최단 경로 우선(OSPF) 인증 구성
EX 시리즈 스위치에서 최단 경로 우선(OSPF) 패킷에 대한 IPsec 인증 이해하기
IP 보안(IPsec)은 발신자를 인증하고 네트워크 디바이스 간의 IP 버전 4(IPv4) 트래픽을 암호화하는 안전한 방법을 제공합니다. IPsec은 주니퍼 네트웍스 EX 시리즈 이더넷 스위치의 네트워크 관리자와 사용자에게 데이터 기밀성, 데이터 무결성, 발신자 인증 및 안티리플레이 서비스의 이점을 제공합니다.
IPsec은 IP 네트워크를 통한 안전한 개인 통신을 보장하기 위한 프레임워크이며 IETF(International Engineering Task Force)에서 개발한 표준을 기반으로 합니다. IPsec은 시스템이 필요한 보안 프로토콜을 선택하고, 보안 서비스에 사용할 알고리즘을 결정하고, 요청된 서비스를 제공하는 데 필요한 암호화 키를 구현할 수 있도록 하여 OSI(Open Systems Interconnection) 모델의 네트워크 계층에서 보안 서비스를 제공합니다. IPsec을 사용하여 호스트 쌍 간, 보안 게이트웨이(예: 스위치) 쌍 또는 보안 게이트웨이와 호스트 간 하나 이상의 경로를 보호할 수 있습니다.
OSPF 버전 3(OSPFv3)은 OSPF 버전 2(OSPFv2)와 달리 기본 제공 인증 방법이 없으며 IPsec을 사용하여 이 기능을 제공합니다. 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
인증 알고리즘
인증은 보낸 사람의 ID를 확인하는 프로세스입니다. 인증 알고리즘은 공유 키를 사용하여 IPsec 디바이스의 신뢰성을 확인합니다. 주니퍼 네트웍스 Junos 운영체제(Junos OS)는 다음과 같은 인증 알고리즘을 사용합니다.
MD5(Message Digest 5)는 단방향 해시 함수를 사용하여 임의 길이의 메시지를 128비트의 고정 길이 메시지 다이제스트로 변환합니다. 변환 프로세스로 인해 결과 메시지 다이제스트에서 역방향으로 계산하여 원본 메시지를 계산하는 것은 수학적으로 불가능합니다. 마찬가지로, 메시지에서 단일 문자로 변경하면 매우 다른 메시지 다이제스트 번호가 생성됩니다.
메시지가 변조되지 않았는지 확인하기 위해 Junos OS는 계산된 메시지 다이제스트를 공유 키로 해독된 메시지 다이제스트와 비교합니다. Junos OS는 추가적인 수준의 해싱을 제공하는 MD5 HMAC(Hashed Message Authentication Code) 변형을 사용합니다. MD5는 AH(Authentication Header) 및 ESP(Encapsulating Security Payload)와 함께 사용할 수 있습니다.
SHA-1(Secure Hash Algorithm 1)은 MD5보다 강력한 알고리즘을 사용합니다. SHA-1은 길이가 264비트 미만인 메시지를 받아 160비트 메시지 다이제스트를 생성합니다. 대형 메시지 다이제스트는 데이터가 변경되지 않았으며 올바른 원본에서 시작되었는지 확인합니다. Junos OS는 추가적인 수준의 해싱을 제공하는 SHA-1 HMAC 변형을 사용합니다. SHA-1은 AH, ESP 및 IKE(Internet Key Exchange)와 함께 사용할 수 있습니다.
암호화 알고리즘
암호화는 데이터를 안전한 형식으로 인코딩하여 권한이 없는 사용자가 해독할 수 없도록 합니다. 인증 알고리즘과 마찬가지로 공유 키는 암호화 알고리즘과 함께 IPsec 디바이스의 신뢰성을 확인하는 데 사용됩니다. Junos OS는 다음과 같은 암호화 알고리즘을 사용합니다.
데이터 암호화 표준 암호 블록 체인(DES-CBC)은 대칭 비밀 키 블록 알고리즘입니다. DES는 64비트의 키 크기를 사용하며, 여기서 8비트는 오류 감지에 사용되고 나머지 56비트는 암호화를 제공합니다. DES는 순열 및 대체를 포함하여 공유 키에 대해 일련의 간단한 논리 연산을 수행합니다. CBC는 DES에서 64비트 출력의 첫 번째 블록을 가져와서 이 블록을 두 번째 블록과 결합하고 이를 DES 알고리즘에 다시 공급하고 모든 후속 블록에 대해 이 프로세스를 반복합니다.
트리플 DES-CBC(3DES-CBC)는 DES-CBC와 유사하지만 168비트(3 x 56비트) 암호화에 3개의 키를 사용하기 때문에 훨씬 더 강력한 암호화 결과를 제공하는 암호화 알고리즘입니다. 3DES는 첫 번째 키를 사용하여 블록을 암호화하고, 두 번째 키를 사용하여 블록을 해독하고, 세 번째 키를 사용하여 블록을 다시 암호화하는 방식으로 작동합니다.
IPsec 프로토콜
IPsec 프로토콜은 스위치에 의해 보안되는 패킷에 적용되는 인증 및 암호화 유형을 결정합니다. Junos OS는 다음과 같은 IPsec 프로토콜을 지원합니다.
AH— RFC 2402에서 정의된 AH는 IPv4에 대한 무연결 무결성 및 데이터 원본 인증을 제공합니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 보낸 사람이 예측할 수 없기 때문에 AH로 보호할 수 없습니다. IP 헤더에서 AH는 IPv4 패킷의 프로토콜 필드에서 값 51로 식별될 수 있습니다.
ESP - RFC 2406에서 정의된 ESP는 암호화 및 제한된 트래픽 흐름 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리플레이 서비스를 제공할 수 있습니다. IP 헤더에서 ESP는 IPv4 패킷의 프로토콜 필드에서 값 50으로 식별될 수 있습니다.
보안 연결
IPsec 고려 사항은 구현하려는 SA(보안 연결)의 유형입니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 규격 집합입니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 네트워크 관리자의 선택에 따라 단방향 또는 양방향일 수 있습니다. SA는 SPI(Security Parameter Index), IPv4 또는 IPv6 대상 주소 및 보안 프로토콜(AH 또는 ESP) 식별자로 식별됩니다.
IPsec 모드
Junos OS는 다음과 같은 IPsec 모드를 지원합니다.
터널 모드는 Junos OS에서 AH와 ESP 모두에 대해 지원됩니다. 터널 모드에서 SA 및 관련 프로토콜은 터널링된 IPv4 또는 IPv6 패킷에 적용됩니다. 터널 모드 SA의 경우 외부 IP 헤더는 IPsec 처리 대상을 지정하고 내부 IP 헤더는 패킷의 최종 대상을 지정합니다. 보안 프로토콜 헤더는 외부 IP 헤더 뒤와 내부 IP 헤더 앞에 나타납니다. 또한 AH 및 ESP를 사용하여 구현할 때 터널 모드에 대해 약간의 차이가 있습니다.
AH의 경우 터널링된 IP 패킷 전체뿐만 아니라 외부 IP 헤더의 일부도 보호됩니다.
ESP의 경우 외부 헤더가 아닌 터널링된 패킷만 보호됩니다.
SA의 한쪽이 보안 게이트웨이(예: 스위치)인 경우 SA는 터널 모드를 사용해야 합니다. 그러나 트래픽(예: SNMP 명령 또는 BGP 세션)이 스위치로 향하는 경우 시스템은 호스트 역할을 합니다. 이 경우 시스템이 보안 게이트웨이 역할을 하지 않고 전송 트래픽을 송수신하지 않기 때문에 전송 모드가 허용됩니다.
메모:터널 모드는 OSPF v3 제어 패킷 인증에 지원되지 않습니다.
전송 모드는 두 호스트 간에 SA를 제공합니다. 전송 모드에서 프로토콜은 주로 상위 계층 프로토콜에 대한 보호를 제공합니다. 전송 모드 보안 프로토콜 헤더는 IP 헤더 및 모든 옵션 바로 뒤와 상위 계층 프로토콜(예: TCP 또는 UDP) 앞에 나타납니다. AH 및 ESP를 사용하여 구현할 때 전송 모드에는 약간의 차이가 있습니다.
AH의 경우 IP 헤더의 선택한 부분과 확장 헤더의 선택된 부분 및 IPv4 헤더 내에서 선택한 옵션이 보호됩니다.
ESP의 경우 IP 헤더 또는 ESP 헤더 앞의 확장 헤더가 아닌 상위 계층 프로토콜만 보호됩니다.
OSPFv2 인증 이해
모든 OSPFv2 프로토콜 교환은 신뢰할 수 있는 라우팅 디바이스만 AS(Autonomous System)의 라우팅에 참여하도록 인증될 수 있습니다. 기본적으로 OSPFv2 인증은 사용하지 않도록 설정됩니다.
OSPFv3에는 기본 제공 인증 방법이 없으며 IPSec(IP 보안)을 사용하여 이 기능을 제공합니다.
다음과 같은 인증 유형을 사용하도록 설정할 수 있습니다.
-
단순 인증—전송된 패킷에 포함된 일반 텍스트 비밀번호를 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다.
-
MD5 인증 - 전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공한 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수용합니다.
-
IPsec 인증(Junos OS 릴리스 8.3부터)—수동 보안 연결(SA)을 사용하여 OSPFv2 인터페이스, 가짜 링크의 원격 엔드포인트 및 OSPFv2 가상 링크를 인증하여 라우팅 디바이스 간에 패킷 콘텐츠가 안전한지 확인합니다. 실제 IPsec 인증은 별도로 구성합니다.
메모:MD5 또는 단순 인증과 함께 IPsec 인증을 구성할 수 있습니다.
OSPFv2에 대한 IPsec 인증에는 다음과 같은 제한 사항이 적용됩니다.
-
동적 IKE(Internet Key Exchange) SA는 지원되지 않습니다.
-
IPsec 전송 모드만 지원됩니다. 터널 모드는 지원되지 않습니다.
-
양방향 수동 SA만 지원되므로 모든 OSPFv2 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다. -
원격 엔드포인트 주소가 동일한 모든 가상 링크, OSPF NBMA(Nonbroadcast Multiaccess) 또는 Point-to-Multipoint 링크의 모든 이웃, 브로드캐스트 링크의 일부인 모든 서브넷에 대해 동일한 IPsec SA를 구성해야 합니다.
-
OSPFv2 피어 인터페이스는 지원되지 않습니다.
-
최단 경로 우선(OSPF)는 영역 수준에서 인증을 수행하기 때문에 영역 내의 모든 라우팅 디바이스는 동일한 인증 및 해당 암호(키)를 구성해야 합니다. MD5 인증이 작동하려면 수신 및 송신 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다. 또한 단순 암호와 MD5 키는 함께 사용할 수 없습니다. 하나의 단순 비밀번호만 구성할 수 있지만 여러 개의 MD5 키를 구성할 수 있습니다.
보안 조치의 일환으로 MD5 키를 변경할 수 있습니다. 각각 고유한 키 ID를 가진 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정하여 이 작업을 수행할 수 있습니다. 각 고유한 MD5 키에는 고유한 ID가 있습니다. 이 ID는 OSPF 패킷의 수신자가 인증에 사용할 키를 결정하는 데 사용됩니다. MD5 인증에 필요한 키 ID는 MD5 키와 연결된 식별자를 지정합니다.
Junos OS 릴리스 22.4R1부터 여러 활성 키를 사용하여 보급하는 OSPF MD5 인증을 지원하여 인터페이스당 최대 두 개의 키로 제한되는 패킷을 보낼 수 있습니다. 인터페이스에서 한 번에 여러 키를 활성화하면 OSPF의 한 키에서 다른 키로 원활하게 전환할 수 있습니다. OSPF 세션에 영향을 주지 않고 이전 키를 삭제할 수 있습니다.
Junos OS 릴리스 23.3R1 및 Junos OS Evolved 릴리스 23.3R1부터 키체인을 사용하여 OSPFv2 HMAC-SHA1 인증을 활성화하여 OSPF 인터페이스에 도달하거나 OSPF 인터페이스에서 발생하는 패킷을 인증할 수 있습니다. 이렇게 하면 보안이 강화된 OSPFv2의 한 키에서 다른 키로 원활하게 전환할 수 있습니다. 모든 네이버가 구성된 최신 키로 전환되면 OSPFv2에서 최신 MD5 키로만 인증된 패킷을 전송하도록 설정할 수 있습니다. 이 릴리스 이전에는 인터페이스당 최대 두 개의 키로 제한되는 여러 개의 활성 MD5 키를 항상 사용하여 인증된 OSPF 패킷 보급을 지원합니다.
OSPFv2에 대한 HMAC-SHA1 인증은 다음을 지원하지 않습니다.
-
활성 키가 없는 키체인.
-
다른 기존 인증 유형에서 무중단 세션이 있는 키체인으로 마이그레이션Migration from other existing authentication types to keychain with hitless session.
-
무인증에서 무중단 세션이 있는 키체인으로의 마이그레이션.
-
키체인 구성의 일부로 키 MD5.
- 구성 문을 통한
delete-if-not-inuseMulti-active MD5 최적화가 활성화되고 인증 협상이 이웃과 발생하면 그때부터 디바이스는 협상된 이웃에 대한 전송에 활성 키만 사용합니다. 즉, 이전 키로의 롤백을 지원하지 않습니다.예: R0 및 R1은 key-id 1 as 및 key-id 2로
delete-if-not-inuse구성됩니다. 나중에 R1이 key-id 2를 제거하도록 구성된 경우 R0은 전송에 두 키(key-id 1 및 key-id 2)를 모두 사용하도록 롤백하지 않습니다. - 키체인 활성도는 절대 시간(벽시계)을 기반으로 하며 커밋 후 벽시계가 뒤로 갈 수 있습니다. 이러한 유형의 오류는 커밋 시 반영되지 않습니다. 따라서 OSPF 세션에서 키체인이 활성화될 때 모든 장치에서 시스템 시간을 동기화하는 것이 중요합니다.
Junos OS Evolved 릴리스 24.2R1부터 HMAC-SHA2(OSPFv2 HMAC-SHA2) 인증을 통해 OSPFv2 키체인 모듈을 활성화하여 OSPF 인터페이스에 도달하거나 OSPF 인터페이스에서 발생하는 패킷을 인증할 수 있습니다. HMAC SHA2 알고리즘에는 RFC 5709에 정의된 대로 HMAC-SHA2-256, HMAC-SHA2-384 및 HMAC-SHA2-512가 포함됩니다. 이러한 알고리즘은 HMAC-SHA2-224와 함께 지원됩니다. 이 기능을 사용하면 보안이 강화된 OSPFv2의 한 키에서 다른 키로 원활하게 전환할 수 있습니다. 또한 가상 및 가짜 링크에 대해 HMAC-SHA1 및 HMAC-SHA2 인증을 지원합니다.
OSPFv2에 대한 HMAC-SHA2 인증은 다음을 지원하지 않습니다.
-
활성 키가 없는 키체인.
-
다른 기존 인증 유형에서 무중단 세션이 있는 키체인으로 마이그레이션Migration from other existing authentication types to keychain with hitless session.
-
무인증에서 무중단 세션이 있는 키체인으로의 마이그레이션.
-
키 집합 구성의 SHA1(HMAC 제외) 알고리즘은 지원되지 않습니다.
- OSPF 세션에서 키체인이 활성화된 경우 모든 장치에서 시스템 시간을 동기화하는 것이 중요합니다.
참조
OSPFv3 인증 이해
OSPFv3에는 기본 제공 인증 방법이 없으며 IPSec(IP Security) 제품군을 사용하여 이 기능을 제공합니다. IPsec은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 부인 방지와 같은 기능을 제공합니다. IPsec을 사용하여 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
OSPFv3 구성과 별도로 실제 IPsec 인증을 구성한 다음 IPsec을 OSPFv3 인터페이스 또는 OSPFv3 가상 링크에 적용합니다.
OSPFv3는 IPsec 프로토콜의 IP 인증 헤더(AH) 및 IP ESP(Encapsulating Security Payload) 부분을 사용하여 피어 간의 라우팅 정보를 인증합니다. AH는 무연결 무결성 및 데이터 원본 인증을 제공할 수 있습니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 보낸 사람이 예측할 수 없기 때문에 AH로 보호할 수 없습니다. ESP는 암호화 및 제한된 트래픽 흐름 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리플레이 서비스를 제공할 수 있습니다.
IPsec은 보안 연결(SA)을 기반으로 합니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 규격 집합입니다. 이 단순 연결은 SA가 전송하는 패킷에 보안 서비스를 제공합니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 특정 흐름을 한 방향으로 암호화하고 인증하는 데 사용됩니다. 따라서 일반적인 양방향 트래픽에서 흐름은 한 쌍의 SA에 의해 보호됩니다. OSPFv3와 함께 사용할 SA는 수동으로 구성하고 전송 모드를 사용해야 합니다. 정적 값은 SA의 양쪽 끝에서 구성해야 합니다.
수동 SA는 피어 간에 협상할 필요가 없습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI(Security Parameter Index) 값, 알고리즘 및 키를 정적으로 정의하며 두 엔드포인트(OSPFv3 피어) 모두에서 일치하는 구성이 필요합니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
암호화 및 인증 알고리즘의 실제 선택은 IPsec 관리자에게 맡겨집니다. 그러나 다음과 같은 권장 사항이 있습니다.
NULL 암호화와 함께 ESP를 사용하여 OSPFv3 프로토콜 헤더에만 인증을 제공합니다. NULL 암호화를 사용하면 OSPFv3 헤더에 암호화를 제공하지 않습니다. 이 기능은 문제 해결 및 디버깅에 유용할 수 있습니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.
완전한 기밀 유지를 위해 NULL이 아닌 암호화와 함께 ESP를 사용합니다. NULL이 아닌 암호화를 사용하면 암호화를 제공하도록 선택됩니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.
AH를 사용하여 OSPFv3 프로토콜 헤더, IPv6 헤더의 일부 및 확장 헤더의 일부에 대한 인증을 제공합니다.
OSPFv3에 대한 IPsec 인증에는 다음과 같은 제한 사항이 적용됩니다.
동적 IKE(Internet Key Exchange) 보안 연결(SA)은 지원되지 않습니다.
IPsec 전송 모드만 지원됩니다. 전송 모드에서는 IP 패킷의 페이로드(전송하는 데이터)만 암호화 및/또는 인증됩니다. 터널 모드는 지원되지 않습니다.
양방향 수동 SA만 지원되므로 모든 OSPFv3 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다.원격 엔드포인트 주소가 동일한 모든 가상 링크에 대해 동일한 IPsec SA를 구성해야 합니다.
참조
예: OSPFv2 교환을 위한 단순 인증 구성
이 예에서는 OSPFv2 교환에 대한 단순 인증을 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 보기: OSPF 지정 라우터 선택 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
단순 인증은 전송된 패킷에 포함된 일반 텍스트 비밀번호를 사용합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다. 일반 텍스트 암호는 암호화되지 않으며 패킷 가로채기의 대상이 될 수 있습니다. 이 방법은 보안 수준이 가장 낮으므로 네트워크 보안이 목표가 아닌 경우에만 사용해야 합니다.
라우팅 디바이스에는 단 하나의 단순 인증 키(비밀번호)만 구성할 수 있습니다. 단순 키는 1자에서 8자까지 가능하며 ASCII 문자열을 포함할 수 있습니다. 공백이 포함되어 있는 경우, 모든 문자를 따옴표(" ")로 묶습니다.
이 예에서는 영역 0.0.0.0에서 OSPFv2 인터페이스 so-0/1/0 을 지정하고, 인증 유형을 simple-password로 설정하고, 키를 PssWd4로 정의합니다.
구성
CLI 빠른 구성
단순 인증을 빠르게 구성하려면 다음 명령을 복사하여 줄 바꿈을 모두 제거한 다음 명령을 CLI에 붙여넣습니다. 동일한 인증 및 해당 암호를 사용하여 영역 내의 모든 라우팅 디바이스를 구성해야 합니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
절차
단계별 절차
OSPFv2 교환에 대한 단순 인증을 사용하도록 설정하려면,
OSPF 영역을 만듭니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
인증 유형과 비밀번호를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
메모:해당 영역의 모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
예: OSPFv2 교환을 위한 MD5 인증 구성
이 예에서는 OSPFv2 교환에 대해 MD5 인증을 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 보기: OSPF 지정 라우터 선택 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공한 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수용합니다.
이 예제에서는 백본 영역(영역 0.0.0.0)을 만들고, OSPFv2 인터페이스 so-0/2/0을 지정하고, 인증 유형을 md5로 설정한 다음, 인증 키 ID를 5로, 암호를 PssWd8로 정의합니다.
위상수학
구성
CLI 빠른 구성
MD5 인증을 신속하게 구성하려면 다음 명령을 복사하여 CLI에 붙여넣으십시오.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
절차
단계별 절차
OSPFv2 교환을 위해 MD5 인증을 활성화하려면,
OSPF 영역을 만듭니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5 인증을 구성하고 키 ID 및 인증 비밀번호를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
메모:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
구성된 인증 방법 확인
목적
OSPF 프로토콜 패킷을 송수신하기 위한 인증 방법이 구성되었는지 확인합니다. MD5 인증을 위해 구성된 경우, 인증 유형 필드에는 MD5가 표시되고, 활성 키 ID 필드에는 MD5 키를 식별하기 위해 입력한 고유 번호가 표시되며, 시작 시간 필드에는 날짜가 시작 시간 1970 Jan 01 00:00:00 PST로 표시됩니다. 이 시작 시간에 놀라지 마십시오. MD5 키가 즉시 유효한 경우 라우팅 디바이스가 표시하는 기본 시작 시간입니다.
행동
운영 모드에서 및 show ospf overview 명령을 입력합니다show ospf interface.
예: OSPFv2 인터페이스에서 MD5 키 전환 구성
이 예에서는 OSPFv2 인터페이스에서 MD5 키 전환을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 보기: OSPF 지정 라우터 선택 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용합니다. MD5 인증이 작동하려면 수신 및 송신 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공한 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수용합니다.
보안 강화를 위해 각각 고유한 키 ID를 가진 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정할 수 있습니다. OSPF 패킷의 수신자는 ID를 사용하여 인증에 사용할 키를 결정합니다.
이 예에서는 백본 영역(영역 0.0.0.0)의 OSPFv2 인터페이스 fe-0/0/1 에서 향후 3개월 동안 첫 날 오전 12시 1분에 새 키가 적용되도록 구성하고 다음 MD5 인증 설정을 구성합니다.
md5 - MD5 인증 키 ID를 지정합니다. 키 ID는 0에서 255 사이의 값으로 설정할 수 있으며 기본값은 0입니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 ID를 사용하여 전송된 OSPFv2 패킷만 수용합니다.
key - MD5 키를 지정합니다. 각 키는 1자에서 16자 사이의 값일 수 있습니다. 문자는 ASCII 문자열을 포함할 수 있습니다. 공백이 포함되어 있는 경우, 모든 문자를 따옴표(" ")로 묶습니다.
start-time - MD5 키 사용을 시작할 시간을 지정합니다. 이 옵션을 사용하면 여러 키에 대해 원활한 전환 메커니즘을 구성할 수 있습니다. 시작 시간은 전송과 관련이 있지만 OSPF 패킷 수신과는 관련이 없습니다.
OSPFv2 인접성이 활성 상태로 유지되도록 영역의 모든 디바이스에서 동일한 암호와 전환 날짜 및 시간을 설정해야 합니다.
위상수학
구성
CLI 빠른 구성
OSPFv2 인터페이스에서 여러 MD5 키를 빠르게 구성하려면 다음 명령을 복사하고 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
절차
단계별 절차
OSPFv2 인터페이스에서 여러 MD5 키를 구성하려면 다음을 수행합니다.
OSPF 영역을 만듭니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5 인증을 구성하고 인증 비밀번호와 키 ID를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
2월, 3월, 4월의 첫날 오전 12:01에 적용되도록 새 키를 구성합니다.
매월 새로운 인증 비밀번호와 키 ID를 구성합니다.
2월의 경우 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3월의 경우 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4월의 경우 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
메모:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
IPsec을 사용하여 OSPFv3 네트워크 보안(CLI 절차)
OSPF 버전 3(OSPFv3)에는 기본 제공 인증 방법이 없으며 IPSec(IP 보안)을 사용하여 이 기능을 제공합니다. IPsec을 사용하여 EX 시리즈 스위치에서 OSPFv3 인터페이스를 보호할 수 있습니다.
이 주제에는 다음 내용이 포함됩니다.
보안 연결 구성
SA(보안 연결)를 구성할 때 인증, 암호화, 방향, 모드, 프로토콜 및 SPI(보안 매개 변수 인덱스)에 대한 선택 사항을 포함합니다.
보안 연결을 구성하려면 다음을 수행합니다.
OPSFv3 네트워크 보안
OSPFv3 구성에 SA를 적용하여 OSPFv3 네트워크를 보호할 수 있습니다.
OSPFv3 네트워크를 보호하려면 다음을 수행합니다.
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
예: OSPF 인터페이스에 대한 IPsec 인증 구성
이 예에서는 OSPF 인터페이스에 대해 IP 보안(IPsec) 인증을 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 보기: OSPF 지정 라우터 선택 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
OSPFv2와 OSPFv3 모두에 IPsec 인증을 사용할 수 있습니다. 실제 IPsec 인증을 별도로 구성하여 해당 OSPF 구성에 적용합니다.
OSPFv2
Junos OS 릴리스 8.3부터 IPsec 인증을 사용하여 OSPFv2 인터페이스, 가짜 링크의 원격 엔드포인트 및 수동 SA(Security Association)를 사용하여 OSPFv2 가상 링크를 인증하여 라우팅 디바이스 간에 패킷 콘텐츠가 안전하도록 보장할 수 있습니다.
MD5 또는 단순 인증과 함께 IPsec 인증을 구성할 수 있습니다.
IPsec 인증을 사용하려면 다음 중 하나를 수행합니다.
OSPFv2 인터페이스의 경우 특정 인터페이스에
ipsec-sa name대한 문을 포함합니다.interface interface-name ipsec-sa name;
원격 가짜 링크의 경우, 가짜 링크의 원격 엔드포인트에 대한 문을 포함합니다
ispec-sa name.sham-link-remote address ipsec-sa name;
메모:레이어 3 VPN 구성에 동일한 원격 엔드포인트 IP 주소를 가진 가짜 링크가 여러 개 있는 경우 모든 원격 엔드포인트에 대해 동일한 IPsec 보안 연결을 구성해야 합니다. 계층 수준에서 레이어 3 VPN을
[edit routing-instances routing-instance-name instance-type]구성합니다. 레이어 3 VPN에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.가상 링크의 경우, 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3에는 기본 제공 인증 방법이 없으며 IPsec을 사용하여 이 기능을 제공합니다. IPsec 인증을 사용하여 OSPFv3 인터페이스를 보호하고 수동 SA를 사용하여 OSPFv3 가상 링크를 보호하면 라우팅 디바이스 간에 패킷 콘텐츠가 안전하게 보호됩니다.
인증을 적용하려면 다음 중 하나를 수행합니다.
OSPFv3 인터페이스의 경우 특정 인터페이스에
ipsec-sa name대한 문을 포함합니다.interface interface-name ipsec-sa name;
가상 링크의 경우, 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
이 예제에서는 다음 작업을 수행합니다.
IPsec 인증을 구성합니다. 이렇게 하려면 sa1 이라는 수동 SA를 정의하고 처리 방향, IP 트래픽을 보호하는 데 사용되는 프로토콜, SPI(Security Parameter Index), 인증 알고리즘 및 키를 지정합니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name mode]구성합니다.transport—전송 모드를 지정합니다. 이 모드는 통신 엔드포인트와 암호화 엔드포인트가 동일한 경우 트래픽을 보호합니다. IP 패킷의 데이터 부분은 암호화되지만 IP 헤더는 암호화되지 않습니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name manual direction]구성합니다.bidirectional—IPsec 처리 방향을 정의합니다. bidrectional을 지정하면 구성한 것과 동일한 알고리즘, 키 및 SPI(Security Paramater Index) 값이 양방향으로 사용됩니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name manual direction bidirectional]구성합니다.protocol—IP 트래픽을 보호하기 위해 수동 SA에서 사용하는 IPsec 프로토콜을 정의합니다. 인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP) 중 하나를 지정할 수 있습니다. 이 예에서와 같이 AH를 지정하면 암호화를 구성할 수 없습니다.
spi - 수동 SA에 대한 SPI를 구성합니다. SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷을 해독하는 데 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다. 이 예에서는 256을 지정합니다.
authentication—인증 알고리즘 및 키를 구성합니다. algorithm 옵션은 패킷 데이터를 인증하는 해시 알고리즘을 지정합니다. 이 예에서는 128비트 다이제스트를 생성하는 hmac-md5-96을 지정합니다. key 옵션은 인증 키의 유형을 나타냅니다. 이 예에서는 hmac-md5-96 알고리즘에 대해 16개의 ASCII 문자인 ascii-text-key를 지정합니다.
계층 수준에서 구성
[edit security ipsec]한 수동 SA sa1의 이름을 포함하여 백본 영역(영역 0.0.0.0)의 OSPF 인터페이스 so-0/2/0.0에서 IPsec 인증을 활성화합니다.
위상수학
구성
보안 연결 구성
CLI 빠른 구성
OSPF 인터페이스에서 IPsec 인증에 사용할 수동 SA를 신속하게 구성하려면 다음 명령을 복사하고 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
단계별 절차
OSPF 인터페이스에서 사용할 수동 SA를 구성하려면,
SA의 이름을 지정합니다.
[edit] user@host# edit security ipsec security-association sa1
SA의 모드를 지정합니다.
[edit security ipsec security-association sa1 ] user@host# set mode transport
수동 SA의 방향을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
사용할 IPsec 프로토콜을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPI 값을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
인증 알고리즘 및 키를 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit security ipsec security-association sa1 ] user@host# commit
메모:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show security ipsec 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPF 인터페이스에 대한 IPsec 인증 사용
CLI 빠른 구성
IPsec 인증에 사용되는 수동 SA를 OSPF 인터페이스에 신속하게 적용하려면 다음 명령을 복사하여 CLI에 붙여넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
단계별 절차
OSPF 인터페이스에 대해 IPsec 인증을 사용하도록 설정하려면,
OSPF 영역을 만듭니다.
메모:OSPFv3를 지정하려면 계층 수준에 문을
[edit protocols]포함합니다ospf3.[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec 수동 SA를 적용합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
메모:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3 구성을 확인하려면 명령을 입력합니다 show protocols ospf3 .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
IPsec 보안 연결 설정 확인
목적
구성된 IPsec 보안 연결 설정을 확인합니다. 다음 정보를 확인합니다:
보안 연결 필드에는 구성된 보안 연결의 이름이 표시됩니다.
SPI 필드에는 구성한 값이 표시됩니다.
모드 필드는 전송 모드를 표시합니다.
유형 필드에는 보안 연결 유형으로 수동이 표시됩니다.
행동
운영 모드에서 명령을 입력합니다 show ipsec security-associations .