AUF DIESER SEITE
Grundlegendes zur IPsec-Authentifizierung für OSPF-Pakete auf Switches der EX-Serie
Beispiel: Konfigurieren der einfachen Authentifizierung für OSPFv2-Exchanges
Beispiel: Konfigurieren der MD5-Authentifizierung für OSPFv2-Exchanges
Beispiel: Konfigurieren eines Übergangs von MD5-Schlüsseln auf einer OSPFv2-Schnittstelle
Verwenden von IPsec zum Sichern von OSPFv3-Netzwerken (CLI-Verfahren)
Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle
Konfigurieren der OSPF-Authentifizierung
Grundlegendes zur IPsec-Authentifizierung für OSPF-Pakete auf Switches der EX-Serie
IP-Sicherheit (IPsec) bietet eine sichere Methode zur Authentifizierung von Absendern und zur Verschlüsselung des IPv4-Datenverkehrs (IP Version 4) zwischen Netzwerkgeräten. IPsec bietet Netzwerkadministratoren für Ethernet-Switches der EX-Serie von Juniper Networks und deren Benutzer die Vorteile von Datenvertraulichkeit, Datenintegrität, Absenderauthentifizierung und Anti-Replay-Services.
IPsec ist ein Framework zur Gewährleistung der sicheren privaten Kommunikation über IP-Netzwerke und basiert auf Standards, die von der International Engineering Task Force (IETF) entwickelt wurden. IPsec stellt Sicherheitsservices auf der Netzwerkschicht des OSI-Modells (Open Systems Interconnection) bereit, indem es einem System ermöglicht, erforderliche Sicherheitsprotokolle auszuwählen, die für die Sicherheitsdienste zu verwendenden Algorithmen zu bestimmen und alle kryptografischen Schlüssel zu implementieren, die für die Bereitstellung der angeforderten Dienste erforderlich sind. Sie können IPsec verwenden, um einen oder mehrere Pfade zwischen einem Paar von Hosts, zwischen einem Paar von Sicherheits-Gateways (z. B. Switches) oder zwischen einem Sicherheits-Gateway und einem Host zu schützen.
OSPF Version 3 (OSPFv3) verfügt im Gegensatz zu OSPF Version 2 (OSPFv2) nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf IPsec, um diese Funktionalität bereitzustellen. Sie können bestimmte OSPFv3-Schnittstellen sichern und virtuelle OSPFv3-Verbindungen schützen.
- Authentifizierungsalgorithmen
- Verschlüsselungsalgorithmen
- IPsec-Protokolle
- Sicherheits-Assoziationen
- IPsec-Modi
Authentifizierungsalgorithmen
Authentifizierung ist der Prozess der Überprüfung der Identität des Absenders. Authentifizierungsalgorithmen verwenden einen gemeinsam genutzten Schlüssel, um die Authentizität der IPsec-Geräte zu überprüfen. Das Betriebssystem Junos (Junos OS) von Juniper Networks verwendet die folgenden Authentifizierungsalgorithmen:
Message Digest 5 (MD5) verwendet eine unidirektionale Hashfunktion, um eine Nachricht beliebiger Länge in einen Message Digest mit fester Länge von 128 Bit zu konvertieren. Aufgrund des Konvertierungsprozesses ist es mathematisch nicht möglich, die ursprüngliche Nachricht zu berechnen, indem sie rückwärts aus dem resultierenden Message Digest berechnet wird. Ebenso führt eine Änderung an einem einzelnen Zeichen in der Nachricht dazu, dass eine ganz andere Message Digest-Nummer generiert wird.
Um sicherzustellen, dass die Nachricht nicht manipuliert wurde, vergleicht Junos OS den berechneten Message Digest mit einem Message Digest, der mit einem gemeinsam genutzten Schlüssel entschlüsselt wurde. Junos OS verwendet die MD5-Variante des Hashed Message Authentication Code (HMAC), die eine zusätzliche Hashing-Ebene bietet. MD5 kann mit einem Authentifizierungsheader (AH) und Encapsulating Security Payload (ESP) verwendet werden.
Secure Hash Algorithm 1 (SHA-1) verwendet einen stärkeren Algorithmus als MD5. SHA-1 verarbeitet eine Nachricht mit einer Länge von weniger als 264 Bit und erzeugt einen 160-Bit-Message-Digest. Der große Message Digest stellt sicher, dass die Daten nicht geändert wurden und aus der richtigen Quelle stammen. Junos OS verwendet die SHA-1 HMAC-Variante, die eine zusätzliche Hashing-Ebene bietet. SHA-1 kann mit AH, ESP und Internet Key Exchange (IKE) verwendet werden.
Verschlüsselungsalgorithmen
Durch Verschlüsselung werden Daten in ein sicheres Format verschlüsselt, sodass sie von nicht autorisierten Benutzern nicht entschlüsselt werden können. Wie bei Authentifizierungsalgorithmen wird auch bei Verschlüsselungsalgorithmen ein gemeinsam genutzter Schlüssel verwendet, um die Authentizität von IPsec-Geräten zu überprüfen. Junos OS verwendet die folgenden Verschlüsselungsalgorithmen:
Datenverschlüsselung Standard Cipher-Block Chaining (DES-CBC) ist ein symmetrischer Algorithmus zum Blockieren geheimer Schlüssel. DES verwendet eine Schlüsselgröße von 64 Bit, wobei 8 Bit für die Fehlererkennung und die restlichen 56 Bit für die Verschlüsselung verwendet werden. DES führt eine Reihe einfacher logischer Vorgänge für den gemeinsam genutzten Schlüssel aus, einschließlich Permutationen und Ersetzungen. CBC nimmt den ersten Block von 64 Bit Ausgabe von DES, kombiniert diesen Block mit dem zweiten Block, speist ihn in den DES-Algorithmus ein und wiederholt diesen Vorgang für alle nachfolgenden Blöcke.
Triple DES-CBC (3DES-CBC) ist ein Verschlüsselungsalgorithmus, der DES-CBC ähnelt, aber ein viel stärkeres Verschlüsselungsergebnis liefert, da er drei Schlüssel für die 168-Bit-Verschlüsselung (3 x 56-Bit) verwendet. 3DES verwendet den ersten Schlüssel zum Verschlüsseln der Blöcke, den zweiten Schlüssel zum Entschlüsseln der Blöcke und den dritten Schlüssel zum erneuten Verschlüsseln der Blöcke.
IPsec-Protokolle
IPsec-Protokolle bestimmen die Art der Authentifizierung und Verschlüsselung, die auf Pakete angewendet wird, die durch den Switch gesichert werden. Junos OS unterstützt die folgenden IPsec-Protokolle:
AH: AH ist in RFC 2402 definiert und bietet verbindungslose Integrität und Datenursprungsauthentifizierung für IPv4. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel wie möglich vom IP-Header sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersagbar ist, können sie nicht durch AH geschützt werden. In einem IP-Header kann AH mit einem Wert von 51 im Feld Protokoll eines IPv4-Pakets identifiziert werden.
ESP—ESP ist in RFC 2406 definiert und kann Verschlüsselung und begrenzte Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten. In einem IP-Header kann ESP mit einem Wert von 50 im Feld Protokoll eines IPv4-Pakets identifiziert werden.
Sicherheits-Assoziationen
Eine IPsec-Überlegung ist der Typ der Sicherheitszuordnung (Security Association, SA), die Sie implementieren möchten. Eine SA ist eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung aufbauen. Diese Spezifikationen umfassen Einstellungen für den Authentifizierungstyp, die Verschlüsselung und das IPsec-Protokoll, die beim Herstellen der IPsec-Verbindung verwendet werden sollen. Eine SA kann entweder unidirektional oder bidirektional sein, je nachdem, welche Auswahl der Netzwerkadministrator trifft. Eine SA wird eindeutig durch einen Sicherheitsparameterindex (SPI), eine IPv4- oder IPv6-Zieladresse und eine Sicherheitsprotokoll-ID (AH oder ESP) identifiziert.
IPsec-Modi
Junos OS unterstützt die folgenden IPsec-Modi:
Der Tunnelmodus wird in Junos OS sowohl für AH als auch für ESP unterstützt. Im Tunnelmodus werden die SA und die zugehörigen Protokolle auf getunnelte IPv4- oder IPv6-Pakete angewendet. Bei einer SA im Tunnelmodus gibt ein äußerer IP-Header das IPsec-Verarbeitungsziel und ein innerer IP-Header das endgültige Ziel für das Paket an. Der Header des Sicherheitsprotokolls wird nach dem äußeren IP-Header und vor dem inneren IP-Header angezeigt. Darüber hinaus gibt es leichte Unterschiede für den Tunnelmodus, wenn Sie ihn mit AH und ESP implementieren:
Bei AH werden Teile des äußeren IP-Headers sowie das gesamte getunnelte IP-Paket geschützt.
Bei ESP ist nur das getunnelte Paket geschützt, nicht der äußere Header.
Wenn eine Seite einer Sicherheitszuordnung ein Sicherheitsgateway ist (z. B. ein Switch), muss die Sicherheitszuordnung den Tunnelmodus verwenden. Wenn jedoch Datenverkehr (z. B. SNMP-Befehle oder BGP-Sitzungen) für einen Switch bestimmt ist, fungiert das System als Host. Der Transportmodus ist in diesem Fall zulässig, da das System nicht als Sicherheitsgateway fungiert und keinen Transitverkehr sendet oder empfängt.
Anmerkung:Der Tunnelmodus wird für die OSPF v3-Steuerpaketauthentifizierung nicht unterstützt.
Der Transportmodus stellt eine SA zwischen zwei Hosts bereit. Im Transportmodus bieten die Protokolle in erster Linie Schutz für Protokolle der oberen Schicht. Ein Paketheader für den Transportmodus wird unmittelbar nach dem IP-Header und allen Optionen sowie vor allen Protokollen der höheren Ebene (z. B. TCP oder UDP) angezeigt. Es gibt geringfügige Unterschiede für den Transportmodus, wenn Sie ihn mit AH und ESP implementieren:
Für AH werden ausgewählte Teile des IP-Headers sowie ausgewählte Teile der Erweiterungsheader und ausgewählte Optionen innerhalb des IPv4-Headers geschützt.
Für ESP sind nur die Protokolle der höheren Ebene geschützt, nicht der IP-Header oder Erweiterungsheader vor dem ESP-Header.
Grundlegendes zur OSPFv2-Authentifizierung
Alle OSPFv2-Protokollaustausche können authentifiziert werden, um sicherzustellen, dass nur vertrauenswürdige Routing-Geräte am Routing des autonomen Systems teilnehmen. Standardmäßig ist die OSPFv2-Authentifizierung deaktiviert.
OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf IP-Sicherheit (IPsec), um diese Funktionalität bereitzustellen.
Sie können die folgenden Authentifizierungstypen aktivieren:
-
Einfache Authentifizierung: Authentifiziert sich mithilfe eines Nur-Text-Kennworts, das im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.
-
MD5-Authentifizierung: Authentifiziert sich mithilfe einer codierten MD5-Prüfsumme, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.
Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routingaktualisierungen nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Aktualisierungen abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert ist.
-
IPsec-Authentifizierung (beginnend mit Junos OS Version 8.3): Authentifiziert OSPFv2-Schnittstellen, den Remote-Endpunkt eines Scheinlinks und den virtuellen OSPFv2-Link mithilfe manueller Sicherheitszuordnungen (SAs), um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routing-Geräten sicher ist. Die eigentliche IPsec-Authentifizierung konfigurieren Sie separat.
Anmerkung:Sie können die IPsec-Authentifizierung zusammen mit der MD5- oder der einfachen Authentifizierung konfigurieren.
Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPFv2:
-
Dynamic Internet Key Exchange (IKE)-Zertifizierungsstellen werden nicht unterstützt.
-
Es wird nur der IPsec-Transportmodus unterstützt. Der Tunnelmodus wird nicht unterstützt.
-
Da nur bidirektionale manuelle Sicherheitszuordnungen unterstützt werden, müssen alle OSPFv2-Peers mit derselben IPsec-Sicherheitszuordnung konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale Sicherheitszuordnung auf Hierarchieebene
[edit security ipsec]. -
Sie müssen dieselbe IPsec-Sicherheitszuordnung für alle virtuellen Verbindungen mit derselben Remoteendpunktadresse, für alle Nachbarn auf OSPF-NBMA- (Nonbroadcast Multiaccess) oder Punkt-zu-Mehrpunkt-Verbindungen und für jedes Subnetz, das Teil einer Übertragungsverbindung ist, konfigurieren.
-
OSPFv2-Peer-Schnittstellen werden nicht unterstützt.
-
Da OSPF die Authentifizierung auf Bereichsebene vornimmt, müssen für alle Routing-Geräte innerhalb des Bereichs dieselbe Authentifizierung und dasselbe Kennwort (Schlüssel) konfiguriert sein. Damit die MD5-Authentifizierung funktioniert, müssen sowohl das empfangende als auch das sendende Routinggerät über denselben MD5-Schlüssel verfügen. Darüber hinaus schließen sich ein einfaches Passwort und ein MD5-Schlüssel gegenseitig aus. Sie können nur ein einfaches Kennwort, aber mehrere MD5-Schlüssel konfigurieren.
Im Rahmen Ihrer Sicherheitsmaßnahmen können Sie MD5-Schlüssel ändern. Sie können dies tun, indem Sie mehrere MD5-Schlüssel mit jeweils einer eindeutigen Schlüssel-ID konfigurieren und das Datum und die Uhrzeit für den Wechsel zum neuen Schlüssel festlegen. Jeder eindeutige MD5-Schlüssel hat eine eindeutige ID. Die ID wird vom Empfänger des OSPF-Pakets verwendet, um zu bestimmen, welcher Schlüssel für die Authentifizierung verwendet werden soll. Die Schlüssel-ID, die für die MD5-Authentifizierung erforderlich ist, gibt den Bezeichner an, der dem MD5-Schlüssel zugeordnet ist.
Ab Junos OS Version 22.4R1 unterstützen wir die Ankündigung der OSPF MD5-Authentifizierung mit mehreren aktiven Schlüsseln, um Pakete mit einer maximalen Anzahl von zwei Schlüsseln pro Schnittstelle zu senden. Wenn mehrere Schlüssel gleichzeitig an der Schnittstelle aktiv sind, wird der reibungslose Übergang von einem Schlüssel zum anderen für OSPF ermöglicht. Sie können alte Schlüssel löschen, ohne dass dies Auswirkungen auf die OSPF-Sitzung hat.
Ab Junos OS Version 23.3R1 und Junos OS Evolved Version 23.3R1 können Sie die OSPFv2 HMAC-SHA1-Authentifizierung mit Schlüsselbund aktivieren, um Pakete zu authentifizieren, die eine OSPF-Schnittstelle erreichen oder von ihr stammen. Dies gewährleistet einen reibungslosen Übergang von einem Schlüssel zum anderen für OSPFv2 mit erhöhter Sicherheit. Sie können OSPFv2 so aktivieren, dass Pakete gesendet werden, die nur mit dem neuesten MD5-Schlüssel authentifiziert wurden, sobald alle Nachbarn zum zuletzt konfigurierten Schlüssel gewechselt haben. Vor dieser Version unterstützen wir die Ankündigung authentifizierter OSPF-Pakete immer mit mehreren aktiven MD5-Schlüsseln mit einer maximalen Anzahl von zwei Schlüsseln pro Schnittstelle.
Die HMAC-SHA1-Authentifizierung für OSPFv2 unterstützt nicht:
-
Schlüsselbund ohne aktive Schlüssel.
-
Migration von anderen vorhandenen Authentifizierungstypen zum Schlüsselbund mit Hitless-Sitzung.
-
Migration von ohne Authentifizierung zu Schlüsselbund mit Hitless-Sitzung.
-
MD5 mit Schlüsseln als Teil der Schlüsselbundkonfiguration.
- Wenn die multiaktive MD5-Optimierung mit
delete-if-not-inuseKonfigurationsanweisung aktiviert ist und die Authentifizierungsaushandlung mit seinen Nachbarn erfolgt, verwendet das Gerät von da an nur noch den aktiven Schlüssel für die Übertragung für diesen ausgehandelten Nachbarn. Das heißt, wir unterstützen kein Rollback auf den alten Schlüssel.Beispiel: R0 und R1 werden mit Schlüssel-ID 1 als
delete-if-not-inuseund Schlüssel-ID 2 konfiguriert. Wenn R1 später so konfiguriert ist, dass Schlüssel-ID 2 entfernt wird, wird für R0 kein Rollback auf die Verwendung beider Schlüssel (Schlüssel-ID 1 und Schlüssel-ID 2) für die Übertragung zurückgesetzt. - Die Schlüsselbundaktivität basiert auf der absoluten Uhrzeit (Wanduhr) und die Wanduhr kann nach dem Commit rückwärts gehen. Diese Art von Fehler wird zum Zeitpunkt des Commits nicht widergespiegelt. Daher ist es wichtig, dass die Systemzeit auf allen Geräten synchronisiert ist, wenn der Schlüsselbund in einer OSPF-Sitzung aktiv ist.
Ab Junos OS Evolved Version 24.2R1 können Sie das OSPFv2-Schlüsselbundmodul mit HMAC-SHA2 (OSPFv2 HMAC-SHA2)-Authentifizierung aktivieren, um Pakete zu authentifizieren, die eine OSPF-Schnittstelle erreichen oder von ihr stammen. Zu den HMAC SHA2-Algorithmen gehören HMAC-SHA2-256, HMAC-SHA2-384 und HMAC-SHA2-512, wie in RFC 5709 definiert. Wir unterstützen diese Algorithmen zusammen mit HMAC-SHA2-224. Diese Funktion gewährleistet einen reibungslosen Übergang von einem Schlüssel zum anderen für OSPFv2 mit erhöhter Sicherheit. Wir unterstützen auch HMAC-SHA1- und HMAC-SHA2-Authentifizierung für virtuelle und Scheinlinks.
HMAC-SHA2-Authentifizierung für OSPFv2 unterstützt nicht:
-
Schlüsselbund ohne aktive Schlüssel.
-
Migration von anderen vorhandenen Authentifizierungstypen zum Schlüsselbund mit Hitless-Sitzung.
-
Migration von ohne Authentifizierung zu Schlüsselbund mit Hitless-Sitzung.
-
Der SHA1-Algorithmus (ohne HMAC) in der Schlüsselbundkonfiguration wird nicht unterstützt.
- Es ist wichtig, dass die Systemzeit auf allen Geräten synchronisiert ist, wenn der Schlüsselbund in einer OSPF-Sitzung aktiv ist.
Siehe auch
Grundlegendes zur OSPFv3-Authentifizierung
OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf die IP Security Suite (IPsec), um diese Funktionalität bereitzustellen. IPsec bietet Funktionen wie Ursprungsauthentifizierung, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtabstreitbarkeit der Quelle. Sie können IPsec verwenden, um bestimmte OSPFv3-Schnittstellen zu sichern und virtuelle OSPFv3-Verbindungen zu schützen.
Sie konfigurieren die eigentliche IPsec-Authentifizierung getrennt von Ihrer OSPFv3-Konfiguration und wenden IPsec dann auf die OSPFv3-Schnittstellen oder virtuellen OSPFv3-Verbindungen an.
OSPFv3 verwendet den IP-Authentifizierungsheader (AH) und die IP-Encapsulating Security Payload (ESP)-Teile des IPsec-Protokolls, um Routing-Informationen zwischen Peers zu authentifizieren. AH kann verbindungslose Integrität und Datenursprungsauthentifizierung bieten. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel wie möglich vom IP-Header sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersagbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und Vertraulichkeit des begrenzten Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten.
IPsec basiert auf Sicherheitszuordnungen (Security Associations, SAs). Eine SA ist eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung aufbauen. Diese Simplex-Verbindung bietet Sicherheitsdienste für die von der SA übertragenen Pakete. Diese Spezifikationen umfassen Einstellungen für den Authentifizierungstyp, die Verschlüsselung und das IPsec-Protokoll, die beim Herstellen der IPsec-Verbindung verwendet werden sollen. Eine SA wird verwendet, um einen bestimmten Datenfluss in eine Richtung zu verschlüsseln und zu authentifizieren. Daher werden die Datenströme im normalen bidirektionalen Datenverkehr durch ein Paar von SAs gesichert. Eine SA, die mit OSPFv3 verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der SA konfiguriert werden.
Manuelle SAs erfordern keine Aushandlung zwischen den Peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte (Security Parameter Index), Algorithmen und Schlüssel und erfordern übereinstimmende Konfigurationen auf beiden Endpunkten (OSPFv3-Peers). Daher muss jeder Peer über die gleichen konfigurierten Optionen verfügen, damit die Kommunikation stattfinden kann.
Die tatsächliche Wahl der Verschlüsselungs- und Authentifizierungsalgorithmen wird Ihrem IPsec-Administrator überlassen. Wir haben jedoch die folgenden Empfehlungen:
Verwenden Sie ESP mit NULL-Verschlüsselung, um die Authentifizierung nur für die OSPFv3-Protokollheader bereitzustellen. Bei der NULL-Verschlüsselung entscheiden Sie sich dafür, keine Verschlüsselung für OSPFv3-Header bereitzustellen. Dies kann für die Fehlersuche und das Debuggen nützlich sein. Weitere Informationen zur NULL-Verschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.
Verwenden Sie ESP mit Nicht-NULL-Verschlüsselung, um vollständige Vertraulichkeit zu gewährleisten. Bei der Nicht-NULL-Verschlüsselung entscheiden Sie sich für die Bereitstellung einer Verschlüsselung. Weitere Informationen zur NULL-Verschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.
Verwenden Sie AH, um Authentifizierung für die OSPFv3-Protokollheader, Teile des IPv6-Headers und Teile der Erweiterungsheader bereitzustellen.
Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPFv3:
Dynamic Internet Key Exchange (IKE)-Sicherheitszuordnungen (SAs) werden nicht unterstützt.
Es wird nur der IPsec-Transportmodus unterstützt. Im Transportmodus wird nur die Nutzlast (die von Ihnen übertragenen Daten) des IP-Pakets verschlüsselt und/oder authentifiziert. Der Tunnelmodus wird nicht unterstützt.
Da nur bidirektionale manuelle Sicherheitszuordnungen unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec-Sicherheitszuordnung konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale Sicherheitszuordnung auf Hierarchieebene
[edit security ipsec].Sie müssen dieselbe IPsec-Sicherheitszuordnung für alle virtuellen Verbindungen mit derselben Remoteendpunkt-Adresse konfigurieren.
Siehe auch
Beispiel: Konfigurieren der einfachen Authentifizierung für OSPFv2-Exchanges
In diesem Beispiel wird gezeigt, wie die einfache Authentifizierung für OSPFv2-Exchanges aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Weitere Informationen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte oder im Konfigurationshandbuch für Junos OS-Schnittstellen für Sicherheitsgeräte.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren einer OSPF-Router-Kennung.
Kontrollieren Sie die Auswahl des designierten OSPF-Routers. Siehe Beispiel: Steuern der Auswahl des designierten OSPF-Routers
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks für einen einzelnen Bereich.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Überblick
Bei der einfachen Authentifizierung wird ein Klartextkennwort verwendet, das im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen. Klartext-Kennwörter werden nicht verschlüsselt und können abgefangen werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn die Netzwerksicherheit nicht Ihr Ziel ist.
Sie können nur einen einfachen Authentifizierungsschlüssel (Kennwort) auf dem Routinggerät konfigurieren. Der einfache Schlüssel kann zwischen 1 und 8 Zeichen lang sein und ASCII-Zeichenfolgen enthalten. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein.
In diesem Beispiel geben Sie die OSPFv2-Schnittstelle so-0/1/0 im Bereich 0.0.0.0 an, legen den Authentifizierungstyp auf simple-password fest und definieren den Schlüssel als PssWd4.
Konfiguration
CLI Schnellkonfiguration
Um die einfache Authentifizierung schnell zu konfigurieren, kopieren Sie den folgenden Befehl, entfernen Sie alle Zeilenumbrüche, und fügen Sie den Befehl dann in die CLI ein. Sie müssen alle Routing-Geräte innerhalb des Bereichs mit derselben Authentifizierung und demselben Kennwort konfigurieren.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
Verfahren
Schritt-für-Schritt-Anleitung
So aktivieren Sie die einfache Authentifizierung für OSPFv2-Exchanges:
Erstellen Sie einen OSPF-Bereich.
[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
Legen Sie den Authentifizierungstyp und das Kennwort fest.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
Anmerkung:Wiederholen Sie die gesamte Konfiguration auf allen Peer-OSPFv2-Routing-Geräten in der Umgebung.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show protocols ospf Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht angezeigt. Die Ausgabe zeigt die verschlüsselte Form des von Ihnen konfigurierten Kennworts an.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der konfigurierten Authentifizierungsmethode
Zweck
Stellen Sie sicher, dass die Authentifizierungsmethode zum Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Im Feld Authentifizierungstyp wird Kennwort angezeigt, wenn es für die einfache Authentifizierung konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus die show ospf interface und die show ospf overview Befehle ein.
Beispiel: Konfigurieren der MD5-Authentifizierung für OSPFv2-Exchanges
In diesem Beispiel wird gezeigt, wie die MD5-Authentifizierung für OSPFv2-Exchanges aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Weitere Informationen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte oder im Konfigurationshandbuch für Junos OS-Schnittstellen für Sicherheitsgeräte.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren einer OSPF-Router-Kennung.
Kontrollieren Sie die Auswahl des designierten OSPF-Routers. Siehe Beispiel: Steuern der Auswahl des designierten OSPF-Routers
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks für einen einzelnen Bereich.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Überblick
Bei der MD5-Authentifizierung wird eine codierte MD5-Prüfsumme verwendet, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.
Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routingaktualisierungen nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Aktualisierungen abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert ist.
In diesem Beispiel erstellen Sie den Backbonebereich (Bereich 0.0.0.0), geben die OSPFv2-Schnittstelle so-0/2/0 an, legen den Authentifizierungstyp auf md5 fest, und definieren dann die Authentifizierungsschlüssel-ID als 5 und das Kennwort als PssWd8.
Topologie
Konfiguration
CLI Schnellkonfiguration
Um die MD5-Authentifizierung schnell zu konfigurieren, kopieren Sie den folgenden Befehl und fügen Sie ihn in die CLI ein.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
Verfahren
Schritt-für-Schritt-Anleitung
So aktivieren Sie die MD5-Authentifizierung für OSPFv2-Austausche:
Erstellen Sie einen OSPF-Bereich.
[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Konfigurieren Sie die MD5-Authentifizierung, und legen Sie eine Schlüssel-ID und ein Authentifizierungskennwort fest.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
Anmerkung:Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPFv2-Routing-Geräten.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show protocols ospf Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht angezeigt. Die Ausgabe zeigt die verschlüsselte Form des von Ihnen konfigurierten Kennworts an.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der konfigurierten Authentifizierungsmethode
Zweck
Stellen Sie sicher, dass die Authentifizierungsmethode zum Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Wenn Sie für die MD5-Authentifizierung konfiguriert sind, wird im Feld Authentifizierungstyp MD5 angezeigt, im Feld ID des aktiven Schlüssels wird die von Ihnen eingegebene eindeutige Nummer angezeigt, die den MD5-Schlüssel identifiziert, und im Feld Startzeit wird das Datum als Startzeit 1970 Jan 01 00:00:00 PST angezeigt. Lassen Sie sich von dieser Startzeit nicht beunruhigen. Dies ist die Standardstartzeit, die das Routing-Gerät anzeigt, wenn der MD5-Schlüssel sofort wirksam ist.
Aktion
Geben Sie im Betriebsmodus die show ospf interface und die show ospf overview Befehle ein.
Beispiel: Konfigurieren eines Übergangs von MD5-Schlüsseln auf einer OSPFv2-Schnittstelle
In diesem Beispiel wird gezeigt, wie ein Übergang von MD5-Schlüsseln auf einer OSPFv2-Schnittstelle konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Weitere Informationen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte oder im Konfigurationshandbuch für Junos OS-Schnittstellen für Sicherheitsgeräte.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren einer OSPF-Router-Kennung.
Kontrollieren Sie die Auswahl des designierten OSPF-Routers. Siehe Beispiel: Steuern der Auswahl des designierten OSPF-Routers
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks für einen einzelnen Bereich.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Überblick
Bei der MD5-Authentifizierung wird eine codierte MD5-Prüfsumme verwendet, die im übertragenen Paket enthalten ist. Damit die MD5-Authentifizierung funktioniert, müssen sowohl das empfangende als auch das sendende Routinggerät über denselben MD5-Schlüssel verfügen.
Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routingaktualisierungen nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Aktualisierungen abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert ist.
Um die Sicherheit zu erhöhen, können Sie mehrere MD5-Schlüssel mit jeweils einer eindeutigen Schlüssel-ID konfigurieren und das Datum und die Uhrzeit für den Wechsel zu einem neuen Schlüssel festlegen. Der Empfänger des OSPF-Pakets bestimmt anhand der ID, welcher Schlüssel für die Authentifizierung verwendet werden soll.
In diesem Beispiel konfigurieren Sie neue Schlüssel, die am ersten Tag der nächsten drei Monate um 12:01 Uhr auf der OSPFv2-Schnittstelle fe-0/0/1 im Backbone-Bereich (Bereich 0.0.0.0) wirksam werden, und Sie konfigurieren die folgenden MD5-Authentifizierungseinstellungen:
md5: Gibt die MD5-Authentifizierungsschlüssel-ID an. Die Schlüssel-ID kann auf einen beliebigen Wert zwischen 0 und 255 festgelegt werden, wobei der Standardwert 0 ist. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüssel-ID gesendet werden, die für diese Schnittstelle definiert ist.
key (Schlüssel) – Gibt den MD5-Schlüssel an. Jeder Schlüssel kann ein Wert zwischen 1 und 16 Zeichen lang sein. Zeichen können ASCII-Zeichenfolgen enthalten. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein.
start-time: Gibt die Zeit an, zu der mit der Verwendung des MD5-Schlüssels begonnen werden soll. Mit dieser Option können Sie einen reibungslosen Übergangsmechanismus für mehrere Schlüssel konfigurieren. Die Startzeit ist für die Übertragung relevant, nicht aber für den Empfang von OSPF-Paketen.
Sie müssen auf allen Geräten in der Umgebung die gleichen Kennwörter sowie Übergangsdaten und -zeiten festlegen, damit OSPFv2-Nachbarschaften aktiv bleiben.
Topologie
Konfiguration
CLI Schnellkonfiguration
Um schnell mehrere MD5-Schlüssel auf einer OSPFv2-Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann in die CLI ein.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie mehrere MD5-Schlüssel auf einer OSPFv2-Schnittstelle:
Erstellen Sie einen OSPF-Bereich.
[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
Konfigurieren Sie die MD5-Authentifizierung, und legen Sie ein Authentifizierungskennwort und eine Schlüssel-ID fest.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
Konfigurieren Sie einen neuen Schlüssel, der am ersten Tag im Februar, März und April um 12:01 Uhr wirksam wird.
Sie konfigurieren für jeden Monat ein neues Authentifizierungskennwort und eine neue Schlüssel-ID.
Geben Sie für den Monat Februar Folgendes ein:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
Geben Sie für den Monat März Folgendes ein:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
Geben Sie für den Monat April Folgendes ein:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
Anmerkung:Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPFv2-Routing-Geräten.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show protocols ospf Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht angezeigt. Die Ausgabe zeigt die verschlüsselte Form des von Ihnen konfigurierten Kennworts an.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der konfigurierten Authentifizierungsmethode
Zweck
Stellen Sie sicher, dass die Authentifizierungsmethode zum Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Wenn Sie für die MD5-Authentifizierung mit einem Schlüsselübergang konfiguriert sind, wird im Feld Authentifizierungstyp MD5 angezeigt, im Feld Aktive Schlüssel-ID die von Ihnen eingegebene eindeutige Nummer, die den MD5-Schlüssel identifiziert, und im Feld Startzeit wird der Zeitpunkt angezeigt, zu dem das Routinggerät beginnt, einen MD5-Schlüssel zur Authentifizierung von OSPF-Paketen zu verwenden, die auf der von Ihnen konfigurierten Schnittstelle übertragen werden.
Aktion
Geben Sie im Betriebsmodus die show ospf interface und die show ospf overview Befehle ein.
Verwenden von IPsec zum Sichern von OSPFv3-Netzwerken (CLI-Verfahren)
OSPF Version 3 (OSPFv3) verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf IP-Sicherheit (IPsec), um diese Funktionalität bereitzustellen. Sie können IPsec verwenden, um OSPFv3-Schnittstellen auf Switches der EX-Serie zu sichern.
Dieses Thema umfasst:
Konfigurieren von Sicherheitszuordnungen
Wenn Sie eine Sicherheitszuordnung (Security Association, SA) konfigurieren, schließen Sie Ihre Auswahlmöglichkeiten für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und Sicherheitsparameterindex (SPI) ein.
So konfigurieren Sie eine Sicherheitszuordnung:
Absicherung von OPSFv3-Netzwerken
Sie können das OSPFv3-Netzwerk sichern, indem Sie die SA auf die OSPFv3-Konfiguration anwenden.
So sichern Sie das OSPFv3-Netzwerk:
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle
In diesem Beispiel wird gezeigt, wie die IP-Sicherheitsauthentifizierung (IPsec) für eine OSPF-Schnittstelle aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Weitere Informationen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte oder im Konfigurationshandbuch für Junos OS-Schnittstellen für Sicherheitsgeräte.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren einer OSPF-Router-Kennung.
Kontrollieren Sie die Auswahl des designierten OSPF-Routers. Siehe Beispiel: Steuern der Auswahl des designierten OSPF-Routers
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks für einen einzelnen Bereich.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Überblick
Sie können die IPsec-Authentifizierung sowohl für OSPFv2 als auch für OSPFv3 verwenden. Sie konfigurieren die eigentliche IPsec-Authentifizierung separat und wenden sie auf die entsprechende OSPF-Konfiguration an.
OSPFv2
Ab Junos OS Version 8.3 können Sie die IPsec-Authentifizierung verwenden, um OSPFv2-Schnittstellen, den Remote-Endpunkt eines Scheinlinks und den virtuellen OSPFv2-Link zu authentifizieren, indem Sie manuelle Sicherheitszuordnungen (SAs) verwenden, um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routing-Geräten sicher ist.
Sie können die IPsec-Authentifizierung zusammen mit der MD5- oder der einfachen Authentifizierung konfigurieren.
Führen Sie einen der folgenden Schritte aus, um die IPsec-Authentifizierung zu aktivieren:
Fügen Sie für eine OSPFv2-Schnittstelle die
ipsec-sa nameAnweisung für eine bestimmte Schnittstelle ein:interface interface-name ipsec-sa name;
Fügen Sie für einen Remote-Scheinlink die
ispec-sa nameAnweisung für den Remoteendpunkt des Scheinlinks ein:sham-link-remote address ipsec-sa name;
Anmerkung:Wenn eine Layer 3-VPN-Konfiguration mehrere Scheinlinks mit derselben IP-Adresse des Remote-Endgeräts aufweist, müssen Sie für alle Remote-Endgeräte dieselbe IPsec-Sicherheitszuordnung konfigurieren. Sie konfigurieren ein Layer-3-VPN auf der
[edit routing-instances routing-instance-name instance-type]Hierarchieebene. Weitere Informationen zu Layer 3-VPNs finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.Fügen Sie für einen virtuellen Link die
ipsec-sa nameAnweisung für einen bestimmten virtuellen Link ein:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf IPsec, um diese Funktionalität bereitzustellen. Sie verwenden die IPsec-Authentifizierung, um OSPFv3-Schnittstellen zu sichern und virtuelle OSPFv3-Verbindungen zu schützen, indem Sie manuelle SAs verwenden, um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routinggeräten sicher ist.
Führen Sie einen der folgenden Schritte aus, um die Authentifizierung anzuwenden:
Fügen Sie für eine OSPFv3-Schnittstelle die
ipsec-sa nameAnweisung für eine bestimmte Schnittstelle ein:interface interface-name ipsec-sa name;
Fügen Sie für einen virtuellen Link die
ipsec-sa nameAnweisung für einen bestimmten virtuellen Link ein:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
In diesem Beispiel führen Sie die folgenden Aufgaben aus:
Konfigurieren Sie die IPsec-Authentifizierung. Definieren Sie dazu eine manuelle Sicherheitszuordnung mit dem Namen sa1 und geben Sie die Verarbeitungsrichtung, das Protokoll zum Schutz des IP-Datenverkehrs, den Sicherheitsparameterindex (SPI) sowie den Authentifizierungsalgorithmus und -schlüssel an.
Konfigurieren Sie die folgende Option auf Hierarchieebene
[edit security ipsec security-association sa-name mode]:transport – Gibt den Transportmodus an. Dieser Modus schützt den Datenverkehr, wenn der Kommunikationsendpunkt und der kryptografische Endpunkt identisch sind. Der Datenteil des IP-Pakets ist verschlüsselt, der IP-Header jedoch nicht.
Konfigurieren Sie die folgende Option auf Hierarchieebene
[edit security ipsec security-association sa-name manual direction]:bidirektional: Definiert die Richtung der IPsec-Verarbeitung. Durch die Angabe von bidrectional werden dieselben Algorithmen, Schlüssel und SPI-Werte (Security Paramater Index), die Sie konfigurieren, in beide Richtungen verwendet.
Konfigurieren Sie die folgenden Optionen auf Hierarchieebene
[edit security ipsec security-association sa-name manual direction bidirectional]:Protokoll: Definiert das IPsec-Protokoll, das von der manuellen Sicherheitszuordnung zum Schutz des IP-Datenverkehrs verwendet wird. Sie können entweder den Authentifizierungsheader (AH) oder die Encapsulating Security Payload (ESP) angeben. Wenn Sie AH angeben, was in diesem Beispiel der Fall ist, können Sie die Verschlüsselung nicht konfigurieren.
spi – Konfiguriert die SPI für die manuelle SA. Ein SPI ist ein beliebiger Wert, der eindeutig identifiziert, welche SA auf dem empfangenden Host verwendet werden soll. Der sendende Host verwendet die SPI, um die SA zu identifizieren und auszuwählen, die zur Sicherung jedes Pakets verwendet werden soll. Der empfangende Host verwendet die SPI, um den Verschlüsselungsalgorithmus und den Schlüssel zum Entschlüsseln von Paketen zu identifizieren und auszuwählen. In diesem Beispiel geben Sie 256 an.
authentication: Konfiguriert den Authentifizierungsalgorithmus und den Authentifizierungsschlüssel. Die Option algorithm gibt den Hashalgorithmus an, der die Paketdaten authentifiziert. In diesem Beispiel geben Sie hmac-md5-96 an, wodurch ein 128-Bit-Digest erzeugt wird. Die Option key gibt den Typ des Authentifizierungsschlüssels an. In diesem Beispiel geben Sie ascii-text-key an, d. h. 16 ASCII-Zeichen für den hmac-md5-96-Algorithmus .
Aktivieren Sie die IPsec-Authentifizierung auf der OSPF-Schnittstelle so-0/2/0.0 im Backbone-Bereich (Bereich 0.0.0.0), indem Sie den Namen der manuellen SA sa1 angeben, die Sie auf Hierarchieebene
[edit security ipsec]konfiguriert haben.
Topologie
Konfiguration
- Konfigurieren von Sicherheitszuordnungen
- Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle
Konfigurieren von Sicherheitszuordnungen
CLI Schnellkonfiguration
Um schnell eine manuelle SA für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann in die CLI ein.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine manuelle SA für die Verwendung auf einer OSPF-Schnittstelle:
Geben Sie einen Namen für die Sicherheitszuordnung an.
[edit] user@host# edit security ipsec security-association sa1
Geben Sie den Modus der SA an.
[edit security ipsec security-association sa1 ] user@host# set mode transport
Konfigurieren Sie die Richtung der manuellen SA.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
Konfigurieren Sie das zu verwendende IPsec-Protokoll.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
Konfigurieren Sie den Wert des SPI.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
Konfigurieren Sie den Authentifizierungsalgorithmus und -schlüssel.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit security ipsec security-association sa1 ] user@host# commit
Anmerkung:Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPF-Routing-Geräten.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht angezeigt. Die Ausgabe zeigt die verschlüsselte Form des von Ihnen konfigurierten Kennworts an.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle
CLI Schnellkonfiguration
Um eine manuelle SA, die für die IPsec-Authentifizierung verwendet wird, schnell auf eine OSPF-Schnittstelle anzuwenden, kopieren Sie den folgenden Befehl, und fügen Sie ihn in die CLI ein.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Schritt-für-Schritt-Anleitung
So aktivieren Sie die IPsec-Authentifizierung für eine OSPF-Schnittstelle:
Erstellen Sie einen OSPF-Bereich.
Anmerkung:Um OSPFv3 anzugeben, fügen Sie die
ospf3Anweisung auf der[edit protocols]Hierarchieebene ein.[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Wenden Sie die manuelle IPsec-Sicherheitszuordnung an.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
Anmerkung:Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPF-Routing-Geräten.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show protocols ospf Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Geben Sie den show protocols ospf3 Befehl ein, um Ihre OSPFv3-Konfiguration zu bestätigen.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der IPsec-Sicherheitszuordnungseinstellungen
- Überprüfen der IPsec-Sicherheitszuordnung auf der OSPF-Schnittstelle
Überprüfen der IPsec-Sicherheitszuordnungseinstellungen
Zweck
Überprüfen Sie die konfigurierten Einstellungen für die IPsec-Sicherheitszuordnung. Überprüfen Sie die folgenden Informationen:
Im Feld Sicherheitszuordnung wird der Name der konfigurierten Sicherheitszuordnung angezeigt.
Im Feld SPI wird der von Ihnen konfigurierte Wert angezeigt.
Im Feld Modus wird der Transportmodus angezeigt.
Im Feld Typ wird manual als Typ der Sicherheitszuordnung angezeigt.
Aktion
Geben Sie im Betriebsmodus den show ipsec security-associations Befehl ein.
Überprüfen der IPsec-Sicherheitszuordnung auf der OSPF-Schnittstelle
Zweck
Stellen Sie sicher, dass die IPsec-Sicherheitszuordnung, die Sie konfiguriert haben, auf die OSPF-Schnittstelle angewendet wurde. Vergewissern Sie sich, dass im Feld IPSec-SA-Name der Name der konfigurierten IPsec-Sicherheitszuordnung angezeigt wird.
Aktion
Geben Sie im Betriebsmodus den show ospf interface detail Befehl für OSPFv2 und den show ospf3 interface detail Befehl für OSPFv3 ein.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.