サードパーティ製ルーターで MD5 認証を設定する

Cloud Router を使用して Border Gateway Protocol（BGP）セッションを確立する際に MD5 認証を構成する場合は、ピアルーターで MD5 認証も構成する必要があります。以下のセクションでは、複数のサードパーティ製ルーターについて固有のガイダンスを説明します。

MD5 は、MD5 メッセージダイジェストアルゴリズムを使用する BGP ピア認証方法です。この方法では、BGP ピアで同じ認証鍵を使用する必要があります。使用しないと、BGP ピア間で接続を確立できません。その後、ピア間でルーティングされるすべてのセグメントが検証されます。MD5 認証の詳細については、RFC 2385 をご覧ください。Cloud Router での MD5 認証の使用の詳細については、MD5 認証の使用をご覧ください。

Arista EOS

以降のセクションでは、Arista Extensible Operating System（EOS）デバイスで MD5 認証を使用する方法について説明します。

詳細については、Arista のドキュメントをご覧ください。

MD5 認証を構成する

MD5 認証を構成するには、Arista ルーターにログインして、BGP ピアを秘密鍵に関連付けます。

router bgp ASN
neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY

次の値を置き換えます。

ASN: BGP セッションの Arista 側の ASN
CLOUD_ROUTER_IP_ADDRESS: ピアリングしている Cloud Router の IP アドレス
SECRET_KEY: シークレット MD5 認証キー。Cloud Router で対応する BGP セッションの構成に使用したものと同じ鍵を使用してください。

構成を確認する

構成を commit したら、それを確認します。

show running-config

出力で、次の情報を探します。

..
router bgp ASN
   ...
   neighbor CLOUD_ROUTER_IP_ADDRESS password ENCRYPTED_KEY_STRING
   ...

この出力の ENCRYPTED_KEY_STRING は、秘密鍵を表す暗号化された文字列です。

ルートを確認する

ルートを確認するには、次のコマンドを実行します。

show ip route bgp

ステータスを確認する

BGP ネイバーのステータスを表示するには、次のコマンドを実行します。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS は、ネイバーの IP アドレスに置き換えます。

Cisco IOS および IOS-XE

以下のセクションでは、Cisco IOS デバイスと IOS-XE デバイスで MD5 認証を使用する方法について説明します。

詳細については、Cisco のドキュメントの BGP ピア間の MD5 認証の構成例をご覧ください。

MD5 認証を構成する

MD5 を構成するには、Cisco ルーターにログインして、BGP ピアを秘密鍵に関連付けます。

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

次の値を置き換えます。

ASN: BGP セッションの Cisco 側の ASN
CLOUD_ROUTER_IP_ADDRESS: ピアリングしている Cloud Router の IP アドレス
SECRET_KEY: シークレット MD5 認証キー。Cloud Router で対応する BGP セッションの構成に使用したものと同じ鍵を使用してください。

構成を確認する

構成を commit したら、それを確認します。

show running-config

出力で、次の情報を探します。

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password  ... 
 ...

ルートを確認する

ルートを確認するには、次のコマンドを実行します。

show ip route bgp

ステータスを確認する

BGP ネイバーのステータスを表示するには、次のコマンドを実行します。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS は、ネイバーの IP アドレスに置き換えます。

Juniper JunOS

以降のセクションでは、Juniper JunOS デバイスで MD5 認証を使用する方法について説明します。

詳細については、Juniper のドキュメントをご覧ください。

MD5 認証を構成する

MD5 を構成するには、Juniper ルーターにログインして、BGP ピアを秘密鍵に関連付けます。

set protocols bgp group YOUR_PEER_GROUP neighbor CLOUD_ROUTER_IP_ADDRESS SECRET_KEY

次の値を置き換えます。

YOUR_PEER_GROUP: BGP ピアグループ
CLOUD_ROUTER_IP_ADDRESS: ピアリングしている Cloud Router の IP アドレス
SECRET_KEY: シークレット MD5 認証キー。Cloud Router で対応する BGP セッションの構成に使用したものと同じ鍵を使用してください。

構成を確認する

構成を commit したら、それを確認します。

show configuration

出力で、次の情報を探します。

bgp {
    group YOUR_PEER_GROUP {
        ...
        neighbor CLOUD_ROUTER_IP_ADDRESS {
            authentication-key ENCRYPTED_KEY_STRING; ## SECRET-DATA
            ...
        }
    }
}

この出力の ENCRYPTED_KEY_STRING は、秘密鍵を表す暗号化された文字列です。

ルートを確認する

ルートを確認するには、次のコマンドを実行します。

show ip route bgp

ステータスを確認する

BGP ネイバーのステータスを表示するには、次のコマンドを実行します。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS は、ネイバーの IP アドレスに置き換えます。

Palo Alto Networks VM シリーズ

以降のセクションでは、Palo Alto Networks VM シリーズデバイスで MD5 認証を使用する方法について説明します。

詳細については、Palo Alto Networks のドキュメントをご覧ください。

MD5 認証を構成する

PAN-OS ウェブインターフェースで、次の手順を行います。

[Network] > [Virtual Routers] >ROUTER_NAME > [BGP] > [Create a new Auth Profile] の順に選択します。
[Auth Profile] ウィンドウで、次の値を入力します。
- Profile Name
- Secret/Confirm Secret
秘密鍵は、Cloud Router での BGP セッションの構成に使用したものと同じ鍵を使用してください。
新しい認証プロファイルを BGP セッションに適用します。
1. [Network] > [Virtual Routers] > ROUTER_NAME > [BGP] > [Peer Group] > YOUR PEER GROUP > YOUR BGP PEER > [Connection Options] の順に移動します。
2. [Auth Profile] フィールドで、作成した認証プロファイルを選択します。
[OK] をクリックします。

構成を確認する

MD5 認証を構成したら、PAN-OS ウェブインターフェースを使用してそれを検証します。構成の詳細を表示するには、[Network] > [Virtual Routers] > [More Runtime Stats] > [BGP] > [Peer] の順に移動します。

ルートを確認する

PAN-OS ウェブインターフェースを使用してルートを確認するには、次の手順を完了します。

[Network] > [Virtual Routers] を選択します。
対象の仮想ルーターに対応する行で、[More Runtime Stats] をクリックします。
[Routing] > [Route Table] を選択します。

ステータスを確認する

PAN-OS ウェブインターフェースを使用して BGP ピアのステータスを確認するには、次の手順を行います。

[Network] > [Virtual Routers] を選択します。
対象の仮想ルーターに対応する行で、[More Runtime Stats] をクリックします。
[BGP] > [Peer] を選択します。

Quagga

以降のセクションでは、Quagga デバイスで MD5 認証を使用する方法について説明します。

詳細については、Quagga のドキュメントをご覧ください。

MD5 認証を構成する

MD5 を構成するには、Quagga ルーターにログインして、BGP ピアを秘密鍵に関連付けます。

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

次の値を置き換えます。

ASN: BGP セッションの Quagga 側の ASN
CLOUD_ROUTER_IP_ADDRESS: ピアリングしている Cloud Router の IP アドレス
SECRET_KEY: シークレット MD5 認証キー。Cloud Router で対応する BGP セッションの構成に使用したものと同じ鍵を使用してください。

構成を確認する

構成を commit したら、それを確認します。

show running-config

出力で、次の情報を探します。

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password ENCRYPTED_KEY_STRING
 ...

この出力の ENCRYPTED_KEY_STRING は、秘密鍵を表す暗号化された文字列です。

ルートを確認する

ルートテーブルを表示するには、次のコマンドを実行します。

show ip bgp

詳細については、このコマンドに関する Quagga のドキュメントをご覧ください。

ステータスを確認する

BGP ステータスを確認するには、次のコマンドを使用します。

show ip bgp neighbor CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS は、ネイバーの IP アドレスに置き換えます。

サードパーティ製ルーターで MD5 認証を設定する

Arista EOS

MD5 認証を構成する

構成を確認する

ルートを確認する

ステータスを確認する

Cisco IOS および IOS-XE

MD5 認証を構成する

構成を確認する

ルートを確認する

ステータスを確認する

Juniper JunOS

MD5 認証を構成する

構成を確認する

ルートを確認する

ステータスを確認する

Palo Alto Networks VM シリーズ

MD5 認証を構成する

構成を確認する

ルートを確認する

ステータスを確認する

Quagga

MD5 認証を構成する

構成を確認する

ルートを確認する

ステータスを確認する

次のステップ