IPsec トンネル トラフィックの設定
IPsecトンネルトラフィック設定の概要
トラフィック構成は、 IPsec トンネルを通過する必要があるトラフィックを定義します。アウトバウンドおよびインバウンドのファイアウォールフィルターを設定します。このフィルターは、暗号化するトラフィックを識別して誘導し、復号化されたトラフィックパラメータが特定のトンネルに定義されたものと一致することを確認します。アウトバウンドフィルターは、 LAN または WAN から暗号化する着信トラフィックの LAN または WAN インターフェイスに適用されます。インバウンドフィルターがES PICに適用され、リモートホストから着信するトラフィックのポリシーをチェックします。パケットを転送するルーターの構成は複雑なため、構成が正しいことを確認するための自動チェックは行われません。ルーターの設定は慎重に行ってください。
IPsec の有効なファイアウォール フィルター ステートメントは、 宛先ポート、 送信元ポート、 プロトコル、 宛先アドレス、 送信元アドレスです。
図 1 では、ゲートウェイ A がネットワーク 10.1.1.0/24 を保護し、ゲートウェイ B がネットワーク 10.2.2.0/24 を保護しています。ゲートウェイは IPsec トンネルで接続されています。
ゲートウェイ A の SA および ES インターフェイスは、次のように設定されます。
[edit security ipsec] security-association manual-sa1 { manual { direction bidirectional { protocol esp; spi 2312; authentication { algorithm hmac-md5-96; key ascii-text 1234123412341234; } encryption { algorithm 3des-cbc; key ascii-text 123456789009876543211234; } } } } [edit interfaces es-0/1/0] unit 0 { tunnel { source 10.5.5.5; destination 10.6.6.6; } family inet { ipsec-sa manual-sa1; address 10.1.1.8/32 { destination 10.1.1.9; } } }
ゲートウェイ B の SA および ES インターフェイスは、次のように設定されます。
[edit security ipsec] security-association manual-sa1 { manual { direction bidirectional { protocol esp; spi 2312; authentication { algorithm hmac-md5-96; key ascii-text 1234123412341234; } encryption { algorithm 3des-cbc; key ascii-text 123456789009876543211234; } } } } [edit interfaces es-0/1/0] unit 0 { tunnel { source 10.6.6.6; destination 10.5.5.5; } family inet { ipsec-sa manual-sa1; address 10.1.1.9/32; { destination 10.1.1.8; } } }
関連項目
例:アウトバウンドトラフィックフィルタの設定
アウトバウンドトラフィック用のファイアウォールフィルターは、トラフィックを目的のIPsecトンネル経由で誘導し、トンネリングされたトラフィックが適切なインターフェイスから出るようにします(IPsecトンネルトラフィック設定の概要を参照)。ここでは、送信ファイアウォール フィルターがセキュリティ ゲートウェイ A で作成されます。暗号化するトラフィックを識別し、内部VPNトラフィックを伝送するインターフェイスの入力側に追加します。
[edit firewall] filter ipsec-encrypt-policy-filter { term term1 { from { source-address { # local network 10.1.1.0/24; } destination-address { # remote network 10.2.2.0/24; } } then ipsec-sa manual-sa1; # apply SA name to packet term default { then accept; }
送信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルと一致している必要があります。送信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルと一致する必要があります。
関連項目
例:アウトバウンドトラフィックフィルタの適用
送信ファイアウォール フィルターを構成したら、それを適用します。
[edit interfaces] fe-0/0/1 { unit 0 { family inet { filter { input ipsec-encrypt-policy-filter; } address 10.1.1.254/24; } } }
アウトバウンド フィルターは、ファスト イーサネット インターフェイス上の [edit interfaces fe-0/0/1 unit 0 family inet]
階層レベルで適用されます。ファスト イーサネット インターフェイスで設定された入力フィルター(ipsec-encrypt-policy-filter
)の IPsec アクション条件(term 1
)に一致するパケットは、[edit interfaces es-0/1/0 unit 0 family inet]
階層レベルで ES PIC インターフェイスに送信されます。パケットが送信元アドレス 10.1.1.0/24 から到着し、宛先アドレス 10.2.2.0/24 に送信される場合、パケット転送エンジンは、manual-sa1
SA で設定された ES PIC インターフェイスにパケットを送信します。ES PIC はパケットを受信し、manual-sa1
SA を適用して、トンネルを介してパケットを送信します。
ルーターにはトンネルエンドポイントへのルートが必要です。必要に応じて、スタティック ルートを追加します。
関連項目
例:ポリシーチェック用のインバウンドトラフィックフィルタの設定
必要条件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
ここでは、最終的な IPsec ポリシー チェックを実行するインバウンド ファイアウォール フィルターがセキュリティ ゲートウェイ A に作成されます。このチェックにより、このトンネルに設定されたトラフィックに一致するパケットのみが受け入れられることが確認されます。このフィルターは、CLI インターフェイスを介して [edit firewall family inet]
階層レベルで設定されます。
構成
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit]
階層レベルの CLI にコマンドを貼り付けます。
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
ファイアウォールフィルターの設定
手順
ファイアウォールフィルターを設定するには、ローカル10.1.1.0/24
ネットワーク宛てのリモート10.2.2.0/24
ネットワークからのトラフィックをキャッチするipsec-decrypt-policy-filter
:
ファイアウォールフィルターを作成します。
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
送信元アドレスと宛先アドレスの一致を構成します。
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
一致したトラフィックを受け入れるようにフィルターを設定します。
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
手記:term term1
内の accept ステートメントは、このフィルター専用です。このフィルター条件に一致しないトラフィックは、デフォルトのファイアウォールアクションにより破棄されます。[edit firewall family inet]
階層レベルでshow
設定コマンドを発行して、候補となるファイアウォールの設定を確認します[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
このフィルターを実装するには、ゲートウェイ A の
es-0/1/0
論理インターフェイスに入力フィルターとして適用します。詳細については 、 例:ES PIC へのインバウンドトラフィックフィルターの適用を参照して、ポリシーチェックを確認してください 。
例:ポリシーチェックのために ES PIC にインバウンドトラフィックフィルターを適用する
インバウンドファイアウォールフィルターを作成したら、それをES PICに適用します。ここでは、インバウンドファイアウォールフィルター(ipsec-decrypt-policy-filter
)が復号化されたパケットに適用され、最終的なポリシーチェックが実行されます。IPsec manual-sa1
SA は、 [edit interfaces es-1/2/0 unit 0 family inet]
階層レベルで参照され、着信パケットを復号化します。
[edit interfaces] es-1/2/0 { unit 0 { tunnel { source 10.5.5.5; # tunnel source address destination 10.6.6.6; # tunnel destination address } family inet { filter { input ipsec-decrypt-policy-filter; } ipsec-sa manual-sa1; # SA name applied to packet address 10.1.1.8/32 { # local interface address inside local VPN destination 10.2.2.254; # destination address inside remote VPN } } }
パケット転送エンジンは、IPsecパケットをES PICに送信します。パケットの SPI、プロトコル、および宛先アドレスを使用して、ES インターフェイスの 1 つに構成されている SA を検索します。IPsec manual-sa1
SA は、 [edit interfaces es-1/2/0 unit 0 family inet]
階層レベルで参照され、着信パケットの復号に使用されます。パケットが処理(復号化、認証、またはその両方)されると、入力ファイアウォール フィルター(ipsec-decrypt-policy-filter
)が復号化されたパケットに適用され、最終的なポリシー チェックが実行されます。用語1は、復号化(および検証)されたトラフィックを定義し、必要なポリシーチェックを実行します。
インバウンドトラフィックフィルターは、ES PICがパケットを処理した後に適用されるため、復号化されたトラフィックは、リモートゲートウェイが暗号化してこのルーターに送信するすべてのトラフィックとして定義されます。IKE はこのフィルタを使用して、トンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 構成を見つけるために使用されます。
関連項目
レイヤー3 VPNのESトンネルインターフェイス設定
レイヤー3 VPNのESトンネルインターフェイスを設定するには、プロバイダーエッジ(PE)ルーターとカスタマーエッジ(CE)ルーターにESトンネルインターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を構成する必要もあります。