IPsec 전송 모드를 사용하여 OSPFv2 네트워크 보안
기본적으로 OSPFv2 링크를 통해 MD5 또는 단순 텍스트 암호 기반 인증을 구성할 수 있습니다. 이러한 기본 인증 외에도 Junos OS는 AH(Security Authentication Header), ESP(Encapsulating Security Payload) 또는 AH와 ESP를 모두 지원하는 IPsec 프로토콜 번들이 있는 OSPFv2를 지원합니다. 물리적, 가짜 또는 가상 링크에서 전송 모드 보안 연결을 사용하여 OSPFv2를 통해 IPsec을 구성할 수 있습니다.
Junos OS는 OSPFv2를 통한 양방향 보안 연결만 지원하기 때문에 OSPFv2 피어는 동일한 IPsec 보안 연결로 구성되어야 합니다. 서로 다른 보안 연결 또는 동적 IKE를 사용하여 OSPFv2 피어를 구성하면 인접성이 설정되지 않습니다. 또한 동일한 원격 엔드포인트 주소를 가진 가짜 링크, 동일한 원격 엔드포인트 주소를 가진 가상 링크, OSPF NBMA(Nonbroadcast Multiaccess) 또는 포인트 투 멀티포인트 링크의 모든 인접 라우터, 브로드캐스트 링크의 일부인 모든 서브넷에 대해 동일한 보안 연결을 구성해야 합니다.
수동 양방향 보안 연결을 생성하려면 [edit security ipsec] 계층 수준에서 문을 포함합니다security-association security-association-name
.
[edit]
security {
ipsec {
security-association security-association name {
mode transport;
manual {
direction bidirectional {
protocol (ah | esp | bundle);
spi spi--value;
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
}
}
}
}
}
OSPFv2 인터페이스에서 IPsec을 구성하려면 전송 모드 보안 연결을 생성하고 [edit protocols ospf area area-id] 계층 수준에 문을 포함합니다ipsec-sa name
.
[edit] protocols { ospf { area area-id { interface interface-name { ipsec-sa sa-name; } virtual-link neighbor-id a.b.c.d transit-area x.x.x.x { ipsec-sa sa-name; } sham-link-remote { ipsec-sa sa-name; } } } }
구성을 확인하려면 명령을 입력합니다 show ospf interface detail
. 이 명령은 ospfv2 인터페이스에 대한 자세한 정보를 제공하고 출력 하단에 인터페이스의 보안 연결을 표시합니다. 아래 예에서 이 라우터에 구성된 보안 연결은 sa1입니다.
user@router> show ospf interface detail Interface State Area DR ID BDR ID Nbrs fe-0/0/1.0 BDR 0.0.0.0 192.168.37.12 10.255.245.215 1 Type LAN, address 192.168.37.11, Mask 255.255.255.248, MTU 4460, Cost 40 DR addr 192.168.37.12, BDR addr 192.168.37.11, Adj count 1, Priority 128 Hello 10, Dead 40, ReXmit 5, Not Stub t1-0/2/1.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 0 Type P2P, Address 0.0.0.0, Mask 0.0.0.0, MTU 1500, Cost 2604 Adj count 0 Hello 10, Dead 40, ReXmit 5, Not Stub Auth type: MD5, Active key ID 3, Start time 2002 Nov 19 10:00:00 PST IPsec SA Name: sa1