IP-Sicherheit für BGP
Grundlegendes zu IPsec für BGP
Sie können die IP-Sicherheit (IPsec) auf BGP-Datenverkehr anwenden. IPsec ist eine Protokollsuite, die zum Schutz des IP-Datenverkehrs auf Paketebene verwendet wird. IPsec basiert auf Sicherheitszuordnungen (Security Associations, SAs). Eine SA ist eine Simplex-Verbindung, die Sicherheitsservices für die von der SA übertragenen Pakete bereitstellt. Nach der Konfiguration der SA können Sie sie auf BGP-Peers anwenden.
Die Junos OS-Implementierung von IPsec unterstützt zwei Arten von Sicherheit: Host zu Host und Gateway zu Gateway. Host-to-Host-Sicherheit schützt BGP-Sitzungen mit anderen Routern. Eine SA, die mit BGP verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der Sicherheitszuordnung konfiguriert werden. Um den Hostschutz anzuwenden, konfigurieren Sie manuelle SAs im Transportmodus und verweisen dann in der BGP-Konfiguration auf die SA nach Namen, um eine Sitzung mit einem bestimmten Peer zu schützen.
Manuelle SAs erfordern keine Aushandlung zwischen peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle SAs definieren statisch die Indexwerte, Algorithmen und Schlüssel der Sicherheitsparameter, die verwendet werden sollen, und erfordern übereinstimmende Konfigurationen an beiden Endpunkten des Tunnels (auf beiden Peers). Daher müssen für jeden Peer dieselben Konfigurationsoptionen vorhanden sein, damit die Kommunikation stattfinden kann.
Im Transportmodus werden IPsec-Header nach dem ursprünglichen IP-Header und vor dem Transport-Header eingefügt.
Der Sicherheitsparameterindex ist ein beliebiger Wert, der in Kombination mit einer Zieladresse und einem Sicherheitsprotokoll zur eindeutigen Identifizierung des SA verwendet wird.
Siehe auch
Beispiel: Verwendung von IPsec zum Schutz des BGP-Datenverkehrs
IPsec ist eine Suite von Protokollen, die zur Bereitstellung sicherer Netzwerkverbindungen auf der IP-Ebene verwendet werden. Es wird zur Bereitstellung von Datenquellenauthentifizierung, Datenintegrität, Vertraulichkeit und Schutz vor Paketwiedergabe verwendet. Dieses Beispiel zeigt, wie Sie die IPsec-Funktionalität zum Schutz von BGP-Sitzungen der Routing-Engine zu Routing-Engine konfigurieren. Junos OS unterstützt IPsec Authentication Header (AH) und Encapsulating Security Payload (ESP) im Transport- und Tunnelmodus sowie ein Dienstprogramm für das Erstellen von Richtlinien und die manuelle Konfiguration von Schlüsseln.
Anforderungen
Bevor Sie beginnen:
-
Konfigurieren Sie die Routerschnittstellen.
-
Konfigurieren Sie ein Interior Gateway Protocol (IGP).
-
Konfigurieren Sie BGP.
Für die Konfiguration dieser Funktion ist keine spezifische PIC-Hardware erforderlich.
Überblick
Die SA wird auf Hierarchieebene [edit security ipsec security-association name] konfiguriert, wobei die mode Anweisung auf Transport festgelegt ist. Im Transportmodus unterstützt Junos OS keine Authentifizierungs-Header (AH) oder Kapselung von Security Payload (ESP)-Headerpaketen. Junos OS unterstützt nur das BGP-Protokoll im Transportmodus.
In diesem Beispiel wird die bidirektionale IPsec zur Entschlüsselung und Authentifizierung des eingehenden und ausgehenden Datenverkehrs mit demselben Algorithmus, denselben Schlüsseln und demselben SPI in beide Richtungen angegeben, im Gegensatz zu eingehenden und ausgehenden SAs, die unterschiedliche Attribute in beiden Richtungen verwenden.
Eine spezifischere SA setzt eine allgemeinere SA außer Kraft. Wenn beispielsweise eine bestimmte SA auf einen bestimmten Peer angewendet wird, setzt diese SA die auf die gesamte Peergruppe angewendete SA außer Kraft.
Topologiediagramm
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene [bearbeiten] in die CLI ein.
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 10.1.1.1 ipsec-sa test-sa
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Router R1:
-
Konfigurieren Sie den SA-Modus.
[edit security ipsec security-association test-sa] user@R1# set mode transport
-
Konfigurieren Sie das zu verwendenden IPsec-Protokoll.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp
-
Konfigurieren Sie den Sicherheitsparameterindex, um die SA eindeutig zu identifizieren.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000
-
Konfigurieren Sie den Verschlüsselungsalgorithmus.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc
-
Konfigurieren Sie den Verschlüsselungsschlüssel.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"
Wenn Sie einen ASCII-Textschlüssel verwenden, muss der Schlüssel genau 24 Zeichen enthalten.
-
Wenden Sie die SA auf den BGP-Peer an.
[edit protocols bgp group 1 neighbor 10.1.1.1] user@R1# set ipsec-sa test-sa
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show protocols befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show protocols
bgp {
group 1 {
neighbor 10.1.1.1 {
ipsec-sa test-sa;
}
}
}
user@R1# show security
ipsec {
security-association test-sa {
mode transport;
manual {
direction bidirectional {
protocol esp;
spi 1000;
encryption {
algorithm 3des-cbc;
key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit . Wiederholen Sie die Konfiguration auf Router R0 und ändern Sie dabei nur die Nachbaradresse.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Security Associaton
Zweck
Stellen Sie sicher, dass die richtigen Einstellungen in der Ausgabe des show ipsec security-associations Befehls angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show ipsec security-associations Befehl ein.
user@R1> show ipsec security-associations
Security association: test-sa
Direction SPI AUX-SPI Mode Type Protocol
inbound 1000 0 transport manual ESP
outbound 1000 0 transport manual ESP Bedeutung
Die Ausgabe erfolgt für die meisten Felder mit Ausnahme des AUX-SPI-Felds straighforward. Der AUX-SPI ist der Wert des Zusätzlichen Sicherheitsparameterindex. Wenn der Wert AH oder ESP ist, ist AUX-SPI immer 0. Wenn der Wert AH+ESP ist, ist AUX-SPI immer eine positive ganze Zahl.