Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec トンネル トラフィックの設定

IPsec トンネル トラフィックの設定の概要

トラフィック設定は、 IPsec トンネルを通過する必要があるトラフィックを定義します。送信およびインバウンド ファイアウォール フィルターを設定し、暗号化対象のトラフィックを特定して誘導し、復号化されたトラフィック パラメーターが特定のトンネルに対して定義されているものと一致することを確認します。送信フィルターは、LAN または WAN から暗号化したい受信トラフィックの LAN または WAN インターフェイスに適用されます。インバウンド フィルタが ES PIC に適用され、リモート ホストから受信するトラフィックのポリシーをチェックします。パケットを転送するようにルーターを設定するのは複雑なため、設定が正しいことを確認するための自動チェックは実行されません。ルーターを慎重に設定してください。

メモ:

IPsec の有効なファイアウォール フィルター ステートメントは、 宛先ポート送信元ポートプロトコル宛先アドレス送信元アドレスです。

図 1 では、ゲートウェイ A がネットワーク 10.1.1.0/24 を保護し、ゲートウェイ B はネットワーク 10.2.2.0/24 を保護します。ゲートウェイは IPsec トンネルによって接続されます。

図 1:例:セキュリティ ゲートウェイを接続する Example: IPsec Tunnel Connecting Security Gateways IPsec トンネル

ゲートウェイ A の SA および ES インターフェイスは、次のように設定されています。

ゲートウェイ B の SA および ES インターフェイスは、次のように設定されています。

例:アウトバウンド トラフィック フィルタの設定

送信トラフィック用のファイアウォール フィルターは、トラフィックを目的の IPsec トンネルを通過させ、トンネリングされたトラフィックが適切なインターフェイスから出て行くようにします(「IPsec トンネル トラフィック構成の概要」を参照)。ここでは、セキュリティ ゲートウェイ A に送信ファイアウォール フィルターが作成されます。暗号化対象のトラフィックを識別し、内部 VPN トラフィックを伝送するインターフェイスの入力側に追加します。

メモ:

アウトバウンド トラフィック フィルタの送信元アドレス、ポート、プロトコルは、インバウンド トラフィック フィルタ上の宛先アドレス、ポート、プロトコルと一致する必要があります。アウトバウンド トラフィック フィルタの宛先アドレス、ポート、プロトコルは、インバウンド トラフィック フィルタ上の送信元アドレス、ポート、プロトコルと一致する必要があります。

例:アウトバウンド トラフィック フィルタの適用

送信ファイアウォール フィルタを設定したら、次の手順にしたがって適用します。

アウトバウンド フィルタは、階層レベルのファスト イーサネット インターフェイスに [edit interfaces fe-0/0/1 unit 0 family inet] 適用されます。ファスト イーサネット インターフェイス上で設定された入力フィルタ(term 1)の IPsec アクション条件(ipsec-encrypt-policy-filter)に一致するすべてのパケットは、階層レベルで ES PIC インターフェイスに [edit interfaces es-0/1/0 unit 0 family inet] 送信されます。パケットが送信元アドレス 10.1.1.0/24 から到着し、宛先アドレス 10.2.2.0/24 に移動すると、パケット転送エンジンはパケットを SA で manual-sa1 設定された ES PIC インターフェイスに誘導します。ES PIC はパケットを受信し、SA を manual-sa1 適用して、トンネルを介してパケットを送信します。

ルーターにはトンネル エンドポイントへのルートが必要です。必要に応じて静的ルートを追加します。

例:ポリシー チェック用のインバウンド トラフィック フィルタの設定

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

ここでは、セキュリティ ゲートウェイ A で最終的な IPsec ポリシー チェックを実行するインバウンド ファイアウォール フィルターが作成されます。このチェックにより、このトンネルに設定されたトラフィックと一致するパケットのみが受け入れられます。このフィルターは、階層レベルの CLI インターフェイスを [edit firewall family inet] 介して設定されます。

構成

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

この例を設定するには、次のタスクを実行します。

CLI クイック設定

この例を迅速に設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、コマンドを階層レベルで [edit] CLI に貼り付けます。

ファイアウォール フィルターの構成

手順

ファイアウォール フィルターを設定するには、ipsec-decrypt-policy-filterローカル 10.1.1.0/24 ネットワーク宛てのリモート 10.2.2.0/24 netowrk からのトラフィックをキャッチします。

  1. ファイアウォール フィルターを作成します。

  2. 送信元アドレスと宛先アドレスの照合を設定します。

  3. 一致するトラフィックを受け入れるフィルターを設定します。

    メモ:

    内の accept ステートメントは、 term term1 このフィルター専用です。このフィルタ条件に一致しないトラフィックは、デフォルトのファイアウォール アクションによって破棄されます。

  4. 階層レベルで configuration コマンドを発行して、ファイアウォールの show 設定候補を [edit firewall family inet] 確認します。

    コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

  5. デバイスの設定が完了したら、受験者の設定をコミットします。

    このフィルターを実装するには、ゲートウェイ A の論理インターフェイスに es-0/1/0 入力フィルターとして適用します。詳細については、「 例:ES PIC にインバウンド トラフィック フィルタを適用する」を参照 してください。

例:ポリシー チェックのための ES PIC へのインバウンド トラフィック フィルタの適用

インバウンド ファイアウォール フィルタを作成した後、ES PIC に適用します。ここで、最終ポリシー チェックを実行するために、復号化されたパケットにインバウンド ファイアウォール フィルタ(ipsec-decrypt-policy-filter)が適用されます。IPsec manual-sa1 SA は階層レベルで [edit interfaces es-1/2/0 unit 0 family inet] 参照され、受信パケットを復号化します。

パケット転送エンジンは、IPsec パケットを ES PIC に転送します。パケットの SPI、プロトコル、宛先アドレスを使用して、ES インターフェイスのいずれかで設定された SA を検索します。IPsec manual-sa1 SA は階層レベルで [edit interfaces es-1/2/0 unit 0 family inet] 参照され、受信パケットの暗号化解除に使用されます。パケットが処理されると(暗号化解除、認証、またはその両方)、入力ファイアウォール フィルタ(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシー チェックが実行されます。Term1 は、復号化(および検証済み)トラフィックを定義し、必要なポリシー チェックを実行します。

メモ:

インバウンド トラフィック フィルタは、ES PIC がパケットを処理した後に適用されるため、復号化されたトラフィックは、リモート ゲートウェイが暗号化してこのルーターに送信するトラフィックとして定義されます。IKE は、このフィルタを使用してトンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 設定を検索するために使用されます。

レイヤー 3 VPN の ES トンネル インターフェイス設定

レイヤー 3 VPN の ES トンネル インターフェイスを設定するには、PE(プロバイダ エッジ)ルーターとカスタマー エッジ(CE)ルーターで ES トンネル インターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を設定する必要があります。