IP-Sicherheit für BGP
Grundlegende Informationen zu IPsec für BGP
Sie können die IP-Sicherheit (IPsec) anwenden, um den BGP erhöhen. IPsec ist ein Protokollpaket zum Schutz von IP-Datenverkehr auf Paketebene. IPsec basiert auf Sicherheitszuordnungen (SAs). Eine Sicherheitszuordnung ist eine Simplexverbindung, die Sicherheitsdienste für die von der SA übertragenen Pakete bietet. Nach der Konfiguration der SICHERHEITSzuordnung können Sie sie auf peers BGP anwenden.
Die Junos OS IPsec-Implementierung unterstützt zwei Arten von Sicherheit: Host-zu-Host und Gateway-zu-Gateway. Die Host-to-Host-Sicherheit schützt BGP mit anderen Routern. Sicherheitszuordnungen, die zur Verwendung BGP werden, müssen manuell konfiguriert und im Transportmodus verwendet werden. Statische Werte müssen an beiden Enden der Sicherheitsgemeinschaft konfiguriert werden. Um den Hostschutz anzuwenden, konfigurieren Sie manuelle Sicherheitszuordnungen im Transportmodus, und verweisen sie dann BGP in der Konfigurationskonfiguration nach Namen auf die Sicherheitszuordnung, um eine Sitzung mit einem bestimmten Peer zu schützen.
Manuelle SAs erfordern keine Aushandlung zwischen den Peers. Alle Werte einschließlich der Schlüssel sind statisch und in der Konfiguration festgelegt. In manuellen SAs werden statisch die Indexwerte, Algorithmen und Schlüssel der Sicherheitsparameter definiert, die verwendet werden müssen, und entsprechende Konfigurationen an beiden Endpunkten des Tunnels (auf beiden Peers) erforderlich. Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.
Im Transportmodus werden IPsec-Header hinter dem ursprünglichen IP-Header und vor dem Transport-Header eingefügt.
Der Index der Sicherheitsparameter ist ein beliebiger Wert, der in Kombination mit einer Zieladresse und einem Sicherheitsprotokoll zur eindeutigen Identifizierung der Sicherheitszuordnung verwendet wird.
Siehe auch
Beispiel: Verwendung von IPsec zum Schutz BGP Datenverkehrs
IPsec ist eine Suite von Protokollen, die zur Bereitstellung sicherer Netzwerkverbindungen auf IP-Ebene verwendet werden. Sie wird verwendet, um Authentifizierung von Datenquellen, Datenintegrität, Vertraulichkeit und Paket-Replay-Schutz zu bieten. In diesem Beispiel wird gezeigt, wie Sie die IPsec-Funktionen zum Schutz von Netzwerk-zu-Routing-Engine-Routing-Engine BGP konfigurieren. Junos OS unterstützt AH(IPsec Authentication Header) und ESP (Encapsulating Security Payload) im Transport- und Tunnelmodus sowie ein Dienstprogramm zum Erstellen von Richtlinien und der manuellen Konfiguration von Schlüsseln.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Routerschnittstellen.
Konfigurieren Sie ein Interior Gateway Protocol (IGP).
Konfiguration BGP.
Für die Konfiguration dieser Funktion ist keine spezifische PIC-Hardware erforderlich.
Überblick
Die Sicherheitszuordnung wird in der [edit security ipsec security-association name] Hierarchieebene mit dem mode zu transportierten Statement-Set konfiguriert. Im Transportmodus unterstützt Junos OS AH (Authentication Header) oder die Zusammenfassung von Security Payload (ESP)-Headerpaketen nicht. Junos OS unterstützt im Transportmodus nur BGP Protokoll.
In diesem Beispiel wird bidirektionaler IPsec zum Entschlüsseln und Authentifizieren des ein- und ausgehenden Datenverkehrs mit dem gleichen Algorithmus, den schlüsseln und dem SPI in beiden Richtungen angegeben. Im Gegensatz zu eingehenden und ausgehenden SAs, die unterschiedliche Attribute in beide Richtungen verwenden.
Eine spezifischere SICHERHEITSzuordnung setzt eine allgemeinere SICHERHEITSzuordnung außer Kraft. Wenn beispielsweise eine bestimmte SICHERHEITSzuordnung auf einen bestimmten Peer angewendet wird, setzt diese SA die auf die gesamte Peergruppe angewendete SA um.
Topologiediagramm
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle auf der Hierarchieebene [bearbeiten] in die CLI ein.
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 1.1.1.1 ipsec-sa test-sa
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.
So konfigurieren Sie Router R1:
Sa-Modus konfigurieren.
[edit security ipsec security-association test-sa] user@R1# set mode transport
Konfigurieren Sie das zu verwendende IPsec-Protokoll.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp
Konfigurieren Sie den Security Parameter Index zur eindeutigen Identifizierung der SICHERHEITSzuordnung.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000
Konfigurieren Sie den Verschlüsselungsalgorithmus.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc
Konfigurieren Sie den Verschlüsselungsschlüssel.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"
Wenn Sie einen ASCII-Textschlüssel verwenden, muss der Schlüssel genau 24 Zeichen enthalten.
Wenden Sie die Sicherheitszuordnung auf den BGP Peer an.
[edit protocols bgp group 1 neighbor 1.1.1.1] user@R1# set ipsec-sa test-sa
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show protocolsshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show protocols
bgp {
group 1 {
neighbor 1.1.1.1 {
ipsec-sa test-sa;
}
}
}
user@R1# show security
ipsec {
security-association test-sa {
mode transport;
manual {
direction bidirectional {
protocol esp;
spi 1000;
encryption {
algorithm 3des-cbc;
key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA
}
}
}
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein. Wiederholen Sie die Konfiguration auf Router R0, und ändern Sie nur die Nachbaradresse.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren des Sicherheits Associaton
Zweck
Achten Sie darauf, dass die richtigen Einstellungen in der Ausgabe des show ipsec security-associations Befehls angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den Befehl show ipsec security-associations ein.
user@R1> show ipsec security-associations
Security association: test-sa
Direction SPI AUX-SPI Mode Type Protocol
inbound 1000 0 transport manual ESP
outbound 1000 0 transport manual ESP Bedeutung
Die Ausgabe ist für die meisten Felder außer dem AUX-SPI-Feld von überwärts. Der AUX-SPI ist der Wert des zusätzlichen Sicherheitsparameter-Index. Wenn der Wert AH oder ESP ist, wird AUX-SPI immer 0. Wenn der Wert AH+ESP ist, ist AUX-SPI immer eine positive Ganzes.