Sichern von OSPFv2-Netzwerken mit dem IPsec-Transportmodus
Standardmäßig können Sie MD5- oder kennwortbasierte Authentifizierung mit einfachem Text über OSPFv2-Links konfigurieren. Zusätzlich zu diesen Standardauthentifizierungen unterstützt das Junos-Betriebssystem OSPFv2 mit einem Sicherheitsauthentifizierungs-Header (AH), Encapsulating Security Payload (ESP) oder einem IPsec-Protokollpaket, das sowohl AH als auch ESP unterstützt. Sie können IPsec über OSPFv2 mithilfe von Transportmodus-Sicherheitszuordnungen für physische, Schein- oder virtuelle Verbindungen konfigurieren.
Da das Junos-Betriebssystem nur bidirektionale Sicherheitszuordnungen über OSPFv2 unterstützt, müssen OSPFv2-Peers mit derselben IPsec-Sicherheitszuordnung konfiguriert werden. Durch die Konfiguration von OSPFv2-Peers mit unterschiedlichen Sicherheitszuordnungen oder mit dynamischem IKE wird verhindert, dass Nachbarschaften hergestellt werden. Darüber hinaus müssen Sie identische Sicherheitszuordnungen für Scheinverbindungen mit derselben Remoteendpunktadresse, für virtuelle Verbindungen mit derselben Remoteendpunktadresse, für alle Nachbarn auf OSPF-NBMA- (Nonbroadcast Multiaccess) oder Punkt-zu-Mehrpunkt-Verbindungen und für jedes Subnetz, das Teil einer Broadcast-Verbindung ist, konfigurieren.
Um eine manuelle bidirektionale Sicherheitszuordnung zu erstellen, fügen Sie die security-association security-association-name Anweisung auf der Hierarchieebene [edit security ipsec] ein:
[edit]
security {
ipsec {
security-association security-association name {
mode transport;
manual {
direction bidirectional {
protocol (ah | esp | bundle);
spi spi--value;
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
}
}
}
}
}
Um IPsec auf einer OSPFv2-Schnittstelle zu konfigurieren, erstellen Sie eine Transportmodus-Sicherheitszuordnung, und fügen Sie die ipsec-sa name Anweisung auf der Hierarchieebene [edit protocols ospf areaarea-id] ein:
[edit]
protocols {
ospf {
area area-id {
interface interface-name {
ipsec-sa sa-name;
}
virtual-link neighbor-id a.b.c.d transit-area x.x.x.x {
ipsec-sa sa-name;
}
sham-link-remote {
ipsec-sa sa-name;
}
}
}
}
Um Ihre Konfiguration zu überprüfen, geben Sie den show ospf interface detail Befehl ein. Dieser Befehl liefert detaillierte Informationen über die ospfv2-Schnittstelle und zeigt die Sicherheitszuordnung der Schnittstelle am unteren Rand der Ausgabe an. Im folgenden Beispiel ist die auf diesem Router konfigurierte Sicherheitszuordnung sa1.
user@router> show ospf interface detail Interface State Area DR ID BDR ID Nbrs fe-0/0/1.0 BDR 0.0.0.0 192.168.37.12 10.255.245.215 1 Type LAN, address 192.168.37.11, Mask 255.255.255.248, MTU 4460, Cost 40 DR addr 192.168.37.12, BDR addr 192.168.37.11, Adj count 1, Priority 128 Hello 10, Dead 40, ReXmit 5, Not Stub t1-0/2/1.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 0 Type P2P, Address 0.0.0.0, Mask 0.0.0.0, MTU 1500, Cost 2604 Adj count 0 Hello 10, Dead 40, ReXmit 5, Not Stub Auth type: MD5, Active key ID 3, Start time 2002 Nov 19 10:00:00 PST IPsec SA Name: sa1