Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Seguridad IP para BGP

Descripción de IPsec para BGP

Puede aplicar la seguridad IP (IPsec) al tráfico BGP. IPsec es un conjunto de protocolos que se utiliza para proteger el tráfico IP a nivel de paquete. IPsec se basa en asociaciones de seguridad (SA). Una SA es una conexión símplex que proporciona servicios de seguridad a los paquetes transportados por la SA. Después de configurar la SA, puede aplicarla a los pares del BGP.

La implementación de IPsec de Junos OS admite dos tipos de seguridad: De host a host y de puerta de enlace a puerta de enlace. La seguridad de host a host protege las sesiones de BGP con otros enrutadores. Una SA que se va a utilizar con BGP debe configurarse manualmente y utilizar el modo de transporte. Los valores estáticos deben configurarse en ambos extremos de la asociación de seguridad. Para aplicar la protección de host, configure las SA manuales en modo de transporte y, a continuación, haga referencia a la SA por su nombre en la configuración del BGP para proteger una sesión con un par determinado.

Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores del índice de parámetros de seguridad, los algoritmos y las claves que se utilizarán y requieren configuraciones coincidentes en ambos puntos finales del túnel (en ambos pares). Como resultado, cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.

En el modo de transporte, los encabezados IPsec se insertan después del encabezado IP original y antes del encabezado de transporte.

El índice de parámetros de seguridad es un valor arbitrario que se utiliza en combinación con una dirección de destino y un protocolo de seguridad para identificar de forma exclusiva la SA.

Consulte también

Ejemplo: Uso de IPsec para proteger el tráfico BGP

IPsec es un conjunto de protocolos que se utilizan para proporcionar conexiones de red seguras en la capa IP. Se utiliza para proporcionar autenticación de origen de datos, integridad de datos, confidencialidad y protección de reproducción de paquetes. En este ejemplo se muestra cómo configurar la funcionalidad IPsec para proteger las sesiones BGP del motor de enrutamiento al motor de enrutamiento. Junos OS admite el encabezado de autenticación IPsec (AH) y la carga de seguridad de encapsulación (ESP) en modo de transporte y túnel, así como una utilidad para crear políticas y configurar claves manualmente.

Requisitos

Antes de empezar:

  • Configure las interfaces del enrutador.

  • Configure un protocolo de puerta de enlace interior (IGP).

  • Configure BGP.

No se requiere ningún hardware PIC específico para configurar esta característica.

Descripción general

La SA se configura en el nivel de jerarquía con la instrucción establecida en transporte.[edit security ipsec security-association name]mode En el modo de transporte, Junos OS no admite paquetes de encabezado de autenticación (AH) ni de carga de seguridad de encapsulación (ESP). Junos OS solo admite el protocolo BGP en modo de transporte.

En este ejemplo se especifica IPsec bidireccional para descifrar y autenticar el tráfico entrante y saliente con el mismo algoritmo, claves y SPI en ambas direcciones, a diferencia de las SA de entrada y salida que usan atributos diferentes en ambas direcciones.

Una SA más específica anula una SA más general. Por ejemplo, si una SA específica se aplica a un par específico, esa SA anula la SA aplicada a todo el grupo par.

Diagrama de topología

Figura 1muestra la topología utilizada en este ejemplo.

Figura 1: IPsec para BGPIPsec para BGP

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Procedimiento

Procedimiento paso a paso

El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar el enrutador R1:

  1. Configure el modo SA.

  2. Configure el protocolo IPsec que se va a utilizar.

  3. Configure el índice de parámetros de seguridad para identificar de forma exclusiva la SA.

  4. Configure el algoritmo de cifrado.

  5. Configure la clave de cifrado.

    Cuando se usa una clave de texto ASCII, esta debe contener exactamente 24 caracteres.

  6. Aplique la SA al par BGP.

Resultados

Desde el modo de configuración, escriba los comandos show protocols y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración. Repita la configuración en el enrutador R0, cambiando solo la dirección del vecino.

Verificación

Confirme que la configuración funcione correctamente.

Verificación de la asociación de seguridad

Propósito

Asegúrese de que aparece la configuración correcta en la salida del comando.show ipsec security-associations

Acción

Desde el modo operativo, ingrese el comando show ipsec security-associations .

Significado

El resultado es directo para la mayoría de los campos, excepto el campo AUX-SPI. El AUX-SPI es el valor del índice de parámetros de seguridad auxiliar. Cuando el valor es AH o ESP, AUX-SPI es siempre 0. Cuando el valor es AH+ESP, AUX-SPI es siempre un entero positivo.

Consulte también