Protección de redes OSPFv2 con modo de transporte IPsec
De forma predeterminada, puede configurar MD5 o autenticación basada en contraseña de texto simple a través de vínculos OSPFv2. Además de estas autenticaciones básicas, Junos OS admite OSPFv2 con un encabezado de autenticación de seguridad (AH), una carga de seguridad encapsuladora (ESP) o un paquete de protocolos IPsec que admita AH y ESP. Puede configurar IPsec sobre OSPFv2 mediante asociaciones de seguridad en modo de transporte en vínculos físicos, simulados o virtuales.
Dado que Junos OS solo admite asociaciones de seguridad bidireccionales a través de OSPFv2, los pares OSPFv2 deben configurarse con la misma asociación de seguridad IPsec. La configuración de pares OSPFv2 con diferentes asociaciones de seguridad o con IKE dinámico evitará que se establezcan adyacencias. Además, debe configurar asociaciones de seguridad idénticas para vínculos simulados con la misma dirección de extremo remoto, para vínculos virtuales con la misma dirección de extremo remoto, para todos los vecinos en vínculos de multiacceso sin difusión (NBMA) o de punto a multipunto de OSPF, y para cada subred que forme parte de un vínculo de difusión.
Para crear una asociación de seguridad bidireccional manual, incluya la security-association security-association-name instrucción en el nivel jerárquico [edit security ipsec]:
[edit]
security {
ipsec {
security-association security-association name {
mode transport;
manual {
direction bidirectional {
protocol (ah | esp | bundle);
spi spi--value;
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
}
}
}
}
}
Para configurar IPsec en una interfaz OSPFv2, cree una asociación de seguridad en modo de transporte e incluya la ipsec-sa name instrucción en el nivel de jerarquía [edit protocols ospf areaarea-id]:
[edit]
protocols {
ospf {
area area-id {
interface interface-name {
ipsec-sa sa-name;
}
virtual-link neighbor-id a.b.c.d transit-area x.x.x.x {
ipsec-sa sa-name;
}
sham-link-remote {
ipsec-sa sa-name;
}
}
}
}
Para comprobar la configuración, escriba el show ospf interface detail comando. Este comando proporciona información detallada sobre la interfaz ospfv2 y muestra la asociación de seguridad de la interfaz en la parte inferior de la salida. En el ejemplo siguiente, la asociación de seguridad configurada en este enrutador es sa1.
user@router> show ospf interface detail Interface State Area DR ID BDR ID Nbrs fe-0/0/1.0 BDR 0.0.0.0 192.168.37.12 10.255.245.215 1 Type LAN, address 192.168.37.11, Mask 255.255.255.248, MTU 4460, Cost 40 DR addr 192.168.37.12, BDR addr 192.168.37.11, Adj count 1, Priority 128 Hello 10, Dead 40, ReXmit 5, Not Stub t1-0/2/1.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 0 Type P2P, Address 0.0.0.0, Mask 0.0.0.0, MTU 1500, Cost 2604 Adj count 0 Hello 10, Dead 40, ReXmit 5, Not Stub Auth type: MD5, Active key ID 3, Start time 2002 Nov 19 10:00:00 PST IPsec SA Name: sa1