Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IP-Sicherheit für BGP

Grundlegendes zu IPsec für BGP

Sie können die IP-Sicherheit (IPsec) auf BGP-Datenverkehr anwenden. IPsec ist eine Protokollsuite, die zum Schutz des IP-Datenverkehrs auf Paketebene verwendet wird. IPsec basiert auf Sicherheitszuordnungen (Security Associations, SAs). Eine SA ist eine Simplex-Verbindung, die Sicherheitsservices für die von der SA übertragenen Pakete bereitstellt. Nach der Konfiguration der SA können Sie sie auf BGP-Peers anwenden.

Die Junos OS-Implementierung von IPsec unterstützt zwei Arten von Sicherheit: Host zu Host und Gateway zu Gateway. Host-to-Host-Sicherheit schützt BGP-Sitzungen mit anderen Routern. Eine SA, die mit BGP verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der Sicherheitszuordnung konfiguriert werden. Um den Hostschutz anzuwenden, konfigurieren Sie manuelle SAs im Transportmodus und verweisen dann in der BGP-Konfiguration auf die SA nach Namen, um eine Sitzung mit einem bestimmten Peer zu schützen.

Manuelle SAs erfordern keine Aushandlung zwischen peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle SAs definieren statisch die Indexwerte, Algorithmen und Schlüssel der Sicherheitsparameter, die verwendet werden sollen, und erfordern übereinstimmende Konfigurationen an beiden Endpunkten des Tunnels (auf beiden Peers). Daher müssen für jeden Peer dieselben Konfigurationsoptionen vorhanden sein, damit die Kommunikation stattfinden kann.

Im Transportmodus werden IPsec-Header nach dem ursprünglichen IP-Header und vor dem Transport-Header eingefügt.

Der Sicherheitsparameterindex ist ein beliebiger Wert, der in Kombination mit einer Zieladresse und einem Sicherheitsprotokoll zur eindeutigen Identifizierung des SA verwendet wird.

Beispiel: Verwendung von IPsec zum Schutz des BGP-Datenverkehrs

IPsec ist eine Suite von Protokollen, die zur Bereitstellung sicherer Netzwerkverbindungen auf der IP-Ebene verwendet werden. Es wird zur Bereitstellung von Datenquellenauthentifizierung, Datenintegrität, Vertraulichkeit und Schutz vor Paketwiedergabe verwendet. Dieses Beispiel zeigt, wie Sie die IPsec-Funktionalität zum Schutz von BGP-Sitzungen der Routing-Engine zu Routing-Engine konfigurieren. Junos OS unterstützt IPsec Authentication Header (AH) und Encapsulating Security Payload (ESP) im Transport- und Tunnelmodus sowie ein Dienstprogramm für das Erstellen von Richtlinien und die manuelle Konfiguration von Schlüsseln.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Routerschnittstellen.

  • Konfigurieren Sie ein Interior Gateway Protocol (IGP).

  • Konfigurieren Sie BGP.

Für die Konfiguration dieser Funktion ist keine spezifische PIC-Hardware erforderlich.

Überblick

Die SA wird auf Hierarchieebene [edit security ipsec security-association name] konfiguriert, wobei die mode Anweisung auf Transport festgelegt ist. Im Transportmodus unterstützt Junos OS keine Authentifizierungs-Header (AH) oder Kapselung von Security Payload (ESP)-Headerpaketen. Junos OS unterstützt nur das BGP-Protokoll im Transportmodus.

In diesem Beispiel wird die bidirektionale IPsec zur Entschlüsselung und Authentifizierung des eingehenden und ausgehenden Datenverkehrs mit demselben Algorithmus, denselben Schlüsseln und demselben SPI in beide Richtungen angegeben, im Gegensatz zu eingehenden und ausgehenden SAs, die unterschiedliche Attribute in beiden Richtungen verwenden.

Eine spezifischere SA setzt eine allgemeinere SA außer Kraft. Wenn beispielsweise eine bestimmte SA auf einen bestimmten Peer angewendet wird, setzt diese SA die auf die gesamte Peergruppe angewendete SA außer Kraft.

Topologiediagramm

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: IPsec für BGP IPsec für BGP

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene [bearbeiten] in die CLI ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie Router R1:

  1. Konfigurieren Sie den SA-Modus.

  2. Konfigurieren Sie das zu verwendenden IPsec-Protokoll.

  3. Konfigurieren Sie den Sicherheitsparameterindex, um die SA eindeutig zu identifizieren.

  4. Konfigurieren Sie den Verschlüsselungsalgorithmus.

  5. Konfigurieren Sie den Verschlüsselungsschlüssel.

    Wenn Sie einen ASCII-Textschlüssel verwenden, muss der Schlüssel genau 24 Zeichen enthalten.

  6. Wenden Sie die SA auf den BGP-Peer an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show protocols befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit . Wiederholen Sie die Konfiguration auf Router R0 und ändern Sie dabei nur die Nachbaradresse.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren der Security Associaton

Zweck

Stellen Sie sicher, dass die richtigen Einstellungen in der Ausgabe des show ipsec security-associations Befehls angezeigt werden.

Aktion

Geben Sie im Betriebsmodus den show ipsec security-associations Befehl ein.

Bedeutung

Die Ausgabe erfolgt für die meisten Felder mit Ausnahme des AUX-SPI-Felds straighforward. Der AUX-SPI ist der Wert des Zusätzlichen Sicherheitsparameterindex. Wenn der Wert AH oder ESP ist, ist AUX-SPI immer 0. Wenn der Wert AH+ESP ist, ist AUX-SPI immer eine positive ganze Zahl.