Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

BGP를 위한 IP 보안

BGP에 대한 IPsec 이해

BGP 트래픽에 IP 보안(IPsec)을 적용할 수 있습니다. IPsec은 패킷 수준에서 IP 트래픽을 보호하는 데 사용되는 프로토콜 제품군입니다. IPsec은 보안 연결(SA)을 기반으로 합니다. SA는 SA가 전송하는 패킷에 보안 서비스를 제공하는 단순 연결입니다. SA를 구성한 후 BGP 피어에 적용할 수 있습니다.

IPsec의 Junos OS 구현은 두 가지 유형의 보안을 지원합니다. 호스트-호스트, 게이트웨이-게이트웨이. 호스트-호스트 보안은 다른 라우터와의 BGP 세션을 보호합니다. BGP와 함께 사용할 SA는 수동으로 구성하고 전송 모드를 사용해야 합니다. 정적 값은 보안 연결의 양쪽 끝에서 구성되어야 합니다. 호스트 보호를 적용하려면 전송 모드에서 수동 SA를 구성한 다음 BGP 구성에서 이름으로 SA를 참조하여 지정된 피어와의 세션을 보호합니다.

수동 SA는 피어 간에 협상할 필요가 없습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 보안 매개 변수 인덱스 값, 알고리즘 및 키를 정적으로 정의하며 터널의 양쪽 엔드포인트(양쪽 피어에서)에서 일치하는 구성이 필요합니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.

전송 모드에서 IPsec 헤더는 원래 IP 헤더 뒤와 전송 헤더 앞에 삽입됩니다.

보안 매개변수 인덱스는 SA를 고유하게 식별하기 위해 대상 주소 및 보안 프로토콜과 함께 사용되는 임의의 값입니다.

참조

예: IPsec을 사용하여 BGP 트래픽 보호

IPsec은 IP 계층에서 보안 네트워크 연결을 제공하는 데 사용되는 프로토콜 모음입니다. 데이터 소스 인증, 데이터 무결성, 기밀성 및 패킷 재생 보호를 제공하는 데 사용됩니다. 이 예는 라우팅 엔진 간 BGP 세션을 보호하기 위해 IPsec 기능을 구성하는 방법을 보여줍니다. Junos OS는 전송 및 터널 모드에서 IPsec 인증 헤더(AH) 및 캡슐화 보안 페이로드(ESP)를 지원할 뿐만 아니라 정책 생성 및 키 수동 구성을 위한 유틸리티도 지원합니다.

요구 사항

시작하기 전에:

  • 라우터 인터페이스를 구성합니다.

  • 내부 게이트웨이 프로토콜(IGP)을 구성합니다.

  • BGP를 구성합니다.

이 기능을 구성하기 위해 특정 PIC 하드웨어가 필요하지 않습니다.

개요

SA는 명령문이 전송으로 설정된 계층 수준에서 구성됩니다.[edit security ipsec security-association name]mode 전송 모드에서 Junos OS는 인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP) 헤더 번들을 지원하지 않습니다. Junos OS는 전송 모드에서 BGP 프로토콜만 지원합니다.

이 예에서는 양방향으로 서로 다른 속성을 사용하는 인바운드 및 아웃바운드 SA와 달리 양방향으로 동일한 알고리즘, 키 및 SPI를 사용하여 수신 및 발신 트래픽을 해독하고 인증하는 양방향 IPsec을 지정합니다.

보다 구체적인 SA는 보다 일반적인 SA보다 우선합니다. 예를 들어 특정 SA가 특정 피어에 적용된 경우 해당 SA가 전체 피어 그룹에 적용된 SA보다 우선합니다.

토폴로지 다이어그램

그림 1은(는) 본 예제에서 사용되는 토폴로지를 나타냅니다.

그림 1: BGP용 IPsecBGP용 IPsec

구성

CLI 빠른 구성

이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣습니다.

절차

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드구성 모드에서의 CLI 편집기 사용을 참조하십시오.

라우터 R1을 구성하려면 다음과 같이 하십시오.

  1. SA 모드를 구성합니다.

  2. 사용할 IPsec 프로토콜을 구성합니다.

  3. SA를 고유하게 식별하기 위해 보안 매개 변수 인덱스를 구성합니다.

  4. 암호화 알고리즘을 구성합니다.

  5. 암호화 키를 구성합니다.

    ASCII 텍스트 키를 사용하는 경우 키는 정확히 24자여야 합니다.

  6. BGP 피어에 SA를 적용합니다.

결과

구성 모드에서 show protocolsshow security 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다. 라우터 R0에서 구성을 반복하여 이웃 주소만 변경합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

보안 연결 확인

목적

명령의 출력에 올바른 설정이 나타나는지 확인합니다.show ipsec security-associations

작업

운영 모드에서 show ipsec security-associations 명령을 입력합니다.

의미

출력은 AUX-SPI 필드를 제외한 대부분의 필드에 대해 간단합니다. AUX-SPI는 보조 보안 매개변수 인덱스의 값입니다. 값이 AH 또는 ESP인 경우 AUX-SPI는 항상 0입니다. 값이 AH+ESP이면 AUX-SPI는 항상 양의 정수입니다.

참조