EN ESTA PÁGINA
Descripción general de la configuración del tráfico de túnel IPsec
Ejemplo: configuración de un filtro de tráfico entrante para una comprobación de políticas
Ejemplo: aplicar un filtro de tráfico entrante a una PIC de ES para una comprobación de políticas
Configuración de interfaz de túnel ES para una VPN de capa 3
Configuración del tráfico de túnel IPsec
Descripción general de la configuración del tráfico de túnel IPsec
La configuración de tráfico define el tráfico que debe fluir a través del túnel IPsec. Configure filtros de firewall de entrada y salida, que identifican y dirigen el tráfico que se va a cifrar y confirman que los parámetros de tráfico descifrado coinciden con los definidos para el túnel dado. El filtro de salida se aplica a la interfaz LAN o WAN para el tráfico entrante que desea cifrar desde esa LAN o WAN. El filtro entrante se aplica a la PIC de ES para comprobar la directiva del tráfico procedente del host remoto. Debido a la complejidad de configurar un enrutador para reenviar paquetes, no se realiza ninguna comprobación automática para garantizar que la configuración sea correcta. Asegúrese de configurar el enrutador con mucho cuidado.
Las instrucciones de filtros de firewall válidas para IPsec son puerto de destino, puerto de origen, protocolo, dirección de destino y dirección de origen.
En la figura 1, la puerta de enlace A protege la red 10.1.1.0/24 y la puerta de enlace B protege la red 10.2.2.0/24. Las puertas de enlace están conectadas por un túnel IPsec.
seguridad
Las interfaces SA y ES para la puerta de enlace A se configuran de la siguiente manera:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.1.1.9;
}
}
}
Las interfaces SA y ES para la puerta de enlace B se configuran de la siguiente manera:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.6.6.6;
destination 10.5.5.5;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.9/32; {
destination 10.1.1.8;
}
}
}
Ver también
Ejemplo: configuración de un filtro de tráfico saliente
Los filtros de firewallpara el tráfico saliente dirigen el tráfico a través del túnel IPsec deseado y garantizan que el tráfico tunelizado salga de la interfaz adecuada (consulte Descripción general de la configuración del tráfico de túnel IPsec). Aquí, se crea un filtro de firewall saliente en la puerta de enlace de seguridad A; identifica el tráfico que se va a cifrar y lo agrega al lado de entrada de la interfaz que transporta el tráfico VPN interno:
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
La dirección de origen, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de destino, el puerto y el protocolo del filtro de tráfico entrante. La dirección de destino, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de origen, el puerto y el protocolo del filtro de tráfico entrante.
Ver también
Ejemplo: aplicar un filtro de tráfico saliente
Después de configurar el filtro de firewall de salida, aplíquelo:
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
El filtro de salida se aplica en la interfaz de Fast Ethernet en el nivel jerárquico [edit interfaces fe-0/0/1 unit 0 family inet] . Cualquier paquete que coincida con el término de acción IPsec (term 1) en el filtro de entrada (ipsec-encrypt-policy-filter), configurado en la interfaz Fast Ethernet, se dirige a la interfaz PIC de ES en el nivel jerárquico [edit interfaces es-0/1/0 unit 0 family inet] . Si un paquete llega desde la dirección de origen 10.1.1.0/24 y va a la dirección de destino 10.2.2.0/24, el motor de reenvío de paquetes dirige el paquete a la interfaz PIC ES, que está configurada con la manual-sa1 SA. La PIC de ES recibe el paquete, aplica la manual-sa1 SA y envía el paquete a través del túnel.
El enrutador debe tener una ruta al extremo del túnel; Agregue una ruta estática si es necesario.
Ver también
Ejemplo: configuración de un filtro de tráfico entrante para una comprobación de políticas
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Visión general
Aquí, se crea un filtro de firewall entrante, que realiza la comprobación final de la política IPsec, en la puerta de enlace de seguridad A. Esta comprobación garantiza que solo se acepten los paquetes que coincidan con el tráfico configurado para este túnel. Este filtro se configura a través de la interfaz CLI en el nivel de [edit firewall family inet] jerarquía.
Configuración
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
[edit] set firewall family inet filter ipsec-decrypt-policy-filter term term1 from source-address 10.2.2.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 from destination-address 10.1.1.0/24 set firewall family inet filter ipsec-decrypt-policy-filter term term1 then accept commit
Configuración del filtro de firewall
Procedimiento paso a paso
Para configurar el filtro ipsec-decrypt-policy-filter de firewall que detecta el tráfico de la red remota 10.2.2.0/24 destinada a la red local 10.1.1.0/24 :
Cree el filtro de firewall:
[edit] user@host# edit firewall family inet filter ipsec-decrypt-policy-filter
Configurar la coincidencia para las direcciones de origen y destino:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 from source-address 10.2.2.0/24 user@host# set term term1 from destination-address 10.1.1.0/24
Configure el filtro para aceptar el tráfico coincidente:
[edit firewall family inet filter ipsec-decrypt-policy-filter] user@host# set term term1 then accept
Nota:La instrucción accept dentro del
term term1es sólo para este filtro. El tráfico que no coincida con este término de filtro se eliminará mediante la acción predeterminada del firewall.Confirme la configuración del firewall candidato emitiendo el comando de
showconfiguración en el nivel de[edit firewall family inet]jerarquía[edit firewall family inet] user@host# show filter ipsec-decrypt-policy-filter { term term1 { # perform policy check from { source-address { # remote network 10.2.2.0/24; } destination-address { # local network 10.1.1.0/24; } } then accept; } }Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Para implementar este filtro, aplíquelo como filtro de entrada a la interfaz lógica de la
es-0/1/0puerta de enlace A. Consulte Ejemplo: Aplicación de un filtro de tráfico entrante a una PIC de ES para obtener más información.
Ejemplo: aplicar un filtro de tráfico entrante a una PIC de ES para una comprobación de políticas
Después de crear el filtro de firewall de entrada, aplíquelo a la PIC ES. Aquí, el filtro de firewall entrante (ipsec-decrypt-policy-filter) se aplica al paquete descifrado para realizar la comprobación final de la política. Se hace referencia a la SA IPsec manual-sa1 en el nivel de [edit interfaces es-1/2/0 unit 0 family inet] jerarquía y descifra el paquete entrante.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
El motor de reenvío de paquetes dirige los paquetes IPsec a la PIC ES. Utiliza el SPI, el protocolo y la dirección de destino del paquete para buscar la SA configurada en una de las interfaces ES. Se hace referencia a la SA IPsec manual-sa1 en el nivel de [edit interfaces es-1/2/0 unit 0 family inet] jerarquía y se utiliza para descifrar el paquete entrante. Cuando se procesan los paquetes (descifrados, autenticados o ambos), se aplica el filtro de firewall de entrada (ipsec-decrypt-policy-filter) al paquete descifrado para realizar la comprobación final de la política. Term1 define el tráfico descifrado (y verificado) y realiza la comprobación de políticas necesaria.
El filtro de tráfico entrante se aplica después de que la PIC de ES haya procesado el paquete, por lo que el tráfico descifrado se define como cualquier tráfico que la puerta de enlace remota cifre y envíe a este enrutador. IKE utiliza este filtro para determinar la política necesaria para un túnel. Esta política se utiliza durante la negociación con la puerta de enlace remota para encontrar la configuración de SA correspondiente.
Ver también
Configuración de interfaz de túnel ES para una VPN de capa 3
Para configurar una interfaz de túnel ES para una VPN de capa 3, debe configurar una interfaz de túnel ES en el enrutador perimetral del proveedor (PE) y en el enrutador perimetral del cliente (CE). También debe configurar IPsec en los enrutadores PE y CE.