Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Seguridad IP para BGP

Descripción de IPsec para BGP

Puede aplicar la seguridad IP (IPsec) al tráfico del BGP. IPsec es un conjunto de protocolos que se utiliza para proteger el tráfico IP a nivel de paquete. IPsec se basa en asociaciones de seguridad (SA). Una SA es una conexión simplex que proporciona servicios de seguridad a los paquetes transportados por la SA. Después de configurar la SA, puede aplicarla a los pares del BGP.

La implementación de Junos OS de IPsec admite dos tipos de seguridad: host a host y puerta de enlace a puerta de enlace. La seguridad de host a host protege las sesiones de BGP con otros enrutadores. Una SA que se utilizará con BGP debe configurarse manualmente y usar el modo de transporte. Los valores estáticos se deben configurar en ambos extremos de la asociación de seguridad. Para aplicar la protección del host, configure sas manuales en modo de transporte y, a continuación, haga referencia a la SA por nombre en la configuración del BGP para proteger una sesión con un par determinado.

Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Los SA manuales definen estáticamente los valores del índice de parámetros de seguridad, los algoritmos y las claves que se usarán, y requieren configuraciones coincidentes en ambos puntos de final del túnel (en ambos pares). Como resultado, cada par debe tener las mismas opciones configuradas para que se produzca la comunicación.

En el modo de transporte, los encabezados IPsec se insertan después del encabezado IP original y antes del encabezado de transporte.

El índice de parámetros de seguridad es un valor arbitrario que se usa en combinación con una dirección de destino y un protocolo de seguridad para identificar de forma exclusiva la SA.

Consulte también

Ejemplo: Uso de IPsec para proteger el tráfico del BGP

IPsec es un conjunto de protocolos que se utiliza para proporcionar conexiones de red seguras en la capa IP. Se utiliza para proporcionar autenticación de origen de datos, integridad de datos, confidencialidad y protección de reproducción de paquetes. En este ejemplo, se muestra cómo configurar la funcionalidad de IPsec para proteger las sesiones del BGP de motor de enrutamiento a motor de enrutamiento. Junos OS admite encabezado de autenticación IPsec (AH) y carga de seguridad de encapsulación (ESP) en modo de transporte y túnel, así como una utilidad para crear políticas y configurar claves manualmente.

Requisitos

Antes de empezar:

  • Configure las interfaces del enrutador.

  • Configure un protocolo de puerta de enlace interior (IGP).

  • Configure BGP.

No se requiere ningún hardware de PIC específico para configurar esta función.

Descripción general

La SA se configura en el [edit security ipsec security-association name] nivel de jerarquía con la mode instrucción establecida en transporte. En el modo de transporte, Junos OS no admite paquetes de encabezado de autenticación (AH) ni de carga de seguridad de encapsulación (ESP). Junos OS solo admite el protocolo BGP en modo de transporte.

En este ejemplo, se especifica la IPsec bidireccional para descifrar y autenticar el tráfico entrante y saliente mediante el mismo algoritmo, claves y SPI en ambas direcciones, a diferencia de las SA entrantes y salientes que usan atributos diferentes en ambas direcciones.

Una SA más específica reemplaza una SA más general. Por ejemplo, si se aplica una SA específica a un par específico, esa SA invalida la SA aplicada a todo el grupo de pares.

Diagrama de topología

Figura 1 muestra la topología utilizada en este ejemplo.

Figura 1: IPsec para BGP IPsec para BGP

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar el enrutador R1:

  1. Configure el modo SA.

  2. Configure el protocolo IPsec que se utilizará.

  3. Configure el índice de parámetros de seguridad para identificar de forma exclusiva la SA.

  4. Configure el algoritmo de cifrado.

  5. Configure la clave de cifrado.

    Cuando utilice una clave de texto ASCII, la clave debe contener exactamente 24 caracteres.

  6. Aplique la SA al par BGP.

Resultados

Desde el modo de configuración, ingrese los comandos y show security para confirmar la show protocols configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración. Repita la configuración en el enrutador R0, cambiando solo la dirección del vecino.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la asociación de seguridad

Propósito

Asegúrese de que la configuración correcta aparece en la salida del show ipsec security-associations comando.

Acción

Desde el modo operativo, ingrese el show ipsec security-associations comando.

Significado

La salida es muy alta para la mayoría de los campos, excepto para el campo AUX-SPI. El AUX-SPI es el valor del índice de parámetros de seguridad auxiliar. Cuando el valor es AH o ESP, AUX-SPI siempre es 0. Cuando el valor es AH+ESP, AUX-SPI es siempre un entero positivo.

Consulte también