Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP セッションの MD5 認証の設定

Contrail は、RFC 2385 に基づく BGP ピアリングの MD5 認証をサポートしています。

このオプションにより、BGP は、接続ストリームに偽装された TCP セグメントの導入を防止できます。両方の BGP ピアを同じ MD5 キーで設定する必要があります。設定が完了すると、各 BGP ピアは送信する各セグメントの TCP ヘッダーに 16 バイトの MD5 ダイジェストを追加します。このダイジェストは、TCP セグメントのさまざまな部分に MD5 アルゴリズムを適用することによって生成されます。署名されたセグメントを受信すると、受信者は同じデータから(独自のキーを使用して)独自のダイジェストを計算して検証し、2つのダイジェストを比較します。有効なセグメントの場合、双方がキーを知っているため、比較は成功します。

BGP MD5 認証を有効にし、Contrail ノードでキーを設定する方法を次に示します。

  1. キーが md5 プロビジョニングに含まれておらず、ノードが既にプロビジョニングされている場合は、md5 の引数を指定して次のスクリプトを実行できます。
  2. Web ユーザー・インターフェースを使用して MD5 を構成することもできます。

    • ポート 8080 (<node_ip>:8080) でノードの IP アドレスに接続し、[ 構成>インフラストラクチャ->BGP ルーター] を選択します。 図 1 に示すように、BGP ピアのリストが表示されます。

      図1:[BGPルーターの編集]ウィンドウ Edit BGP Router Window

    • BGP ピアの場合は、ピア エントリの右側にある歯車のアイコンをクリックします。次に、[ 編集] をクリックします。これにより、[BGP ルーターの編集] ダイアログ ボックスが表示されます。

    • ウィンドウを下にスクロールして、[ 詳細オプション]を選択します。

    • 認証 モード>MD5 を選択し、 認証キー の値を入力して、MD5 認証を設定します。

関連ドキュメント