Hướng dẫn kỹ thuật CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Email: info@datech.vn
Danh mục sản phẩm
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Danh mục sản phẩm
Router 
Firewall 
Switch 
Wifi - Access Point 
Máy chủ ( Server ) 
Thiết bị lưu trữ NAS 
Networking Accessories 
Video Conference 
Vật tư mạng 
Tổng đài & điện thoại 
Bộ lưu điện UPS 
13/12/2021
13/12/2021
Danh sách nội dung [Ẩn]
Cấu hình IP Security cho BGP trên EX Series
Bạn có thể áp dụng IP security (IPsec) cho lưu lượng BGP. IPsec là một bộ giao thức được sử dụng để bảo vệ lưu lượng IP ở cấp độ packet. IPsec dựa trên các liên kết bảo mật (SA). SA là một kết nối đơn giản cung cấp dịch vụ bảo mật cho các gói tin mang theo SA. Sau khi cấu hình SA, bạn có thể áp dụng nó cho các đối tác BGP.
Triển khai IPsec của Junos OS hỗ trợ hai loại bảo mật: host đến host và gateway đến gateway. Bảo mật máy chủ đến máy chủ bảo vệ các phiên BGP với các bộ định tuyến khác. Một SA được sử dụng với BGP phải được cấu hình thủ công và sử dụng mode transport. Các giá trị tĩnh phải được cấu hình ở cả hai đầu của liên kết bảo mật. Để áp dụng host protection, bạn cấu hình SA thủ công ở mode transport và sau đó tham chiếu SA theo tên trong cấu hình BGP để bảo vệ phiên với một đối tác nhất định.
SA thủ công không yêu cầu đàm phán giữa các đối tác. Tất cả các giá trị bao gồm cả keys, static và specified trong cấu hình. SA thủ công xác định các giá trị tĩnh tham số bảo mật, thuật toán và khóa sẽ được sử dụng và yêu cầu cấu hình khớp nhau trên cả hai điểm cuối của đường hầm (trên cả hai đối tác). Do đó, mỗi đối tác phải có cùng các tùy chọn được cấu hình để được giao tiếp.
Ở chế độ transport, tiêu đề IPsec được chèn sau tiêu đề IP gốc và trước tiêu đề transport.
Chỉ số tham số bảo mật là giá trị tùy ý được sử dụng kết hợp với địa chỉ đích và giao thức bảo mật để xác định SA duy nhất.
Xem thêm
IPsec là một bộ giao thức được sử dụng để cung cấp các kết nối mạng an toàn ở lớp IP. Nó được sử dụng để cung cấp xác thực nguồn dữ liệu, tính toàn vẹn dữ liệu, tính bảo mật và bảo vệ phát lại gói tin. Ví dụ này cho thấy cách cấu hình chức năng IPsec để bảo vệ các phiên BGP từ Routing Engine đến Routing Engine. Junos OS hỗ trợ IPsec Authentication Header (AH) và Encapsulating Security Payload (ESP) ở chế độ transport và tunnel, cũng như một tiện ích để tạo chính sách và cấu hình manually keys.
Trước khi bắt đầu:
Không cần phần cứng PIC cụ thể nào để cấu hình tính năng này.
Cấu hình SA ở [edit security ipsec security-association name] cấp độ phân cấp với mode câu lệnh được đặt thành transport. Ở chế độ transport, Junos OS không hỗ trợ tiêu đề xác thực (AH) hoặc gói tiêu đề đóng gói bảo mật (ESP). Junos OS chỉ hỗ trợ giao thức BGP ở chế độ transport.
Ví dụ này chỉ định IPsec hai chiều để giải mã và xác thực lưu lượng truy cập đến và đi bằng cùng một thuật toán, khóa và SPI theo cả hai hướng, không giống như SA đến và đi sử dụng các thuộc tính khác nhau theo cả hai hướng.
Một SA cụ thể hơn sẽ ghi đè lên một SA chung hơn. Ví dụ, nếu một SA cụ thể được áp dụng cho một đối tác cụ thể, SA đó sẽ ghi đè lên SA được áp dụng cho toàn bộ nhóm đối tác.
Hình 1: IPsec cho BGP
- Cấu hình nhanh CLI
Ví dụ này để cấu hình nhanh , hãy sao chép các lệnh sau, dán chúng vào tệp văn bản, xóa mọi ngắt dòng, thay đổi mọi chi tiết cần thiết để phù hợp với cấu hình mạng của bạn, sau đó sao chép và dán các lệnh vào CLI ở [edit] hierarchy level.
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 10.1.1.1 ipsec-sa test-sa |
- Thủ tục
+ Quy trình từng bước
Ví dụ sau đây yêu cầu bạn điều hướng nhiều cấp độ khác nhau trong hệ thống cấu hình phân cấp. Để biết thông tin về cách điều hướng CLI, hãy xem Using the CLI Editor in Configuration Mode trong Junos OS CLI User Guide.
Để cấu hình Router R1:
1. Cấu hình SA mode.
[edit security ipsec security-association test-sa] user@R1# set mode transport |
2. Cấu hình sẽ được sử dụng giao thức IPsec.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp |
3. Cấu hình theo chỉ mục tham số bảo mật để xác định duy nhất SA.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000 |
4. Cấu hình thuật toán mã hóa.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc |
5. Cấu hình khóa mã hóa.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" |
Khi bạn sử dụng key văn bản ASCII, key đó phải chứa chính xác 24 ký tự.
Áp dụng SA cho đối tác BGP.
[edit protocols bgp group 1 neighbor 10.1.1.1] user@R1# set ipsec-sa test-sa |
Từ mode config, hãy xác nhận cấu hình của bạn bằng cách nhập lệnh show protocols và show security. Nếu output không hiển thị cấu hình mong muốn, hãy lặp lại các hướng dẫn trong ví dụ này để sửa cấu hình.
user@R1# show protocols bgp { group 1 { neighbor 10.1.1.1 { ipsec-sa test-sa; } } } content_copy zoom_out_map user@R1# show security ipsec { security-association test-sa { mode transport; manual { direction bidirectional { protocol esp; spi 1000; encryption { algorithm 3des-cbc; key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA } } } } } |
Nếu bạn đã cấu hình xong thiết bị, hãy nhập commit từ mode config. Lặp lại cấu hình trên Router R0, chỉ thay đổi địa chỉ neighbor.
- Xác nhận cấu hình đang hoạt động bình thường.
- Xác minh Security Associaton
- Mục đích
Đảm bảo rằng các thiết lập chính xác xuất hiện trong đầu ra bằng lệnh show ipsec security-associations.
- Hoạt động
Từ chế độ hoạt động, nhập lệnh show ipsec security-associations.
user@R1> show ipsec security-associations Security association: test-sa Direction SPI AUX-SPI Mode Type Protocol inbound 1000 0 transport manual ESP outbound 1000 0 transport manual ESP |
Như vậy là chúng ta đã hoàn thành Cấu hình IP Security cho BGP trên EX Series, chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc.
Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.
Hẹn gặp lại các bạn trong các bài viết tiếp theo !
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn
