OSPF 인증 구성
EX 시리즈 스위치의 OSPF 패킷에 대한 IPsec 인증 이해
IP 보안(IPsec)은 발신자를 인증하고 네트워크 디바이스 간의 IP 버전 4(IPv4) 트래픽을 암호화하는 안전한 방법을 제공합니다. IPsec은 주니퍼 네트웍스 EX 시리즈 이더넷 스위치의 네트워크 관리자와 사용자에게 데이터 기밀성, 데이터 무결성, 발신자 인증 및 안티리플레이 서비스의 이점을 제공합니다.
IPsec은 IP 네트워크를 통한 안전한 사설 통신을 보장하기 위한 프레임워크이며 IETF(International Engineering Task Force)에서 개발한 표준을 기반으로 합니다. IPsec은 시스템이 필요한 보안 프로토콜을 선택하고, 보안 서비스에 사용할 알고리즘을 결정하고, 요청된 서비스를 제공하는 데 필요한 암호화 키를 구현할 수 있도록 하여 OSI(Open Systems Interconnection) 모델의 네트워크 계층에서 보안 서비스를 제공합니다. IPsec을 사용하여 호스트 쌍 간, 보안 게이트웨이 쌍(예: 스위치) 간 또는 보안 게이트웨이와 호스트 간에 하나 이상의 경로를 보호할 수 있습니다.
OSPF 버전 3(OSPFv3)은 OSPF 버전 2(OSPFv2)와 달리 기본 제공 인증 방법이 없으며 IPsec을 사용하여 이 기능을 제공합니다. 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
인증 알고리즘
인증은 보낸 사람의 ID를 확인하는 프로세스입니다. 인증 알고리즘은 공유 키를 사용하여 IPsec 디바이스의 신뢰성을 확인합니다. 주니퍼 네트웍스 Junos 운영 체제(Junos OS)는 다음과 같은 인증 알고리즘을 사용합니다.
MD5(Message Digest 5)는 단방향 해시 함수를 사용하여 임의 길이의 메시지를 128비트의 고정 길이 메시지 다이제스트로 변환합니다. 변환 프로세스로 인해 결과 메시지 다이제스트에서 거꾸로 계산하여 원본 메시지를 계산하는 것은 수학적으로 불가능합니다. 마찬가지로 메시지에서 단일 문자가 변경되면 매우 다른 메시지 다이제스트 번호가 생성됩니다.
메시지가 변조되지 않았는지 확인하기 위해 Junos OS는 계산된 메시지 다이제스트를 공유 키로 복호화된 메시지 다이제스트와 비교합니다. Junos OS는 추가적인 수준의 해싱을 제공하는 MD5 HMAC(Hashed Message Authentication Code) 변형을 사용합니다. MD5는 인증 헤더(AH) 및 캡슐화 보안 페이로드(ESP)와 함께 사용할 수 있습니다.
보안 해시 알고리즘 1(SHA-1)은 MD5보다 더 강력한 알고리즘을 사용합니다. SHA-1은 길이가 264비트 미만인 메시지를 사용하여 160비트 메시지 다이제스트를 생성합니다. 큰 메시지 다이제스트는 데이터가 변경되지 않았으며 올바른 소스에서 시작되었는지 확인합니다. Junos OS는 추가적인 수준의 해싱을 제공하는 SHA-1 HMAC 변형을 사용합니다. SHA-1은 AH, ESP 및 IKE(Internet Key Exchange)와 함께 사용할 수 있습니다.
암호화 알고리즘
암호화는 권한이 없는 사용자가 해독할 수 없도록 데이터를 안전한 형식으로 인코딩합니다. 인증 알고리즘과 마찬가지로 공유 키는 IPsec 디바이스의 신뢰성을 검증하기 위해 암호화 알고리즘과 함께 사용됩니다. Junos OS는 다음과 같은 암호화 알고리즘을 사용합니다.
DES-CBC(Data Encryption Standard Cipher-Block Chaining)는 대칭 비밀 키 블록 알고리즘입니다. DES는 64비트의 키 크기를 사용하며, 여기서 8비트는 오류 검색에 사용되고 나머지 56비트는 암호화를 제공합니다. DES는 공유 키에 대해 순열 및 대체를 비롯한 일련의 간단한 논리 연산을 수행합니다. CBC는 DES에서 64비트 출력의 첫 번째 블록을 가져와서 이 블록을 두 번째 블록과 결합하고, 이를 DES 알고리즘에 다시 피드백하고, 모든 후속 블록에 대해 이 프로세스를 반복합니다.
3DES-CBC(Triple DES-CBC)는 DES-CBC와 유사하지만 168비트(3 x 56비트) 암호화에 세 개의 키를 사용하기 때문에 훨씬 더 강력한 암호화 결과를 제공하는 암호화 알고리즘입니다. 3DES는 첫 번째 키를 사용하여 블록을 암호화하고, 두 번째 키를 사용하여 블록을 해독하고, 세 번째 키를 사용하여 블록을 다시 암호화하는 방식으로 작동합니다.
IPsec 프로토콜
IPsec 프로토콜은 스위치로 보호되는 패킷에 적용되는 인증 및 암호화 유형을 결정합니다. Junos OS는 다음과 같은 IPsec 프로토콜을 지원합니다.
AH - RFC 2402에 정의된 AH는 IPv4에 대한 무연결 무결성 및 데이터 원본 인증을 제공합니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 보낸 사람이 예측할 수 없기 때문에 AH로 보호할 수 없습니다. IP 헤더에서 AH는 IPv4 패킷의 프로토콜 필드에서 값 51로 식별될 수 있습니다.
ESP— RFC 2406에 정의된 ESP는 암호화 및 제한된 트래픽 플로우 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리플레이 서비스를 제공할 수 있습니다. IP 헤더에서 ESP는 IPv4 패킷의 프로토콜 필드에서 값 50으로 식별될 수 있습니다.
보안 연결
IPsec 고려 사항은 구현하려는 SA(보안 연결)의 유형입니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 사양 집합입니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜의 유형에 대한 기본 설정이 포함됩니다. SA는 네트워크 관리자의 선택에 따라 단방향 또는 양방향이 될 수 있습니다. SA는 SPI(Security Parameter Index), IPv4 또는 IPv6 대상 주소 및 보안 프로토콜(AH 또는 ESP) 식별자로 고유하게 식별됩니다.
IPsec 모드
Junos OS는 다음과 같은 IPsec 모드를 지원합니다.
터널 모드는 Junos OS에서 AH 및 ESP 모두에 대해 지원됩니다. 터널 모드에서는 터널링된 IPv4 또는 IPv6 패킷에 SA 및 관련 프로토콜이 적용됩니다. 터널 모드 SA의 경우 외부 IP 헤더는 IPsec 처리 대상을 지정하고 내부 IP 헤더는 패킷의 최종 대상을 지정합니다. 보안 프로토콜 헤더는 외부 IP 헤더 뒤와 내부 IP 헤더 앞에 나타납니다. 또한 AH 및 ESP를 사용하여 터널 모드를 구현할 때 터널 모드에 약간의 차이가 있습니다.
AH의 경우 외부 IP 헤더의 일부와 터널링된 전체 IP 패킷이 보호됩니다.
ESP의 경우 외부 헤더가 아닌 터널링된 패킷만 보호됩니다.
SA의 한 쪽이 보안 게이트웨이(예: 스위치)인 경우 SA는 터널 모드를 사용해야 합니다. 그러나 트래픽(예: SNMP 명령 또는 BGP 세션)이 스위치로 향하는 경우 시스템은 호스트 역할을 합니다. 이 경우 시스템이 보안 게이트웨이 역할을 하지 않고 전송 트래픽을 보내거나 받지 않으므로 전송 모드가 허용됩니다.
메모:OSPF v3 제어 패킷 인증에는 터널 모드가 지원되지 않습니다.
전송 모드는 두 호스트 사이에 SA를 제공합니다. 전송 모드에서 프로토콜은 주로 상위 계층 프로토콜에 대한 보호 기능을 제공합니다. 전송 모드 보안 프로토콜 헤더는 IP 헤더와 옵션 바로 뒤, 상위 계층 프로토콜(예: TCP 또는 UDP) 앞에 나타납니다. AH 및 ESP를 사용하여 구현할 때 전송 모드에 약간의 차이가 있습니다.
AH의 경우 IP 헤더의 선택된 부분과 확장 헤더의 선택된 부분 및 IPv4 헤더 내의 선택된 옵션이 보호됩니다.
ESP의 경우 IP 헤더 또는 ESP 헤더 앞의 확장 헤더가 아닌 상위 계층 프로토콜만 보호됩니다.
OSPFv2 인증 이해
모든 OSPFv2 프로토콜 교환은 신뢰할 수 있는 라우팅 디바이스만 자율 시스템의 라우팅에 참여하도록 보장하기 위해 인증될 수 있습니다. 기본적으로 OSPFv2 인증은 비활성화되어 있습니다.
OSPFv3에는 기본 제공 인증 방법이 없으며 IPsec(IP Security)을 사용하여 이 기능을 제공합니다.
다음과 같은 인증 유형을 사용할 수 있습니다.
-
단순 인증 - 전송된 패킷에 포함된 일반 텍스트 비밀번호를 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(패스워드)를 사용하여 패킷을 확인합니다.
-
MD5 인증—전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용하여 인증합니다. 수신 라우팅 디바이스는 인증 키(패스워드)를 사용하여 패킷을 확인합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수락합니다.
-
IPsec 인증(Junos OS 릴리스 8.3부터 시작)—수동 보안 연결(SA)을 사용하여 OSPFv2 인터페이스, 가짜 링크의 원격 엔드포인트 및 OSPFv2 가상 링크를 인증하여 라우팅 디바이스 간에 패킷 콘텐츠가 안전한지 확인합니다. 실제 IPsec 인증은 별도로 구성합니다.
메모:IPsec 인증은 MD5 또는 단순 인증과 함께 구성할 수 있습니다.
OSPFv2의 IPsec 인증에는 다음과 같은 제한 사항이 적용됩니다.
-
동적 IKE(Internet Key Exchange) SA는 지원되지 않습니다.
-
IPsec 전송 모드만 지원됩니다. 터널 모드는 지원되지 않습니다.
-
양방향 수동 SA만 지원되므로 모든 OSPFv2 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다. -
원격 엔드포인트 주소가 동일한 모든 가상 링크, OSPF NBMA(Nonbroadcast Multiaccess) 또는 지점 간 링크의 모든 인접 라우터, 브로드캐스트 링크의 일부인 모든 서브넷에 대해 동일한 IPsec SA를 구성해야 합니다.
-
OSPFv2 피어 인터페이스는 지원되지 않습니다.
-
OSPF는 영역 수준에서 인증을 수행하기 때문에 영역 내의 모든 라우팅 디바이스는 동일한 인증 및 해당 암호(키)를 구성해야 합니다. MD5 인증이 작동하려면 수신 및 전송 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다. 또한 단순 암호와 MD5 키는 상호 배타적입니다. 단순 비밀번호는 하나만 구성할 수 있지만 MD5 키는 여러 개만 구성할 수 있습니다.
보안 조치의 일환으로 MD5 키를 변경할 수 있습니다. 각각 고유한 키 ID를 가진 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정하여 이 작업을 수행할 수 있습니다. 각 고유 MD5 키에는 고유 ID가 있습니다. 이 ID는 OSPF 패킷의 수신자가 인증에 사용할 키를 결정하는 데 사용됩니다. MD5 인증에 필요한 키 ID는 MD5 키와 연결된 식별자를 지정합니다.
Junos OS 릴리스 22.4R1부터 인터페이스당 최대 2개의 키로 패킷을 전송하기 위해 여러 활성 키로 OSPF MD5 인증 보급을 지원합니다. 인터페이스에서 한 번에 여러 키를 활성화하면 OSPF에 대해 한 키에서 다른 키로 원활하게 전환할 수 있습니다. OSPF 세션에 영향을 주지 않고 이전 키를 삭제할 수 있습니다.
Junos OS 릴리스 23.3R1 및 Junos OS Evolved 릴리스 23.3R1부터 키체인으로 OSPFv2 HMAC-SHA1 인증을 활성화하여 OSPF 인터페이스에 도달하거나 OSPF 인터페이스에서 발생하는 패킷을 인증할 수 있습니다. 이를 통해 OSPFv2의 한 키에서 다른 키로 원활하게 전환할 수 있으며 보안이 강화됩니다. 모든 인접 항목이 구성된 최신 키로 전환되면 OSPFv2가 최신 MD5 키로만 인증된 패킷을 보내도록 설정할 수 있습니다. 이 릴리스 이전에는 인터페이스당 최대 2개의 키로 제한되는 여러 개의 활성 MD5 키를 항상 사용하여 인증된 OSPF 패킷을 보급할 수 있었습니다.
OSPFv2에 대한 HMAC-SHA1 인증은 다음을 지원하지 않습니다.
-
활성 키가 없는 키체인.
-
다른 기존 인증 유형에서 무중단 세션이 있는 키체인으로 마이그레이션Migration from other existing authentication types to keychain with hitless session.
-
인증 없음에서 무중단 세션이 있는 키체인으로 마이그레이션.
-
키 집합 구성의 일부로 MD5를 키로 지정했습니다.
- 구성 문을 사용한
delete-if-not-inuse멀티 액티브 MD5 최적화가 활성화되고 인증 협상이 인접 라우터와 발생하면 디바이스는 협상된 인접 라우터에 대한 전송에 활성 키만 사용합니다. 즉, 이전 키로 롤백하는 것을 지원하지 않습니다.예: R0 및 R1은 key-id 1 as 및 key-id 2로
delete-if-not-inuse구성됩니다. 나중에 R1이 key-id 2를 제거하도록 구성된 경우 R0은 전송에 두 키(key-id 1 및 key-id 2)를 모두 사용하도록 롤백하지 않습니다. - 키 집합 활성은 절대 시간(벽시계)을 기반으로 하며 커밋 후 벽시계가 뒤로 이동할 수 있습니다. 이러한 유형의 오류는 커밋 시 반영되지 않습니다. 따라서 OSPF 세션에서 키 체인이 활성 상태일 때 모든 장치에서 시스템 시간을 동기화하는 것이 중요합니다.
Junos OS Evolved 릴리스 24.2R1부터 HMAC-SHA2(OSPFv2 HMAC-SHA2) 인증을 통해 OSPFv2 키체인 모듈을 활성화하여 OSPF 인터페이스에 도달하거나 OSPF 인터페이스에서 발생하는 패킷을 인증할 수 있습니다. HMAC SHA2 알고리즘에는 RFC 5709에 정의된 HMAC-SHA2-256, HMAC-SHA2-384 및 HMAC-SHA2-512가 포함됩니다. 이러한 알고리즘은 HMAC-SHA2-224와 함께 지원됩니다. 이 기능은 강화된 보안으로 OSPFv2의 한 키에서 다른 키로 원활하게 전환할 수 있도록 합니다. 또한 가상 및 가짜 링크에 대해 HMAC-SHA1 및 HMAC-SHA2 인증도 지원합니다.
OSPFv2에 대한 HMAC-SHA2 인증은 다음을 지원하지 않습니다.
-
활성 키가 없는 키체인.
-
다른 기존 인증 유형에서 무중단 세션이 있는 키체인으로 마이그레이션Migration from other existing authentication types to keychain with hitless session.
-
인증 없음에서 무중단 세션이 있는 키체인으로 마이그레이션.
-
키 집합 구성에서 SHA1(HMAC 제외) 알고리즘은 지원되지 않습니다.
- OSPF 세션에서 키 체인이 활성 상태일 때 모든 디바이스에서 시스템 시간을 동기화하는 것이 중요합니다.
또한보십시오
OSPFv3 인증 이해
OSPFv3에는 기본 제공 인증 방법이 없으며 IPsec(IP Security) 제품군을 사용하여 이 기능을 제공합니다. IPsec은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 부인 방지와 같은 기능을 제공합니다. IPsec을 사용하여 특정 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호할 수 있습니다.
OSPFv3 구성과 별도로 실제 IPsec 인증을 구성한 다음 OSPFv3 인터페이스 또는 OSPFv3 가상 링크에 IPsec을 적용합니다.
OSPFv3는 IPsec 프로토콜의 IP 인증 헤더(AH) 및 IP ESP(Encapsulating Security Payload) 부분을 사용하여 피어 간의 라우팅 정보를 인증합니다. AH는 무연결 무결성 및 데이터 원본 인증을 제공할 수 있습니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 보낸 사람이 예측할 수 없기 때문에 AH로 보호할 수 없습니다. ESP는 암호화 및 제한된 트래픽 흐름 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리플레이 서비스를 제공할 수 있습니다.
IPsec은 보안 연결(SA)을 기반으로 합니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 사양 집합입니다. 이 단순 연결은 SA가 전송하는 패킷에 보안 서비스를 제공합니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜의 유형에 대한 기본 설정이 포함됩니다. SA는 특정 흐름을 한 방향으로 암호화하고 인증하는 데 사용됩니다. 따라서 일반적인 양방향 트래픽에서 흐름은 한 쌍의 SA에 의해 보호됩니다. OSPFv3와 함께 사용할 SA는 수동으로 구성하고 전송 모드를 사용해야 합니다. SA의 양쪽 끝에서 정적 값을 구성해야 합니다.
수동 SA는 피어 간에 협상할 필요가 없습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI(Security Parameter Index) 값, 알고리즘 및 키를 정적으로 정의하며 양쪽 엔드포인트(OSPFv3 피어)에서 일치하는 구성이 필요합니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
암호화 및 인증 알고리즘의 실제 선택은 IPsec 관리자에게 맡겨집니다. 그러나 다음과 같은 권장 사항이 있습니다.
OSPFv3 프로토콜 헤더에만 인증을 제공하려면 NULL 암호화와 함께 ESP를 사용합니다. NULL 암호화를 사용하면 OSPFv3 헤더에 암호화를 제공하지 않습니다. 이는 문제 해결 및 디버깅 목적으로 유용할 수 있습니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하세요.
완전한 기밀 유지를 위해 NULL이 아닌 암호화와 함께 ESP를 사용합니다. NULL이 아닌 암호화의 경우 암호화를 제공하도록 선택합니다. NULL 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하세요.
AH를 사용하여 OSPFv3 프로토콜 헤더, IPv6 헤더의 일부 및 확장 헤더의 일부에 인증을 제공합니다.
OSPFv3의 IPsec 인증에는 다음과 같은 제한 사항이 적용됩니다.
동적 IKE(Internet Key Exchange) 보안 연결(SA)은 지원되지 않습니다.
IPsec 전송 모드만 지원됩니다. 전송 모드에서는 IP 패킷의 페이로드(전송하는 데이터)만 암호화 및/또는 인증됩니다. 터널 모드는 지원되지 않습니다.
양방향 수동 SA만 지원되므로 모든 OSPFv3 피어를 동일한 IPsec SA로 구성해야 합니다. 계층 수준에서 수동 양방향 SA를
[edit security ipsec]구성합니다.원격 엔드포인트 주소가 동일한 모든 가상 링크에 대해 동일한 IPsec SA를 구성해야 합니다.
또한보십시오
예: OSPFv2 교환을 위한 단순 인증 구성
이 예에서는 OSPFv2 교환에 대해 단순 인증을 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선택 제어를 참조하십시오
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
단순 인증은 전송된 패킷에 포함된 일반 텍스트 암호를 사용합니다. 수신 라우팅 디바이스는 인증 키(패스워드)를 사용하여 패킷을 확인합니다. 일반 텍스트 암호는 암호화되지 않으며 패킷 가로채기의 대상이 될 수 있습니다. 이 방법은 보안 수준이 가장 낮으며 네트워크 보안이 목표가 아닌 경우에만 사용해야 합니다.
라우팅 디바이스에는 단 하나의 단순 인증 키(비밀번호)만 구성할 수 있습니다. 단순 키는 1자에서 8자 사이일 수 있으며 ASCII 문자열을 포함할 수 있습니다. 공백이 포함된 경우 모든 문자를 따옴표(" ")로 묶습니다.
이 예에서는 영역 0.0.0.0에 OSPFv2 인터페이스 so-0/1/0 을 지정하고, 인증 유형을 simple-password로 설정하고, 키를 PssWd4로 정의합니다.
구성
CLI 빠른 구성
단순 인증을 신속하게 구성하려면 다음 명령을 복사하여 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다. 영역 내의 모든 라우팅 디바이스를 동일한 인증 및 해당 비밀번호로 구성해야 합니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
절차
단계별 절차
OSPFv2 교환에 대한 단순 인증을 활성화하려면:
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
인증 유형과 비밀번호를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
메모:영역의 모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
예: OSPFv2 교환을 위한 MD5 인증 구성
이 예에서는 OSPFv2 교환에 대해 MD5 인증을 활성화하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선택 제어를 참조하십시오
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용합니다. 수신 라우팅 디바이스는 인증 키(패스워드)를 사용하여 패킷을 확인합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수락합니다.
이 예에서는 백본 영역(영역 0.0.0.0)을 생성하고, OSPFv2 인터페이스 so-0/2/0을 지정하고, 인증 유형을 md5로 설정한 다음, 인증 키 ID를 5로, 암호를 PssWd8로 정의합니다.
위상수학
구성
CLI 빠른 구성
MD5 인증을 신속하게 구성하려면 다음 명령을 복사하여 CLI에 붙여넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
절차
단계별 절차
OSPFv2 교환을 위해 MD5 인증을 활성화하려면:
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5 인증을 구성하고 키 ID와 인증 패스워드를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
메모:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
구성된 인증 방법 확인
목적
OSPF 프로토콜 패킷을 보내고 받기 위한 인증 방법이 구성되었는지 확인합니다. MD5 인증을 위해 구성된 경우 인증 유형 필드에는 MD5가 표시되고, 활성 키 ID 필드에는 MD5 키를 식별하는 입력한 고유 번호가 표시되며, 시작 시간 필드에는 시작 시간 1970 Jan 01 00:00:00 PST로 날짜가 표시됩니다. 이 시작 시간에 놀라지 마십시오. MD5 키가 즉시 유효할 경우 라우팅 디바이스가 표시하는 기본 시작 시간입니다.
행동
운영 모드에서 및 명령을 show ospf overview 입력합니다show ospf interface.
예: OSPFv2 인터페이스에서 MD5 키 전환 구성
이 예에서는 OSPFv2 인터페이스에서 MD5 키의 전환을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선택 제어를 참조하십시오
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
MD5 인증은 전송된 패킷에 포함된 인코딩된 MD5 체크섬을 사용합니다. MD5 인증이 작동하려면 수신 및 전송 라우팅 디바이스 모두 동일한 MD5 키를 가져야 합니다.
각 인터페이스에 대해 MD5 키를 정의합니다. 인터페이스에서 MD5가 활성화된 경우 해당 인터페이스는 MD5 인증이 성공하는 경우에만 라우팅 업데이트를 수락합니다. 그렇지 않으면 업데이트가 거부됩니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 동일한 키 식별자(ID)를 사용하여 전송된 OSPFv2 패킷만 수락합니다.
보안 강화를 위해 각각 고유한 키 ID를 가진 여러 MD5 키를 구성하고 새 키로 전환할 날짜와 시간을 설정할 수 있습니다. OSPF 패킷의 수신자는 ID를 사용하여 인증에 사용할 키를 결정합니다.
이 예에서는 백본 영역(영역 0.0.0.0)의 OSPFv2 인터페이스 fe-0/0/1 에서 향후 3개월의 첫날 오전 12시 1분에 새 키가 적용되도록 구성하고 다음 MD5 인증 설정을 구성합니다.
md5 - MD5 인증 키 ID를 지정합니다. 키 ID는 0에서 255 사이의 값으로 설정할 수 있으며 기본값은 0입니다. 라우팅 디바이스는 해당 인터페이스에 대해 정의된 것과 동일한 키 ID를 사용하여 전송된 OSPFv2 패킷만 수락합니다.
key - MD5 키를 지정합니다. 각 키는 1자에서 16자 사이의 값일 수 있습니다. 문자에는 ASCII 문자열이 포함될 수 있습니다. 공백이 포함된 경우 모든 문자를 따옴표(" ")로 묶습니다.
start-time - MD5 키 사용을 시작할 시간을 지정합니다. 이 옵션을 사용하면 여러 키에 대한 원활한 전환 메커니즘을 구성할 수 있습니다. 시작 시간은 전송과 관련이 있지만 OSPF 패킷 수신과 관련이 없습니다.
OSPFv2 인접성이 활성 상태로 유지되도록 영역의 모든 디바이스에 동일한 비밀번호와 전환 날짜 및 시간을 설정해야 합니다.
위상수학
구성
CLI 빠른 구성
OSPFv2 인터페이스에서 여러 MD5 키를 빠르게 구성하려면 다음 명령을 복사하고 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
절차
단계별 절차
OSPFv2 인터페이스에서 여러 MD5 키를 구성하려면 다음을 수행합니다.
OSPF 영역을 생성합니다.
[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5 인증을 구성하고 인증 패스워드와 키 ID를 설정합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
2월, 3월, 4월 첫째 날 오전 12:01에 적용되도록 새 키를 구성합니다.
매월 새 인증 암호 및 키 ID를 구성합니다.
2월의 경우 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3월의 경우 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4월 한 달 동안 다음을 입력합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
메모:모든 피어 OSPFv2 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
IPsec을 사용하여 OSPFv3 네트워크 보안(CLI 절차)
OSPF 버전 3(OSPFv3)에는 기본 제공 인증 방법이 없으며 IPsec(IP Security)을 사용하여 이 기능을 제공합니다. IPsec을 사용하여 EX 시리즈 스위치에서 OSPFv3 인터페이스를 보호할 수 있습니다.
이 주제에는 다음 내용이 포함됩니다.
보안 연결 구성
보안 연결(SA)을 구성할 때 인증, 암호화, 방향, 모드, 프로토콜 및 SPI(Security Parameter Index)에 대한 선택 사항을 포함합니다.
보안 연결 구성 방법:
OPSFv3 네트워크 보안
SA를 OSPFv3 구성에 적용하여 OSPFv3 네트워크를 보호할 수 있습니다.
OSPFv3 네트워크를 보호하려면 다음을 수행합니다.
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
예: OSPF 인터페이스에 대한 IPsec 인증 구성
이 예에서는 OSPF 인터페이스에 대해 IPsec(IP Security) 인증을 사용하도록 설정하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다. 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리 또는 보안 디바이스용 Junos OS 인터페이스 구성 가이드를 참조하십시오.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다. 예: OSPF 라우터 식별자 구성을 참조하십시오.
OSPF 지정 라우터 선택을 제어합니다. 예: OSPF 지정 라우터 선택 제어를 참조하십시오
단일 영역 OSPF 네트워크를 구성합니다. 예: 단일 영역 OSPF 네트워크 구성을 참조하십시오.
다중 영역 OSPF 네트워크를 구성합니다. 예: 다중 영역 OSPF 네트워크 구성을 참조하십시오.
개요
OSPFv2 및 OSPFv3 모두에 IPsec 인증을 사용할 수 있습니다. 실제 IPsec 인증을 별도로 구성하여 해당 OSPF 구성에 적용합니다.
OSPFv2
Junos OS 릴리스 8.3부터 IPsec 인증을 통해 수동 보안 연결(SA)을 통해 OSPFv2 인터페이스, 가짜 링크의 원격 엔드포인트 및 OSPFv2 가상 링크를 인증함으로써 라우팅 디바이스 간에 패킷 내용이 안전한지 확인할 수 있습니다.
IPsec 인증은 MD5 또는 단순 인증과 함께 구성할 수 있습니다.
IPsec 인증을 사용하려면 다음 중 하나를 수행합니다.
OSPFv2 인터페이스의 경우 특정 인터페이스에 대한 문을 포함합니다.
ipsec-sa nameinterface interface-name ipsec-sa name;
원격 가짜 링크의 경우 가짜 링크의 원격 엔드포인트에 대한 문을 포함합니다
ispec-sa name.sham-link-remote address ipsec-sa name;
메모:계층 3 VPN 구성에 동일한 원격 엔드포인트 IP 주소를 가진 여러 가짜 링크가 있는 경우 모든 원격 엔드포인트에 대해 동일한 IPsec 보안 연결을 구성해야 합니다. 계층 수준에서 계층 3 VPN을
[edit routing-instances routing-instance-name instance-type]구성합니다. 레이어 3 VPN에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.가상 링크의 경우, 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다.virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3에는 기본 제공 인증 방법이 없으며 IPsec을 사용하여 이 기능을 제공합니다. IPsec 인증을 사용하면 수동 SA를 사용하여 OSPFv3 인터페이스를 보호하고 OSPFv3 가상 링크를 보호함으로써 라우팅 디바이스 간에 패킷 내용이 안전한지 확인할 수 있습니다.
인증을 적용하려면 다음 중 하나를 수행합니다.
OSPFv3 인터페이스의 경우 특정 인터페이스에 대한 문을 포함합니다.
ipsec-sa nameinterface interface-name ipsec-sa name;
가상 링크의 경우, 특정 가상 링크에
ipsec-sa name대한 문을 포함합니다.virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
이 예제에서는 다음 작업을 수행합니다.
IPsec 인증을 구성합니다. 이렇게 하려면 sa1 이라는 수동 SA를 정의하고 처리 방향, IP 트래픽을 보호하는 데 사용되는 프로토콜, SPI(보안 매개 변수 인덱스) 및 인증 알고리즘과 키를 지정합니다.
계층 수준에서
[edit security ipsec security-association sa-name mode]다음 옵션을 구성합니다.transport - 전송 모드를 지정합니다. 이 모드는 통신 엔드포인트와 암호화 엔드포인트가 동일한 경우 트래픽을 보호합니다. IP 패킷의 데이터 부분은 암호화되지만 IP 헤더는 암호화되지 않습니다.
계층 수준에서
[edit security ipsec security-association sa-name manual direction]다음 옵션을 구성합니다.bidirectional—IPsec 처리 방향을 정의합니다. 입찰을 지정하면 구성한 것과 동일한 알고리즘, 키 및 SPI(Security Paramater Index) 값이 양방향으로 사용됩니다.
계층 수준에서
[edit security ipsec security-association sa-name manual direction bidirectional]다음 옵션을 구성합니다.protocol—IP 트래픽을 보호하기 위해 수동 SA에서 사용하는 IPsec 프로토콜을 정의합니다. 인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP)를 지정할 수 있습니다. 이 예에서와 같이 AH를 지정하면 암호화를 구성할 수 없습니다.
spi - 수동 SA에 대한 SPI를 구성합니다. SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷 해독에 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다. 이 예에서는 256을 지정합니다.
authentication - 인증 알고리즘 및 키를 구성합니다. algorithm 옵션은 패킷 데이터를 인증하는 해시 알고리즘을 지정합니다. 이 예에서는 128비트 다이제스트를 생성하는 hmac-md5-96을 지정합니다. key 옵션은 인증 키의 유형을 나타냅니다. 이 예제에서는 hmac-md5-96 알고리즘에 대해 ASCII 문자 16자인 ascii-text-key를 지정합니다.
계층 수준에서 구성한 수동 SA sa1의 이름을 포함하여 백본 영역(영역 0.0.0.0)의 OSPF 인터페이스 so-0/2/0.0에서
[edit security ipsec]IPsec 인증을 활성화합니다.
위상수학
구성
보안 연결 구성
CLI 빠른 구성
OSPF 인터페이스에서 IPsec 인증에 사용할 수동 SA를 신속하게 구성하려면 다음 명령을 복사하고 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
단계별 절차
OSPF 인터페이스에서 사용할 수동 SA를 구성하려면 다음을 수행합니다.
SA의 이름을 지정합니다.
[edit] user@host# edit security ipsec security-association sa1
SA의 모드를 지정합니다.
[edit security ipsec security-association sa1 ] user@host# set mode transport
수동 SA의 방향을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
사용할 IPsec 프로토콜을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPI의 값을 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
인증 알고리즘 및 키를 구성합니다.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit security ipsec security-association sa1 ] user@host# commit
메모:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show security ipsec 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPF 인터페이스에 대한 IPsec 인증 사용
CLI 빠른 구성
IPsec 인증에 사용되는 수동 SA를 OSPF 인터페이스에 신속하게 적용하려면 다음 명령을 복사하여 CLI에 붙여넣습니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
단계별 절차
OSPF 인터페이스에 대해 IPsec 인증을 사용하도록 설정하려면,
OSPF 영역을 생성합니다.
메모:OSPFv3를 지정하려면 계층 수준에 문을
[edit protocols]포함합니다ospf3.[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec 수동 SA를 적용합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
메모:모든 피어 OSPF 라우팅 디바이스에서 이 전체 구성을 반복합니다.
결과
명령을 입력하여 show protocols ospf 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3 구성을 확인하려면 명령을 입력합니다 show protocols ospf3 .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
IPsec 보안 연결 설정 확인
목적
구성된 IPsec 보안 연결 설정을 확인합니다. 다음 정보를 확인합니다.
보안 연결 필드에는 구성된 보안 연결의 이름이 표시됩니다.
SPI 필드에는 구성한 값이 표시됩니다.
모드 필드에는 전송 모드가 표시됩니다.
유형 필드에는 보안 연결 유형으로 수동이 표시됩니다.
행동
운영 모드에서 명령을 입력합니다 show ipsec security-associations .