配置 OSPF 身份验证
了解 EX 系列交换机上 OSPF 数据包的 IPsec 身份验证
IP 安全 (IPsec) 提供了一种安全的方式,用于验证发件人并加密网络设备之间的 IP 版本 4 (IPv4) 流量。IPsec 为瞻博网络 EX 系列以太网交换机的网络管理员及其用户提供了数据机密性、数据完整性、发件人身份验证和反重放服务的优势。
IPsec 是确保通过 IP 网络进行安全专用通信的框架,并且基于国际工程任务组 (IETF) 制定的标准。IPsec 使系统能够选择所需的安全协议,确定用于安全服务的算法,并实施提供请求的服务所需的任何密钥,从而在开放式系统互连 (OSI) 模型的网络层提供安全服务。您可以使用 IPsec 保护一对主机之间、一对安全网关(如交换机)之间或安全网关与主机之间的一个或多个路径。
OSPF 版本 3 (OSPFv3)与 OSPF 版本 2 (OSPFv2) 不同,没有内置的身份验证方法,依靠 IPsec 提供此功能。您可以保护特定的 OSPFv3 接口并保护 OSPFv3 虚拟链路。
身份验证算法
身份验证是验证发件人身份的过程。身份验证算法使用共享密钥来验证 IPsec 设备的真实性。瞻博网络 Junos 操作系统 (Junos OS) 使用以下身份验证算法:
消息摘要 5 (MD5) 使用单向散列函数将任意长度的消息转换为 128 位的固定长度消息摘要。由于转换过程,从数学上无法从生成的消息摘要中计算原始消息。同样,对消息中单个字符的更改将导致其生成非常不同的消息摘要编号。
为了验证消息是否被篡改,Junos OS 会将计算出的消息摘要与使用共享密钥解密的消息摘要进行比较。Junos OS 使用 MD5 散列消息身份验证代码 (HMAC) 变体,可提供额外级别的散列。MD5 可用于认证头 (AH) 和封装安全有效负载 (ESP)。
安全散列算法 1 (SHA-1) 使用的算法比 MD5 更强。SHA-1 采用长度小于 264 位的消息,并生成 160 位的消息摘要。大消息摘要可确保数据不会更改,并且其源自正确的来源。Junos OS 使用 SHA-1 HMAC 变体,可提供额外级别的散列功能。SHA-1 可用于 AH、ESP 和互联网密钥交换 (IKE)。
加密算法
加密将数据编码为安全格式,使未授权用户无法破解。与身份验证算法一样,共享密钥与加密算法一起使用,以验证 IPsec 设备的真实性。Junos OS 使用以下加密算法:
数据加密标准密码块链 (DES-CBC) 是一种对称密钥块算法。DES 使用 64 位的密钥大小,其中 8 位用于错误检测,其余 56 位用于加密。DES 对共享密钥执行一系列简单的逻辑操作,包括排列和替换。CBC 从 DES 获取 64 位输出的第一个块,将此块与第二个块组合在一起,将其馈送回 DES 算法,并对所有后续块重复此过程。
三重 DES-CBC (3DES-CBC) 是一种加密算法,与 DES-CBC 类似,但提供更强大的加密结果,因为它使用三个密钥进行 168 位(3 x 56 位)加密。3DES 的工作原理是,使用第一个密钥对块进行加密,使用第二个密钥对块进行解密,第三个密钥用于重新加密块。
IPsec 协议
IPsec 协议确定应用于交换机保护数据包的身份验证和加密类型。Junos OS 支持以下 IPsec 协议:
AH — 在 RFC 2402 中定义的 AH 为 IPv4 提供无连接完整性和数据源身份验证。它还提供了防止重播的保护。AH 会验证尽可能多的 IP 报头以及上一级协议数据。但是,某些 IP 报头字段可能会在传输过程中发生变化。由于发送方可能无法预测这些字段的值,因此无法受 AH 保护。在 IP 报头中,AH 可在 IPv4 数据包的协议字段中使用值 51 进行识别。
ESP — 在 RFC 2406 中定义,ESP 可以提供加密和有限流量机密性或无连接完整性、数据源身份验证和防重放服务。在 IP 报头中,ESP 可在 IPv4 数据包的协议字段中使用 50 的值来识别。
安全关联
IPsec 考虑的是您希望实施的安全关联类型 (SA)。SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规格。这些规格包括建立 IPsec 连接时使用的身份验证、加密和 IPsec 协议类型的偏好。SA 可以是单向或双向的,具体取决于网络管理员的选择。SA 由安全参数索引 (SPI)、IPv4 或 IPv6 目标地址以及安全协议(AH 或 ESP) 标识符唯一标识。
IPsec 模式
Junos OS 支持以下 IPsec 模式:
Junos OS 中 AH 和 ESP 都支持隧道模式。在隧道模式中,SA 和相关协议应用于隧道式 IPv4 或 IPv6 数据包。对于隧道模式 SA,外部 IP 报头指定 IPsec 处理目标,内部 IP 报头用于指定数据包的最终目标。安全协议报头显示在外部 IP 报头之后和内部 IP 报头之前。此外,使用 AH 和 ESP 实施隧道模式时,隧道模式稍有差异:
对于 AH,外部 IP 报头的部分以及整个隧道 IP 数据包都受到保护。
对于 ESP,仅隧道数据包受到保护,而非外部报头。
当 SA 的一端是安全网关(如交换机)时,SA 必须使用隧道模式。但是,当流量(例如,SNMP 命令或 BGP 会话)发往交换机时,系统将充当主机。在这种情况下,允许传输模式,因为系统不充当安全网关,并且不会发送或接收传输流量。
注意:OSPF v3 控制数据包身份验证不支持隧道模式。
传输模式在两个主机之间提供 SA。在传输模式下,这些协议主要为上层协议提供保护。传输模式安全协议报头会紧紧显示在 IP 报头和所有选项之后,以及任何更高层的协议(例如 TCP 或 UDP)之前。使用 AH 和 ESP 实施传输模式时,传输模式存在细微差异:
对于 AH,IP 报头的选定部分以及扩展标头的选定部分和 IPv4 报头内的选定选项均受保护。
对于 ESP,仅较高层协议受到保护,而非 ESP 报头之前的 IP 报头或任何扩展报头。
了解 OSPFv2 身份验证
可以对所有 OSPFv2 协议交换进行身份验证,以确保只有可信的路由设备参与自治系统的路由。默认情况下,OSPFv2 身份验证处于禁用状态。
OSPFv3 没有内置的身份验证方法,依靠 IP 安全 (IPsec) 提供此功能。
您可以启用以下身份验证类型:
-
简单身份验证 — 使用传输数据包中包含的纯文本密码进行身份验证。接收路由设备使用身份验证密钥(密码)来验证数据包。
-
MD5 身份验证 — 通过使用传输数据包中包含的编码 MD5 校验和进行身份验证。接收路由设备使用身份验证密钥(密码)来验证数据包。
您可以为每个接口定义一个 MD5 密钥。如果在某个接口上启用了 MD5,则只有在 MD5 身份验证成功的情况下,该接口才会接受路由更新。否则,更新将被拒绝。路由设备仅接受使用为该接口定义的相同密钥标识符 (ID) 发送的 OSPFv2 数据包。
-
IPsec 身份验证(从 Junos OS 8.3 版开始)— 使用手动安全关联 (SA) 验证 OSPFv2 接口、伪链路的远程端点和 OSPFv2 虚拟链路,以确保数据包的内容在路由设备之间安全。您可以单独配置实际 IPsec 身份验证。
注意:您可以配置 IPsec 身份验证以及 MD5 或简单身份验证。
以下限制适用于 OSPFv2 的 IPsec 身份验证:
-
不支持动态互联网密钥交换 (IKE) SA。
-
仅支持 IPsec 传输模式。不支持隧道模式。
-
由于仅支持双向手动 SA,因此所有 OSPFv2 对等方都必须使用相同的 IPsec SA 进行配置。您可以在层级配置手动双向 SA
[edit security ipsec]。 -
您必须为具有相同远程端点地址的所有虚拟链路、OSPF 非广播多路访问 (NBMA) 或点对多点链路上的所有邻接方以及作为广播链路一部分的每个子网配置相同的 IPsec SA。
-
不支持 OSPFv2 对等接口。
-
由于 OSPF 在区域级别执行身份验证,因此区域内的所有路由设备都必须配置相同的身份验证和相应的密码(密钥)。要使 MD5 身份验证起作用,接收和传输路由设备必须具有相同的 MD5 密钥。此外,简单密码和 MD5 密钥是相互排斥的。您只能配置一个简单的密码,但可以配置多个 MD5 密钥。
作为安全措施的一部分,您可以更改 MD5 密钥。为此,您可以配置多个 MD5 密钥,每个密钥都有一个唯一的密钥 ID,并设置切换到新密钥的日期和时间。每个唯一的 MD5 密钥都有一个唯一的 ID。OSPF 数据包的接收方使用该 ID 来确定要使用哪个密钥进行身份验证。MD5 身份验证所需的密钥 ID 用于指定与 MD5 密钥关联的标识符。
从 Junos OS 22.4R1 版开始,我们支持使用多个活动密钥播发 OSPF MD5 身份验证,以发送每个接口最多两个密钥的数据包。在接口上任一时间激活多个密钥,可以使 OSPF 从一个密钥平稳过渡到另一个密钥。您可以删除旧密钥,而不会对 OSPF 会话产生任何影响。
另请参阅
了解 OSPFv3 身份验证
OSPFv3 没有内置的身份验证方法,依靠 IP 安全 (IPsec) 套件提供此功能。IPsec 提供源身份验证、数据完整性、机密性、重放保护和源不可否认性等功能。您可以使用 IPsec 保护特定 OSPFv3 接口并保护 OSPFv3 虚拟链路。
您可以将实际 IPsec 身份验证与 OSPFv3 配置分开配置,然后将 IPsec 应用于 OSPFv3 接口或 OSPFv3 虚拟链路。
OSPFv3 使用 IPsec 协议的 IP 身份验证头 (AH) 和 IP 封装安全有效负载 (ESP) 部分来验证对等方之间的路由信息。AH 可以提供无连接完整性和数据源身份验证。它还提供了防止重播的保护。AH 会验证尽可能多的 IP 报头以及上一级协议数据。但是,某些 IP 报头字段可能会在传输过程中发生变化。由于发送方可能无法预测这些字段的值,因此无法受 AH 保护。ESP 可以提供加密和有限流量机密性或无连接完整性、数据源身份验证和反重放服务。
IPsec 基于安全关联 (SA)。SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规格。这种单工连接可为 SA 携带的数据包提供安全服务。这些规格包括建立 IPsec 连接时使用的身份验证、加密和 IPsec 协议类型的偏好。SA 用于对一个方向上的特定流进行加密和身份验证。因此,在正常双向流量中,流由一对 SA 保护。要与 OSPFv3 配合使用的 SA 必须手动配置并使用传输模式。必须在 SA 的两端配置静态值。
手动 SA 不需要对等方之间进行协商。包括密钥在内的所有值都是静态的,并在配置中指定。手动 SA 以静态方式定义要使用的安全参数索引 (SPI) 值、算法和密钥,并且需要在两个端点(OSPFv3 对等方)上配置匹配。因此,每个对等方必须具有相同配置的选项才能进行通信。
实际选择的加密和身份验证算法留给您的 IPsec 管理员;但是,我们提供以下建议:
使用具有 NULL 加密的 ESP 仅向 OSPFv3 协议标头提供身份验证。使用 NULL 加密时,您可以选择不对 OSPFv3 标头提供加密。这可用于故障排除和调试。有关 NULL 加密的更多信息,请参阅 RFC 2410, NULL 加密算法及其与 IPsec 的配合使用。
使用具有非 NULL 加密的 ESP 实现完全机密性。使用非 NULL 加密,您可以选择提供加密。有关 NULL 加密的更多信息,请参阅 RFC 2410, NULL 加密算法及其与 IPsec 的配合使用。
使用 AH 为 OSPFv3 协议标头、IPv6 报头的部分和扩展标头的部分提供身份验证。
以下限制适用于 OSPFv3 的 IPsec 身份验证:
不支持动态互联网密钥交换 (IKE) 安全关联 (SA)。
仅支持 IPsec 传输模式。在传输模式下,仅对 IP 数据包的有效负载(您传输的数据)进行加密和/或身份验证。不支持隧道模式。
由于仅支持双向手动 SA,因此所有 OSPFv3 对等方都必须使用相同的 IPsec SA 进行配置。您可以在层级配置手动双向 SA
[edit security ipsec]。您必须为具有相同远程端点地址的所有虚拟链路配置相同的 IPsec SA。
另请参阅
示例:为 OSPFv2 交换配置简单身份验证
此示例说明如何为 OSPFv2 交换启用简单身份验证。
要求
开始之前:
配置设备接口。请参阅 路由设备的 Junos OS 网络接口库 或 安全设备的 Junos OS 接口配置指南。
配置 OSPF 网络中设备的路由器标识符。请参阅 示例:配置 OSPF 路由器标识符。
控制 OSPF 指定的路由器选择。请参阅 示例:控制 OSPF 指定路由器选择
配置单区域 OSPF 网络。请参阅 示例:配置单区域 OSPF 网络。
配置多区域 OSPF 网络。请参阅 示例:配置多区域 OSPF 网络。
概述
简单身份验证使用传输数据包中包含的纯文本密码。接收路由设备使用身份验证密钥(密码)来验证数据包。纯文本密码未加密,可能会遭到数据包拦截。此方法最不安全,只有在网络安全不是您的目标时才应使用。
只能在路由设备上配置一个简单的身份验证密钥(密码)。简单密钥可以是 1 到 8 个字符,可以包含 ASCII 字符串。如果包含空格,请将所有字符括在引号 (“”) 中。
在此示例中,您可以在 0.0.0.0 区域指定 OSPFv2 接口 so-0/1/0,将身份验证类型设置为 simple-password,并将密钥定义为 PssWd4。
配置
CLI 快速配置
要快速配置简单身份验证,请复制以下命令,删除所有换行符,然后将命令粘贴到 CLI 中。您必须使用相同的身份验证和相应密码配置区域内的所有路由设备。
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
程序
逐步过程
要为 OSPFv2 交换启用简单身份验证:
创建 OSPF 区域。
[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
设置身份验证类型和密码。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
完成设备配置后,提交配置。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
注意:在该地区的所有对等 OSPFv2 路由设备上重复此整个配置。
结果
输入命令以确认 show protocols ospf 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
配置密码后,不会看到密码本身。输出将显示您配置的密码的加密形式。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
示例:为 OSPFv2 交换配置 MD5 身份验证
此示例说明如何为 OSPFv2 交换启用 MD5 身份验证。
要求
开始之前:
配置设备接口。请参阅 路由设备的 Junos OS 网络接口库 或 安全设备的 Junos OS 接口配置指南。
配置 OSPF 网络中设备的路由器标识符。请参阅 示例:配置 OSPF 路由器标识符。
控制 OSPF 指定的路由器选择。请参阅 示例:控制 OSPF 指定路由器选择
配置单区域 OSPF 网络。请参阅 示例:配置单区域 OSPF 网络。
配置多区域 OSPF 网络。请参阅 示例:配置多区域 OSPF 网络。
概述
MD5 身份验证使用传输数据包中包含的编码 MD5 校验和。接收路由设备使用身份验证密钥(密码)来验证数据包。
您可以为每个接口定义一个 MD5 密钥。如果在某个接口上启用了 MD5,则只有在 MD5 身份验证成功的情况下,该接口才会接受路由更新。否则,更新将被拒绝。路由设备仅接受使用为该接口定义的相同密钥标识符 (ID) 发送的 OSPFv2 数据包。
在此示例中,您将创建骨干区域(区域 0.0.0.0),指定 OSPFv2 接口 so-0/2/0,将身份验证类型设置为 md5,然后将身份验证密钥 ID 定义为 5,将密码定义为 PssWd8。
拓扑
配置
CLI 快速配置
要快速配置 MD5 身份验证,请复制以下命令并将其粘贴到 CLI 中。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
程序
逐步过程
要为 OSPFv2 交换启用 MD5 身份验证,
创建 OSPF 区域。
[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
配置 MD5 身份验证并设置密钥 ID 和身份验证密码。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
完成设备配置后,提交配置。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
注意:在所有对等 OSPFv2 路由设备上重复此整个配置。
结果
输入命令以确认 show protocols ospf 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
配置密码后,不会看到密码本身。输出将显示您配置的密码的加密形式。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
示例:在 OSPFv2 接口上配置 MD5 密钥过渡
此示例说明如何在 OSPFv2 接口上配置 MD5 密钥的过渡。
要求
开始之前:
配置设备接口。请参阅 路由设备的 Junos OS 网络接口库 或 安全设备的 Junos OS 接口配置指南。
配置 OSPF 网络中设备的路由器标识符。请参阅 示例:配置 OSPF 路由器标识符。
控制 OSPF 指定的路由器选择。请参阅 示例:控制 OSPF 指定路由器选择
配置单区域 OSPF 网络。请参阅 示例:配置单区域 OSPF 网络。
配置多区域 OSPF 网络。请参阅 示例:配置多区域 OSPF 网络。
概述
MD5 身份验证使用传输数据包中包含的编码 MD5 校验和。要使 MD5 身份验证起作用,接收和传输路由设备必须具有相同的 MD5 密钥。
您可以为每个接口定义一个 MD5 密钥。如果在某个接口上启用了 MD5,则只有在 MD5 身份验证成功的情况下,该接口才会接受路由更新。否则,更新将被拒绝。路由设备仅接受使用为该接口定义的相同密钥标识符 (ID) 发送的 OSPFv2 数据包。
为了提高安全性,您可以配置多个 MD5 密钥,每个密钥都有一个唯一的密钥 ID,并设置切换到新密钥的日期和时间。OSPF 数据包的接收方使用 ID 来确定要使用哪个密钥进行身份验证。
在此示例中,您将新密钥配置为在未来三个月的第一天上午 12:01 在骨干区域(区域 0.0.0.0)的 OSPFv2 接口 fe-0/0/1 上生效,并配置以下 MD5 身份验证设置:
md5 — 指定 MD5 身份验证密钥 ID。密钥 ID 可以设置为 0 到 255 之间的任意值,默认值为 0。路由设备仅接受使用为该接口定义的相同密钥 ID 发送的 OSPFv2 数据包。
密钥 — 指定 MD5 密钥。每个键可以是一个 1 到 16 个字符长的值。字符可以包括 ASCII 字符串。如果包含空格,请将所有字符括在引号 (“”) 中。
启动时间 — 指定使用 MD5 密钥的开始时间。使用此选项,可以为多个密钥配置平滑过渡机制。开始时间与传输相关,但与接收 OSPF 数据包无关。
您必须在该地区的所有设备上设置相同的密码和过渡日期和时间,以使 OSPFv2 邻接保持活动状态。
拓扑
配置
CLI 快速配置
要快速在 OSPFv2 接口上配置多个 MD5 密钥,请复制以下命令,删除所有换行符,然后将命令粘贴到 CLI 中。
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
程序
逐步过程
在 OSPFv2 接口上配置多个 MD5 密钥:
创建 OSPF 区域。
[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
配置 MD5 身份验证并设置身份验证密码和密钥 ID。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
配置新密钥,使其在 2 月、3 月和 4 月第一天的上午 12:01 生效。
您每月都会配置一个新的身份验证密码和密钥 ID。
在 2 月份,输入以下内容:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
在 3 月份,输入以下内容:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
对于 4 月份,请输入以下内容:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
完成设备配置后,提交配置。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
注意:在所有对等 OSPFv2 路由设备上重复此整个配置。
结果
输入命令以确认 show protocols ospf 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
配置密码后,不会看到密码本身。输出将显示您配置的密码的加密形式。
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
使用 IPsec 保护 OSPFv3 网络的安全(CLI 过程)
OSPF 版本 3 (OSPFv3) 没有内置的身份验证方法,依靠 IP 安全 (IPsec) 提供此功能。您可以使用 IPsec 保护 EX 系列交换机上的 OSPFv3 接口。
本主题包括:
配置安全关联
配置安全关联 (SA) 时,包括您对身份验证、加密、方向、模式、协议和安全参数索引 (SPI) 的选择。
要配置安全关联:
保护 OPSFv3 网络
通过将 SA 应用于 OSPFv3 配置,可以保护 OSPFv3 网络。
要保护 OSPFv3 网络:
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
示例:为 OSPF 接口配置 IPsec 身份验证
此示例说明如何为 OSPF 接口启用 IP 安全 (IPsec) 身份验证。
要求
开始之前:
配置设备接口。请参阅 路由设备的 Junos OS 网络接口库 或 安全设备的 Junos OS 接口配置指南。
配置 OSPF 网络中设备的路由器标识符。请参阅 示例:配置 OSPF 路由器标识符。
控制 OSPF 指定的路由器选择。请参阅 示例:控制 OSPF 指定路由器选择
配置单区域 OSPF 网络。请参阅 示例:配置单区域 OSPF 网络。
配置多区域 OSPF 网络。请参阅 示例:配置多区域 OSPF 网络。
概述
您可以同时对 OSPFv2 和 OSPFv3 使用 IPsec 身份验证。您可以单独配置实际 IPsec 身份验证并将其应用于适用的 OSPF 配置。
OSPFv2
从 Junos OS 8.3 版开始,您可以使用 IPsec 身份验证,使用手动安全关联 (SA) 来验证 OSPFv2 接口、伪链路的远程端点和 OSPFv2 虚拟链路,以确保数据包的内容在路由设备之间安全。
您可以配置 IPsec 身份验证以及 MD5 或简单身份验证。
要启用 IPsec 身份验证,请执行以下操作之一:
对于 OSPFv2 接口,请包含特定接口的
ipsec-sa name语句:interface interface-name ipsec-sa name;
对于远程伪链路,请包括
ispec-sa name伪链路的远程端点的语句:sham-link-remote address ipsec-sa name;
注意:如果第 3 层 VPN 配置具有多个具有相同远程端点 IP 地址的伪链路,则必须为所有远程端点配置相同的 IPsec 安全关联。您可以在层级配置第 3 层 VPN
[edit routing-instances routing-instance-name instance-type]。有关第 3 层 VPN 的更多信息,请参阅 路由设备的 Junos OS VPN 库。对于虚拟链路,请添加
ipsec-sa name特定虚拟链路的语句:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 没有内置的身份验证方法,依靠 IPsec 提供此功能。您可以使用 IPsec 身份验证来保护 OSPFv3 接口并保护 OSPFv3 虚拟链路,使用手动 SA 来确保数据包的内容在路由设备之间保持安全。
要应用身份验证,请执行以下操作之一:
对于 OSPFv3 接口,请包含特定接口的
ipsec-sa name语句:interface interface-name ipsec-sa name;
对于虚拟链路,请添加
ipsec-sa name特定虚拟链路的语句:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
在此示例中,您将执行以下任务:
配置 IPsec 身份验证。为此,请定义名为 sa1 的手动 SA 并指定处理方向、用于保护 IP 流量的协议、安全参数索引 (SPI) 以及身份验证算法和密钥。
在
[edit security ipsec security-association sa-name mode]层次结构级别配置以下选项:传输 — 指定传输模式。当通信端点和加密端点相同时,此模式可保护流量。IP 数据包的数据部分已加密,但 IP 报头未加密。
在
[edit security ipsec security-association sa-name manual direction]层次结构级别配置以下选项:双向 - 定义 IPsec 处理的方向。通过指定出价,将双向使用您配置的相同算法、密钥和安全 paramater index (SPI) 值。
在
[edit security ipsec security-association sa-name manual direction bidirectional]层次结构级别配置以下选项:协议 — 定义由手动 SA 用来保护 IP 流量的 IPsec 协议。您可以指定认证头 (AH) 或封装安全有效负载 (ESP)。如果指定 AH(如此示例中所示所示),则无法配置加密。
spi — 为手动 SA 配置 SPI。SPI 是一个任意值,用于唯一标识在接收主机上使用哪个 SA。发送主机使用 SPI 识别并选择要用于保护每个数据包的 SA。接收主机使用 SPI 识别和选择用于解密数据包的加密算法和密钥。在此示例中,您指定 256。
身份验证 — 配置身份验证算法和密钥。 算法 选项用于指定对数据包数据进行身份验证的散列算法。在此示例中,您将指定 hmac-md5-96,以生成 128 位摘要。 密钥 选项表示身份验证密钥的类型。在此示例中,您指定 ascii-text-key,即 hmac-md5-96 算法的 16 个 ASCII 字符。
在 OSPF 接口上启用 IPsec 身份验证,以便在主干区域(0.0.0.0.0)中启用 IPsec 身份验证,包括您在层次结构级别上配置的
[edit security ipsec]手动 SA sa1 的名称。
拓扑
配置
配置安全关联
CLI 快速配置
要快速配置手动 SA 以用于 OSPF 接口上的 IPsec 身份验证,请复制以下命令,删除所有换行符,然后将命令粘贴到 CLI 中。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
逐步过程
要配置将在 OSPF 接口上使用的手动 SA:
指定 SA 的名称。
[edit] user@host# edit security ipsec security-association sa1
指定 SA 的模式。
[edit security ipsec security-association sa1 ] user@host# set mode transport
配置手动 SA 的方向。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
配置要使用 IPsec 协议。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
配置 SPI 的值。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
配置身份验证算法和密钥。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
完成设备配置后,提交配置。
[edit security ipsec security-association sa1 ] user@host# commit
注意:在所有对等 OSPF 路由设备上重复此整个配置。
结果
输入命令以确认 show security ipsec 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
配置密码后,不会看到密码本身。输出将显示您配置的密码的加密形式。
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
为 OSPF 接口启用 IPsec 身份验证
CLI 快速配置
要快速将用于 IPsec 身份验证的手动 SA 应用于 OSPF 接口,请复制以下命令并将其粘贴到 CLI 中。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
逐步过程
要为 OSPF 接口启用 IPsec 身份验证,
创建 OSPF 区域。
注意:要指定 OSPFv3,请在
ospf3层次结构级别包含语句[edit protocols]。[edit] user@host# edit protocols ospf area 0.0.0.0
指定接口。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
应用 IPsec 手动 SA。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
完成设备配置后,提交配置。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
注意:在所有对等 OSPF 路由设备上重复此整个配置。
结果
输入命令以确认 show protocols ospf 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
要确认 OSPFv3 配置,请输入 show protocols ospf3 命令。
验证
确认配置工作正常。
验证 IPsec 安全关联设置
目的
验证配置的 IPsec 安全关联设置。验证以下信息:
安全关联字段显示已配置的安全关联的名称。
SPI 字段显示您配置的值。
模式字段显示传输模式。
Type 字段将手动显示为安全关联类型。
行动
在操作模式下,输入 show ipsec security-associations 命令。