Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Безопасность IP для BGP

Понимание IPsec для BGP

Для BGP трафика можно применить IP-безопасность (IPsec). IPsec – это пакет протоколов, используемый для защиты IP-трафика на уровне пакетов. В основе IPsec лежит ассоциация безопасности (SAS). SA – это простое соединение, которое обеспечивает службы безопасности для пакетов, которые передает SA. После настройки SA можно применить ее к BGP узлам.

Реализация Junos OS IPsec поддерживает два типа безопасности: от хоста к хосту и шлюзу к шлюзу. Безопасность хост-хост защищает сеансы BGP другими маршрутизаторами. SA, который будет использоваться BGP конфигурировать вручную и использовать транспортный режим. Статические значения должны быть настроены на обеих концах ассоциации безопасности. Чтобы применить защиту хостов, необходимо вручную настроить SA в транспортном режиме, а затем ссылаться на SA по имени в конфигурации BGP для защиты сеанса с заданным одноранговой точкой.

Ручное согласование безопасности между равноправными узлами не требуется. Все значения, включая ключи, являются статическими и заданы в конфигурации. Вручную SAS статически определяют значения индекса параметров безопасности, алгоритмы и ключи, которые необходимо использовать, и требуются совпадающие конфигурации на обеих конечных точках туннеля (на обоих одноранговых узлах). В результате у каждого узла должны быть одинаковые настроенные параметры для взаимодействия.

В транспортном режиме заглавныедеры IPsec вставляются после исходного IP-загона и перед транспортным загоном.

Индекс параметра безопасности – произвольное значение, используемое вместе с адресом назначения и протоколом безопасности для уникальной идентификации SA.

Примере: Использование IPsec для защиты BGP трафика

IPsec – это набор протоколов, используемых для обеспечения безопасных сетевых соединений на УРОВНЕ IP. Он используется для обеспечения аутентификации источника данных, целостности данных, конфиденциальности и защиты от повторного воспроизведения пакетов. В этом примере показано, как настроить функциональность IPsec для защиты модуль маршрутизации сеансов модуль маршрутизации BGP сеансов. Junos OS IPsec Authentication Header (AH) и инкапсуляцию безопасности полезная нагрузка (ESP) в транспортном и туннельном режиме, а также утилиту для создания политик и настройки ключей вручную.

Требования

Перед началом работы:

  • Настройте интерфейсы маршрутизатора.

  • Настройка протокола внутреннего шлюза (IGP).

  • Настройте BGP.

Для настройки этой функции не требуется специального аппаратного обеспечения PIC.

Обзор

SA настроена на уровне иерархии с [edit security ipsec security-association name]mode утверждением, настроенным на транспортировку. В транспортном режиме Junos OS не поддерживает загвоздку аутентификации (AH) или инкапсулирующий пакеты заголовки безопасности (ESP). Junos OS в транспортном режиме поддерживает только BGP протокол.

В данном примере заданы двухнаправленные IPsec для расшифровки и аутентификации входящих и исходяющих трафика с помощью одного алгоритма, ключей и SPI в обоих направлениях, в отличие от входящих и исходяющих, которые используют разные атрибуты в обоих направлениях.

Более конкретный SA переопределит более общую SA. Например, если к определенному одноранговой группе применяется определенная SA, то SA переопределит SA, примененную к всей группе одноранговых одноранговых узла.

Схема топологии

Рис. 1 показывает топологию, используемую в этом примере.

Рис. 1: IPsec для BGPIPsec для BGP

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на уровне иерархии [edit].

Процедуры

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка маршрутизатора М1:

  1. Настройте режим SA.

  2. Настройте используемый протокол IPsec.

  3. Настройте индекс параметра безопасности, чтобы уникально идентифицировать SA.

  4. Настройте алгоритм шифрования.

  5. Настройте ключ шифрования.

    При использовании текстового ключа ASCII он должен содержать не более 24 символов.

  6. Примените SA к узел BGP.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocolsshow security команд и команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации. Повторите настройку маршрутизатора 0, изменив только адрес соседа.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка security Associaton

Цель

Убедитесь, что в выходных данных команды отображаются правильные show ipsec security-associations настройки.

Действий

В рабочем режиме введите show ipsec security-associations команду.

Смысл

Выходные данные straighforward для большинства полей, кроме поля AUX-SPI. AUX-SPI – это значение индекса параметров вспомогательной безопасности. Если значение AH или ESP, AUX-SPI всегда будет 0. Если значение AH+ESP, AUX-SPI всегда является положительным нулем.