Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec 터널 트래픽 구성

IPsec 터널 트래픽 구성 개요

트래픽 구성은 IPsec 터널을 통과해야 하는 트래픽을 정의합니다. 암호화할 트래픽을 식별 및 지시하고 해독된 트래픽 매개 변수가 지정된 터널에 대해 정의된 매개 변수와 일치하는지 확인하는 아웃바운드 및 인바운드 방화벽 필터를 구성합니다. 아웃바운드 필터는 해당 LAN 또는 WAN에서 암호화하려는 수신 트래픽에 대해 LAN 또는 WAN 인터페이스에 적용됩니다. 인바운드 필터는 ES PIC에 적용되어 원격 호스트에서 들어오는 트래픽에 대한 정책을 확인합니다. 패킷을 전달하도록 라우터를 구성하는 것이 복잡하기 때문에 구성이 올바른지 확인하기 위한 자동 검사가 수행되지 않습니다. 라우터를 매우 신중하게 구성해야 합니다.

메모:

IPsec에 대한 유효한 방화벽 필터 문은 destination-port, source-port, protocol, destination-addresssource-address입니다.

그림 1에서 게이트웨이 A는 네트워크 10.1.1.0/24를 보호하고 게이트웨이 B는 네트워크 10.2.2.0/24를 보호합니다. 게이트웨이는 IPsec 터널로 연결됩니다.

그림 1: 예: 보안 게이트웨이를 Example: IPsec Tunnel Connecting Security Gateways 연결하는 IPsec 터널

게이트웨이 A의 SA 및 ES 인터페이스는 다음과 같이 구성됩니다.

게이트웨이 B의 SA 및 ES 인터페이스는 다음과 같이 구성됩니다.

예: 아웃바운드 트래픽 필터 구성

아웃바운드 트래픽에 대한 방화벽 필터는원하는 IPsec 터널을 통해 트래픽을 전달하고 터널링된 트래픽이 적절한 인터페이스로 나가도록 합니다(IPsec 터널 트래픽 구성 개요 참조). 여기서는 보안 게이트웨이 A에 아웃바운드 방화벽 필터가 생성됩니다. 암호화할 트래픽을 식별하여 내부 VPN 트래픽을 전달하는 인터페이스의 입력 측에 추가합니다.

메모:

아웃바운드 트래픽 필터의 원본 주소, 포트 및 프로토콜은 인바운드 트래픽 필터의 대상 주소, 포트 및 프로토콜과 일치해야 합니다. 아웃바운드 트래픽 필터의 대상 주소, 포트 및 프로토콜은 인바운드 트래픽 필터의 원본 주소, 포트 및 프로토콜과 일치해야 합니다.

예: 아웃바운드 트래픽 필터 적용

아웃바운드 방화벽 필터를 구성한 후 적용합니다.

아웃바운드 필터는 계층 수준에서 고속 이더넷 인터페이스에 [edit interfaces fe-0/0/1 unit 0 family inet] 적용됩니다. 고속 이더넷 인터페이스에 구성된 입력 필터(ipsec-encrypt-policy-filter)의 IPsec 작업 용어(term 1)와 일치하는 모든 패킷은 계층 수준에서 ES PIC 인터페이스로 [edit interfaces es-0/1/0 unit 0 family inet] 전달됩니다. 패킷이 소스 주소 10.1.1.0/24에서 도착하여 대상 주소 10.2.2.0/24로 이동하는 경우, 패킷 전달 엔진은 SA와 함께 manual-sa1 구성된 ES PIC 인터페이스로 패킷을 보냅니다. ES PIC는 패킷을 수신하고, SA를 manual-sa1 적용하며, 터널을 통해 패킷을 보냅니다.

라우터에는 터널 끝점에 대한 경로가 있어야 합니다. 필요한 경우 고정 경로를 추가합니다.

예: 정책 확인을 위한 인바운드 트래픽 필터 구성

요구 사항

이 예제를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

여기서는 최종 IPsec 정책 검사를 수행하는 인바운드 방화벽 필터가 보안 게이트웨이 A에 생성됩니다. 이 검사는 이 터널에 대해 구성된 트래픽과 일치하는 패킷만 수락되도록 합니다. 이 필터는 계층 수준에서 CLI 인터페이스를 [edit firewall family inet] 통해 구성됩니다.

구성

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용의 내용을 참조하십시오.

이 예를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit] .

방화벽 필터 구성

단계별 절차

로컬 10.1.1.0/24 네트워크로 향하는 원격 10.2.2.0/24 네트워크에서 트래픽을 포착하는 방화벽 필터를 ipsec-decrypt-policy-filter 구성하려면 다음을 수행합니다.

  1. 방화벽 필터를 생성합니다.

  2. 원본 및 대상 주소에 대한 일치를 구성합니다.

  3. 일치하는 트래픽을 허용하도록 필터를 구성합니다.

    메모:

    내의 term term1 accept 문은 이 필터 전용입니다. 이 필터 용어와 일치하지 않는 트래픽은 기본 방화벽 작업에 의해 삭제됩니다.

  4. 계층 수준에서 구성 명령을 [edit firewall family inet] 실행하여 show 후보 방화벽 구성을 확인합니다

    명령 출력에 의도한 구성이 표시되지 않으면 이 예제의 지침을 반복하여 구성을 수정하십시오.

  5. 디바이스 구성을 완료하면 후보 구성을 커밋합니다.

    이 필터를 구현하려면 게이트웨이 A의 논리적 인터페이스에 대한 입력 필터 es-0/1/0 로 적용합니다. 자세한 내용은 예: 정책 확인을 위해 ES PIC에 인바운드 트래픽 필터 적용을 참조하십시오 .

예: 정책 확인을 위해 ES PIC에 인바운드 트래픽 필터 적용

인바운드 방화벽 필터를 생성한 후 ES PIC에 적용합니다. 여기서, 인바운드 방화벽 필터(ipsec-decrypt-policy-filter)는 복호화된 패킷에 적용되어 최종 정책 확인을 수행합니다. IPsec manual-sa1 SA는 계층 수준에서 참조 [edit interfaces es-1/2/0 unit 0 family inet] 되며 수신 패킷의 암호를 해독합니다.

패킷 전달 엔진은 IPsec 패킷을 ES PIC로 보냅니다. 패킷의 SPI, 프로토콜 및 대상 주소를 사용하여 ES 인터페이스 중 하나에 구성된 SA를 조회합니다. IPsec manual-sa1 SA는 계층 수준에서 참조 [edit interfaces es-1/2/0 unit 0 family inet] 되며 수신 패킷의 암호를 해독하는 데 사용됩니다. 패킷이 처리(복호화, 인증 또는 둘 다)되면 복호화된 패킷에 입력 방화벽 필터(ipsec-decrypt-policy-filter)가 적용되어 최종 정책 검사를 수행합니다. Term1은 복호화된(및 확인된) 트래픽을 정의하고 필요한 정책 검사를 수행합니다.

메모:

인바운드 트래픽 필터는 ES PIC가 패킷을 처리한 후에 적용되므로, 해독된 트래픽은 원격 게이트웨이가 암호화하여 이 라우터로 전송하는 모든 트래픽으로 정의됩니다. IKE(Internet Key Exchange)는 이 필터를 사용하여 터널에 필요한 정책을 결정합니다. 이 정책은 원격 게이트웨이와의 협상 중에 일치하는 SA 구성을 찾는 데 사용됩니다.

레이어 3 VPN에 대한 ES 터널 인터페이스 구성

레이어 3 VPN에 대한 ES 터널 인터페이스를 구성하려면 프로바이더 에지(PE) 라우터 및 고객 에지(CE) 라우터에서 ES 터널 인터페이스를 구성해야 합니다. 또한 PE 및 CE 라우터에서 IPsec을 구성해야 합니다.