Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration de l’authentification MD5 pour les sessions BGP

Contrail prend en charge l’authentification MD5 pour l’appairage BGP basé sur la norme RFC 2385.

Cette option permet à BGP de se protéger contre l’introduction de segments TCP usurpés dans le flux de connexion. Les deux homologues BGP doivent être configurés avec la même clé MD5. Une fois configuré, chaque homologue BGP ajoute un résumé MD5 de 16 octets à l’en-tête TCP de chaque segment qu’il envoie. Ce condensé est produit en appliquant l’algorithme MD5 à diverses parties du segment TCP. Lors de la réception d’un segment signé, le récepteur le valide en calculant son propre résumé à partir des mêmes données (à l’aide de sa propre clé) et compare les deux résumés. Pour les segments valides, la comparaison est réussie puisque les deux parties connaissent la clé.

Voici les méthodes pour activer l’authentification BGP MD5 et définir les clés sur le nœud Contrail.

  1. Si la clé n’est md5 pas incluse dans l’approvisionnement et que le nœud est déjà provisionné, vous pouvez exécuter le script suivant avec un argument pour md5 :
  2. Vous pouvez également utiliser l’interface utilisateur Web pour configurer MD5.

    • Connectez-vous à l’adresse IP du nœud sur le port 8080 (<node_ip> :8080) et sélectionnez Configure->Infrastructure->BGP Routers. Comme illustré à la figure 1, une liste d’homologues BGP s’affiche.

      Figure 1 : Modifier le routeur BGP Wndow Edit BGP Router Wndow

    • Pour un homologue BGP, cliquez sur l’icône d’engrenage sur le côté droit de l’entrée homologue. Cliquez ensuite sur Modifier. La boîte de dialogue Modifier le routeur BGP s’affiche.

    • Faites défiler la fenêtre vers le bas et sélectionnez Options avancées.

    • Configurez l’authentification MD5 en sélectionnant Mode d’authentification>MD5 et en entrant la valeur Clé d’authentification .

Documentation connexe