Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP の IP セキュリティ

BGP の IPsec について

BGP トラフィックに IP セキュリティ(IPsec)を適用できます。IPsec は、パケット レベルで IP トラフィックを保護するために使用されるプロトコル スイートです。IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、SA が伝送するパケットにセキュリティ サービスを提供するシンプレックス接続です。SA を設定したら、BGP ピアに適用できます。

IPsecのJunos OS実装は、2種類のセキュリティをサポートしています。ホストからホスト、およびゲートウェイからゲートウェイ。ホストツーホストセキュリティは、他のルーターとのBGPセッションを保護します。BGP と併せて使用される SA は、手動で設定し、トランスポート モードを使用する必要があります。静的値は、セキュリティ アソシエーションの両端で設定する必要があります。ホスト保護を適用するには、トランスポート モードで手動 SA を設定し、BGP 設定で SA を名前で参照して、特定のピアとのセッションを保護します。

マニュアル, 手動 SA には、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は、静的であり、設定で指定されます。手動 SA は、使用するセキュリティ パラメータのインデックス値、アルゴリズム、および鍵を静的に定義し、トンネルの両エンド ポイント(両方のピア)で一致する設定が必要です。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。

トランスポート モードでは、IPsec ヘッダーは元の IP ヘッダーの後、トランスポート ヘッダーの前に挿入されます。

セキュリティ パラメーター インデックスは、SA を一意に識別するために宛先アドレスおよびセキュリティ プロトコルと組み合わせて使用される任意の値です。

例:IPsec を使用して BGP トラフィックを保護

IPsec は、IP レイヤーでセキュアなネットワーク接続を提供するために使用されるプロトコル スイートです。データソース認証、データ整合性、機密性、パケットリプレイ保護を提供するために使用されます。この例では、ルーティング エンジン間の BGP セッションを保護するために IPsec 機能を設定する方法を示します。Junos OSは、トランスポートモードとトンネルモードでのIPsec認証ヘッダー(AH)とカプセル化セキュリティペイロード(ESP)、およびポリシーの作成とキーの手動設定のためのユーティリティをサポートしています。

要件

開始する前に、以下を実行します。

  • ルーター・インターフェイスを設定します。

  • 内部ゲートウェイプロトコル(IGP)を設定します。

  • BGP を設定します。

この機能を設定するのに特定のPICハードウェアは必要ありません。

概要

SA は、 [edit security ipsec security-association name] 階層レベルで設定され、 mode ステートメントは transport に設定されます。トランスポートモードでは、Junos OSは認証ヘッダー(AH)またはカプセル化セキュリティペイロード(ESP)ヘッダーバンドルをサポートしません。Junos OSは、トランスポートモードのBGPプロトコルのみをサポートします。

この例では、双方向で異なる属性を使用するインバウンドとアウトバウンドの SA とは異なり、双方向 IPsec を指定し、双方向で同じアルゴリズム、キー、および SPI を使用して、着信トラフィックと発信トラフィックを復号化および認証します。

より具体的な SA は、より一般的な SA よりも優先されます。例えば、特定の SA が特定のピアに適用された場合、その SA はピア グループ全体に適用された SA を上書きします。

トポロジー図

図 1 この例で使用されているトポロジーを示しています。

図 1: BGP の IPsecBGP の IPsec

設定

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

ステップバイステップでの手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

ルータ R1 の設定を行う。

  1. SA モードを設定します。

  2. 使用するIPsecプロトコルを設定します。

  3. SA を一意に識別するためのセキュリティ パラメータ インデックスを設定します。

  4. 暗号化アルゴリズムを設定します。

  5. 暗号化キーを設定します。

    ASCIIテキストキーを使用する場合、キーは24文字で指定する必要があります。

  6. SA を BGP ピアに適用します。

結果

設定モードから、show protocols および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。ルーター R0 の設定を繰り返し、ネイバー アドレスのみを変更します。

検証

設定が正常に機能していることを確認します。

セキュリティアソシエーションの検証

目的

show ipsec security-associations コマンドの出力に正しい設定が表示されていることを確認します。

アクション

動作モードから show ipsec security-associations コマンドを入力します。

意味

出力は、AUX-SPI フィールドを除くほとんどのフィールドに対してストレートフォワードです。AUX-SPI は、補助セキュリティ パラメーター インデックスの値です。値が AH または ESP の場合、AUX-SPI は常に 0 になります。値が AH+ESP の場合、AUX-SPI は常に正の整数になります。