Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP の IP セキュリティー

BGP の IPsec について

IP セキュリティ (IPsec) を適用して、トラフィックを BGP することができます。IPsec は、IP トラフィックをパケットレベルで保護するために使用されるプロトコルスイートです。IPsec は、セキュリティーアソシエーション (Sa) をベースにしています。SA は、SA によって運ばれるパケットにセキュリティサービスを提供する、シンプレックス接続です。SA を設定した後、それを BGP のピアに適用できます。

IPsec の Junos OS 実装では、2つのタイプのセキュリティがサポートされます。ホストからゲートウェイへのホスティングとゲートウェイへの入り口。ホストツーホストのセキュリティは、他のルーターとの BGP セッションを保護します。BGP に使用する SA は、手動で設定し、トランスポートモードを使用する必要があります。静的な値は、セキュリティアソシエーションの両端で構成する必要があります。ホスト保護を適用するには、トランスポートモードで手動 Sa を構成し、指定したピアとのセッションを保護するために BGP 設定で SA を名前で参照します。

手動 SAs はピア間でネゴシエーションを必要としません。キーを含むすべての値は静的であり、構成で指定されています。手動の SAs は、使用するセキュリティーパラメータインデックス値、アルゴリズム、およびキーを静的に定義し、トンネルの両方の端点 (両ピアで) に一致する設定を必要とします。そのため、通信を実行するには、各ピアに同じオプションが設定されている必要があります。

トランスポートモードでは、IPsec ヘッダーは、元の IP ヘッダーの後、トランスポートヘッダーの前に挿入されます。

Security parameter index は、SA を一意に識別するための宛先アドレスとセキュリティープロトコルを組み合わせて使用される任意の値です。

例:IPsec を使用して BGP トラフィックを保護する

IPsec は、IP レイヤーでセキュアなネットワーク接続を提供するために使用されるプロトコルセットです。データソース認証、データ整合性、機密性、パケットリプレイ防御を提供するために使用されます。この例では、ルーティングエンジンツールーティングエンジンの BGP セッションを保護するために、IPsec 機能を構成する方法を示します。Junos OS は、トランスポートおよびトンネルモードにおける IPsec 認証ヘッダー (AH) およびカプセル化セキュリティーペイロード (ESP) をサポートするほか、ポリシーを作成し、キーを手動で設定するためのユーティリティでも使用できます。

要件

開始する前に:

  • ルーターのインターフェイスを構成します。

  • 内部ゲートウェイプロトコル (IGP) を設定します。

  • BGP を構成します。

この機能を構成するには、特定の PIC ハードウェアは必要ありません。

概要

SA は、 [edit security ipsec security-association name]階層レベルで設定され、 mode文はトランスポートに設定しています。トランスポートモードでは、Junos OS は、認証ヘッダー (AH) またはカプセル化セキュリティーペイロード (ESP) ヘッダーバンドルをサポートしていません。Junos OS は、トランスポートモードの BGP プロトコルのみをサポートしています。

この例では、双方向で異なる属性を使用するインバウンドおよびアウトバウンドの SAs とは異なり、両方の方向で同じアルゴリズム、キー、および SPI を使用して、受信および送信トラフィックを復号化して認証する双方向 IPsec を指定します。

特化した SA は、より一般的な SA よりも優先されます。たとえば、特定の SA が特定のピアに適用されている場合、SA はピアグループ全体に適用される SA を上書きします。

トポロジー図

図 1は、この例で使用されているトポロジを示しています。

図 1: BGP の IPsecBGP の IPsec

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更してから、コマンドを [edit] 階層レベルで CLI にコピーアンドペーストします。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

ルーター R1 を構成するには、次のようになります。

  1. SA モードを設定します。

  2. IPsec プロトコルを使用するように設定します。

  3. SA を一意に識別するように、security parameter index に設定します。

  4. 暗号化アルゴリズムを設定します。

  5. 暗号化キーを設定します。

    ASCII テキストキーを使用する場合、キーは24文字で指定する必要があります。

  6. SA を BGP ピアに適用します。

結果

設定モードから、 show protocolsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。ルーター R0 の設定を繰り返して、近隣アドレスのみを変更します。

検証

構成が正常に機能していることを確認します。

セキュリティの Associaton を検証しています

目的

show ipsec security-associationsコマンドの出力に正しい設定が表示されていることを確認してください。

アクション

動作モードから、 show ipsec security-associationsコマンドを入力します。

この出力は、AUX フィールド以外のほとんどのフィールドで straighforward されています。AUX は、補助的なセキュリティパラメータインデックスの価値を示しています。値が AH または ESP である場合、AUX は常に0になります。値が AH + ESP である場合、AUX は常に正の整数になります。