- play_arrow Descripción general
- play_arrow Configuraciones básicas de BGP
- play_arrow Configuración de atributos de sesión BGP
- play_arrow Configuración de directivas de sesión BGP
- play_arrow Habilitación del equilibrio de carga para BGP
- play_arrow Configuración de un reinicio correcto para BGP
- play_arrow Configuración de multiprotocolo para una sesión BGP
- play_arrow Configuración de BGP CLNS
- play_arrow Uso de reflectores de ruta y confederaciones para redes BGP
- play_arrow Configuración de la amortiguación de aletas de ruta BGP y el manejo de errores
- play_arrow Configuración de VPN basada en BGP
- play_arrow Monitoreo y solución de problemas
- play_arrow Instrucciones de configuración y comandos operativos
Seguridad IP para BGP
Descripción de IPsec para BGP
Puede aplicar la seguridad IP (IPsec) al tráfico BGP. IPsec es un conjunto de protocolos que se utiliza para proteger el tráfico IP a nivel de paquete. IPsec se basa en asociaciones de seguridad (SA). Una SA es una conexión símplex que proporciona servicios de seguridad a los paquetes transportados por la SA. Después de configurar la SA, puede aplicarla a los pares del BGP.
La implementación de IPsec de Junos OS admite dos tipos de seguridad: De host a host y de puerta de enlace a puerta de enlace. La seguridad de host a host protege las sesiones de BGP con otros enrutadores. Una SA que se va a utilizar con BGP debe configurarse manualmente y utilizar el modo de transporte. Los valores estáticos deben configurarse en ambos extremos de la asociación de seguridad. Para aplicar la protección de host, configure las SA manuales en modo de transporte y, a continuación, haga referencia a la SA por su nombre en la configuración del BGP para proteger una sesión con un par determinado.
Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores del índice de parámetros de seguridad, los algoritmos y las claves que se utilizarán y requieren configuraciones coincidentes en ambos puntos finales del túnel (en ambos pares). Como resultado, cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.
En el modo de transporte, los encabezados IPsec se insertan después del encabezado IP original y antes del encabezado de transporte.
El índice de parámetros de seguridad es un valor arbitrario que se utiliza en combinación con una dirección de destino y un protocolo de seguridad para identificar de forma exclusiva la SA.
Consulte también
Ejemplo: Uso de IPsec para proteger el tráfico BGP
IPsec es un conjunto de protocolos que se utilizan para proporcionar conexiones de red seguras en la capa IP. Se utiliza para proporcionar autenticación de origen de datos, integridad de datos, confidencialidad y protección de reproducción de paquetes. En este ejemplo se muestra cómo configurar la funcionalidad IPsec para proteger las sesiones BGP del motor de enrutamiento al motor de enrutamiento. Junos OS admite el encabezado de autenticación IPsec (AH) y la carga de seguridad de encapsulación (ESP) en modo de transporte y túnel, así como una utilidad para crear políticas y configurar claves manualmente.
Requisitos
Antes de empezar:
Configure las interfaces del enrutador.
Configure un protocolo de puerta de enlace interior (IGP).
Configure BGP.
No se requiere ningún hardware PIC específico para configurar esta característica.
Descripción general
La SA se configura en el nivel de [edit security ipsec security-association name] jerarquía con la mode instrucción establecida en transporte. En el modo de transporte, Junos OS no admite paquetes de encabezado de autenticación (AH) ni de carga de seguridad de encapsulación (ESP). Junos OS solo admite el protocolo BGP en modo de transporte.
En este ejemplo se especifica IPsec bidireccional para descifrar y autenticar el tráfico entrante y saliente con el mismo algoritmo, claves y SPI en ambas direcciones, a diferencia de las SA de entrada y salida que usan atributos diferentes en ambas direcciones.
Una SA más específica anula una SA más general. Por ejemplo, si una SA específica se aplica a un par específico, esa SA anula la SA aplicada a todo el grupo par.
Diagrama de topología
Figura 1muestra la topología utilizada en este ejemplo.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 10.1.1.1 ipsec-sa test-sa
Procedimiento
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar el enrutador R1:
Configure el modo SA.
content_copy zoom_out_map[edit security ipsec security-association test-sa] user@R1# set mode transport
Configure el protocolo IPsec que se va a utilizar.
content_copy zoom_out_map[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp
Configure el índice de parámetros de seguridad para identificar de forma exclusiva la SA.
content_copy zoom_out_map[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000
Configure el algoritmo de cifrado.
content_copy zoom_out_map[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc
Configure la clave de cifrado.
content_copy zoom_out_map[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"
Cuando se usa una clave de texto ASCII, esta debe contener exactamente 24 caracteres.
Aplique la SA al par BGP.
content_copy zoom_out_map[edit protocols bgp group 1 neighbor 10.1.1.1] user@R1# set ipsec-sa test-sa
Resultados
Desde el modo de configuración, escriba los comandos show protocols y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show protocols
bgp {
group 1 {
neighbor 10.1.1.1 {
ipsec-sa test-sa;
}
}
}
user@R1# show security
ipsec {
security-association test-sa {
mode transport;
manual {
direction bidirectional {
protocol esp;
spi 1000;
encryption {
algorithm 3des-cbc;
key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración. Repita la configuración en el enrutador R0, cambiando solo la dirección del vecino.
Verificación
Confirme que la configuración funcione correctamente.
Verificación de la asociación de seguridad
Propósito
Asegúrese de que aparece la configuración correcta en la salida del show ipsec security-associations comando.
Acción
Desde el modo operativo, ingrese el comando show ipsec security-associations.
user@R1> show ipsec security-associations
Security association: test-sa
Direction SPI AUX-SPI Mode Type Protocol
inbound 1000 0 transport manual ESP
outbound 1000 0 transport manual ESP Significado
El resultado es directo para la mayoría de los campos, excepto el campo AUX-SPI. El AUX-SPI es el valor del índice de parámetros de seguridad auxiliar. Cuando el valor es AH o ESP, AUX-SPI es siempre 0. Cuando el valor es AH+ESP, AUX-SPI es siempre un entero positivo.
