するトラフィックを受信する入力インターフェイスにファイアウォールフィルターを適用します。これを行うには、[edit interfaces interface-name unit unit-number family inet]階層レベルで filter ステートメントを含めます。

ASおよびマルチサービスPICの場合は、IPsecトンネルに送信するトラフィックを受信する入力インターフェイスに、IPsecベースのインターフェイスサービスセットを適用します。これを行うには、[edit interfaces interface-name unit unit-number family inet service (input | output)]階層レベルで service-set service-set-name ステートメントを含めます。

ASおよびマルチサービスPICにネクストホップベースのサービスセットを設定するには、[edit interfaces interface-name unit unit-number]階層レベルでservice-domainステートメントを含め、AS PIC上の1つの論理インターフェイスを内部インターフェイスとして指定し、AS PIC上の2番目の論理インターフェイスを外部インターフェイスとして指定します。