Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:为 BGP 配置路由器身份验证

 

所有 BGP 协议交换都可以通过身份验证,以保证只有可信路由设备参与自治系统(AS)路由更新。默认情况下,身份验证处于禁用状态。

要求

开始之前:

  • 配置路由器接口。

  • 配置内部网关协议(IGP)。

概述

配置身份验证时,算法会创建一个经过编码的校验和,并将其包含在传输的数据包中。接收路由设备使用身份验证密钥(密码)来验证数据包’的校验和。

此示例包括以下用于配置和应用 keychain 的语句:

  • key—一个 keychain 可以有多个键。Keychain 中的每个键都必须由一个唯一整数值标识。有效标识符值的范围为 0 到 63。

    密钥长度最高可达 126 个字符。字符可以包含任何 ASCII 字符串。如果包含空格,请将所有字符放在引号(“ ”)内。

  • tolerance—必对于每个 keychain,您可以在数秒内配置时钟倾斜容限值。时钟倾斜容差适用于接收方接受 BGP 更新的密钥。可配置的范围为0到999999999秒。在容差期间内,当前密码或以前口令是可接受的。

  • key-chain—对于每个 keychain,必须指定名称。此示例定义了一个 keychain:bgp-auth. 一个路由设备上可以有多个 keychains。例如,您可以有 BGP 的 keychain、OSPF 的 keychain 以及 LDP 的 keychain。

  • secret—对于 keychain 中的每个密钥,都必须设置密码。此密码可通过加密或纯文本格式在secret语句中输入。它始终以加密格式显示。

  • start-time—每个密钥都必须指定 UTC 格式的开始时间。控制从一个关键传到下一个。当配置的开始时间到达时(基于路由设备’的时钟),具有该开始时间的密钥将变为活动状态。开始时间在路由设备的本地时区中指定,并且在 keychain 中必须是唯一的。

  • authentication-key-chain—允许您为所有对等方、组或相邻节点应用全局 BGP 级别的 keychain。本示例将 keychain 应用于外部 BGP (EBGP)组中定义的对等方ext

  • authentication-algorithm—对于每个 keychain,您可以指定一种散列算法。该算法可以是 AES-128、MD5 或 SHA-1。

    您将 keychain 和身份验证算法与 BGP 邻接会话相关联。

此示例配置名为bgp-auth的 keychain。将从 2011-6-23.20:19: 33-0700 开始发送和接受密钥0,并且当 keychain (key 1)中的下一个密钥变为活动状态时,将停止发送和接受。Key 1 每年的有效时间为 2012-6-23.20:19: 33-0700,除非配置另一个密钥的开始时间晚于 key 1 的开始时间,否则不会停止发送和接受。时钟-倾斜容差30秒适用于接收方接受密钥的接收器。在容差期间内,当前密钥或以前键是可接受的。密钥是共享机密密码。这意味着接收经过身份验证的路由更新的邻居必须具有相同的身份验证 keychain 配置,包括相同的密钥(密码)。因此,如果将路由器 R0 和路由器 R1 配置为对等方,则它们必须具有相同的身份验证密钥链配置。此示例显示仅一个路由设备上的配置。

拓扑图

图 1显示了此示例中使用的拓扑。

图 1: BGP 身份验证
BGP 身份验证

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅中的CLI 用户指南在配置模式中使用 CLI 编辑器

要将路由器 R1 配置为从设备 CE1 接受路由过滤器并使用接收到的过滤器执行出站路由过滤:

  1. 配置本地自治系统。
  2. 配置一个或多个 BGP 组。
  3. 使用多个密钥配置身份验证。

    每个密钥的开始时间在 keychain 中必须是唯一的。

  4. 将身份验证 keychain 应用于 BGP,并设置散列算法。
  5. 必以秒为单位应用时钟倾斜公差值。

结果

从配置模式,输入show protocolsshow routing-optionsshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

对网络中每个支持 BGP 的设备重复该过程,同时为每个启用 BGP 的设备使用相应的接口名称和地址。

针对

确认配置是否正常工作。

验证邻居的身份验证

用途

请确保该AutheKeyChain选项出现在show bgp neighbor命令输出中。

操作

在操作模式下,输入显示 bgp 邻居命令。

user@R1> show bgp neighbor

验证是否发送了授权消息

用途

确认 BGP 具有增强的授权选项。

操作

在操作模式下,输入监控流量 interface fe-0/0/1命令。

user@R1> monitor traffic interface fe-0/0/1

检查身份验证错误

用途

检查由于身份验证错误而被 TCP 丢弃的数据包数量。

操作

在操作模式下,输入show system statistics tcp | match auth命令。

user@R1> show system statistics tcp | match auth

验证 Keychain 的操作

用途

检查由于身份验证错误而被 TCP 丢弃的数据包数量。

操作

在操作模式下,输入show security keychain detail命令。

user@R1> show security keychain detail