OSPF認証の設定
EXシリーズスイッチ上のOSPFパケットのIPsec認証について
IPセキュリティ(IPsec)は、送信者を認証し、ネットワークデバイス間のIPバージョン4(IPv4)トラフィックを暗号化する安全な方法を提供します。IPsec は、ジュニパーネットワークス EX シリーズ イーサネット スイッチのネットワーク管理者とそのユーザーに、データの機密性、データ整合性、送信者認証、アンチリプレイ サービスのメリットを提供します。
IPsec は、IP ネットワークを介したセキュアなプライベート通信を確保するためのフレームワークであり、IETF(International Engineering Task Force)が開発した規格に基づいています。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、OSI(Open Systems Interconnection)モデルのネットワーク レイヤーでセキュリティ サービスを提供します。IPsec を使用して、1 組のホスト間、1 組のセキュリティ ゲートウェイ(スイッチなど)間、またはセキュリティ ゲートウェイとホスト間の 1 つ以上のパスを保護できます。
OSPF バージョン 3(OSPFv3)は、OSPF バージョン 2(OSPFv2)とは異なり、認証方法が組み込まれていないので、この機能を提供するために IPsec に依存しています。特定の OSPFv3 インターフェイスを保護し、OSPFv3 仮想リンクを保護できます。
認証アルゴリズム
認証は、送信者のIDを検証するプロセスです。認証アルゴリズムは、共有キーを使用してIPsecデバイスの信頼性を検証します。ジュニパーネットワークス Junos オペレーティング システム(Junos OS)では、以下の認証アルゴリズムを使用します。
Message Digest 5(MD5)では、一方向ハッシュ関数を使用して、任意の長さのメッセージを 128 ビットの固定長メッセージ ダイジェストに変換します。変換プロセスがあるため、生成されたメッセージ ダイジェストから後方に計算することで、元のメッセージを数学的に計算することは不可能です。同様に、メッセージ内の 1 文字を変更すると、非常に異なるメッセージ ダイジェスト番号が生成されます。
メッセージが改ざんされていないことを確認するために、Junos OSは計算されたメッセージダイジェストを、共有キーで復号化されたメッセージダイジェストと比較します。Junos OS は、MD5 ハッシュ メッセージ認証コード(HMAC)バリエーションを使用して、さらなるハッシュ レベルを提供します。MD5 は、AH(認証ヘッダー)と ESP(セキュリティ ペイロードのカプセル化)に使用できます。
セキュア ハッシュ アルゴリズム 1(SHA-1)は、MD5 よりも強力なアルゴリズムを使用します。SHA-1 は、長さが 264 ビット未満のメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成します。大きなメッセージダイジェストにより、データは変更されず、正しいソースから発信されます。Junos OS は、ハッシュのレベルを追加する SHA-1 HMAC バリアントを使用します。SHA-1 は、AH、ESP、インターネット鍵交換(IKE)で使用できます。
暗号化アルゴリズム
暗号化は、データを安全な形式にエンコードし、不正なユーザーがデータを解読できないようにします。認証アルゴリズムと同様に、共有鍵は暗号化アルゴリズムと一緒に使用され、IPsecデバイスの信頼性を検証します。Junos OS は、以下の暗号化アルゴリズムを使用します。
DES-CBC(データ暗号化標準暗号ブロック チェイニング)は、対称的な秘密鍵ブロック アルゴリズムです。DES では、鍵サイズは 64 ビットで、エラー検出には 8 ビットを使用し、残りの 56 ビットは暗号化を提供します。DES は、共有キーに対して、順列や置換を含む一連のシンプルな論理操作を実行します。CBC は、DES からの 64 ビット出力の最初のブロックを取得し、このブロックを 2 番目のブロックと組み合わせて、これを DES アルゴリズムにフィードし、後続のすべてのブロックに対してこのプロセスを繰り返します。
トリプル DES-CBC(3DES-CBC)は DES-CBC と似ていますが、168 ビット(3 x 56 ビット)暗号化に 3 つの鍵を使用するため、はるかに強力な暗号化結果を提供する暗号化アルゴリズムです。3DES は、最初の鍵を使用してブロックを暗号化し、2 番目の鍵を使用してブロックを暗号化解除し、3 つ目の鍵を使用してブロックを再暗号化することで機能します。
IPsec プロトコル
IPsec プロトコルは、スイッチによって保護されたパケットに適用される認証と暗号化のタイプを決定します。Junos OSは、以下のIPsecプロトコルをサポートしています。
AH— RFC 2402 で定義されている AH は、IPv4 のコネクションレス整合性とデータ送信元の認証を提供します。また、リプレイに対する保護も提供します。AH は、IP ヘッダーと上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドはトランジットで変更される場合があります。これらのフィールドの値は送信者によって予測可能ではないため、AH によって保護できません。IP ヘッダーでは、IPv4 パケットのプロトコル フィールドの値が 51 の AH を識別できます。
ESP— RFC 2406 で定義されている ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。IP ヘッダーでは、ESP は IPv4 パケットのプロトコル フィールドの値 50 で識別できます。
セキュリティ アソシエーション
IPsec で考慮すべき点は、実装する SA(セキュリティ アソシエーション)のタイプです。SAは、IPsec関係を確立しているデバイス間でネゴシエートされたIPsec仕様のセットです。これらの仕様には、IPsec 接続の確立時に使用する認証、暗号化、および IPsec プロトコルのタイプに関する設定が含まれています。SAは、ネットワーク管理者が行う選択に応じて、一方向または双方向のいずれかです。SA は、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、AH または ESP(セキュリティ プロトコル)識別子によって一意に識別されます。
IPsec モード
Junos OSは、以下のIPsecモードをサポートしています。
トンネル モードは、Junos OS の AH と ESP の両方でサポートされています。トンネルモードでは、SAと関連プロトコルがトンネリングされたIPv4またはIPv6パケットに適用されます。トンネルモードSAの場合、外部IPヘッダーはIPsec処理先を指定し、内部IPヘッダーはパケットの最終宛先を指定します。セキュリティプロトコルヘッダーは、外部IPヘッダーの後、内側IPヘッダーの前に表示されます。さらに、AH および ESP で実装した場合、トンネル モードには若干の違いがあります。
AH の場合、外部 IP ヘッダーの一部と、トンネリングされた IP パケット全体が保護されます。
ESP の場合、外部ヘッダーではなく、トンネリングされたパケットのみが保護されます。
SAの片側がセキュリティゲートウェイ(スイッチなど)の場合、SAはトンネルモードを使用する必要があります。ただし、トラフィック(SNMP コマンドや BGP セッションなど)がスイッチを宛先とする場合、システムはホストとして機能します。この場合、システムはセキュリティ ゲートウェイとして機能せず、トランジット トラフィックの送受信も行わないため、トランスポート モードが許可されます。
メモ:トンネル モードは、OSPF v3 制御パケット認証ではサポートされていません。
トランスポートモードは、2つのホスト間でSAを提供します。トランスポート モードでは、プロトコルは主に上位レイヤープロトコルに保護を提供します。トランスポートモードセキュリティプロトコルヘッダーは、IPヘッダーとオプションの直後、および上位レイヤープロトコル(TCPやUDPなど)の前に表示されます。AH および ESP で実装すると、トランスポート モードに若干の違いがあります。
AHでは、IPヘッダーの選択された部分、および拡張ヘッダーの選択された部分とIPv4ヘッダー内の選択されたオプションが保護されています。
ESP の場合、上位レイヤープロトコルのみが保護され、IP ヘッダーや ESP ヘッダーの前にある拡張ヘッダーは保護されません。
OSPFv2認証について
すべてのOSPFv2プロトコル交換を認証することで、信頼できるルーティングデバイスのみが自律システムのルーティングに参加することを保証できます。デフォルトでは、OSPFv2認証は無効になっています。
OSPFv3 には認証方法が組み込まれていません。この機能は IP セキュリティ(IPsec)に依存しています。
以下の認証タイプを有効にすることができます。
-
シンプルな認証—送信パケットに含まれるプレーンテキストパスワードを使用して認証します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。
-
MD5認証—送信パケットに含まれるエンコードされたMD5チェックサムを使用して認証します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。
各インターフェイスにMD5キーを定義します。インターフェイスでMD5が有効になっている場合、そのインターフェイスはMD5認証に成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティングデバイスは、そのインターフェイスに定義された同じキー識別子(ID)を使用して送信されたOSPFv2パケットのみを受け入れます。
-
IPsec認証(Junos OSリリース8.3以降)—手動セキュリティアソシエーション(SA)を使用して、OSPFv2インターフェイス、シャムリンクのリモートエンドポイント、およびOSPFv2仮想リンクを認証し、ルーティングデバイス間でパケットのコンテンツが安全であることを確認します。実際のIPsec認証は個別に設定します。
メモ:MD5 またはシンプルな認証のいずれかを使用して、IPsec 認証を構成できます。
OSPFv2 の IPsec 認証には、以下の制限が適用されます。
-
動的インターネット鍵交換(IKE)SAはサポートされていません。
-
IPsecトランスポートモードのみがサポートされています。トンネルモードはサポートされていません。
-
双方向手動 SA のみがサポートされているため、すべての OSPFv2 ピアを同じ IPsec SA で設定する必要があります。階層レベルで手動双方向 SA を設定します
[edit security ipsec]。 -
同じリモート エンドポイント アドレスを持つすべての仮想リンク、OSPF NBMA(非ブロードキャスト マルチアクセス)またはポイントツーマルチポイント リンク上のすべてのネイバー、およびブロードキャスト リンクの一部である各サブネットに対して、同じ IPsec SA を設定する必要があります。
-
OSPFv2 ピア インターフェイスはサポートされていません。
-
OSPF はエリア レベルで認証を実行するため、エリア内のすべてのルーティング デバイスに同じ認証と対応するパスワード(キー)が設定されている必要があります。MD5認証を機能させるには、送受信するルーティングデバイスの両方に同じMD5キーが必要です。さらに、シンプルなパスワードと MD5 鍵は相互に排他的です。簡単なパスワードは 1 つだけですが、複数の MD5 キーを設定できます。
セキュリティ対策の一環として、MD5 キーを変更できます。これを行うには、それぞれ固有のキー ID を持つ複数の MD5 キーを設定し、新しいキーに切り替える日付と時刻を設定します。各固有の MD5 キーには固有 ID があります。ID は、OSPF パケットの受信者が認証に使用する鍵を決定するために使用します。MD5認証に必要なキーIDは、MD5キーに関連付けられた識別子を指定します。
Junos OSリリース22.4R1以降、複数のアクティブキーを使用したOSPF MD5認証のアドバタイズをサポートし、インターフェイスごとに最大2つのキーを使用するパケットを送信します。インターフェイスでいつでも複数のキーをアクティブにすると、OSPF の鍵から別のキーへのスムーズな移行が可能になります。OSPF セッションに影響を与えることなく、古いキーを削除できます。
「」も参照
OSPFv3認証について
OSPFv3 には認証方法が組み込まれていません。この機能は IP セキュリティ(IPsec)スイートに依存しています。IPsec は、送信元の認証、データ整合性、機密性、リプレイ保護、送信元否否防止などの機能を提供します。IPsec を使用して、特定の OSPFv3 インターフェイスのセキュリティを強化し、OSPFv3 仮想リンクを保護できます。
実際の IPsec 認証は、OSPFv3 設定とは別に設定し、IPsec を OSPFv3 インターフェイスまたは OSPFv3 仮想リンクに適用します。
OSPFv3 は、IPsec プロトコルの AH(IP 認証ヘッダー)と IP ESP(IP カプセル化セキュリティ ペイロード)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。また、リプレイに対する保護も提供します。AH は、IP ヘッダーと上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドはトランジットで変更される場合があります。これらのフィールドの値は送信者によって予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。
IPsec は SA(セキュリティ アソシエーション)に基づいています。SAは、IPsec関係を確立しているデバイス間でネゴシエートされたIPsec仕様のセットです。このシンプレックス接続は、SAが伝送するパケットにセキュリティサービスを提供します。これらの仕様には、IPsec 接続の確立時に使用する認証、暗号化、および IPsec プロトコルのタイプに関する設定が含まれています。SAは、一方向の特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローは一対の SA によって保護されます。OSPFv3 と共に使用する SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端に静的値を設定する必要があります。
手動 SA では、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメーター インデックス)の値、アルゴリズム、キーを静的に定義し、両方のエンド ポイント(OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアは、通信を行うために同じ設定されたオプションを持っている必要があります。
暗号化と認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、以下の推奨事項があります。
NULL 暗号化付き ESP を使用して、OSPFv3 プロトコル ヘッダーのみに認証を提供します。NULL 暗号化では、OSPFv3 ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングやデバッグに便利です。NULL 暗号化の詳細については、 RFC 2410、 NULL 暗号化アルゴリズムとその IPsec での使用を参照してください。
完全な機密性のために NULL 以外の暗号化で ESP を使用します。NULL 以外の暗号化では、暗号化を提供することを選択します。NULL 暗号化の詳細については、 RFC 2410、 NULL 暗号化アルゴリズムとその IPsec での使用を参照してください。
AH を使用して、OSPFv3 プロトコル ヘッダー、IPv6 ヘッダーの一部、および拡張ヘッダーの一部に認証を提供します。
OSPFv3 の IPsec 認証には、以下の制限が適用されます。
動的インターネット鍵交換(IKE)セキュリティ アソシエーション(SA)はサポートされていません。
IPsecトランスポートモードのみがサポートされています。トランスポートモードでは、IPパケットのペイロード(転送するデータ)のみが暗号化または認証されます。トンネルモードはサポートされていません。
双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。階層レベルで手動双方向 SA を設定します
[edit security ipsec]。同じリモート エンドポイント アドレスを持つすべての仮想リンクに同じ IPsec SA を設定する必要があります。
「」も参照
例:OSPFv2交換のシンプルな認証の設定
この例では、OSPFv2 交換でシンプルな認証を有効にする方法を示しています。
要件
開始する前に、以下を行います。
デバイス インターフェイスを設定します。 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリ またはセキュリティデバイス用 Junos OSインターフェイス設定ガイドを参照してください。
OSPF ネットワーク内のデバイスのルーター識別子を設定します。 例: OSPF ルーター識別子の設定を参照してください。
OSPF 指定ルーターの選択を制御します。例:OSPF 指定ルーター選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例: 単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例: マルチエリア OSPF ネットワークの設定を参照してください。
概要
シンプルな認証では、送信パケットに含まれるプレーンテキストパスワードを使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。プレーンテキストパスワードは暗号化されず、パケット傍受の対象となる可能性があります。この方法は最も安全性が低く、ネットワーク セキュリティが目標でない場合にのみ使用してください。
ルーティングデバイスには、1つのシンプルな認証キー(パスワード)のみを設定できます。単純なキーは 1~8 文字で、ASCII 文字列を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲みます。
この例では、エリア 0.0.0.0でOSPFv2インターフェイスso-0/1/ 0を指定し、認証タイプをシンプルパスワードに設定し、キーをPssWd4として定義します。
構成
CLI クイックコンフィギュレーション
簡単な認証を迅速に設定するには、以下のコマンドをコピーして改行を削除してから、CLIにコマンドを貼り付けます。エリア内のすべてのルーティング デバイスは、同じ認証と対応するパスワードで設定する必要があります。
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
手順
手順
OSPFv2交換でシンプルな認証を有効にするには:
OSPF エリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
認証タイプとパスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
メモ:エリア内のすべてのピア OSPFv2 ルーティング デバイスで、この設定全体を繰り返します。
結果
コマンドを入力して、設定を show protocols ospf 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワード自体は表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
例:OSPFv2交換のためのMD5認証の設定
この例では、OSPFv2交換でMD5認証を有効にする方法を示しています。
要件
開始する前に、以下を行います。
デバイス インターフェイスを設定します。 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリ またはセキュリティデバイス用 Junos OSインターフェイス設定ガイドを参照してください。
OSPF ネットワーク内のデバイスのルーター識別子を設定します。 例: OSPF ルーター識別子の設定を参照してください。
OSPF 指定ルーターの選択を制御します。例:OSPF 指定ルーター選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例: 単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例: マルチエリア OSPF ネットワークの設定を参照してください。
概要
MD5 認証では、送信パケットに含まれるエンコードされた MD5 チェックサムを使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。
各インターフェイスにMD5キーを定義します。インターフェイスでMD5が有効になっている場合、そのインターフェイスはMD5認証に成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティングデバイスは、そのインターフェイスに定義された同じキー識別子(ID)を使用して送信されたOSPFv2パケットのみを受け入れます。
この例では、バックボーン エリア(エリア 0.0.0.0)を作成し、OSPFv2 インターフェイス so-0/2/0 を指定し、認証タイプを md5 に設定し、認証キー ID を 5、パスワードを PssWd8 として定義します。
トポロジ
構成
CLI クイックコンフィギュレーション
MD5認証を迅速に設定するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
手順
手順
OSPFv2交換でMD5認証を有効にするには:
OSPF エリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5認証を設定し、キーIDと認証パスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
メモ:すべてのピア OSPFv2 ルーティング デバイスで、この設定全体を繰り返します。
結果
コマンドを入力して、設定を show protocols ospf 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワード自体は表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
検証
設定が正しく機能していることを確認します。
設定された認証方法の検証
目的
OSPFプロトコルパケットを送受信するための認証方法が設定されていることを確認します。MD5認証用に設定された場合、認証タイプフィールドにMD5が表示され、アクティブキーIDフィールドにMD5キーを識別する入力した一意の番号が表示され、[開始時間]フィールドに日付が1970 Jan 01 00:00:00 PSTと表示されます。この開始時にはアラームを受けないでください。これは、MD5キーが直ちに有効な場合にルーティングデバイスに表示されるデフォルトの開始時間です。
アクション
動作モードから、 および コマンドをshow ospf overview入力show ospf interfaceします。
例:OSPFv2 インターフェイス上の MD5 キーの遷移の設定
この例では、OSPFv2インターフェイス上でMD5キーの遷移を設定する方法を示しています。
要件
開始する前に、以下を行います。
デバイス インターフェイスを設定します。 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリ またはセキュリティデバイス用 Junos OSインターフェイス設定ガイドを参照してください。
OSPF ネットワーク内のデバイスのルーター識別子を設定します。 例: OSPF ルーター識別子の設定を参照してください。
OSPF 指定ルーターの選択を制御します。例:OSPF 指定ルーター選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例: 単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例: マルチエリア OSPF ネットワークの設定を参照してください。
概要
MD5 認証では、送信パケットに含まれるエンコードされた MD5 チェックサムを使用します。MD5認証を機能させるには、送受信するルーティングデバイスの両方に同じMD5キーが必要です。
各インターフェイスにMD5キーを定義します。インターフェイスでMD5が有効になっている場合、そのインターフェイスはMD5認証に成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティングデバイスは、そのインターフェイスに定義された同じキー識別子(ID)を使用して送信されたOSPFv2パケットのみを受け入れます。
セキュリティを強化するために、複数のMD5キーを設定し、それぞれ固有のキーIDを設定し、新しいキーに切り替える日付と時刻を設定できます。OSPFパケットの受信者は、IDを使用して、認証に使用するキーを決定します。
この例では、バックボーン エリア(エリア 0.0.0.0)の OSPFv2 インターフェイス fe-0/0/1 で次の 3 か月の初日の午前 12:01 に新しい鍵を有効にするように設定し、以下の MD5 認証設定を構成します。
md5—MD5認証キーIDを指定します。キーIDは、デフォルト値0で、0~255の任意の値に設定できます。ルーティングデバイスは、そのインターフェイスに定義された同じキーIDを使用して送信されたOSPFv2パケットのみを受け入れます。
キー—MD5キーを指定します。各キーは、1~16文字の値を指定できます。文字には、ASCII文字列を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲みます。
開始時間—MD5 キーを使用して開始する時間を指定します。このオプションを使用すると、複数のキーに対してスムーズな移行メカニズムを設定できます。開始時間は送信には関係しますが、OSPFパケットの受信には関連しません。
OSPFv2 隣接関係がアクティブな状態を維持するためには、エリア内のすべてのデバイスに同じパスワードと移行日と時刻を設定する必要があります。
トポロジ
構成
CLI クイックコンフィギュレーション
OSPFv2 インターフェイス上で複数の MD5 キーを迅速に設定するには、以下のコマンドをコピーして改行を削除してから、コマンドを CLI に貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
手順
手順
OSPFv2インターフェイスで複数のMD5キーを設定するには:
OSPF エリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5認証を設定し、認証パスワードとキーIDを設定します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
新しい鍵を設定して、2 月、3 月、4 月の 1 日の午前 12 時 01 分に有効にします。
毎月、新しい認証パスワードと鍵 ID を設定します。
2 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3 月の場合は、以下を入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
メモ:すべてのピア OSPFv2 ルーティング デバイスで、この設定全体を繰り返します。
結果
コマンドを入力して、設定を show protocols ospf 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワード自体は表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
検証
設定が正しく機能していることを確認します。
設定された認証方法の検証
目的
OSPFプロトコルパケットを送受信するための認証方法が設定されていることを確認します。鍵の遷移を使用して MD5 認証に設定された場合、Auth タイプ フィールドに MD5 が表示され、アクティブキー ID フィールドに MD5 キーを識別する入力した一意の番号が表示され、[開始時間]フィールドには、ルーティング デバイスが MD5 キーを使用して設定したインターフェイスで送信された OSPF パケットを認証する時間が表示されます。
アクション
動作モードから、 および コマンドをshow ospf overview入力show ospf interfaceします。
IPsec を使用して OSPFv3 ネットワークを保護する(CLI 手順)
OSPF バージョン 3(OSPFv3)は、認証方法が組み込まれていないので、この機能を提供するために IP セキュリティ(IPsec)に依存しています。IPsec を使用して、EX シリーズ スイッチ上の OSPFv3 インターフェイスを保護できます。
このトピックには以下が含まれます。
セキュリティ アソシエーションの設定
SA(セキュリティ アソシエーション)を構成する場合、認証、暗号化、方向、モード、プロトコル、SPI(セキュリティ パラメーター インデックス)の選択肢を含めます。
セキュリティ アソシエーションを設定するには::
OPSFv3ネットワークのセキュリティ保護
SAをOSPFv3設定に適用することで、OSPFv3ネットワークを保護することができます。
OSPFv3 ネットワークを保護するには、次の手順にしたがっています。
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
例:OSPFインターフェースのIPsec認証の設定
この例では、OSPFインターフェイスでIPセキュリティ(IPsec)認証を有効にする方法を示しています。
要件
開始する前に、以下を行います。
デバイス インターフェイスを設定します。 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリ またはセキュリティデバイス用 Junos OSインターフェイス設定ガイドを参照してください。
OSPF ネットワーク内のデバイスのルーター識別子を設定します。 例: OSPF ルーター識別子の設定を参照してください。
OSPF 指定ルーターの選択を制御します。例:OSPF 指定ルーター選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例: 単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例: マルチエリア OSPF ネットワークの設定を参照してください。
概要
IPsec 認証は、OSPFv2 と OSPFv3 の両方で使用できます。実際の IPsec 認証は個別に設定し、該当する OSPF 設定に適用します。
OSPFv2
Junos OS リリース 8.3 以降では、IPsec 認証を使用して OSPFv2 インターフェイス、シャム リンクのリモート エンドポイント、および手動セキュリティ アソシエーション(SA)を使用して OSPFv2 仮想リンクを認証し、ルーティング デバイス間でパケットのコンテンツが安全であることを確認できます。
MD5 またはシンプルな認証のいずれかを使用して、IPsec 認証を構成できます。
IPsec認証を有効にするには、以下のいずれかを実行します。
OSPFv2インターフェイスでは、特定のインターフェイスに
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
リモート シャム リンクの場合は、シャム リンクのリモート エンドポイントの ステートメントを含めます
ispec-sa name。sham-link-remote address ipsec-sa name;
メモ:レイヤー 3 VPN 構成に同じリモート エンドポイント IP アドレスを持つ複数のシャム リンクがある場合、すべてのリモート エンドポイントに同じ IPsec セキュリティ アソシエーションを設定する必要があります。階層レベルでレイヤー 3 VPN を設定します
[edit routing-instances routing-instance-name instance-type]。レイヤー 3 VPN の詳細については、 ルーティング デバイス用 Junos OS VPN ライブラリを参照してください。仮想リンクの場合は、特定の仮想リンクの
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 には認証方法が組み込まれていないので、IPsec に依存してこの機能を提供します。IPsec 認証を使用して OSPFv3 インターフェイスを保護し、手動 SA を使用して OSPFv3 仮想リンクを保護し、ルーティング デバイス間でパケットのコンテンツのセキュリティを確保します。
認証を適用するには、次のいずれかを実行します。
OSPFv3インターフェイスでは、特定のインターフェイスに
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
仮想リンクの場合は、特定の仮想リンクの
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
この例では、以下のタスクを実行します。
IPsec認証を設定します。これを行うには、 sa1 という名前の手動SAを定義し、処理方向、IPトラフィックを保護するために使用されるプロトコル、SPI(セキュリティパラメーターインデックス)、認証アルゴリズムとキーを指定します。
階層レベルで以下のオプションを
[edit security ipsec security-association sa-name mode]設定します。transport—トランスポートモードを指定します。このモードでは、通信エンドポイントと暗号エンドポイントが同じ場合にトラフィックを保護します。IP パケットのデータ部分は暗号化されますが、IP ヘッダーは暗号化されません。
階層レベルで以下のオプションを
[edit security ipsec security-association sa-name manual direction]設定します。双方向—IPsec 処理の方向を定義します。bidrectional を指定することで、設定したのと同じアルゴリズム、キー、SPI(セキュリティ パラメタインデックス)値が両方向で使用されます。
階層レベルで以下のオプションを
[edit security ipsec security-association sa-name manual direction bidirectional]設定します。プロトコル—手動SAがIPトラフィックを保護するために使用するIPsecプロトコルを定義します。認証ヘッダー(AH)または ESP(セキュリティ ペイロードのカプセル化)のいずれかを指定できます。この例で行う AH を指定した場合、暗号化を設定することはできません。
spi—手動SAのSPIを設定します。SPI は、受信ホストで使用する SA を一意に識別する任意の値です。送信ホストは SPI を使用して、各パケットのセキュリティ保護に使用する SA を識別して選択します。受信側のホストは、SPI を使用して、パケットの暗号化解除に使用される暗号化アルゴリズムと鍵を識別して選択します。この例では、256 を指定します。
認証—認証アルゴリズムと鍵を設定します。 アルゴリズム オプションは、パケット データを認証するハッシュ アルゴリズムを指定します。この例では、 hmac-md5-96を指定すると、128ビットダイジェストが生成されます。 キー オプションは、認証キーのタイプを示します。この例では、 hmac-md5-96 アルゴリズムの 16 個の ASCII 文字である ascii-text-key を 指定します。
階層レベルで設定した手動SA sa1の名前を含めることで、バックボーンエリア(エリア0.0.0.0.0)のOSPFインターフェイスso-0/2/0.0でIPsec認証を
[edit security ipsec]有効にします。
トポロジ
構成
セキュリティ アソシエーションの設定
CLI クイックコンフィギュレーション
OSPFインターフェイス上のIPsec認証に使用する手動SAを迅速に設定するには、以下のコマンドをコピーして改行を削除し、コマンドをCLIに貼り付けます。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
手順
OSPFインターフェイスで使用する手動SAを設定するには:
SAの名前を指定します。
[edit] user@host# edit security ipsec security-association sa1
SA のモードを指定します。
[edit security ipsec security-association sa1 ] user@host# set mode transport
手動SAの方向を設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
使用するIPsecプロトコルを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPI の値を設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
認証アルゴリズムと鍵を設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
デバイスの設定が完了したら、設定をコミットします。
[edit security ipsec security-association sa1 ] user@host# commit
メモ:この設定全体をすべてのピア OSPF ルーティング デバイスで繰り返します。
結果
コマンドを入力して、設定を show security ipsec 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワード自体は表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPF インターフェイスでの IPsec 認証の有効化
CLI クイックコンフィギュレーション
IPsec認証に使用する手動SAをOSPFインターフェイスに迅速に適用するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
手順
OSPFインターフェイスでIPsec認証を有効にするには:
OSPF エリアを作成します。
メモ:OSPFv3を指定するには、 階層レベルに
ospf3ステートメントを[edit protocols]含めます。[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec手動SAを適用します。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
メモ:この設定全体をすべてのピア OSPF ルーティング デバイスで繰り返します。
結果
コマンドを入力して、設定を show protocols ospf 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3 の設定を確認するには、 コマンドを show protocols ospf3 入力します。
検証
設定が正しく機能していることを確認します。
IPsec セキュリティ アソシエーション設定の検証
目的
構成された IPsec セキュリティ アソシエーション設定を確認します。以下の情報を確認します。
セキュリティアソシエーションフィールドには、設定されたセキュリティアソシエーションの名前が表示されます。
SPI フィールドには、設定した値が表示されます。
モード フィールドには、トランスポート モードが表示されます。
タイプ フィールドには、セキュリティ アソシエーションのタイプとしてマニュアルが表示されます。
アクション
動作モードから、 コマンドを show ipsec security-associations 入力します。