Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del tráfico de túnel IPsec

Descripción general de la configuración del tráfico de túnel IPsec

La configuración de tráfico define el tráfico que debe fluir a través del túnel IPsec. Configure filtros de firewall de entrada y salida, que identifican y dirigen el tráfico que se va a cifrar y confirman que los parámetros de tráfico descifrado coinciden con los definidos para el túnel dado. El filtro de salida se aplica a la interfaz LAN o WAN para el tráfico entrante que desea cifrar desde esa LAN o WAN. El filtro entrante se aplica a la PIC de ES para comprobar la directiva del tráfico procedente del host remoto. Debido a la complejidad de configurar un enrutador para reenviar paquetes, no se realiza ninguna comprobación automática para garantizar que la configuración sea correcta. Asegúrese de configurar el enrutador con mucho cuidado.

Nota:

Las instrucciones de filtros de firewall válidas para IPsec son puerto de destino, puerto de origen, protocolo, dirección de destino y dirección de origen.

En la figura 1, la puerta de enlace A protege la red 10.1.1.0/24 y la puerta de enlace B protege la red 10.2.2.0/24. Las puertas de enlace están conectadas por un túnel IPsec.

Figura 1: Ejemplo: túnel IPsec que conecta puertas de enlace de Example: IPsec Tunnel Connecting Security Gateways seguridad

Las interfaces SA y ES para la puerta de enlace A se configuran de la siguiente manera:

Las interfaces SA y ES para la puerta de enlace B se configuran de la siguiente manera:

Ejemplo: configuración de un filtro de tráfico saliente

Los filtros de firewallpara el tráfico saliente dirigen el tráfico a través del túnel IPsec deseado y garantizan que el tráfico tunelizado salga de la interfaz adecuada (consulte Descripción general de la configuración del tráfico de túnel IPsec). Aquí, se crea un filtro de firewall saliente en la puerta de enlace de seguridad A; identifica el tráfico que se va a cifrar y lo agrega al lado de entrada de la interfaz que transporta el tráfico VPN interno:

Nota:

La dirección de origen, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de destino, el puerto y el protocolo del filtro de tráfico entrante. La dirección de destino, el puerto y el protocolo del filtro de tráfico saliente deben coincidir con la dirección de origen, el puerto y el protocolo del filtro de tráfico entrante.

Ejemplo: aplicar un filtro de tráfico saliente

Después de configurar el filtro de firewall de salida, aplíquelo:

El filtro de salida se aplica en la interfaz de Fast Ethernet en el nivel jerárquico[edit interfaces fe-0/0/1 unit 0 family inet]. Cualquier paquete que coincida con el término de acción IPsec () en el filtro de entrada (term 1ipsec-encrypt-policy-filter), configurado en la interfaz Fast Ethernet, se dirige a la interfaz PIC de ES en el nivel jerárquico[edit interfaces es-0/1/0 unit 0 family inet]. Si un paquete llega desde la dirección de origen 10.1.1.0/24 y va a la dirección de destino 10.2.2.0/24, el motor de reenvío de paquetes dirige el paquete a la interfaz PIC ES, que está configurada con la manual-sa1 SA. La PIC de ES recibe el paquete, aplica la manual-sa1 SA y envía el paquete a través del túnel.

El enrutador debe tener una ruta al extremo del túnel; Agregue una ruta estática si es necesario.

Ejemplo: configuración de un filtro de tráfico entrante para una comprobación de políticas

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Visión general

Aquí, se crea un filtro de firewall entrante, que realiza la comprobación final de la política IPsec, en la puerta de enlace de seguridad A. Esta comprobación garantiza que solo se acepten los paquetes que coincidan con el tráfico configurado para este túnel. Este filtro se configura a través de la interfaz CLI en el nivel de [edit firewall family inet] jerarquía.

Configuración

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configuración del filtro de firewall

Procedimiento paso a paso

Para configurar el filtro ipsec-decrypt-policy-filter de firewall que detecta el tráfico de la red remota 10.2.2.0/24 destinada a la red local 10.1.1.0/24 :

  1. Cree el filtro de firewall:

  2. Configurar la coincidencia para las direcciones de origen y destino:

  3. Configure el filtro para aceptar el tráfico coincidente:

    Nota:

    La instrucción accept dentro del term term1 es sólo para este filtro. El tráfico que no coincida con este término de filtro se eliminará mediante la acción predeterminada del firewall.

  4. Confirme la configuración del firewall candidato emitiendo el comando de configuración en el show nivel de [edit firewall family inet] jerarquía

    Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  5. Si ha terminado de configurar el dispositivo, confirme la configuración candidata.

    Para implementar este filtro, aplíquelo como filtro de entrada a la interfaz lógica de la es-0/1/0 puerta de enlace A. Consulte Ejemplo: Aplicación de un filtro de tráfico entrante a una PIC de ES para obtener más información.

Ejemplo: aplicar un filtro de tráfico entrante a una PIC de ES para una comprobación de políticas

Después de crear el filtro de firewall de entrada, aplíquelo a la PIC ES. Aquí, el filtro de firewall entrante (ipsec-decrypt-policy-filter) se aplica al paquete descifrado para realizar la comprobación final de la política. Se hace referencia a la SA IPsec manual-sa1 en el nivel de jerarquía y descifra el [edit interfaces es-1/2/0 unit 0 family inet] paquete entrante.

El motor de reenvío de paquetes dirige los paquetes IPsec a la PIC ES. Utiliza el SPI, el protocolo y la dirección de destino del paquete para buscar la SA configurada en una de las interfaces ES. Se hace referencia a la SA IPsec manual-sa1 en el nivel de jerarquía y se utiliza para descifrar el [edit interfaces es-1/2/0 unit 0 family inet] paquete entrante. Cuando se procesan los paquetes (descifrados, autenticados o ambos), se aplica el filtro de firewall de entrada (ipsec-decrypt-policy-filter) al paquete descifrado para realizar la comprobación final de la política. Term1 define el tráfico descifrado (y verificado) y realiza la comprobación de políticas necesaria.

Nota:

El filtro de tráfico entrante se aplica después de que la PIC de ES haya procesado el paquete, por lo que el tráfico descifrado se define como cualquier tráfico que la puerta de enlace remota cifre y envíe a este enrutador. IKE utiliza este filtro para determinar la política necesaria para un túnel. Esta política se utiliza durante la negociación con la puerta de enlace remota para encontrar la configuración de SA correspondiente.

Configuración de interfaz de túnel ES para una VPN de capa 3

Para configurar una interfaz de túnel ES para una VPN de capa 3, debe configurar una interfaz de túnel ES en el enrutador perimetral del proveedor (PE) y en el enrutador perimetral del cliente (CE). También debe configurar IPsec en los enrutadores PE y CE.