Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IPsec トンネル トラフィックの設定

IPsecトンネルトラフィック設定の概要

トラフィック構成は、 IPsec トンネルを通過する必要があるトラフィックを定義します。アウトバウンドおよびインバウンドのファイアウォールフィルターを設定します。このフィルターは、暗号化するトラフィックを識別して誘導し、復号化されたトラフィックパラメータが特定のトンネルに定義されたものと一致することを確認します。アウトバウンドフィルターは、 LAN または WAN から暗号化する着信トラフィックの LAN または WAN インターフェイスに適用されます。インバウンドフィルターがES PICに適用され、リモートホストから着信するトラフィックのポリシーをチェックします。パケットを転送するルーターの構成は複雑なため、構成が正しいことを確認するための自動チェックは行われません。ルーターの設定は慎重に行ってください。

手記:

IPsec の有効なファイアウォール フィルター ステートメントは、 宛先ポート送信元ポートプロトコル宛先アドレス送信元アドレスです。

図 1 では、ゲートウェイ A がネットワーク 10.1.1.0/24 を保護し、ゲートウェイ B がネットワーク 10.2.2.0/24 を保護しています。ゲートウェイは IPsec トンネルで接続されています。

図 1: 例:セキュリティ ゲートウェイ Example: IPsec Tunnel Connecting Security Gateways を接続する IPsec トンネル

ゲートウェイ A の SA および ES インターフェイスは、次のように設定されます。

ゲートウェイ B の SA および ES インターフェイスは、次のように設定されます。

関連項目

例:アウトバウンドトラフィックフィルタの設定

アウトバウンドトラフィック用のファイアウォールフィルターは、トラフィックを目的のIPsecトンネル経由で誘導し、トンネリングされたトラフィックが適切なインターフェイスから出るようにします(IPsecトンネルトラフィック設定の概要を参照)。ここでは、送信ファイアウォール フィルターがセキュリティ ゲートウェイ A で作成されます。暗号化するトラフィックを識別し、内部VPNトラフィックを伝送するインターフェイスの入力側に追加します。

手記:

送信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルと一致している必要があります。送信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルと一致する必要があります。

関連項目

例:アウトバウンドトラフィックフィルタの適用

送信ファイアウォール フィルターを構成したら、それを適用します。

アウトバウンド フィルターは、ファスト イーサネット インターフェイス上の [edit interfaces fe-0/0/1 unit 0 family inet] 階層レベルで適用されます。ファスト イーサネット インターフェイスで設定された入力フィルター(ipsec-encrypt-policy-filter)の IPsec アクション条件(term 1)に一致するパケットは、[edit interfaces es-0/1/0 unit 0 family inet]階層レベルで ES PIC インターフェイスに送信されます。パケットが送信元アドレス 10.1.1.0/24 から到着し、宛先アドレス 10.2.2.0/24 に送信される場合、パケット転送エンジンは、manual-sa1 SA で設定された ES PIC インターフェイスにパケットを送信します。ES PIC はパケットを受信し、manual-sa1 SA を適用して、トンネルを介してパケットを送信します。

ルーターにはトンネルエンドポイントへのルートが必要です。必要に応じて、スタティック ルートを追加します。

関連項目

例:ポリシーチェック用のインバウンドトラフィックフィルタの設定

必要条件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

ここでは、最終的な IPsec ポリシー チェックを実行するインバウンド ファイアウォール フィルターがセキュリティ ゲートウェイ A に作成されます。このチェックにより、このトンネルに設定されたトラフィックに一致するパケットのみが受け入れられることが確認されます。このフィルターは、CLI インターフェイスを介して [edit firewall family inet] 階層レベルで設定されます。

構成

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ファイアウォールフィルターの設定

手順

ファイアウォールフィルターを設定するには、ローカル10.1.1.0/24ネットワーク宛てのリモート10.2.2.0/24ネットワークからのトラフィックをキャッチするipsec-decrypt-policy-filter:

  1. ファイアウォールフィルターを作成します。

  2. 送信元アドレスと宛先アドレスの一致を構成します。

  3. 一致したトラフィックを受け入れるようにフィルターを設定します。

    手記:

    term term1内の accept ステートメントは、このフィルター専用です。このフィルター条件に一致しないトラフィックは、デフォルトのファイアウォールアクションにより破棄されます。

  4. [edit firewall family inet] 階層レベルで show 設定コマンドを発行して、候補となるファイアウォールの設定を確認します

    コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

  5. デバイスの設定が完了したら、受験者の設定をコミットします。

    このフィルターを実装するには、ゲートウェイ A の es-0/1/0 論理インターフェイスに入力フィルターとして適用します。詳細については 、 例:ES PIC へのインバウンドトラフィックフィルターの適用を参照して、ポリシーチェックを確認してください

関連項目

例:ポリシーチェックのために ES PIC にインバウンドトラフィックフィルターを適用する

インバウンドファイアウォールフィルターを作成したら、それをES PICに適用します。ここでは、インバウンドファイアウォールフィルター(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシーチェックが実行されます。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットを復号化します。

パケット転送エンジンは、IPsecパケットをES PICに送信します。パケットの SPI、プロトコル、および宛先アドレスを使用して、ES インターフェイスの 1 つに構成されている SA を検索します。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットの復号に使用されます。パケットが処理(復号化、認証、またはその両方)されると、入力ファイアウォール フィルター(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシー チェックが実行されます。用語1は、復号化(および検証)されたトラフィックを定義し、必要なポリシーチェックを実行します。

手記:

インバウンドトラフィックフィルターは、ES PICがパケットを処理した後に適用されるため、復号化されたトラフィックは、リモートゲートウェイが暗号化してこのルーターに送信するすべてのトラフィックとして定義されます。IKE はこのフィルタを使用して、トンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 構成を見つけるために使用されます。

関連項目

レイヤー3 VPNのESトンネルインターフェイス設定

レイヤー3 VPNのESトンネルインターフェイスを設定するには、プロバイダーエッジ(PE)ルーターとカスタマーエッジ(CE)ルーターにESトンネルインターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を構成する必要もあります。

関連項目