Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren der OSPF-Authentifizierung

Grundlegendes zur IPsec-Authentifizierung für OSPF-Pakete auf Switches der EX-Serie

IP-Sicherheit (IPsec) bietet eine sichere Möglichkeit zur Authentifizierung von Absendern und zur Verschlüsselung des IP-Version 4 (IPv4)-Datenverkehrs zwischen Netzwerkgeräten. IPsec bietet Netzwerkadministratoren für Ethernet-Switches der EX-Serie von Juniper Networks und deren Benutzer die Vorteile von Datenvertraulichkeit, Datenintegrität, Absenderauthentifizierung und Anti-Replay-Services.

IPsec ist ein Framework für die sichere private Kommunikation über IP-Netzwerke und basiert auf Standards, die von der International Engineering Task Force (IETF) entwickelt wurden. IPsec stellt Sicherheitsservices auf der Netzwerkebene des Open Systems Interconnection (OSI)-Modells bereit, indem es ein System in die Lage versetzt, die erforderlichen Sicherheitsprotokolle auszuwählen, die für die Sicherheitsservices zu verwendensten Algorithmen zu bestimmen und alle kryptografischen Schlüssel zu implementieren, die zur Bereitstellung der angeforderten Services erforderlich sind. Sie können IPsec verwenden, um einen oder mehrere Pfade zwischen einem Hostpaar, zwischen einem Sicherheits-Gateway-Paar (z. B. Switches) oder zwischen einem Sicherheits-Gateway und einem Host zu schützen.

OSPF-Version 3 (OSPFv3) verfügt im Gegensatz zu OSPF-Version 2 (OSPFv2) nicht über eine integrierte Authentifizierungsmethode und setzt zur Bereitstellung dieser Funktionalität auf IPsec. Sie können bestimmte OSPFv3-Schnittstellen sichern und virtuelle OSPFv3-Verbindungen schützen.

Authentifizierungsalgorithmen

Authentifizierung ist der Prozess zur Überprüfung der Identität des Absenders. Authentifizierungsalgorithmen verwenden einen gemeinsam genutzten Schlüssel, um die Echtheit der IPsec-Geräte zu überprüfen. Das Junos-Betriebssystem (Junos OS) von Juniper Networks verwendet die folgenden Authentifizierungsalgorithmen:

  • Message Digest 5 (MD5) verwendet eine One-Way-Hash-Funktion, um eine Nachricht von beliebiger Länge in einen Message Digest mit fester Länge mit 128 Bits zu konvertieren. Aufgrund des Konvertierungsprozesses ist es mathematisch nicht möglich, die ursprüngliche Nachricht zu berechnen, indem sie aus dem resultierenden Message Digest rückwärts berechnet wird. Ebenso führt eine Änderung in ein einzelnes Zeichen in der Nachricht dazu, dass eine sehr unterschiedliche Message Digest-Nummer generiert wird.

    Um zu überprüfen, ob die Nachricht nicht manipuliert wurde, vergleicht Junos OS den berechneten Nachrichten-Digest mit einem Message Digest, der mit einem gemeinsam genutzten Schlüssel entschlüsselt wurde. Junos OS verwendet die Variante MD5-Hashed Message Authentication Code (HMAC), die eine zusätzliche Hashing-Ebene bietet. MD5 kann mit einem Authentifizierungs-Header (AH) und Encapsulating Security Payload (ESP) verwendet werden.

  • Secure Hash Algorithm 1 (SHA-1) verwendet einen stärkeren Algorithmus als MD5. SHA-1 nimmt eine Nachricht von weniger als 264 Bit Länge und erzeugt eine 160-Bit-Nachrichten-Digest. Der große Message Digest stellt sicher, dass die Daten nicht geändert wurden und aus der richtigen Quelle stammen. Junos OS verwendet die SHA-1 HMAC-Variante, die eine zusätzliche Hashing-Ebene bietet. SHA-1 kann mit AH, ESP und Internet Key Exchange (IKE) verwendet werden.

Verschlüsselungsalgorithmen

Die Verschlüsselung verschlüsselt Daten in ein sicheres Format, sodass sie nicht von unbefugten Benutzern entschlüsselt werden können. Wie bei Authentifizierungsalgorithmen wird bei Verschlüsselungsalgorithmen ein gemeinsam genutzter Schlüssel verwendet, um die Echtheit von IPsec-Geräten zu überprüfen. Junos OS verwendet die folgenden Verschlüsselungsalgorithmen:

  • Des-CBC (Data Encryption Standard Cipher-Block Chaining) ist ein symmetrisischer Algorithmus für geheime Schlüssel. DES verwendet eine Schlüsselgröße von 64 Bits, wobei 8 Bits für die Fehlererkennung verwendet werden und die restlichen 56 Bits Verschlüsselung bereitstellen. DES führt eine Reihe einfacher logischer Operationen für den gemeinsam genutzten Schlüssel durch, einschließlich Permutationen und Ersetzungen. CBC nimmt den ersten Block mit 64 Bits der Ausgabe von DES, kombiniert diesen Mit dem zweiten Block, gibt diesen an den DES-Algorithmus zurück und wiederholt diesen Prozess für alle nachfolgenden Blöcke.

  • Triple DES-CBC (3DES-CBC) ist ein Verschlüsselungsalgorithmus, der dem DES-CBC ähnlich ist, aber ein viel stärkeres Verschlüsselungsergebnis bietet, da er drei Schlüssel für 168-Bit -Verschlüsselung (3 x 56-Bit) verwendet. 3DES verwendet den ersten Schlüssel, um die Blöcke zu verschlüsseln, den zweiten Schlüssel zum Entschlüsseln der Blöcke und den dritten Schlüssel, um die Blöcke erneut zu verschlüsseln.

IPsec-Protokolle

IPsec-Protokolle bestimmen die Art der Authentifizierung und Verschlüsselung, die auf Pakete angewendet werden, die durch den Switch gesichert werden. Junos OS unterstützt die folgenden IPsec-Protokolle:

  • AH: AH wurde in RFC 2402 definiert und bietet verbindungslose Integrität und Datenursprungsauthentifizierung für IPv4. Es bietet auch Schutz vor Wiedergaben. AH authentifiziert so viel wie möglich des IP-Headers sowie der Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch bei der Übertragung ändern. Da der Wert dieser Felder vom Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. In einem IP-Header kann AH mit dem Wert 51 im Protokollfeld eines IPv4-Pakets identifiziert werden.

  • ESP: Esp ist in RFC 2406 definiert und kann Verschlüsselung und eingeschränkten Datenverkehrsfluss oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten. In einem IP-Header kann ESP mit dem Wert 50 im Protokollfeld eines IPv4-Pakets identifiziert werden.

Sicherheitszuordnungen

Eine IPsec-Überlegung ist die Art der Security Association (SA), die Sie implementieren möchten. Ein SA ist eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung herstellen. Diese Spezifikationen enthalten Einstellungen für die Art der Authentifizierung, Verschlüsselung und des IPsec-Protokolls, die beim Aufbau der IPsec-Verbindung verwendet werden sollen. Eine SA kann entweder unidirektional oder bidirektional sein, abhängig von den Vom Netzwerkadministrator getroffenen Entscheidungen. Ein SA wird eindeutig durch einen Security Parameter Index (SPI), eine IPv4- oder IPv6-Zieladresse und eine AH- oder ESP-Kennung (Security Protocol) identifiziert.

IPsec-Modi

Junos OS unterstützt die folgenden IPsec-Modi:

  • Der Tunnelmodus wird sowohl für AH als auch für ESP in Junos OS unterstützt. Im Tunnelmodus werden die SA und die zugehörigen Protokolle auf tunnelte IPv4- oder IPv6-Pakete angewendet. Für einen Tunnelmodus-SA gibt ein äußerer IP-Header das IPsec-Verarbeitungsziel an, und ein innerer IP-Header gibt das ultimative Ziel für das Paket an. Der Sicherheitsprotokoll-Header erscheint nach dem äußeren IP-Header und vor dem inneren IP-Header. Darüber hinaus gibt es geringfügige Unterschiede für den Tunnelmodus, wenn Sie ihn mit AH und ESP implementieren:

    • Für AH sind Teile des äußeren IP-Headers sowie das gesamte tunnelte IP-Paket geschützt.

    • Für ESP ist nur das tunnelte Paket geschützt, nicht der äußere Header.

    Wenn eine Seite eines SA ein Sicherheits-Gateway ist (z. B. ein Switch), muss der SA den Tunnelmodus verwenden. Wenn jedoch Datenverkehr (z. B. SNMP-Befehle oder BGP-Sitzungen) für einen Switch bestimmt ist, fungiert das System als Host. Der Transportmodus ist in diesem Fall zulässig, da das System nicht als Sicherheits-Gateway fungiert und keinen Transitverkehr sendet oder empfängt.

    Hinweis:

    Der Tunnelmodus wird für die OSPF v3-Steuerungspaketauthentifizierung nicht unterstützt.

  • Der Transportmodus stellt eine SA zwischen zwei Hosts bereit. Im Transportmodus bieten die Protokolle Schutz vor allem für Protokolle auf der oberen Ebene. Ein Sicherheitsprotokoll-Header im Transportmodus wird direkt nach dem IP-Header und allen Optionen und vor allen Protokollen auf höherer Ebene (z. B. TCP oder UDP) angezeigt. Bei der Implementierung mit AH und ESP gibt es geringfügige Unterschiede für den Transportmodus:

    • Für AH sind ausgewählte Teile des IP-Headers geschützt, sowie ausgewählte Teile der Erweiterungs-Header und ausgewählte Optionen innerhalb des IPv4-Headers.

    • Für ESP sind nur die Protokolle auf höheren Ebenen geschützt, nicht der IP-Header oder andere Erweiterungs-Header vor dem ESP-Header.

Grundlegendes zur OSPFv2-Authentifizierung

Alle OSPFv2-Protokollaustausche können authentifiziert werden, um zu gewährleisten, dass nur vertrauenswürdige Routing-Geräte am Routing des autonomen Systems teilnehmen. Standardmäßig ist die OSPFv2-Authentifizierung deaktiviert.

Hinweis:

OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und setzt zur Bereitstellung dieser Funktionalität auf IP-Sicherheit (IPsec).

Sie können die folgenden Authentifizierungstypen aktivieren:

  • Einfache Authentifizierung: Authentifiziert sich mithilfe eines Klartextkennworts, das im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.

  • MD5-Authentifizierung: Authentifiziert sich mithilfe einer kodierten MD5-Prüfsumme, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.

    Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routing-Updates nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Updates abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert wurde.

  • IPsec-Authentifizierung (beginnend mit Junos OS Version 8.3): Authentifiziert OSPFv2-Schnittstellen, den Remoteendpunkt eines Sham-Links und den virtuellen OSPFv2-Link mithilfe manueller Sicherheitszuordnungen (SAs), um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routing-Geräten sicher ist. Sie konfigurieren die tatsächliche IPsec-Authentifizierung separat.

    Hinweis:

    Sie können die IPsec-Authentifizierung zusammen mit MD5- oder einfacher Authentifizierung konfigurieren.

    Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPFv2:

    • Dynamic Internet Key Exchange (IKE) SAs werden nicht unterstützt.

    • Nur der IPsec-Transportmodus wird unterstützt. Der Tunnelmodus wird nicht unterstützt.

    • Da nur bidirektionale manuelle SAs unterstützt werden, müssen alle OSPFv2-Peers mit derselben IPsec SA konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SA auf [edit security ipsec] Hierarchieebene.

    • Sie müssen dieselbe IPsec-SA für alle virtuellen Verbindungen mit derselben Remote-Endpunktadresse, für alle Nachbarn auf OSPF Nonbroadcast MultiAccess (NBMA) oder Point-to-Multipoint-Links sowie für jedes Subnetz konfigurieren, das Teil einer Broadcast-Verbindung ist.

    • OSPFv2-Peer-Schnittstellen werden nicht unterstützt.

Da OSPF die Authentifizierung auf Bereichsebene ausführt, müssen alle Routing-Geräte innerhalb des Bereichs dieselbe Authentifizierung und das entsprechende Kennwort (Schlüssel) konfiguriert haben. Damit die MD5-Authentifizierung funktioniert, müssen sowohl die empfangenden als auch die sendenden Routing-Geräte den gleichen MD5-Schlüssel haben. Außerdem schließen sich ein einfaches Passwort und der MD5-Schlüssel gegenseitig aus. Sie können nur ein einfaches Kennwort, aber mehrere MD5-Schlüssel konfigurieren.

Als Teil Ihrer Sicherheitsmaßnahmen können Sie die MD5-Schlüssel ändern. Sie können dies tun, indem Sie mehrere MD5-Schlüssel mit jeweils einer eindeutigen Schlüssel-ID konfigurieren und das Datum und die Uhrzeit für den Wechsel zum neuen Schlüssel festlegen. Jeder eindeutige MD5-Schlüssel hat eine eindeutige ID. Die ID wird vom Empfänger des OSPF-Pakets verwendet, um zu bestimmen, welcher Schlüssel für die Authentifizierung verwendet werden soll. Die Schlüssel-ID, die für die MD5-Authentifizierung erforderlich ist, gibt den Identifikator an, der dem MD5-Schlüssel zugeordnet ist.

Ab Junos OS Version 22.4R1 unterstützen wir die Werbung für DIE OSPF MD5-Authentifizierung mit mehreren aktiven Schlüsseln zum Senden von Paketen mit einer maximalen Grenze von zwei Schlüsseln pro Schnittstelle. Wenn mehrere Schlüssel gleichzeitig an der Schnittstelle aktiv sind, wird der reibungslose Übergang von einem Schlüssel zum anderen für OSPF ermöglicht. Sie können alte Schlüssel ohne Auswirkungen auf die OSPF-Sitzung löschen.

Siehe auch

Grundlegendes zur OSPFv3-Authentifizierung

OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf die IP Security (IPsec)-Suite, um diese Funktionalität bereitzustellen. IPsec bietet Funktionen wie Ursprungsauthentifizierung, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtrepudiation von Quellen. Sie können IPsec verwenden, um bestimmte OSPFv3-Schnittstellen zu sichern und virtuelle OSPFv3-Verbindungen zu schützen.

Hinweis:

Sie konfigurieren die tatsächliche IPsec-Authentifizierung separat von Ihrer OSPFv3-Konfiguration und wenden dann IPsec auf die OSPFv3-Schnittstellen oder virtuellen OSPFv3-Verbindungen an.

OSPFv3 verwendet den IP-Authentifizierungs-Header (AH) und die IP Encapsulating Security Payload (ESP)-Teile des IPsec-Protokolls, um Routing-Informationen zwischen Peers zu authentifizieren. AH kann verbindungslose Integrität und Datenursprungsauthentifizierung bieten. Es bietet auch Schutz vor Wiedergaben. AH authentifiziert so viel wie möglich des IP-Headers sowie der Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch bei der Übertragung ändern. Da der Wert dieser Felder vom Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und begrenzte Vertraulichkeit des Datenverkehrs oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten.

IPsec basiert auf Sicherheitszuordnungen (Security Associations, SAs). Ein SA ist eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung herstellen. Diese Simplex-Verbindung stellt Sicherheitsservices für die Pakete bereit, die von der SA übertragen werden. Diese Spezifikationen enthalten Einstellungen für die Art der Authentifizierung, Verschlüsselung und des IPsec-Protokolls, die beim Aufbau der IPsec-Verbindung verwendet werden sollen. Eine SA wird verwendet, um einen bestimmten Datenstrom in eine Richtung zu verschlüsseln und zu authentifizieren. Daher werden die Datenströme im normalen bidirektionalen Datenverkehr durch ein Paar SAs gesichert. Eine SA, die mit OSPFv3 verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der SA konfiguriert werden.

Manuelle SAs erfordern keine Aushandlung zwischen peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle SAs definieren statisch die Werte, Algorithmen und Schlüssel, die verwendet werden sollen, und erfordern übereinstimmende Konfigurationen an beiden Endpunkten (OSPFv3-Peers). Daher müssen für jeden Peer dieselben Konfigurationsoptionen vorhanden sein, damit die Kommunikation stattfinden kann.

Die auswahl der Verschlüsselungs- und Authentifizierungsalgorithmen bleibt Ihrem IPsec-Administrator überlassen. wir haben jedoch folgende Empfehlungen:

  • Verwenden Sie ESP mit NULL-Verschlüsselung, um die Authentifizierung nur für die OSPFv3-Protokoll-Header bereitzustellen. Mit NULL-Verschlüsselung wählen Sie keine Verschlüsselung auf OSPFv3-Headern. Dies kann für die Fehlerbehebung und Fehlerbehebung nützlich sein. Weitere Informationen zur NULL-Verschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.

  • Verwenden Sie ESP mit Nicht-NULL-Verschlüsselung für vollständige Vertraulichkeit. Bei nicht-NULL-Verschlüsselung entscheiden Sie sich für Verschlüsselung. Weitere Informationen zur NULL-Verschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.

  • Verwenden Sie AH, um Authentifizierung für die OSPFv3-Protokoll-Header, Teile des IPv6-Headers und Teile der Erweiterungs-Header bereitzustellen.

Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPFv3:

  • Dynamic Internet Key Exchange (IKE) Security Associations (SAs) werden nicht unterstützt.

  • Nur der IPsec-Transportmodus wird unterstützt. Im Transportmodus wird nur die Nutzdaten (die übertragenen Daten) des IP-Pakets verschlüsselt und/oder authentifiziert. Der Tunnelmodus wird nicht unterstützt.

  • Da nur bidirektionale manuelle SAs unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec SA konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SA auf [edit security ipsec] Hierarchieebene.

  • Sie müssen dieselbe IPsec SA für alle virtuellen Verbindungen mit derselben Remoteendpunktadresse konfigurieren.

Siehe auch

Beispiel: Konfigurieren der einfachen Authentifizierung für OSPFv2 Exchanges

Dieses Beispiel zeigt, wie sie eine einfache Authentifizierung für OSPFv2-Austausche aktivieren.

Anforderungen

Bevor Sie beginnen:

Übersicht

Die einfache Authentifizierung verwendet ein Klartextkennwort, das im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen. Klartext-Passwörter sind nicht verschlüsselt und unterliegen möglicherweise dem Abfangen von Paketen. Diese Methode ist am wenigsten sicher und sollte nur verwendet werden, wenn die Netzwerksicherheit nicht Ihr Ziel ist.

Sie können nur einen einfachen Authentifizierungsschlüssel (Kennwort) auf dem Routinggerät konfigurieren. Der einfache Schlüssel kann 1 bis 8 Zeichen umfassen und ASCII-Zeichenfolgen enthalten. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen ("").

In diesem Beispiel geben Sie im Bereich 0.0.0.0.0 die OSPFv2-Schnittstelle so-0/1/0 an, legen den Authentifizierungstyp auf simple-password fest und definieren den Schlüssel als PssWd4.

Konfiguration

CLI-Schnellkonfiguration

Um eine einfache Authentifizierung schnell zu konfigurieren, kopieren Sie den folgenden Befehl, entfernen Sie alle Zeilenumbrüche, und fügen Sie den Befehl dann in die CLI ein. Sie müssen alle Routing-Geräte innerhalb des Bereichs mit derselben Authentifizierung und demselben Kennwort konfigurieren.

Verfahren

Schritt-für-Schritt-Verfahren

So aktivieren Sie eine einfache Authentifizierung für OSPFv2-Austausche:

  1. Erstellen Sie einen OSPF-Bereich.

  2. Geben Sie die Schnittstelle an.

  3. Legen Sie den Authentifizierungstyp und das Kennwort fest.

  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

    Hinweis:

    Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPFv2-Routinggeräten in dem Bereich.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show protocols ospf Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Hinweis:

Nach der Konfiguration des Kennworts sehen Sie das Kennwort selbst nicht mehr. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der konfigurierten Authentifizierungsmethode

Zweck

Stellen Sie sicher, dass die Authentifizierungsmethode für das Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Das Feld Authentifizierungstyp zeigt das Kennwort an, wenn es für einfache Authentifizierung konfiguriert wird.

Aktion

Geben Sie im Betriebsmodus die show ospf interface Befehle und die show ospf overview Befehle ein.

Beispiel: Konfigurieren der MD5-Authentifizierung für OSPFv2 Exchanges

Dieses Beispiel zeigt, wie Sie die MD5-Authentifizierung für OSPFv2-Austausch aktivieren.

Anforderungen

Bevor Sie beginnen:

Übersicht

DIE MD5-Authentifizierung verwendet eine kodierte MD5-Prüfsumme, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.

Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routing-Updates nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Updates abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert wurde.

In diesem Beispiel erstellen Sie den Backbone-Bereich (Bereich 0.0.0.0), geben OSPFv2-Schnittstelle so-0/2/0, setzen den Authentifizierungstyp auf md5 und definieren dann die Authentifizierungsschlüssel-ID als 5 und das Kennwort als PssWd8.

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um die MD5-Authentifizierung schnell zu konfigurieren, kopieren Sie den folgenden Befehl und fügen ihn in die CLI ein.

Verfahren

Schritt-für-Schritt-Verfahren

So aktivieren Sie die MD5-Authentifizierung für OSPFv2-Austausche:

  1. Erstellen Sie einen OSPF-Bereich.

  2. Geben Sie die Schnittstelle an.

  3. Konfigurieren Sie die MD5-Authentifizierung und legen Sie eine Schlüssel-ID und ein Authentifizierungskennwort fest.

  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

    Hinweis:

    Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPFv2-Routinggeräten.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show protocols ospf Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Hinweis:

Nach der Konfiguration des Kennworts sehen Sie das Kennwort selbst nicht mehr. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der konfigurierten Authentifizierungsmethode

Zweck

Stellen Sie sicher, dass die Authentifizierungsmethode für das Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Wenn für die MD5-Authentifizierung konfiguriert wird, zeigt das Feld Authentifizierungstyp MD5 an, im Feld aktive Schlüssel-ID die eindeutige Nummer, die Sie eingegeben haben, um den MD5-Schlüssel zu identifizieren, und im Feld "Startzeit" wird das Datum als Startzeitpunkt angezeigt 1970 Jan 01 00:00:00 PST. Lassen Sie sich zu diesem Startzeit nicht alarmen. Dies ist die Standardstartzeit, die vom Routinggerät angezeigt wird, wenn die MD5-Taste sofort wirksam ist.

Aktion

Geben Sie im Betriebsmodus die show ospf interface Befehle und die show ospf overview Befehle ein.

Beispiel: Konfigurieren eines Übergangs von MD5-Schlüsseln auf einer OSPFv2-Schnittstelle

Dieses Beispiel zeigt, wie Sie einen Übergang von MD5-Schlüsseln auf einer OSPFv2-Schnittstelle konfigurieren.

Anforderungen

Bevor Sie beginnen:

Übersicht

DIE MD5-Authentifizierung verwendet eine kodierte MD5-Prüfsumme, die im übertragenen Paket enthalten ist. Damit die MD5-Authentifizierung funktioniert, müssen sowohl die empfangenden als auch die sendenden Routing-Geräte den gleichen MD5-Schlüssel haben.

Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routing-Updates nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Updates abgelehnt. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert wurde.

Um die Sicherheit zu erhöhen, können Sie mehrere MD5-Schlüssel mit jeweils einer eindeutigen Schlüssel-ID konfigurieren und das Datum und die Uhrzeit für den Wechsel zu einem neuen Schlüssel festlegen. Der Empfänger des OSPF-Pakets verwendet die ID, um zu bestimmen, welcher Schlüssel für die Authentifizierung verwendet werden soll.

In diesem Beispiel konfigurieren Sie neue Schlüssel, die am ersten Tag der nächsten drei Monate um 12:01 Uhr auf der OSPFv2-Schnittstelle fe-0/0/1 im Backbone-Bereich (Bereich 0.0.0.0) wirksam werden, und Sie konfigurieren die folgenden MD5-Authentifizierungseinstellungen:

  • md5 – Gibt die MD5-Authentifizierungsschlüssel-ID an. Die Schlüssel-ID kann auf einen beliebigen Wert zwischen 0 und 255 mit einem Standardwert von 0 festgelegt werden. Das Routinggerät akzeptiert nur OSPFv2-Pakete, die mit derselben Schlüssel-ID gesendet werden, die für diese Schnittstelle definiert wurde.

  • key – Gibt den MD5-Schlüssel an. Jeder Schlüssel kann ein Wert von 1 bis 16 Zeichen lang sein. Zeichen können ASCII-Zeichenfolgen enthalten. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen ("").

  • Startzeit: Gibt den Zeitpunkt an, zu dem der Schlüssel MD5 verwendet werden soll. Mit dieser Option können Sie einen reibungslosen Übergangsmechanismus für mehrere Schlüssel konfigurieren. Die Startzeit ist für die Übertragung, nicht aber für den Empfang von OSPF-Paketen relevant.

Hinweis:

Sie müssen dieselben Passwörter und Übergangstermine und -zeiten auf allen Geräten in der Umgebung festlegen, damit die OSPFv2-Adjacencies aktiv bleiben.

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um schnell mehrere MD5-Schlüssel auf einer OSPFv2-Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann in die CLI ein.

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie mehrere MD5-Schlüssel auf einer OSPFv2-Schnittstelle:

  1. Erstellen Sie einen OSPF-Bereich.

  2. Geben Sie die Schnittstelle an.

  3. Konfigurieren Sie die MD5-Authentifizierung und legen Sie ein Authentifizierungskennwort und eine Schlüssel-ID fest.

  4. Konfigurieren Sie einen neuen Schlüssel, der am ersten Tag von Februar, März und April um 12:01 Uhr in Kraft tritt.

    Sie konfigurieren für jeden Monat ein neues Authentifizierungskennwort und eine neue Schlüssel-ID.

    1. Geben Sie für den Monat Februar Folgendes ein:

    2. Geben Sie für den Monat März Folgendes ein:

    3. Geben Sie für den Monat April Folgendes ein:

  5. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

    Hinweis:

    Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPFv2-Routinggeräten.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show protocols ospf Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Hinweis:

Nach der Konfiguration des Kennworts sehen Sie das Kennwort selbst nicht mehr. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der konfigurierten Authentifizierungsmethode

Zweck

Stellen Sie sicher, dass die Authentifizierungsmethode für das Senden und Empfangen von OSPF-Protokollpaketen konfiguriert ist. Wenn für die MD5-Authentifizierung mit einem Schlüsselübergang konfiguriert wird, zeigt das Feld vom Auth-Typ MD5 an, im Feld Aktive Schlüssel-ID die eindeutige Nummer, die Sie eingegeben haben, um den MD5-Schlüssel zu identifizieren, und das Feld Startzeit zeigt den Zeitpunkt an, zu dem das Routing-Gerät mit einem MD5-Schlüssel beginnt, um OSPF-Pakete zu authentifizieren, die über die von Ihnen konfigurierte Schnittstelle übertragen werden.

Aktion

Geben Sie im Betriebsmodus die show ospf interface Befehle und die show ospf overview Befehle ein.

Verwendung von IPsec zur Sicherung von OSPFv3-Netzwerken (CLI-Prozedur)

OSPF-Version 3 (OSPFv3) verfügt nicht über eine integrierte Authentifizierungsmethode und setzt zur Bereitstellung dieser Funktionalität auf IP-Sicherheit (IPsec). Sie können IPsec verwenden, um OSPFv3-Schnittstellen auf Switches der EX-Serie zu sichern.

Dieses Thema umfasst:

Konfigurieren von Sicherheitszuordnungen

Wenn Sie eine Sicherheitszuordnung (Security Association, SA) konfigurieren, müssen Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und Sicherheitsparameterindex (SPI) angeben.

So konfigurieren Sie eine Sicherheitszuordnung:

  1. Geben Sie einen Namen für die Sicherheitszuordnung an:
  2. Geben Sie den Modus der Sicherheitszuordnung an:
  3. Geben Sie den Typ der Sicherheitszuordnung an:
  4. Geben Sie die Richtung der Sicherheitszuordnung an:
  5. Geben Sie den Wert des Sicherheitsparameterindex an:
  6. Geben Sie den zu verwendenden Authentifizierungstyp an:
  7. Geben Sie den Verschlüsselungsalgorithmus und -schlüssel an:

Sicherung von OPSFv3-Netzwerken

Sie können das OSPFv3-Netzwerk schützen, indem Sie die SA auf die OSPFv3-Konfiguration anwenden.

So sichern Sie das OSPFv3-Netzwerk:

Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle

Dieses Beispiel zeigt, wie Sie die IP-Sicherheitsauthentifizierung (IPsec) für eine OSPF-Schnittstelle aktivieren.

Anforderungen

Bevor Sie beginnen:

Übersicht

Sie können IPsec-Authentifizierung sowohl für OSPFv2 als auch für OSPFv3 verwenden. Sie konfigurieren die tatsächliche IPsec-Authentifizierung separat und wenden sie auf die entsprechende OSPF-Konfiguration an.

OSPFv2

Ab Junos OS Version 8.3 können Sie die IPsec-Authentifizierung verwenden, um OSPFv2-Schnittstellen, den Remoteendpunkt eines Sham-Links und den virtuellen OSPFv2-Link zu authentifizieren, indem Sie manuelle Sicherheitszuordnungen (SAs) verwenden, um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routing-Geräten sicher ist.

Hinweis:

Sie können die IPsec-Authentifizierung zusammen mit MD5- oder einfacher Authentifizierung konfigurieren.

Führen Sie eine der folgenden Schritte aus, um die IPsec-Authentifizierung zu aktivieren:

  • Fügen Sie für eine OSPFv2-Schnittstelle die ipsec-sa name Anweisung für eine bestimmte Schnittstelle ein:

  • Für einen Remote-Schein-Link fügen Sie die ispec-sa name Erklärung für den Remote-Endpunkt des Sham-Links bei:

    Hinweis:

    Wenn eine Layer 3-VPN-Konfiguration mehrere Sham-Links mit derselben Remote-Endpunkt-IP-Adresse enthält, müssen Sie dieselbe IPsec-Sicherheitszuordnung für alle Remote-Endgeräte konfigurieren. Sie konfigurieren ein Layer 3-VPN auf [edit routing-instances routing-instance-name instance-type] Hierarchieebene. Weitere Informationen zu Layer-3-VPNs finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.

  • Für einen virtuellen Link fügen Sie die ipsec-sa name Anweisung für einen bestimmten virtuellen Link ein:

OSPFv3

OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf IPsec, um diese Funktionalität bereitzustellen. Sie verwenden IPsec-Authentifizierung, um OSPFv3-Schnittstellen zu sichern und virtuelle OSPFv3-Verbindungen zu schützen, indem Sie manuelle SAs verwenden, um sicherzustellen, dass der Inhalt eines Pakets zwischen den Routing-Geräten sicher ist.

Führen Sie eine der folgenden Schritte aus, um die Authentifizierung anzuwenden:

  • Fügen Sie für eine OSPFv3-Schnittstelle die ipsec-sa name Anweisung für eine bestimmte Schnittstelle ein:

  • Für einen virtuellen Link fügen Sie die ipsec-sa name Anweisung für einen bestimmten virtuellen Link ein:

Tasks to Complete for Both OSPFv2 and OSPFv3

In diesem Beispiel führen Sie die folgenden Aufgaben aus:

  1. Konfigurieren Sie die IPsec-Authentifizierung. Definieren Sie dazu einen manuellen SA mit dem Namen sa1 und geben Sie die Verarbeitungsrichtung, das Protokoll zum Schutz des IP-Datenverkehrs, den Security Parameter Index (SPI) sowie den Authentifizierungsalgorithmus und -schlüssel an.

    1. Konfigurieren Sie die folgende Option auf [edit security ipsec security-association sa-name mode] Hierarchieebene:

      transport – Gibt den Transportmodus an. Dieser Modus schützt den Datenverkehr, wenn das Kommunikationsendpunkt und das kryptografische Endgerät identisch sind. Der Datenanteil des IP-Pakets ist verschlüsselt, der IP-Header jedoch nicht.

    2. Konfigurieren Sie die folgende Option auf [edit security ipsec security-association sa-name manual direction] Hierarchieebene:

      bidirektional – Definiert die Richtung der IPsec-Verarbeitung. Indem Sie bidrectional angeben, werden die gleichen Algorithmen, Schlüssel und SPI-Werte (Security Paramater Index) in beide Richtungen verwendet.

    3. Konfigurieren Sie die folgenden Optionen auf [edit security ipsec security-association sa-name manual direction bidirectional] Hierarchieebene:

      protokoll: Definiert das IPsec-Protokoll, das von der manuellen SA zum Schutz des IP-Datenverkehrs verwendet wird. Sie können entweder den Authentifizierungs-Header (AH) oder die Encapsulating Security Payload (ESP) angeben. Wenn Sie AH angeben, was in diesem Beispiel der Fall ist, können Sie die Verschlüsselung nicht konfigurieren.

      spi– Konfiguriert den SPI für die manuelle SA. Ein SPI ist ein beliebiger Wert, der eindeutig identifiziert, welche SA auf dem empfangenden Host verwendet werden soll. Der sendenden Host verwendet den SPI, um zu identifizieren und auszuwählen, welche SA zum Schutz jedes Pakets verwendet werden soll. Der empfangende Host verwendet den SPI, um den Verschlüsselungsalgorithmus und den Schlüssel zur Entschlüsselung von Paketen zu identifizieren und auszuwählen. In diesem Beispiel geben Sie 256 an.

      Authentifizierung– Konfiguriert den Authentifizierungsalgorithmus und -schlüssel. Die Algorithmusoption gibt den Hash-Algorithmus an, der Paketdaten authentifiziert. In diesem Beispiel geben Sie hmac-md5-96 an, das einen 128-Bit-Digest erzeugt. Die Schlüsseloption gibt den Typ des Authentifizierungsschlüssels an. In diesem Beispiel geben Sie den ascii-text-Schlüssel an, bei dem es sich um 16 ASCII-Zeichen für den hmac-md5-96-Algorithmus handelt.

  2. Aktivieren Sie die IPsec-Authentifizierung auf der OSPF-Schnittstelle so-0/2/0.0 im Backbone-Bereich (Bereich 0.0.0.0), indem Sie den Namen des manuellen SA sa1 angeben, den [edit security ipsec] Sie auf Hierarchieebene konfiguriert haben.

Topologie

Konfiguration

Konfigurieren von Sicherheitszuordnungen

CLI-Schnellkonfiguration

Wenn Sie schnell eine manuelle SA für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle konfigurieren möchten, kopieren Sie die folgenden Befehle, entfernen Sie alle Zeilenumbrüche und fügen sie dann in die CLI ein.

Schritt-für-Schritt-Verfahren

So konfigurieren Sie eine manuelle SA für die Verwendung auf einer OSPF-Schnittstelle:

  1. Geben Sie einen Namen für die SA ein.

  2. Geben Sie den Modus der SA an.

  3. Konfigurieren Sie die Richtung der manuellen SA.

  4. Konfigurieren Sie das IPsec-Protokoll für die Verwendung.

  5. Konfigurieren Sie den Wert des SPI.

  6. Konfigurieren Sie den Authentifizierungsalgorithmus und -schlüssel.

  7. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

    Hinweis:

    Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPF-Routinggeräten.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show security ipsec Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Hinweis:

Nach der Konfiguration des Kennworts sehen Sie das Kennwort selbst nicht mehr. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle

CLI-Schnellkonfiguration

Um eine für die IPsec-Authentifizierung verwendete manuelle SA schnell auf eine OSPF-Schnittstelle anzuwenden, kopieren Sie den folgenden Befehl und fügen ihn in die CLI ein.

Schritt-für-Schritt-Verfahren

So aktivieren Sie die IPsec-Authentifizierung für eine OSPF-Schnittstelle:

  1. Erstellen Sie einen OSPF-Bereich.

    Hinweis:

    Um OSPFv3 anzugeben, fügen Sie die ospf3 Anweisung auf [edit protocols] Hierarchieebene ein.

  2. Geben Sie die Schnittstelle an.

  3. Wenden Sie die IPsec-manuelle SA an.

  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

    Hinweis:

    Wiederholen Sie diese gesamte Konfiguration auf allen Peer-OSPF-Routinggeräten.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show protocols ospf Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Geben Sie den show protocols ospf3 Befehl ein, um Ihre OSPFv3-Konfiguration zu bestätigen.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der IPsec Security Association-Einstellungen

Zweck

Überprüfen Sie die konfigurierten IPsec-Sicherheitszuordnungseinstellungen. Überprüfen Sie die folgenden Informationen:

  • Das Feld "Security association" zeigt den Namen der konfigurierten Sicherheitszuordnung an.

  • Im Feld SPI wird der von Ihnen konfigurierte Wert angezeigt.

  • Im Feld "Modus" wird der Transportmodus angezeigt.

  • Das Feld Typ wird als Typ der Sicherheitszuordnung manuell angezeigt.

Aktion

Geben Sie im Betriebsmodus den show ipsec security-associations Befehl ein.

Überprüfen der IPsec Security Association auf der OSPF-Schnittstelle

Zweck

Stellen Sie sicher, dass die konfigurierte IPsec-Sicherheitszuordnung auf die OSPF-Schnittstelle angewendet wurde. Bestätigen Sie, dass im Feld IPSec-SA-Name der Name der konfigurierten IPsec-Sicherheitszuordnung angezeigt wird.

Aktion

Geben Sie im Betriebsmodus den show ospf interface detail Befehl für OSPFv2 und den show ospf3 interface detail Befehl für OSPFv3 ein.

Siehe auch

Ähnliche Dokumentation

Tabelle "Versionshistorie"
Release
Beschreibung
22.4R1