Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IP 보안 for BGP(Border Gateway Protocol)

IPsec의 BGP(Border Gateway Protocol)

IP 보안(IPsec)을 트래픽 관리에 BGP(Border Gateway Protocol) 수 있습니다. IPsec은 패킷 수준에서 IP 트래픽을 보호하는 데 사용되는 프로토콜 스위트입니다. IPsec은 보안 연결(SAS)을 기반으로 합니다. SA는 SA가 전송하는 패킷에 보안 서비스를 제공하는 단순한 연결입니다. SA를 구성한 후 이 옵션을 다른 피어에 BGP(Border Gateway Protocol) 수 있습니다.

IPsec의 Junos OS 구현은 호스트에서 호스트로, 게이트웨이로 연결됩니다. 호스트 대 호스트 보안은 다른 라우터를 BGP(Border Gateway Protocol) 세션을 보호합니다. 사용하려면 sa를 수동으로 BGP(Border Gateway Protocol) 전송 모드를 사용해야 합니다. 보안 연결의 양 끝에서 정적 값을 구성해야 합니다. 호스트 보호를 적용하려면 전송 모드에서 수동 SA를 구성한 다음, BGP(Border Gateway Protocol) 피어를 통해 세션을 보호할 수 있도록 BGP(Border Gateway Protocol) SA를 참조합니다.

수동 SAS는 동료 간의 협상이 필요하지 않습니다. 키를 포함한 모든 값에는 정적이기 때문에 구성에 지정됩니다. 수동 SAS는 사용할 보안 매개 변수 값, 알고리즘 및 키를 정적으로 정의하며 터널의 두 엔드 포인트(두 피어 모두에서)에서 매칭 구성이 필요합니다. 따라서 각 피어는 통신을 위해 동일한 구성된 옵션을 제공해야 합니다.

전송 모드에서는 원래 IP 헤더 뒤 그리고 전송 헤더 이전의 IPsec 헤더가 삽입됩니다.

보안 매개 변수 인덱스는 SA를 고유하게 식별하기 위해 대상 주소 및 보안 프로토콜과 함께 사용되는 임의 값입니다.

예를 들면 다음과 같습니다. IPsec을 사용하여 트래픽 BGP(Border Gateway Protocol) 보호

IPsec은 IP 계층에서 안전한 네트워크 연결을 제공하는 데 사용되는 프로토콜 제품군입니다. 데이터 소스 인증, 데이터 무결성, 기밀성 및 패킷 재생 보호를 제공하는 데 사용됩니다. 이 예에서는 IPsec 기능을 구성하여 라우팅 엔진-to-라우팅 엔진 BGP(Border Gateway Protocol) 방법을 보여줍니다. Junos OS 전송 및 터널 모드에서 IPsec 인증 헤더(AH) 및 보안 페이로드 캡슐화(ESP)를 지원할 뿐만 아니라 정책을 생성하고 키를 수동으로 구성하기 위한 유틸리티도 제공합니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  • 라우터 인터페이스를 구성합니다.

  • 내부 게이트웨이 프로토콜(IGP)을 구성합니다.

  • 구성 BGP(Border Gateway Protocol).

이 기능을 구성하기 위해 특정 PIC 하드웨어가 필요하지 않습니다.

개요

SA는 전송 명령문을 통해 계층 [edit security ipsec security-association name]mode 수준에서 구성됩니다. 전송 모드에서는 Junos OS(AH) 또는 보안 페이로드(ESP) 헤더 번들을 캡슐화하지 않습니다. Junos OS 전송 모드에서 BGP(Border Gateway Protocol) 프로토콜만 지원

이 예에서는 양방향에서 서로 다른 속성을 사용하는 인바운드 및 아웃바운드 SAS와 달리 양방향의 동일한 알고리즘, 키 및 SPI를 사용하여 수신 및 발신 트래픽의 복호화 및 인증을 위해 양방향 IPsec을 지정합니다.

보다 구체적인 SA는 보다 일반적인 SA를 상회합니다. 예를 들어 특정 SA가 특정 피어에 적용된 경우, SA는 전체 피어 그룹에 적용된 SA를 까다로워하게 됩니다.

토폴로지 다이어그램

그림 1 이 예에서 사용된 토폴로지가 표시됩니다.

그림 1: IPsec for BGP(Border Gateway Protocol)IPsec for BGP(Border Gateway Protocol)

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, [편집] 계층 수준에서 명령을 복제하여 CLI 붙여넣습니다.

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

라우터 R1 구성:

  1. SA 모드를 구성합니다.

  2. 사용할 IPsec 프로토콜을 구성합니다.

  3. SA 고유의 식별을 위해 보안 매개 변수 인덱스로 구성합니다.

  4. 암호화 알고리즘을 구성합니다.

  5. 암호화 키를 구성합니다.

    ASCII 텍스트 키를 사용하면 키에 정확하게 24자 가 포함되어야 합니다.

  6. SA를 BGP(Border Gateway Protocol) 피어에 적용합니다.

결과

구성 모드에서 명령어를 입력하여 show protocolsshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다. Router R0에서 구성을 반복하여 이웃 주소만 변경합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

Security Associaton 검증

목적

올바른 설정이 명령 출력에 표시하는지 show ipsec security-associations 확인합니다.

실행

작동 모드에서 명령어를 show ipsec security-associations 입력합니다.

의미

출력은 AUX-SPI 필드를 제외한 대부분의 필드에 대해 전달됩니다. AUX-SPI는 보조 보안 매개 변수 인덱스의 값입니다. AH 또는 ESP 값이면 AUX-SPI는 항상 0입니다. 가치가 AH+ESP인 경우, AUX-SPI는 항상 양 정수입니다.