Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP 的 IP 安全

了解 BGP 的 IPsec

您可以将 IP 安全(IPsec)应用于 BGP 流量。IPsec 是用于在数据包级别保护 IP 流量的协议套件。IPsec 基于安全关联(Sa)。SA 是一种单工连接,为 SA 发出的数据包提供安全服务。配置 SA 之后,可以将其应用于 BGP 对等方。

IPsec 的 Junos OS 实施支持两种类型的安全:主机到主机和网关到网关。主机到主机安全通过其他路由器保护 BGP 会话。要与 BGP 一起使用的 SA 必须手动配置,并使用传输模式。必须在安全关联的两端配置静态值。要应用主机保护,请在传输模式中配置手动 Sa,然后在 BGP 配置中按名称引用 SA,以保护与给定对等方的会话。

手动 Sa 不需要对等方进行协商。所有值(包括密钥)都是静态的,并在配置中指定。手动 Sa 静态定义要使用的安全参数索引值、算法和密钥,并要求通道的两个端点上的匹配配置(在两个对等方上)。因此,每个对等方都必须具有相同的配置选项才能进行通信。

在传输模式下,IPsec 标头插入原始 IP 报头之后和传输头之前。

安全参数索引是与目标地址和安全协议组合使用的任意值,用于唯一标识 SA。

示例:使用 IPsec 保护 BGP 流量

IPsec 是用于在 IP 层提供安全网络连接的一系列协议。它用于提供数据源认证、数据完整性、机密性和数据包重播保护。此示例演示如何配置 IPsec 功能,以保护路由引擎到路由引擎的 BGP 会话。Junos OS 在传输和通道模式下支持 IPsec 身份验证标头(AH)和封装安全负载(ESP),以及创建策略和手动配置密钥的实用程序。

要求

开始之前:

  • 配置路由器接口。

  • 配置内部网关协议(IGP)。

  • 配置 BGP。

不需要特定 PIC 硬件即可配置此功能。

概述

SA 在[edit security ipsec security-association name]层次结构级别上配置,并将mode语句设置为 transport。在传输模式下,Junos OS 不支持身份验证标头(AH)或封装式安全有效负载(ESP)标头束。Junos OS 仅支持传输模式中的 BGP 协议。

此示例指定双向 IPsec 以在两个方向上使用相同的算法、密钥和 SPI 对传入和传出流量进行解密和身份验证,与在两个方向使用不同属性的入站和出站 Sa 不同。

更具体的 SA 覆盖更通用的 SA。例如,如果特定 SA 应用于特定对等方,则该 SA 将覆盖应用于整个对等方组的 SA。

拓扑图

图 1显示了此示例中使用的拓扑。

图 1: BGP 的 IPsecBGP 的 IPsec

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,卸下任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

操作

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 Junos OS CLI 指南 中的 在配置模式下使用 CLI编辑器

要配置路由器 R1:

  1. 配置 SA 模式。

  2. 配置要使用的 IPsec 协议。

  3. 配置为安全参数索引以唯一标识 SA。

  4. 配置加密算法。

  5. 配置加密密钥。

    使用 ASCII 文本密钥时,密钥必须正好包含24个字符。

  6. 将 SA 应用于 BGP 对等体。

成果

在配置模式下,输入show protocolsshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。在路由器 R0 上重复该配置,仅更改邻居地址。

针对

确认配置是否正常工作。

验证安全 Associaton

用途

请确保show ipsec security-associations命令的输出中显示正确的设置。

行动

在操作模式下,输入show ipsec security-associations命令。

含义

对于大多数字段(AUX-SPI 字段除外),输出 straighforward。AUX-SPI 是辅助安全参数索引的值。如果值为 AH 或 ESP,则 AUX-SPI 始终为0。如果值为 AH + ESP,则 AUX-SPI 始终为正整数。