Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP 向け IP セキュリティ

BGP の IPsec について

IP セキュリティ(IPsec)を BGP トラフィックに適用できます。IPsec は、パケット レベルでの IP トラフィックの保護に使用されるプロトコル スイートです。IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、SA が伝送するパケットにセキュリティ サービスを提供するシンプルな接続です。SA を設定した後、それを BGP ピアに適用できます。

IPsec の Junos OS 実装では、次の 2 種類のセキュリティがサポートされています。ホストとゲートウェイ間の間で行いますホスト間セキュリティは、他のルーターとのBGPセッションを保護します。BGP で使用する SA は手動で設定し、トランスポート モードを使用する必要があります。静的値は、セキュリティ アソシエーションの両端で設定する必要があります。ホスト保護を適用するには、トランスポート モードで手動 SA を設定し、BGP 設定で名前で SA を参照して、特定のピアとのセッションを保護します。

手動 SA では、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は静的で、設定で指定されます。手動 SA は、使用するセキュリティー パラメーターのインデックス値、アルゴリズム、キーを静的に定義し、トンネルの両方のエンド ポイント(両方のピア)で一致する設定を必要とします。その結果、各ピアは、通信を行うために同じ設定されたオプションを持っていなければなりません。

トランスポート モードでは、IPsec ヘッダーは元の IP ヘッダーの後、およびトランスポート ヘッダーの前に挿入されます。

セキュリティ パラメーター インデックスは、SA を一意に識別するために宛先アドレスとセキュリティ プロトコルと組み合わせて使用される任意の値です。

例:IPsec を使用した BGP トラフィックの保護

IPsec は、IP レイヤーでセキュアなネットワーク接続を提供するために使用される一連のプロトコルです。データ ソース認証、データ整合性、機密性、パケット リプレイ保護を提供するために使用されます。この例では、ルーティング エンジンからルーティング エンジンへの BGP セッションを保護するために IPsec 機能を設定する方法を示しています。Junos OS は、トランスポート およびトンネル モードで IPsec 認証ヘッダー(AH)と ESP(セキュリティ ペイロードのカプセル化)をサポートします。また、ポリシーを作成し、キーを手動で設定するためのユーティリティもサポートしています。

要件

開始する前に、以下を行います。

  • ルーター インターフェイスを設定します。

  • IGP(Interior Gateway Protocol)を設定します。

  • BGP を設定します。

この機能を設定するために特定のPICハードウェアは必要ありません。

概要

SA は、ステートメントが [edit security ipsec security-association name] transport に設定された mode 階層レベルで設定されます。トランスポート モードでは、Junos OS は AH(認証ヘッダー)や ESP(セキュリティ ペイロードのカプセル化)ヘッダー バンドルをサポートしていません。Junos OS は、トランスポート モードで BGP プロトコルのみをサポートします。

この例では、双方向の IPsec を指定し、双方向で異なる属性を使用するインバウンド SA とアウトバウンド SA とは異なり、同じアルゴリズム、キー、SPI を両方向で使用して送受信トラフィックを復号化および認証します。

より具体的な SA は、より一般的な SA をオーバーライドします。たとえば、特定の SA が特定のピアに適用されている場合、その SA はピア グループ全体に適用された SA をオーバーライドします。

トポロジー図

図 1 は、この例で使用されているトポロジを示しています。

図 1: BGP 用 IPsec BGP 用 IPsec

設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更してから、コマンドを [編集] 階層レベルの CLI にコピーアンドペーストします。

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『Junos OS CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

ルーター R1 を設定するには、次の手順に応えます。

  1. SA モードを設定します。

  2. 使用する IPsec プロトコルを設定します。

  3. SA を一意に識別するようにセキュリティ パラメーター インデックスに設定します。

  4. 暗号化アルゴリズムを設定します。

  5. 暗号化キーを設定します。

    ASCII テキスト キーを使用する場合、キーには 24 文字を正確に含める必要があります。

  6. SA を BGP ピアに適用します。

結果

設定モードから、and show security コマンドを入力して設定をshow protocols確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。ルーター R0 で設定を繰り返し、ネイバー アドレスのみを変更します。

検証

設定が正しく機能していることを確認します。

セキュリティの関連付けを検証する

目的

コマンドの出力 show ipsec security-associations に正しい設定が表示されていることを確認します。

対処

動作モードから、コマンドを show ipsec security-associations 入力します。

意味

AUX-SPI フィールドを除くほとんどのフィールドでは、出力が右向きになります。AUX-SPI は、補助セキュリティー パラメーター インデックスの値です。値が AH または ESP の場合、AUX-SPI は常に 0 になります。値が AH+ESP の場合、AUX-SPI は常に正の整数になります。