IPsecトンネルのトラフィック設定
IPsec トンネル トラフィック構成の概要
トラフィック設定は、 IPsec トンネルを通過する必要があるトラフィックを定義します。アウトバウンドとインバウンドのファイアウォールフィルターを設定し、暗号化するトラフィックを識別して送信し、復号化されたトラフィックパラメーターが特定のトンネルに定義されているものと一致することを確認します。送信フィルターは、その LAN または WAN から暗号化する受信トラフィックの LAN または WAN インターフェイスに適用されます。受信フィルターはES PICに適用され、リモートホストから着信するトラフィックのポリシーをチェックします。パケットを転送するルーターの設定は複雑なため、設定が正しいことを確認するための自動チェックは行われません。ルーターの設定は慎重に行ってください。
IPsecの有効なファイアウォールフィルターステートメントは、 destination-port、 source-port、 protocol、 destination-address、および source-addressです。
図 1 では、ゲートウェイ A はネットワーク 10.1.1.0/24 を保護し、ゲートウェイ B はネットワーク 10.2.2.0/24 を保護しています。ゲートウェイは IPsec トンネルで接続されています。
を接続するIPsecトンネル
ゲートウェイ A の SA および ES インターフェイスは、次のように設定されています。
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
ゲートウェイ B の SA および ES インターフェイスは、以下のように設定されています。
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
参照
例:アウトバウンドトラフィックフィルタの設定
送信トラフィック用のファイアウォールフィルターは、トラフィックを目的のIPsecトンネルに誘導し、トンネリングされたトラフィックが適切なインターフェイスから出るようにします(IPsecトンネルトラフィック設定の概要を参照)。ここでは、セキュリティ ゲートウェイ A でアウトバウンド ファイアウォール フィルターが作成されます。暗号化するトラフィックを識別し、内部VPNトラフィックを伝送するインターフェイスの入力側に追加します。
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
送信トラフィックフィルターの送信元アドレス、ポート、およびプロトコルは、インバウンドトラフィックフィルターの宛先アドレス、ポート、およびプロトコルと一致する必要があります。送信トラフィックフィルターの宛先アドレス、ポート、およびプロトコルは、インバウンドトラフィックフィルターの送信元アドレス、ポート、およびプロトコルと一致する必要があります。
参照
例:アウトバウンド・トラフィック・フィルタの適用
アウトバウンドファイアウォールフィルターを設定したら、それを適用します。
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
送信フィルターは、[edit interfaces fe-0/0/1 unit 0 family inet] 階層レベルのファスト イーサネット インターフェイスに適用されます。ファストイーサネットインターフェイスで設定された、入力フィルター(ipsec-encrypt-policy-filter)上のIPsecアクション条件(term 1)に一致するパケットは、[edit interfaces es-0/1/0 unit 0 family inet]階層レベルでES PICインターフェイスに送信されます。パケットが送信元アドレス10.1.1.0/24から到着し、宛先アドレス10.2.2.0/24に行く場合、パケット転送エンジンはパケットをmanual-sa1SAで設定されたES PICインターフェイスに誘導します。ES PICはパケットを受信し、manual-sa1SAを適用し、トンネルを介してパケットを送信します。
ルーターにはトンネルのエンドポイントへのルートが必要です。必要に応じて静的ルートを追加します。
参照
例:ポリシーチェック用のインバウンドトラフィックフィルタの設定
必要条件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
ここでは、最終的なIPsecポリシーチェックを実行するインバウンドファイアウォールフィルターがセキュリティゲートウェイAで作成されます。このチェックにより、このトンネルに設定されたトラフィックに一致するパケットのみが受け入れられます。このフィルターは、 [edit firewall family inet] 階層レベルのCLIインターフェイスを介して設定されます。
構成
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。
この例を設定するには、次のタスクを実行します。
CLIクイック構成
この例を迅速に設定するには、以下の設定コマンドをテキストファイルにコピーし、改行を削除してから、 [edit] 階層レベルのCLIにコマンドを貼り付けます。
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
ファイアウォールフィルターの設定
手順
ファイアウォールフィルターを設定するには、ローカル10.1.1.0/24ネットワーク宛てのリモート10.2.2.0/24ネットワークからのトラフィックをキャッチするipsec-decrypt-policy-filter:
ファイアウォールフィルターを作成します。
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
送信元アドレスと宛先アドレスの照合を設定します。
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
一致したトラフィックを受け入れるようにフィルターを設定します。
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
手記:term term1内のacceptステートメントは、このフィルター専用です。このフィルター条件に一致しないトラフィックは、デフォルトのファイアウォールアクションによって破棄されます。[edit firewall family inet]階層レベルでshowconfiguration コマンドを発行して、候補のファイアウォール設定を確認します[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
このフィルターを実装するには、ゲートウェイ A の
es-0/1/0論理インターフェイスに入力フィルターとして適用します。詳細については、「 例:ポリシーチェックのためのES PICへのインバウンドトラフィックフィルターの適用 」を参照してください。
例:ポリシーチェックのためのES PICへのインバウンドトラフィックフィルターの適用
インバウンド ファイアウォール フィルターを作成したら、それを ES PIC に適用します。ここでは、復号化されたパケットにインバウンドファイアウォールフィルター(ipsec-decrypt-policy-filter)を適用して、最終的なポリシーチェックを実行します。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、受信パケットを復号化します。
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
パケット転送エンジンは、IPsecパケットをES PICに転送します。パケットの SPI、プロトコル、宛先アドレスを使用して、ES インターフェイスの 1 つに設定された SA を検索します。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットの暗号化解除に使用されます。パケットが処理(復号、認証、またはその両方)されると、入力ファイアウォールフィルター(ipsec-decrypt-policy-filter)が復号されたパケットに適用され、最終的なポリシーチェックが実行されます。用語1は、復号化(および検証)されたトラフィックを定義し、必要なポリシーチェックを実行します。
インバウンドトラフィックフィルターは、ES PICがパケットを処理した後に適用されるため、復号化されたトラフィックは、リモートゲートウェイが暗号化してこのルーターに送信しているトラフィックとして定義されます。IKE は、このフィルターを使用して、トンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 設定を見つけるために使用されます。
参照
レイヤー 3 VPN の ES トンネル インターフェイス設定
レイヤー 3 VPN の ES トンネル インターフェイスを設定するには、PE(プロバイダ エッジ)ルーターと CE(カスタマー エッジ)ルーターに ES トンネル インターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を設定する必要もあります。