Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Segurança IP para BGP

Entendendo o IPsec para BGP

Você pode aplicar a segurança de IP (IPsec) ao tráfego BGP. IPsec é um conjunto de protocolo usado para proteger o tráfego IP no nível de pacotes. O IPsec é baseado em associações de segurança (SAs). Uma SA é uma conexão simplesx que fornece serviços de segurança aos pacotes transportados pela SA. Após a configuração da SA, você pode aplicá-la aos pares BGP.

A implementação do IPsec pelo Junos OS oferece suporte a dois tipos de segurança: host para host e gateway para gateway. A segurança de host para host protege sessões BGP com outros roteadores. Um SA a ser usado com BGP deve ser configurado manualmente e usar o modo de transporte. Os valores estáticos devem ser configurados em ambas as extremidades da associação de segurança. Para aplicar a proteção do host, você configura SAs manuais no modo de transporte e depois faz referência à SA pelo nome na configuração BGP para proteger uma sessão com um determinado peer.

As SAs manuais não exigem nenhuma negociação entre os pares. Todos os valores, incluindo as chaves, são estáticos e especificados na configuração. As SAs manuais definem estaticamente os valores do índice de parâmetros de segurança, algoritmos e chaves a serem usados e exigem configurações correspondentes em ambos os pontos finais do túnel (em ambos os pares). Como resultado, cada peer deve ter as mesmas opções configuradas para a comunicação ocorrer.

No modo de transporte, os cabeçalhos IPsec são inseridos após o cabeçalho IP original e antes do cabeçalho de transporte.

O índice de parâmetros de segurança é um valor arbitrário usado em combinação com um endereço de destino e um protocolo de segurança para identificar exclusivamente a SA.

Consulte também

Exemplo: Usando IPsec para proteger o tráfego BGP

IPsec é um conjunto de protocolos usados para fornecer conexões de rede seguras na camada de IP. Ele é usado para fornecer autenticação de fonte de dados, integridade de dados, confidencialidade e proteção de repetição de pacotes. Este exemplo mostra como configurar a funcionalidade IPsec para proteger as sessões BGP do Mecanismo de Roteamento para Roteamento. O Junos OS oferece suporte a IPsec Authentication Header (AH) e Encapsulating Security Payload (ESP) no modo de transporte e túnel, bem como um utilitário para a criação de políticas e configuração manual de chaves.

Requisitos

Antes de começar:

  • Configure as interfaces do roteador.

  • Configure um protocolo de gateway interior (IGP).

  • Configure BGP.

Nenhum hardware PIC específico é necessário para configurar esse recurso.

Visão geral

A SA está configurada no nível de hierarquia com a declaração definida para transporte.[edit security ipsec security-association name]mode No modo de transporte, o Junos OS não oferece suporte a cabeçalho de autenticação (AH) ou encapsulamento de pacotes de cabeçalho de carga de segurança (ESP). O Junos OS oferece suporte apenas ao protocolo BGP no modo de transporte.

Este exemplo especifica IPsec bidirecional para descriptografar e autenticar o tráfego de entrada e saída usando o mesmo algoritmo, chaves e SPI em ambas as direções, ao contrário de SAs de entrada e saída que usam atributos diferentes em ambas as direções.

Uma SA mais específica substitui uma SA mais geral. Por exemplo, se uma SA específica for aplicada a um peer específico, essa SA substituirá a SA aplicada a todo o grupo de pares.

Diagrama de topologia

Figura 1 mostra a topologia usada neste exemplo.

Figura 1: IPsec para BGPIPsec para BGP

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar o roteador R1:

  1. Configure o modo SA.

  2. Configure o protocolo IPsec a ser usado.

  3. Configure o índice de parâmetro de segurança para identificar exclusivamente a SA.

  4. Configure o algoritmo de criptografia.

  5. Configure a chave de criptografia.

    Quando você usa uma chave de texto ASCII, a chave deve conter exatamente 24 caracteres.

  6. Aplique o SA no peer BGP.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os comandos e os comandos.show protocolsshow security Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no modo de configuração.commit Repita a configuração no Roteador R0, alterando apenas o endereço vizinho.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a Associação de Segurança

Propósito

Certifique-se de que as configurações corretas apareçam na saída do comando.show ipsec security-associations

Ação

A partir do modo operacional, entre no comando. show ipsec security-associations

Significado

A saída é mais altapara a maioria dos campos, exceto o campo AUX-SPI. O AUX-SPI é o valor do índice de parâmetros de segurança auxiliar. Quando o valor é AH ou ESP, a AUX-SPI é sempre 0. Quando o valor é AH+ESP, o AUX-SPI é sempre um inteiro positivo.

Consulte também