Proteção das redes OSPFv2 com o modo de transporte IPsec
Por padrão, você pode configurar mD5 ou autenticação simples baseada em senha de texto em links OSPFv2. Além dessas autenticações básicas, o Junos OS oferece suporte ao OSPFv2 com um cabeçalho de autenticação de segurança (AH), encapsulando o Security Payload (ESP) ou um pacote de protocolo IPsec que oferece suporte a AH e ESP. Você pode configurar o IPsec sobre o OSPFv2 usando associações de segurança do modo de transporte em links físicos, falsos ou virtuais.
Como o Junos OS oferece suporte apenas a associações bidirecionais de segurança sobre o OSPFv2, os pares OSPFv2 devem ser configurados com a mesma associação de segurança IPsec. Configurar os pares OSPFv2 com diferentes associações de segurança ou com IKE dinâmico impedirá que as adjacências sejam estabelecidas. Além disso, você deve configurar associações de segurança idênticas para links falsos com o mesmo endereço de endpoint remoto, para links virtuais com o mesmo endereço de endpoint remoto, para todos os vizinhos em multiacessos nãotransmitidos (NBMA) ou links ponto a multiponto, e para cada sub-rede que faz parte de um link de broadcast.
Para criar uma associação de segurança bidirecional manual, inclua a security-association security-association-name declaração no nível de hierarquia [editar o ipsec de segurança]:
[edit]
security {
ipsec {
security-association security-association name {
mode transport;
manual {
direction bidirectional {
protocol (ah | esp | bundle);
spi spi--value;
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
}
}
}
}
}
Para configurar o IPsec em uma interface OSPFv2, crie uma associação de segurança do modo de transporte e inclua a ipsec-sa name declaração no nível de hierarquia [editar protocolos ospfarea-id]:
[edit]
protocols {
ospf {
area area-id {
interface interface-name {
ipsec-sa sa-name;
}
virtual-link neighbor-id a.b.c.d transit-area x.x.x.x {
ipsec-sa sa-name;
}
sham-link-remote {
ipsec-sa sa-name;
}
}
}
}
Para verificar sua configuração, insira o show ospf interface detail comando. Esse comando oferece informações detalhadas sobre a interface ospfv2 e exibe a associação de segurança da interface na parte inferior da saída. No exemplo abaixo, a associação de segurança configurada neste roteador é sa1.
user@router> show ospf interface detail Interface State Area DR ID BDR ID Nbrs fe-0/0/1.0 BDR 0.0.0.0 192.168.37.12 10.255.245.215 1 Type LAN, address 192.168.37.11, Mask 255.255.255.248, MTU 4460, Cost 40 DR addr 192.168.37.12, BDR addr 192.168.37.11, Adj count 1, Priority 128 Hello 10, Dead 40, ReXmit 5, Not Stub t1-0/2/1.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 0 Type P2P, Address 0.0.0.0, Mask 0.0.0.0, MTU 1500, Cost 2604 Adj count 0 Hello 10, Dead 40, ReXmit 5, Not Stub Auth type: MD5, Active key ID 3, Start time 2002 Nov 19 10:00:00 PST IPsec SA Name: sa1