OSPF 인증 구성
EX 시리즈 스위치의 OSPF 패킷에 대한 IPsec 인증 이해
IP 보안(IPsec)은 발신자를 인증하고 네트워크 디바이스 간 IP 버전 4(IPv4) 트래픽을 암호화하는 안전한 방법을 제공합니다. IPsec은 주니퍼 네트웍스 EX 시리즈 이더넷 스위치 및 해당 사용자를 위한 네트워크 관리자에게 데이터 기밀성, 데이터 무결성, 발신자 인증 및 안티리게이션 서비스의 이점을 제공합니다.
IPsec은 IP 네트워크를 통한 안전한 프라이빗 통신을 보장하기 위한 프레임워크이며 IETF(International Engineering Task Force)가 개발한 표준을 기반으로 합니다. IPsec은 시스템이 필요한 보안 프로토콜을 선택하고, 보안 서비스에 사용할 알고리즘을 결정하고, 요청된 서비스를 제공하는 데 필요한 암호화 키를 구현할 수 있도록 함으로써 OSI(Open Systems Interconnection) 모델의 네트워크 레이어에서 보안 서비스를 제공합니다. IPsec을 사용하여 한 쌍의 호스트 간에, 한 쌍의 보안 게이트웨이(예: 스위치) 사이 또는 보안 게이트웨이와 호스트 간에 하나 이상의 경로를 보호할 수 있습니다.
OSPF 버전 2(OSPFv2)와 달리 OSPF 버전 3(OSPFv3)은 기본 제공 인증 방법이 없으며 이 기능을 제공하기 위해 IPsec에 의존합니다. 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
인증 알고리즘
인증은 발신자의 ID를 확인하는 프로세스입니다. 인증 알고리즘은 공유 키를 사용하여 IPsec 디바이스의 신뢰성을 확인합니다. 주니퍼 네트웍스 Junos 운영체제(Junos OS)는 다음 인증 알고리즘을 사용합니다.
MD5(Message Digest 5)는 단방향 해시 기능을 사용하여 임의의 길이의 메시지를 128비트 의 고정 길이 메시지 다이제스트로 변환합니다. 변환 프로세스 때문에 결과 메시지 다이제스트에서 역으로 계산하여 원본 메시지를 계산하는 것은 수학적으로 불가능합니다. 마찬가지로 메시지의 단일 문자로 변경하면 메시지 다이제스트 번호가 매우 다른 생성됩니다.
메시지가 변조되지 않았음을 확인하기 위해 Junos OS 계산된 메시지 다이제스트를 공유 키로 복호화한 메시지 다이제스트와 비교합니다. Junos OS 추가적인 수준의 해싱을 제공하는 MD5 해시된 메시지 인증 코드(HMAC) 변형을 사용합니다. MD5는 인증 헤더(AH) 및 ESP(Encapsulating Security Payload)와 함께 사용할 수 있습니다.
보안 해시 알고리즘 1(SHA-1)은 MD5보다 더 강력한 알고리즘을 사용합니다. SHA-1은 길이가 264비트 미만인 메시지를 받아 160비트 메시지 다이제스트를 생성합니다. 대규모 메시지 다이제스트는 데이터가 변경되지 않고 올바른 소스에서 유래하도록 보장합니다. Junos OS 추가적인 해싱 수준을 제공하는 SHA-1 HMAC 변형을 사용합니다. SHA-1은 AH, ESP 및 Internet Key Exchange(IKE)와 함께 사용할 수 있습니다.
암호화 알고리즘
암호화는 데이터를 보안 형식으로 인코딩하여 무단 사용자가 데이터를 해독할 수 없도록 합니다. 인증 알고리즘과 마찬가지로 공유 키는 암호화 알고리즘과 함께 사용되어 IPsec 디바이스의 신뢰성을 확인합니다. Junos OS 다음과 같은 암호화 알고리즘을 사용합니다.
데이터 암호화 표준 암호 블록 체인(DES-CBC)은 대칭 비밀 키 블록 알고리즘입니다. DES는 64비트 키 크기를 사용하며, 여기서 8비트 는 오류 감지에 사용되고 나머지 56비트에서는 암호화를 제공합니다. DES는 순열 및 교체를 포함하여 공유 키에서 일련의 간단한 논리적 작업을 수행합니다. CBC는 DES에서 64비트 출력의 첫 번째 블록을 가져와서 이 블록을 두 번째 블록과 결합하고, 이를 DES 알고리즘에 다시 피드하고, 모든 후속 블록에 대해 이 프로세스를 반복합니다.
트리플 DES-CBC(3DES-CBC)는 DES-CBC와 유사하지만 168비트(3 x 56비트) 암호화에 3개의 키를 사용하기 때문에 훨씬 더 강력한 암호화 결과를 제공하는 암호화 알고리즘입니다. 3DES는 첫 번째 키를 사용하여 블록을 암호화하고, 두 번째 키를 복호화하며, 세 번째 키를 사용하여 블록을 다시 암호화합니다.
IPsec 프로토콜
IPsec 프로토콜은 스위치가 보안하는 패킷에 적용되는 인증 및 암호화 유형을 결정합니다. Junos OS 다음 IPsec 프로토콜을 지원합니다.
AH— RFC 2402에서 정의된 AH는 IPv4에 대한 무연결 무결성 및 데이터 원본 인증을 제공합니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 발신자가 예측할 수 없기 때문에 AH로 보호할 수 없습니다. IP 헤더에서 AH는 IPv4 패킷의 프로토콜 필드에서 51의 값으로 식별될 수 있습니다.
ESP— RFC 2406에서 정의되어 있는 ESP는 암호화 및 제한된 트래픽 플로우 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리게이션 서비스를 제공할 수 있습니다. IP 헤더에서 ESP는 IPv4 패킷의 프로토콜 필드에서 50의 값으로 식별될 수 있습니다.
보안 연결
IPsec 고려 사항은 구현하려는 보안 연결(SA) 유형입니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 규격 집합입니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 네트워크 관리자의 선택에 따라 단방향이거나 양방향일 수 있습니다. SA는 SPI(Security Parameter Index), IPv4 또는 IPv6 대상 주소 및 보안 프로토콜(AH 또는 ESP) 식별자를 통해 고유하게 식별됩니다.
IPsec 모드
Junos OS 다음 IPsec 모드를 지원합니다.
터널 모드는 Junos OS AH와 ESP 모두에 지원됩니다. 터널 모드에서 SA 및 관련 프로토콜은 터널링된 IPv4 또는 IPv6 패킷에 적용됩니다. 터널 모드 SA의 경우, 외부 IP 헤더는 IPsec 처리 대상을 지정하고 내부 IP 헤더는 패킷의 최종 대상을 지정합니다. 보안 프로토콜 헤더는 외부 IP 헤더 뒤와 내부 IP 헤더 앞에 나타납니다. 또한 AH 및 ESP로 터널 모드를 구현할 때 터널 모드에는 약간의 차이가 있습니다.
AH의 경우 외부 IP 헤더의 일부와 전체 터널링된 IP 패킷이 보호됩니다.
ESP의 경우, 외부 헤더가 아닌 터널링된 패킷만 보호됩니다.
SA의 한쪽이 보안 게이트웨이(예: 스위치)인 경우 SA는 터널 모드를 사용해야 합니다. 그러나 트래픽(예: SNMP 명령 또는 BGP 세션)이 스위치로 향하는 경우 시스템은 호스트 역할을 합니다. 이 경우 전송 모드는 시스템이 보안 게이트웨이 역할을 하지 않고 전송 트래픽을 송수신하지 않기 때문에 허용됩니다.
참고:터널 모드는 OSPF v3 제어 패킷 인증에 지원되지 않습니다.
전송 모드는 두 호스트 사이에 SA를 제공합니다. 전송 모드에서 프로토콜은 주로 상위 레이어 프로토콜에 대한 보호를 제공합니다. 전송 모드 보안 프로토콜 헤더는 IP 헤더 및 모든 옵션 바로 뒤와 상위 레이어 프로토콜(예: TCP 또는 UDP) 앞에 나타납니다. AH 및 ESP로 구현할 때 전송 모드에는 약간의 차이가 있습니다.
AH의 경우 IP 헤더의 선택된 부분과 IPv4 헤더 내의 선택한 확장 헤더 부분 및 선택된 옵션이 보호됩니다.
ESP의 경우, IP 헤더나 ESP 헤더 앞의 확장 헤더가 아닌 상위 계층 프로토콜만 보호됩니다.
OSPFv2 인증 이해
모든 OSPFv2 프로토콜 교환은 신뢰할 수 있는 라우팅 디바이스만 AS(Autonomous System)의 라우팅에 참여하도록 보장하기 위해 인증될 수 있습니다. 기본적으로 OSPFv2 인증은 비활성화됩니다.
OSPFv3에는 기본 제공 인증 방법이 없으며 IP 보안(IPsec)을 사용하여 이 기능을 제공합니다.
다음 인증 유형을 활성화할 수 있습니다.
-
단순 인증 - 전송된 패킷에 포함된 일반 문구 비밀번호를 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(암호)를 사용하여 패킷을 확인합니다.
-
MD5 인증 - 전송된 패킷에 포함된 인코딩 MD5 체크섬을 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(암호)를 사용하여 패킷을 확인합니다.
각 인터페이스에 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우, 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 허용합니다.
-
IPsec 인증(Junos OS 릴리스 8.3부터) - 수동 보안 연결(SA)을 사용하여 OSPFv2 인터페이스, sham 링크의 원격 엔드포인트 및 OSPFv2 가상 링크를 인증하여 패킷의 콘텐츠가 라우팅 디바이스 간에 안전하게 보호되도록 합니다. 실제 IPsec 인증을 별도로 구성합니다.
참고:MD5 또는 간단한 인증으로 IPsec 인증을 함께 구성할 수 있습니다.
OSPFv2에 대한 IPsec 인증에는 다음과 같은 제한이 적용됩니다.
-
동적 Internet Key Exchange(IKE) SA는 지원되지 않습니다.
-
IPsec 전송 모드만 지원됩니다. 터널 모드는 지원되지 않습니다.
-
양방향 수동 SA만 지원되므로 모든 OSPFv2 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다. -
동일한 원격 엔드포인트 주소를 가진 모든 가상 링크, OSPF NBMA(Nonbroadcast multiacces) 또는 point-to-multipoint 링크의 모든 이웃, 브로드캐스트 링크의 일부인 모든 서브넷에 대해 동일한 IPsec SA를 구성해야 합니다.
-
OSPFv2 피어 인터페이스는 지원되지 않습니다.
-
OSPF는 영역 수준에서 인증을 수행하기 때문에 영역 내의 모든 라우팅 디바이스는 동일한 인증 및 해당 암호(키)를 구성해야 합니다. MD5 인증이 작동하려면 수신 및 전송 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다. 또한 간단한 암호와 MD5 키는 상호 배타적입니다. 간단한 암호 하나만 구성할 수 있지만 여러 MD5 키만 구성할 수 있습니다.
보안 조치의 일환으로 MD5 키를 변경할 수 있습니다. 각 키 ID가 있는 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정하면 이 작업을 수행할 수 있습니다. 각 고유한 MD5 키에는 고유한 ID가 있습니다. ID는 OSPF 패킷의 수신자가 인증에 사용할 키를 결정하는 데 사용됩니다. MD5 인증에 필요한 키 ID는 MD5 키와 연결된 식별자를 지정합니다.
릴리스 22.4R1 Junos OS 시작해, 인터페이스당 최대 2개의 키로 패킷을 전송할 수 있는 여러 활성 키로 최단 경로 우선(OSPF) MD5 인증 보급을 지원합니다. 인터페이스에서 한 번에 여러 개의 키가 활성화되어 있으면 OSPF를 위해 한 키에서 다른 키로 원활하게 전환할 수 있습니다. OSPF 세션에 영향을 주지 않으면서 이전 키를 삭제할 수 있습니다.
더 보기
OSPFv3 인증 이해하기
OSPFv3에는 기본 제공 인증 방법이 없으며 IP 보안(IPsec) 제품군을 사용하여 이 기능을 제공합니다. IPsec은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 반박과 같은 기능을 제공합니다. IPsec을 사용하여 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
OSPFv3 구성과 별도로 실제 IPsec 인증을 구성한 다음 OSPFv3 인터페이스 또는 OSPFv3 가상 링크에 IPsec을 적용합니다.
OSPFv3는 IPsec 프로토콜의 IP 인증 헤더(AH) 및 IP ESP(Encapsulating Security Payload) 부분을 사용하여 피어 간의 라우팅 정보를 인증합니다. AH는 무연결 무결성 및 데이터 원본 인증을 제공할 수 있습니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 발신자가 예측할 수 없기 때문에 AH로 보호할 수 없습니다. ESP는 암호화 및 제한된 트래픽 플로우 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리게이션 서비스를 제공할 수 있습니다.
IPsec은 보안 연결(SA)을 기반으로 합니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 규격 집합입니다. 이 단순 연결은 SA가 수행하는 패킷에 보안 서비스를 제공합니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 특정 흐름을 한 방향으로 암호화하고 인증하는 데 사용됩니다. 따라서 일반적인 양방향 트래픽에서 플로우는 한 쌍의 SA에 의해 보호됩니다. OSPFv3와 함께 사용할 SA는 수동으로 구성하고 전송 모드를 사용해야 합니다. 정적 값은 SA의 양쪽 끝에서 구성되어야 합니다.
수동 SA는 피어 간의 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI(Security Parameter Index) 값, 알고리즘 및 키를 정적으로 정의하며 두 엔드 포인트(OSPFv3 피어)에서 일치하는 구성이 필요합니다. 결과적으로, 각 피어는 통신을 위해 동일한 구성된 옵션을 가져야 합니다.
암호화 및 인증 알고리즘의 실제 선택은 IPsec 관리자에게 맡기고, 그러나 다음과 같은 권장 사항이 있습니다.
ESP와 NULL 암호화를 사용하여 OSPFv3 프로토콜 헤더에만 인증을 제공합니다. NULL 암호화를 사용하면 OSPFv3 헤더에서 암호화를 제공하지 않습니다. 이는 문제 해결 및 디버깅 목적에 유용할 수 있습니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.
완전한 기밀성을 위해 ESP와 비 NULL 암호화를 사용합니다. NULL이 아닌 암호화에서는 암호화를 제공하도록 선택할 수 있습니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.
AH를 사용하여 OSPFv3 프로토콜 헤더, IPv6 헤더 부분 및 확장 헤더 부분에 대한 인증을 제공합니다.
OSPFv3에 대한 IPsec 인증에는 다음과 같은 제한이 적용됩니다.
동적 Internet Key Exchange(IKE) 보안 연결(SA)은 지원되지 않습니다.
IPsec 전송 모드만 지원됩니다. 전송 모드에서는 IP 패킷의 페이로드(전송하는 데이터)만 암호화 및/또는 인증됩니다. 터널 모드는 지원되지 않습니다.
양방향 수동 SA만 지원되므로 모든 OSPFv3 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다.원격 엔드포인트 주소가 동일한 모든 가상 링크에 대해 동일한 IPsec SA를 구성해야 합니다.
더 보기
예: OSPFv2 교환에 대한 단순 인증 구성
이 예는 OSPFv2 교환에 대한 간단한 인증을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스 인터페이스를 구성합니다. 라우팅 디바이스를 위한 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스를 위한 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크에서 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선출 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 고가용성(OSPF) 네트워크를 구성합니다. 예: 다중 OSPF 네트워크 구성을 참조하십시오.
개요
단순 인증은 전송된 패킷에 포함된 일반 문구 비밀번호를 사용합니다. 수신 라우팅 디바이스는 인증 키(암호)를 사용하여 패킷을 확인합니다. 일반 문구 비밀번호는 암호화되지 않으며 패킷 가로채기의 대상이 될 수 있습니다. 이 방법은 가장 안전하며 네트워크 보안이 목표가 아닌 경우에만 사용해야 합니다.
라우팅 디바이스에서 단 하나의 간단한 인증 키(암호)만 구성할 수 있습니다. 간단한 키는 1~8자일 수 있으며 ASCII 문자열을 포함할 수 있습니다. 공백을 포함하는 경우, 따옴표(" ")에 모든 문자를 묶습니다.
이 예에서 영역 0.0.0.0 에서 OSPFv2 인터페이스 so-0/1/0을 지정하고, 인증 유형을 단순 암호로 설정하고, 키를 PssWd4로 정의합니다.
구성
CLI 빠른 구성
간단한 인증을 빠르게 구성하려면 다음 명령을 복사하여 모든 라인브 휴식이 제거된 다음 명령을 CLI에 붙여 넣습니다. 동일한 인증 및 해당 비밀번호로 영역 내의 모든 라우팅 디바이스를 구성해야 합니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
절차
단계별 절차
OSPFv2 교환에 대한 간단한 인증을 활성화하려면 다음을 수행합니다.
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
인증 유형 및 암호를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
참고:영역의 모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 구성을 확인합니다 show protocols ospf . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형태가 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
예: OSPFv2 교환을 위한 MD5 인증 구성
이 예는 OSPFv2 교환에 대해 MD5 인증을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스 인터페이스를 구성합니다. 라우팅 디바이스를 위한 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스를 위한 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크에서 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선출 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 고가용성(OSPF) 네트워크를 구성합니다. 예: 다중 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩 MD5 체크섬을 사용합니다. 수신 라우팅 디바이스는 인증 키(암호)를 사용하여 패킷을 확인합니다.
각 인터페이스에 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우, 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 허용합니다.
이 예에서 백본 영역(영역 0.0.0.0)을 생성하고, OSPFv2 인터페이스 so-0/2/0을 지정하고, 인증 유형을 md5로 설정한 다음 인증 키 ID를 5로 정의하고 암호를 PssWd8로 정의합니다.
토폴로지
구성
CLI 빠른 구성
MD5 인증을 신속하게 구성하려면 다음 명령을 복사하여 CLI에 붙여 넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
절차
단계별 절차
OSPFv2 교환에 MD5 인증을 활성화하려면 다음을 수행합니다.
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5 인증을 구성하고 키 ID 및 인증 비밀번호를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
참고:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 구성을 확인합니다 show protocols ospf . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형태가 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
확인
구성이 제대로 작동하는지 확인합니다.
구성된 인증 방법 확인
목적
OSPF 프로토콜 패킷 송수신 인증 방법이 구성되었는지 확인합니다. MD5 인증을 위해 구성되면 인증 유형 필드에 MD5가 표시되고, 활성 키 ID 필드는 MD5 키를 식별하는 입력한 고유 번호를 표시하며, 시작 시간 필드에는 1970년 1월 01일 00:00:00 PST로 날짜를 표시합니다. 이 시작 시간에 놀라지 마십시오. MD5 키가 즉시 유효할 경우 라우팅 디바이스가 표시하는 기본 시작 시간입니다.
작업
운영 모드에서 및 show ospf overview 명령을 입력 show ospf interface 합니다.
예: OSPFv2 인터페이스에서 MD5 키의 전환 구성
이 예는 OSPFv2 인터페이스에서 MD5 키의 전환을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스 인터페이스를 구성합니다. 라우팅 디바이스를 위한 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스를 위한 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크에서 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선출 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 고가용성(OSPF) 네트워크를 구성합니다. 예: 다중 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩 MD5 체크섬을 사용합니다. MD5 인증이 작동하려면 수신 및 전송 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다.
각 인터페이스에 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우, 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 허용합니다.
보안을 강화하려면 각각 고유한 키 ID를 가진 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정할 수 있습니다. OSPF 패킷의 수신자가 ID를 사용하여 인증에 사용할 키를 결정합니다.
이 예에서는 백본 영역(영역 0.0.0.0)의 OSPFv2 인터페이스 fe-0/0/1 에서 다음 3개월 첫 날 오전 12:01에 새 키를 구성하고 다음 MD5 인증 설정을 구성합니다.
md5 - MD5 인증 키 ID를 지정합니다. 키 ID는 0에서 255 사이의 모든 값으로 설정 가능하며 기본값은 0입니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 ID를 사용하여 전송된 OSPFv2 패킷만 허용합니다.
키 - MD5 키를 지정합니다. 각 키는 1~16자 길이의 값이 될 수 있습니다. 문자는 ASCII 문자열을 포함할 수 있습니다. 공백을 포함하는 경우, 따옴표(" ")에 모든 문자를 묶습니다.
시작 시간 - MD5 키 사용을 시작하는 시간을 지정합니다. 이 옵션을 사용하면 여러 키에 대한 원활한 전환 메커니즘을 구성할 수 있습니다. 시작 시간은 전송과 관련이 있지만 OSPF 패킷을 수신하는 것은 아닙니다.
OSPFv2 인접 항목이 활성 상태로 유지되도록 영역의 모든 디바이스에서 동일한 암호와 전환 날짜 및 시간을 설정해야 합니다.
토폴로지
구성
CLI 빠른 구성
OSPFv2 인터페이스에서 여러 MD5 키를 빠르게 구성하려면 다음 명령을 복사하여 모든 라인브랩을 제거한 다음 명령을 CLI에 붙여 넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
절차
단계별 절차
OSPFv2 인터페이스에서 여러 MD5 키를 구성하려면 다음을 수행합니다.
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5 인증을 구성하고 인증 암호 및 키 ID를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
2월, 3월, 4월 첫째 날 오전 12:01에 새 키를 구성합니다.
매달 새 인증 비밀번호와 키 ID를 구성합니다.
2월 한 달 동안 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3월 한 달 동안 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4월 한 달 동안 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
참고:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 구성을 확인합니다 show protocols ospf . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형태가 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
확인
구성이 제대로 작동하는지 확인합니다.
IPsec을 사용하여 OSPFv3 네트워크 보안(CLI 절차)
OSPF 버전 3(OSPFv3)은 기본 제공 인증 방법이 없으며 이 기능을 제공하기 위해 IP 보안(IPsec)에 의존합니다. IPsec을 사용하여 EX 시리즈 스위치에서 OSPFv3 인터페이스를 보호할 수 있습니다.
이 주제에는 다음 내용이 포함됩니다.
보안 연결 구성
보안 연결(SA)을 구성할 때 인증, 암호화, 방향, 모드, 프로토콜 및 SPI(Security Parameter Index)에 대한 선택을 포함합니다.
보안 연결을 구성하려면 다음을 수행합니다.
OPSFv3 네트워크 보안
SA를 OSPFv3 구성에 적용하여 OSPFv3 네트워크를 보호할 수 있습니다.
OSPFv3 네트워크 보안을 위해 다음을 수행합니다.
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
예: OSPF 인터페이스에 대한 IPsec 인증 구성
이 예는 OSPF 인터페이스에 대해 IP 보안(IPsec) 인증을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스 인터페이스를 구성합니다. 라우팅 디바이스를 위한 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스를 위한 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크에서 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선출 제어
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 고가용성(OSPF) 네트워크를 구성합니다. 예: 다중 OSPF 네트워크 구성을 참조하십시오.
개요
OSPFv2 및 OSPFv3 모두에 IPsec 인증을 사용할 수 있습니다. 실제 IPsec 인증을 별도로 구성하고 해당 OSPF 구성에 적용합니다.
OSPFv2
Junos OS 릴리스 8.3부터는 IPsec 인증을 사용하여 OSPFv2 인터페이스, sham 링크의 원격 엔드포인트 및 OSPFv2 가상 링크를 인증할 수 있습니다. 수동 보안 연결(SA)을 사용하여 패킷의 콘텐츠가 라우팅 디바이스 간에 안전한지 확인할 수 있습니다.
MD5 또는 간단한 인증으로 IPsec 인증을 함께 구성할 수 있습니다.
IPsec 인증을 활성화하려면 다음 중 하나를 수행합니다.
OSPFv2 인터페이스의 경우, 특정 인터페이스에
ipsec-sa name대한 문을 포함합니다.interface interface-name ipsec-sa name;
원격 sham 링크의
ispec-sa name경우 sham 링크의 원격 엔드 포인트에 대한 문을 포함합니다.sham-link-remote address ipsec-sa name;
참고:레이어 3 VPN 구성에 동일한 원격 엔드포인트 IP 주소를 가진 여러 sham 링크가 있는 경우, 모든 원격 엔드포인트에 대해 동일한 IPsec 보안 연결을 구성해야 합니다. 계층 수준에서 레이어 3 VPN을
[edit routing-instances routing-instance-name instance-type]구성합니다. 레이어 3 VPN에 대한 자세한 내용은 Junos OS 라우팅 디바이스용 VPN 라이브러리를 참조하십시오.가상 링크의 경우 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다.virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3에는 기본 제공 인증 방법이 없으며 IPsec을 사용하여 이 기능을 제공합니다. IPsec 인증을 사용하여 OSPFv3 인터페이스를 보호하고 수동 SA를 사용하여 OSPFv3 가상 링크를 보호하여 패킷의 콘텐츠가 라우팅 디바이스 간에 안전하게 보호되도록 보장합니다.
인증을 적용하려면 다음 중 하나를 수행합니다.
OSPFv3 인터페이스의 경우, 특정 인터페이스에
ipsec-sa name대한 문을 포함합니다.interface interface-name ipsec-sa name;
가상 링크의 경우 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다.virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
이 예에서는 다음 작업을 수행합니다.
IPsec 인증을 구성합니다. 이를 위해 sa1 이라는 수동 SA를 정의하고 처리 방향, IP 트래픽을 보호하는 데 사용되는 프로토콜, 보안 매개변수 인덱스(SPI), 인증 알고리즘 및 키를 지정합니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name mode]구성합니다.transport - 전송 모드를 지정합니다. 이 모드는 통신 엔드포인트와 암호화 엔드포인트가 동일할 때 트래픽을 보호합니다. IP 패킷의 데이터 부분은 암호화되지만 IP 헤더는 암호화되지 않습니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name manual direction]구성합니다.양방향 - IPsec 처리 방향을 정의합니다. 양방향을 지정함으로써 구성한 동일한 알고리즘, 키 및 보안 매개변수 인덱스(SPI) 값이 양방향으로 사용됩니다.
계층 수준에서 다음 옵션을
[edit security ipsec security-association sa-name manual direction bidirectional]구성합니다.프로토콜 - IP 트래픽을 보호하기 위해 수동 SA에서 사용하는 IPsec 프로토콜을 정의합니다. 인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP)를 지정할 수 있습니다. 이 예에서 AH를 지정하는 경우 암호화를 구성할 수 없습니다.
spi - 수동 SA에 대한 SPI를 구성합니다. SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 전송 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷을 해독하는 데 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다. 이 예에서 256을 지정합니다.
인증 - 인증 알고리즘 및 키를 구성합니다. 알고리즘 옵션은 패킷 데이터를 인증하는 해시 알고리즘을 지정합니다. 이 예에서는 128비트 다이제스트를 생성하는 hmac-md5-96을 지정합니다. 키 옵션은 인증 키 유형을 나타냅니다. 이 예에서는 hmac-md5-96 알고리즘에 대해 16자인 ascii-text-key를 지정합니다.
계층 수준에서 구성한 수동 SA sa1의 이름을 포함하여 백본 영역(영역 0.0.0.0)의 OSPF 인터페이스 so-0/2/0.0에서
[edit security ipsec]IPsec 인증을 활성화합니다.
토폴로지
구성
보안 연결 구성
CLI 빠른 구성
OSPF 인터페이스에서 IPsec 인증에 사용할 수동 SA를 신속하게 구성하려면 다음 명령을 복사하여 모든 라인브랩을 제거한 다음 명령을 CLI에 붙여 넣습니다.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
단계별 절차
OSPF 인터페이스에서 사용할 수동 SA를 구성하려면 다음을 수행합니다.
SA의 이름을 지정합니다.
[edit] user@host# edit security ipsec security-association sa1
SA의 모드를 지정합니다.
[edit security ipsec security-association sa1 ] user@host# set mode transport
수동 SA의 방향을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
사용할 IPsec 프로토콜을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPI 값을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
인증 알고리즘 및 키를 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit security ipsec security-association sa1 ] user@host# commit
참고:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 구성을 확인합니다 show security ipsec . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형태가 표시됩니다.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPF 인터페이스에 대한 IPsec 인증 활성화
CLI 빠른 구성
IPsec 인증에 사용되는 수동 SA를 OSPF 인터페이스에 신속하게 적용하려면 다음 명령을 복사하여 CLI에 붙여 넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
단계별 절차
OSPF 인터페이스에 대한 IPsec 인증을 활성화하려면 다음을 수행합니다.
OSPF 영역을 생성합니다.
참고:OSPFv3를 지정하려면 계층 수준에서 문을
[edit protocols]포함합니다ospf3.[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec 수동 SA를 적용합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
참고:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 구성을 확인합니다 show protocols ospf . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3 구성을 확인하려면 명령을 입력합니다 show protocols ospf3 .
확인
구성이 제대로 작동하는지 확인합니다.
IPsec 보안 연결 설정 확인
목적
구성된 IPsec 보안 연결 설정을 확인합니다. 다음 정보를 확인합니다.
보안 연결 필드에는 구성된 보안 연결의 이름이 표시됩니다.
SPI 필드에는 구성한 값이 표시됩니다.
모드 필드에는 전송 모드가 표시됩니다.
유형 필드에는 보안 연결 유형으로 설명서가 표시됩니다.
작업
운영 모드에서 명령을 입력합니다 show ipsec security-associations .