Konfigurieren von IPsec-Sicherheitszuordnungen
Konfigurieren manueller IPsec-Sicherheitszuordnungen für einen ES PIC
Um IPsec-Sicherheitsdienste verwenden zu können, erstellen Sie Sicherheitszuordnungen (Security Associations, SAs) zwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, mittels IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von Sicherheitszuordnungen: manuelle und dynamische.
Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen. Alle Werte, einschließlich der Schlüssel, sind statisch und werden in der Konfiguration angegeben. Daher können Peers nur dann kommunizieren, wenn sie alle die gleichen konfigurierten Optionen verwenden.
Um die manuelle IPsec-SA für einen ES PIC zu konfigurieren, fügen Sie die manuelle Anweisung auf der Hierarchieebene edit security ipsec security-association sa-name] ein:
[edit security ipsec security-association sa-name]
manual {
direction (inbound | outbound | bi-directional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spiauxiliary-spi-value;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
Aufgaben zum Konfigurieren einer manuellen Sicherheitszuordnung sind:
- Konfiguration der Verarbeitungsrichtung
- Protokoll für eine manuelle SA konfigurieren
- Konfigurieren des Sicherheitsparameterindex
- Konfigurieren des Index für zusätzliche Sicherheitsparameter
- Konfigurieren des Authentifizierungsalgorithmus und des Schlüssels
- Konfigurieren des Verschlüsselungsalgorithmus und -schlüssels
Konfiguration der Verarbeitungsrichtung
Die direction-Anweisung legt die eingehende und ausgehende IPsec-Verarbeitung fest. Wenn Sie für jede Richtung unterschiedliche Algorithmen, Schlüssel oder SPI-Werte (Security Parameter Index) definieren möchten, konfigurieren Sie die Optionen für eingehenden und ausgehenden Datenverkehr. Wenn Sie die gleichen Attribute in beide Richtungen verwenden möchten, verwenden Sie die bidirektionale Option.
Um die Richtung der IPsec-Verarbeitung zu konfigurieren, fügen Sie die direction-Anweisung ein, und geben Sie die Richtung auf der Hierarchieebene [edit security ipsec security-association sa-name manual] an:
[edit security ipsec security-association sa-name manual] direction (inbound | outbound | bidirectional);
Das folgende Beispiel zeigt, wie unterschiedliche Algorithmen, Schlüssel und Indexwerte für Sicherheitsparameter für eingehende und ausgehende Verarbeitungsrichtungen definiert werden:
[edit security ipsec security-association sa-name]
manual {
direction inbound {
encryption {
algorithm 3des-cbc;
key ascii-text 23456789012345678901234;
}
protocol esp;
spi 16384;
}
direction outbound {
encryption {
algorithm 3des-cbc;
key ascii-text 12345678901234567890abcd;
}
protocol esp;
spi 24576;
}
}
Das folgende Beispiel zeigt, wie dieselben Algorithmen, Schlüssel und Indexwerte für Sicherheitsparameter für die bidirektionale Verarbeitung definiert werden:
[edit security ipsec security-association sa-name manual]
direction bidirectional {
authentication {
algorithm hmac-md5-96;
key ascii-text 123456789012abcd;
}
protocol ah;
spi 20001;
}
Protokoll für eine manuelle SA konfigurieren
IPsec verwendet zwei Protokolle zum Schutz des IP-Datenverkehrs: Encapsulating Security Payload (ESP) und Authentifizierungsheader (AH). Für Transportmodus-SAs werden sowohl ESP als auch AH unterstützt. Für die starke Authentifizierung wird das AH-Protokoll verwendet. Die Bundle-Option verwendet AH-Authentifizierung und ESP-Verschlüsselung. Es wird keine ESP-Authentifizierung verwendet, da AH eine stärkere Authentifizierung von IP-Paketen bietet.
Das AH-Protokoll wird nur auf Routern der M-Serie unterstützt.
Um das IPsec-Protokoll auf einem ES PIC zu konfigurieren, fügen Sie die Protokollanweisung auf der Hierarchieebene edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirektional)] ein und geben Sie die Option ah, bundle oder esp an:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] protocol (ah | bundle | esp);
Konfigurieren des Sicherheitsparameterindex
Ein SPI ist ein beliebiger Wert, der eindeutig angibt, welche SA auf dem empfangenden Host verwendet werden soll. Der sendende Host verwendet die SPI, um zu identifizieren und auszuwählen, welche SA zur Sicherung jedes Pakets verwendet werden soll. Der empfangende Host verwendet die SPI, um den Verschlüsselungsalgorithmus und den Schlüssel zum Entschlüsseln von Paketen zu identifizieren und auszuwählen.
Jede manuelle Sicherheitszuordnung muss über eine eindeutige Kombination aus SPI und Protokoll verfügen.
Verwenden Sie die Hilfs-SPI, wenn Sie die Protokollanweisung für die Verwendung der Bundle-Option konfigurieren.
Um die SPI auf einem ES PIC zu konfigurieren, fügen Sie die spi-Anweisung ein, und geben Sie einen Wert (256 bis 16.639) auf der Hierarchieebene [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional] an:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] spi spi-value;
Konfigurieren des Index für zusätzliche Sicherheitsparameter
Wenn Sie die Protokollanweisung für die Verwendung der Bundle-Option konfigurieren, verwendet das Junos-Betriebssystem die Hilfs-SPI für das ESP und die SPI für den AH.
Jede manuelle Sicherheitszuordnung muss über eine eindeutige Kombination aus SPI und Protokoll verfügen.
Um die Hilfs-SPI zu konfigurieren, fügen Sie die auxiliary-spi-Anweisung auf der Hierarchieebene [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] ein und legen Sie den Wert auf eine ganze Zahl zwischen 256 und 16.639 fest:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] auxiliary-spi auxiliary-spi-value;
Konfigurieren des Authentifizierungsalgorithmus und des Schlüssels
Um einen Authentifizierungsalgorithmus und -schlüssel zu konfigurieren, fügen Sie die Authentifizierungsanweisung auf der Hierarchieebene [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] ein:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)]
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
Der Algorithmus kann einer der folgenden sein:
hmac-md5-96 - Hash-Algorithmus, der Paketdaten authentifiziert. Es erzeugt einen 128-Bit-Authentifikatorwert und einen 96-Bit-Digest.
hmac-sha1-96 - Hash-Algorithmus, der Paketdaten authentifiziert. Es erzeugt einen 160-Bit-Authentifikatorwert und einen 96-Bit-Digest.
Der Schlüssel kann einer der folgenden sein:
ASCII-Text key—ASCII-Texttaste. Mit der Option hmac-md5-96 enthält der Schlüssel
16 ASCII-Zeichen. Bei der Option hmac-sha1-96 enthält der Schlüssel 20 ASCII-Zeichen.
hexadezimal key– Hexadezimalschlüssel. Bei der Option hmac-md5-96 enthält der Schlüssel 32 Hexadezimalzeichen. Bei der Option hmac-sha1-96 enthält der Schlüssel 40 Hexadezimalzeichen.
Konfigurieren des Verschlüsselungsalgorithmus und -schlüssels
Um die IPsec-Verschlüsselung zu konfigurieren, fügen Sie die Verschlüsselungsanweisung ein, und geben Sie einen Algorithmus und einen Schlüssel auf der Hierarchieebene [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] an:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)]
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
Der Algorithmus kann einer der folgenden sein:
des-cbc: Verschlüsselungsalgorithmus mit einer Blockgröße von 8 Byte; Seine Schlüssellänge beträgt 64 Bit.
3des-cbc: Verschlüsselungsalgorithmus mit einer Blockgröße von 24 Byte; Seine Schlüssellänge beträgt 192 Bit.
Anmerkung:Eine Liste der schwachen und halbschwachen Schlüssel des Data Encryption Standard (DES)-Verschlüsselungsalgorithmus finden Sie unter RFC 2409. Für 3des-cbc wird empfohlen, dass die ersten 8 Bytes nicht mit den zweiten 8 Bytes identisch sind und dass die zweiten 8 Bytes mit den dritten 8 Bytes identisch sind.
Der Schlüssel kann einer der folgenden sein:
ascii-text: ASCII-Textschlüssel. Bei der Option des-cbc enthält der Schlüssel 8 ASCII-Zeichen. Bei der Option 3des-cbc enthält der Schlüssel 24 ASCII-Zeichen.
hexadezimal: Hexadezimalschlüssel. Bei der Option des-cbc enthält der Schlüssel 16 Hexadezimalzeichen. Bei der Option 3des-cbc enthält der Schlüssel 48 Hexadezimalzeichen.
Anmerkung:Sie können die Verschlüsselung nicht konfigurieren, wenn Sie das AH-Protokoll verwenden.
Siehe auch
Konfigurieren dynamischer IPsec-Sicherheitszuordnungen
Sie konfigurieren dynamische Sicherheitszuordnungenmit einer Reihe von Vorschlägen, die von den Sicherheitsgateways ausgehandelt werden. Die Schlüssel werden im Rahmen der Aushandlung generiert und müssen nicht in der Konfiguration angegeben werden. Die dynamische Sicherheitszuordnung enthält einen oder mehrere Vorschläge, mit denen Sie eine Liste von Protokollen und Algorithmen priorisieren können, die mit dem Peer ausgehandelt werden sollen.
Um eine dynamische Sicherheitszuordnung zu konfigurieren, fügen Sie die dynamic-Anweisung auf der Hierarchieebene [edit security ipsec security-associationsa-name] ein. Geben Sie einen IPsec-Richtliniennamen und optional eine Wiedergabefenstergröße von 32 oder 64 Paketen an.
[edit security ipsec security-association sa-name]
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}