Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IP-Sicherheit für BGP

Grundlegende Informationen zu IPsec für BGP

Sie können die IP-Sicherheit (IPsec) anwenden, um den BGP erhöhen. IPsec ist ein Protokollpaket zum Schutz von IP-Datenverkehr auf Paketebene. IPsec basiert auf Sicherheitszuordnungen (SAs). Eine Sicherheitszuordnung ist eine Simplexverbindung, die Sicherheitsdienste für die von der SA übertragenen Pakete bietet. Nach der Konfiguration der SICHERHEITSzuordnung können Sie sie auf peers BGP anwenden.

Die Junos OS IPsec-Implementierung unterstützt zwei Arten von Sicherheit: Host-zu-Host und Gateway-zu-Gateway. Die Host-to-Host-Sicherheit schützt BGP mit anderen Routern. Sicherheitszuordnungen, die zur Verwendung BGP werden, müssen manuell konfiguriert und im Transportmodus verwendet werden. Statische Werte müssen an beiden Enden der Sicherheitsgemeinschaft konfiguriert werden. Um den Hostschutz anzuwenden, konfigurieren Sie manuelle Sicherheitszuordnungen im Transportmodus, und verweisen sie dann BGP in der Konfigurationskonfiguration nach Namen auf die Sicherheitszuordnung, um eine Sitzung mit einem bestimmten Peer zu schützen.

Manuelle SAs erfordern keine Aushandlung zwischen den Peers. Alle Werte einschließlich der Schlüssel sind statisch und in der Konfiguration festgelegt. In manuellen SAs werden statisch die Indexwerte, Algorithmen und Schlüssel der Sicherheitsparameter definiert, die verwendet werden müssen, und entsprechende Konfigurationen an beiden Endpunkten des Tunnels (auf beiden Peers) erforderlich. Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.

Im Transportmodus werden IPsec-Header hinter dem ursprünglichen IP-Header und vor dem Transport-Header eingefügt.

Der Index der Sicherheitsparameter ist ein beliebiger Wert, der in Kombination mit einer Zieladresse und einem Sicherheitsprotokoll zur eindeutigen Identifizierung der Sicherheitszuordnung verwendet wird.

Beispiel: Verwendung von IPsec zum Schutz BGP Datenverkehrs

IPsec ist eine Suite von Protokollen, die zur Bereitstellung sicherer Netzwerkverbindungen auf IP-Ebene verwendet werden. Sie wird verwendet, um Authentifizierung von Datenquellen, Datenintegrität, Vertraulichkeit und Paket-Replay-Schutz zu bieten. In diesem Beispiel wird gezeigt, wie Sie die IPsec-Funktionen zum Schutz von Netzwerk-zu-Routing-Engine-Routing-Engine BGP konfigurieren. Junos OS unterstützt AH(IPsec Authentication Header) und ESP (Encapsulating Security Payload) im Transport- und Tunnelmodus sowie ein Dienstprogramm zum Erstellen von Richtlinien und der manuellen Konfiguration von Schlüsseln.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Routerschnittstellen.

  • Konfigurieren Sie ein Interior Gateway Protocol (IGP).

  • Konfiguration BGP.

Für die Konfiguration dieser Funktion ist keine spezifische PIC-Hardware erforderlich.

Überblick

Die Sicherheitszuordnung wird in der [edit security ipsec security-association name] Hierarchieebene mit dem mode zu transportierten Statement-Set konfiguriert. Im Transportmodus unterstützt Junos OS AH (Authentication Header) oder die Zusammenfassung von Security Payload (ESP)-Headerpaketen nicht. Junos OS unterstützt im Transportmodus nur BGP Protokoll.

In diesem Beispiel wird bidirektionaler IPsec zum Entschlüsseln und Authentifizieren des ein- und ausgehenden Datenverkehrs mit dem gleichen Algorithmus, den schlüsseln und dem SPI in beiden Richtungen angegeben. Im Gegensatz zu eingehenden und ausgehenden SAs, die unterschiedliche Attribute in beide Richtungen verwenden.

Eine spezifischere SICHERHEITSzuordnung setzt eine allgemeinere SICHERHEITSzuordnung außer Kraft. Wenn beispielsweise eine bestimmte SICHERHEITSzuordnung auf einen bestimmten Peer angewendet wird, setzt diese SA die auf die gesamte Peergruppe angewendete SA um.

Topologiediagramm

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: IPsec für BGPIPsec für BGP

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle auf der Hierarchieebene [bearbeiten] in die CLI ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie Router R1:

  1. Sa-Modus konfigurieren.

  2. Konfigurieren Sie das zu verwendende IPsec-Protokoll.

  3. Konfigurieren Sie den Security Parameter Index zur eindeutigen Identifizierung der SICHERHEITSzuordnung.

  4. Konfigurieren Sie den Verschlüsselungsalgorithmus.

  5. Konfigurieren Sie den Verschlüsselungsschlüssel.

    Wenn Sie einen ASCII-Textschlüssel verwenden, muss der Schlüssel genau 24 Zeichen enthalten.

  6. Wenden Sie die Sicherheitszuordnung auf den BGP Peer an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show protocolsshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein. Wiederholen Sie die Konfiguration auf Router R0, und ändern Sie nur die Nachbaradresse.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren des Sicherheits Associaton

Zweck

Achten Sie darauf, dass die richtigen Einstellungen in der Ausgabe des show ipsec security-associations Befehls angezeigt werden.

Aktion

Geben Sie im Betriebsmodus den Befehl show ipsec security-associations ein.

Bedeutung

Die Ausgabe ist für die meisten Felder außer dem AUX-SPI-Feld von überwärts. Der AUX-SPI ist der Wert des zusätzlichen Sicherheitsparameter-Index. Wenn der Wert AH oder ESP ist, wird AUX-SPI immer 0. Wenn der Wert AH+ESP ist, ist AUX-SPI immer eine positive Ganzes.