IP : ボーダー ゲートウェイ プロトコル(BGP)

IPsec VTI でセキュア eBGP セッションを設定して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料にデータ Planeトラフィックのための物理インターフェイス(非トンネル)と共に IPsec 仮想 な トンネルインターフェイス(VTI)の使用の外部ボーダーゲートウェイプロトコル(eBGP)隣接関係を保護する方法を記述されています。 この設定の利点は下記のものを含んでいます:

  • データの機密保持、信頼性 再生防止および統合の BGP 隣接 セッションのプライバシーを完了して下さい。
  • データ Planeトラフィックはトンネルインターフェイスの最大伝送ユニット (MTU) オーバーヘッドに抑制されません。 顧客はパフォーマンスへの影響かフラグメンテーションなしで標準 MTU パケット(1500 バイト)を送信できます。
  • 復号化するセキュリティポリシー インデックス(SPI)/暗号化が BGP コントロール プレーン トラフィックに制限されるのでエンドポイント ルータのより少ないオーバーヘッド。

この設定の利点はデータ平面がトンネル伝送されたインターフェイスの制限に抑制されないことです。 意図的に、データ Planeトラフィックは IPsec 保護しましたではないです。

貢献されたチャールズ Stizza、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることを推奨しています。

  • eBGP 設定および確認 基礎
  • ルート マップを使用する BGP ポリシー アカウンティング(PA)操作
  • 基本的な Internet Security Association and Key Management Protocol(ISAKMP)および IPsec ポリシー機能

使用するコンポーネント

この文書に記載されている情報は Cisco IOS に基づいていますか。 ソフトウェア リリース 15.3(1.3)T しかし他のサポート対象バージョン作業。 IPSec構成が暗号機能であるので、コードのバージョンを含まれていますこの機能セットが確認して下さい。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

注意: この資料の設定例はかもしれたりまたは環境に適しないかもしれない適度な暗号アルゴリズムを使用します。 さまざまな暗号スイートおよびキーサイズの相対的 な セキュリティの説明については次世代 暗号化 白書を参照して下さい。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

設定

次の手順を実行します。

  1. R1 の事前共有キーで R1 および R2 のインターネット鍵交換(IKE)フェーズ 1 パラメータを設定して下さい:

    : 彼らが劣った考慮されるので決して DH 第 1、2 か 5 を使用しないで下さい。 もし可能ならグループ 19、20 か 24 のような楕円曲線 Cryptopgraphy (ECC)と DH グループを使用して下さい。 Advanced Encryption Standard (AES)およびセキュアハッシュアルゴリズム 256 (SHA256)はデータ暗号規格より優秀考慮する必要があります(DES)/3DES および MD5 (それぞれ MD5)/SHA1。 決して実稼働環境でパスワード「cisco」を使用しないで下さい。

    R1 の設定

    R1(config)#crypto isakmp policy 1
    R1(config-isakmp)#encr aes
    R1(config-isakmp)#hash sha256
    R1(config-isakmp)#authentication pre-share
    R1(config-isakmp)#group 19
    R1(config-isakmp)exit

    R1(config)#crypto isakmp key CISCO address 12.0.0.2

    R2 の設定



    R2(config)#crypto isakmp policy 1
    R2(config-isakmp)#encr aes
    R2(config-isakmp)#hash sha256
    R2(config-isakmp)#authentication pre-share
    R2(config-isakmp)#group 19


    R2(config-isakmp)exit

    R2(config)#crypto isakmp key CISCO address 12.0.0.1
  2. R1 および R2 の NVRAM の事前共有キーのためのレベル 6 パスワード暗号化を設定して下さい。 これはルータが妥協される場合読まれることからの平文で保存される事前共有キーの確率を下げます:
    R1(config)#key config-key password-encrypt CISCOCISCO

    R1(config)#password encryption aes

    R2(config)#key config-key password-encrypt CISCOCISCO

    R2(config)#password encryption aes

    : レベル 6 パスワード暗号化が有効に なれば、アクティブコンフィギュレーションはもはや事前共有キーの平文バージョンを示しません:

    !
    R1#show run | include key
    crypto isakmp key 6 \Nd`]dcCW\E`^WEObUKRGKIGadiAAB address 12.0.0.2

    !
  3. R1 および R2 の IKE フェーズ 2 パラメータを設定して下さい:

    R1 の設定

    R1(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac

    R1(config)#crypto ipsec profile PROFILE

    R1(ipsec-profile)#set transform-set TRANSFORM-SET
    R1(ipsec-profile)#set pfs group19

    R2 の設定

    R2(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac

    R2(config)#crypto ipsec profile PROFILE

    R2(ipsec-profile)#set transform-set TRANSFORM-SET

    R2(ipsec-profile)#set pfs group19

    : 完全転送秘密 (PFS)を設定 することは IKE フェーズ 2 SA 確立の新しい対称鍵 生成を強制するのでオプションでが、VPN 強度を改善します。

  4. R1 および R2 のトンネルインターフェイスを設定し、IPSec プロファイルと保護して下さい:

    R1 の設定

    R1(config)#interface tunnel 12

    R1(config-if)#ip address 1.1.1.1 255.255.255.0

    R1(config-if)#tunnel source Ethernet0/0

    R1(config-if)#tunnel mode ipsec ipv4

    R1(config-if)#tunnel destination 12.0.0.2

    R1(config-if)#tunnel protection ipsec profile PROFILE

    R2 の設定

    R2(config)#interface tunnel 12

    R2(config-if)#ip address 1.1.1.2 255.255.255.0

    R2(config-if)#tunnel source Ethernet0/0

    R2(config-if)#tunnel mode ipsec ipv4

    R2(config-if)#tunnel destination 12.0.0.1

    R2(config-if)#tunnel protection ipsec profile PROFILE
  5. R1 および R2 の BGP を設定し、BGP に loopback0 ネットワークをアドバタイズして下さい:

    R1 Configuraton

    R1(config)#router bgp 65510

    R1(config-router)#neighbor 1.1.1.2 remote-as 65511

    R1(config-router)#network 10.0.0.0 mask 255.255.255.0

    R2 の設定

    R2(config)#router bgp 65511

    R2(config-router)#neighbor 1.1.1.2 remote-as 65510

    R2(config-router)#network 20.0.0.0 mask 255.255.255.0
  6. 物理インターフェイスおよびないトンネルを指すように手動で ネクスト ホップ IP アドレスを変更するために R1 および R2 のルート マップを設定して下さい。 受信方向のこのルート マップを加えて下さい。

    R1 の設定

    R1(config)ip prefix-list R2-NETS seq 5 permit 20.0.0.0/24

    R1(config)#route-map CHANGE-NEXT-HOP permit 10

    R1(config-route-map)#match ip address prefix-list R2-NETS

    R1(config-route-map)#set ip next-hop 12.0.0.2

    R1(config-route-map)#end

    R1(config)#router bgp 65510

    R1(config-router)#neighbor 1.1.1.2 route-map CHANGE-NEXT-HOP in

    R1(config-router)#do clear ip bgp *

    R1(config-router)#end

    R2 の設定

    R2(config)#ip prefix-list R1-NETS seq 5 permit 10.0.0.0/24

    R2(config)#route-map CHANGE-NEXT-HOP permit 10

    R2(config-route-map)#match ip address prefix-list R1-NETS

    R2(config-route-map)#set ip next-hop 12.0.0.1

    R2(config-route-map)#end

    R2(config)#router bgp 65511

    R2(config-router)#neighbor 1.1.1.1 route-map CHANGE-NEXT-HOP in

    R2(config-router)#do clear ip bgp *

    R2(config-router)#end

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

IKE 両方フェーズ 1 および IKE フェーズ 2 が完了したことを確認して下さい。  仮想 な トンネルインターフェイス(VTI)の行プロトコルは IKE フェーズ 2 が完了するまでに「の上で」変更しません:

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
12.0.0.1 12.0.0.2 QM_IDLE 1002 ACTIVE
12.0.0.2 12.0.0.1 QM_IDLE 1001 ACTIVE

R1#show crypto ipsec sa | inc encaps|decaps
#pkts encaps: 88, #pkts encrypt: 88, #pkts digest: 88
#pkts decaps: 90, #pkts decrypt: 90, #pkts verify: 90

トンネルインターフェイスであるルート マップのアプリケーション前に、ネクスト ホップ IP アドレスが BGP 隣接 IP アドレスを指すことに注目して下さい:

R1#show ip bgp
BGP table version is 2, local router ID is 10.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 20.0.0.0/24 1.1.1.2 0 0 65511 i

トラフィックがトンネルを使用するとき、MTU はトンネル MTU に抑制されます:

R1#ping 20.0.0.2 size 1500 df-bit
Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with the DF bit set

*May 6 08:42:07.311: ICMP: dst (20.0.0.2): frag. needed and DF set.
*May 6 08:42:09.312: ICMP: dst (20.0.0.2): frag. needed and DF set.
*May 6 08:42:11.316: ICMP: dst (20.0.0.2): frag. needed and DF set.
*May 6 08:42:13.319: ICMP: dst (20.0.0.2): frag. needed and DF set.
*May 6 08:42:15.320: ICMP: dst (20.0.0.2): frag. needed and DF set.
Success rate is 0 percent (0/5)

R1#show interfaces tunnel 12 | inc transport|line

Tunnel12 is up, line protocol is up
Tunnel protocol/transport IPSEC/IP
Tunnel transport MTU 1406 bytes <---

R1#ping 20.0.0.2 size 1406 df-bit
Type escape sequence to abort.
Sending 5, 1406-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/6 ms

ルート マップを加えた後、IP アドレスは R2 の物理インターフェイスに、ないトンネル変更されます:

R1#show ip bgp
BGP table version is 2, local router ID is 10.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 20.0.0.0/24 12.0.0.2 0 0 65511 i

トンネル割り当て標準 サイズ MTU に対して物理的 な ネクスト ホップを使用するためにデータ飛行機を変更して下さい:

R1#ping 20.0.0.2 size 1500 df-bit
Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。



Document ID: 118977