在第三方路由器上设置 MD5 身份验证

如果您在使用 Cloud Router 路由器建立边界网关协议 (BGP) 会话时配置了 MD5 身份验证,则还必须在对等路由器上配置 MD5 身份验证。以下部分包含特定于多个第三方路由器的指南。

MD5 是采用 MD5 消息摘要算法的 BGP 对等身份验证方法。使用此方法时,BGP 对等端必须使用同一身份验证密钥,否则无法在 BGP 对等端之间建立连接。稍后,验证对等端之间路由的每个分段。如需详细了解 MD5 身份验证,请参阅 RFC 2385。如需详细了解如何将 MD5 身份验证用于 Cloud Router 路由器,请参阅使用 MD5 身份验证

Arista EOS

以下部分介绍了如何将 MD5 身份验证用于 Arista 可扩展操作系统 (EOS) 设备。

如需了解详情,请参阅 Arista 文档

配置 MD5 身份验证

如需配置 MD5 身份验证,请登录 Arista 路由器并将 BGP 对等端与您的密钥相关联:

router bgp ASN
neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY

替换以下值:

  • ASN:BGP 会话的 Arista 端的 ASN
  • CLOUD_ROUTER_IP_ADDRESS:您要与之建立对等互连的 Cloud Router 路由器的 IP 地址
  • SECRET_KEY:您的 Secret MD5 身份验证密钥;确保使用您在 Cloud Router 路由器上配置相应的 BGP 会话时使用的同一密钥

验证配置

提交配置后,请进行验证:

show running-config

在输出中,查找以下详细信息:

..
router bgp ASN
   ...
   neighbor CLOUD_ROUTER_IP_ADDRESS password ENCRYPTED_KEY_STRING
   ...

在此输出中,ENCRYPTED_KEY_STRING 是表示您的密钥的加密字符串。

验证路由

如需验证路由,请运行以下命令。

show ip route bgp

验证状态

要查看 BGP 邻居的状态,请运行以下命令。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS 替换为邻居的 IP 地址。

Cisco IOS 和 IOS-XE

以下部分介绍了如何将 MD5 身份验证用于 Cisco IOS 和 IOS-XE 设备。

如需了解详情,请参阅 Cisco 文档中的在 BGP 对等端之间配置 MD5 身份验证的示例

配置 MD5 身份验证

如需配置 MD5,请登录 Cisco 路由器并将 BGP 对等端与您的密钥相关联:

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

替换以下值:

  • ASN:BGP 会话的 Cisco 端的 ASN
  • CLOUD_ROUTER_IP_ADDRESS:您要与之建立对等互连的 Cloud Router 路由器的 IP 地址
  • SECRET_KEY:您的 Secret MD5 身份验证密钥;确保使用您在 Cloud Router 路由器上配置相应的 BGP 会话时使用的同一密钥

验证配置

提交配置后,请进行验证:

show running-config

在输出中,查找以下详细信息:

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password  ... 
 ...

验证路由

如需验证路由,请运行以下命令。

show ip route bgp

验证状态

要查看 BGP 邻居的状态,请运行以下命令。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS 替换为邻居的 IP 地址。

Juniper JunOS

以下部分介绍如何将 MD5 身份验证用于 Juniper JunOS 设备。

如需了解详情,请参阅 Juniper 文档

配置 MD5 身份验证

如需配置 MD5,请登录 Juniper 路由器并将 BGP 对等端与您的密钥相关联:

set protocols bgp group YOUR_PEER_GROUP neighbor CLOUD_ROUTER_IP_ADDRESS SECRET_KEY

替换以下值:

  • YOUR_PEER_GROUP:BGP 对等互连组
  • CLOUD_ROUTER_IP_ADDRESS:您要与之建立对等互连的 Cloud Router 路由器的 IP 地址
  • SECRET_KEY:您的 Secret MD5 身份验证密钥;确保使用您在 Cloud Router 路由器上配置相应的 BGP 会话时使用的同一密钥

验证配置

提交配置后,请进行验证:

show configuration

在输出中,查找以下详细信息:

bgp {
    group YOUR_PEER_GROUP {
        ...
        neighbor CLOUD_ROUTER_IP_ADDRESS {
            authentication-key ENCRYPTED_KEY_STRING; ## SECRET-DATA
            ...
        }
    }
}

在此输出中,ENCRYPTED_KEY_STRING 是表示您的密钥的加密字符串。

验证路由

如需验证路由,请运行以下命令。

show ip route bgp

验证状态

要查看 BGP 邻居的状态,请运行以下命令。

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS 替换为邻居的 IP 地址。

Palo Alto Networks 虚拟机系列

以下部分介绍了如何将 MD5 身份验证用于 Palo Alto Networks 虚拟机系列设备。

如需了解详情,请参阅 Palo Alto Networks 文档

配置 MD5 身份验证

在 PAN-OS 网页界面中,完成以下步骤:

  1. 选择网络 > 虚拟路由器 > ROUTER_NAME > BGP > 创建新的身份验证配置文件

  2. 身份验证配置文件窗口中,输入以下各项的值:

    • 配置文件名称
    • 密钥/确认密钥

    确保使用与在 Cloud Router 路由器上配置 BGP 会话时使用的同一密钥。

  3. 将新身份验证配置文件应用于 BGP 会话:

    1. 转到网络 > 虚拟路由器 > ROUTER_NAME > BGP > 对等连接组 > YOUR PEER GROUP > YOUR BGP PEER > 连接选项

    2. 身份验证配置文件字段中,选择您刚创建的身份验证配置文件。

  4. 点击确定

验证配置

配置 MD5 身份验证后,请使用 PAN-OS 网页界面对其进行验证。要查看配置的详细信息,请转到网络 > 虚拟路由器 > 更多运行时统计信息 > BGP > 对等端

验证路由

如需使用 PAN-OS 网页界面验证路由,请完成以下步骤:

  1. 选择网络 > 虚拟路由器

  2. 在与您感兴趣的虚拟路由器对应的行中,点击更多运行时统计信息

  3. 选择路由 > 路由表

验证状态

如需使用 PAN-OS 网页界面验证 BGP 对等端状态,请完成以下步骤:

  1. 选择网络 > 虚拟路由器

  2. 在与您感兴趣的虚拟路由器对应的行中,点击更多运行时统计信息

  3. 选择 BGP > 对等端

Quagga

以下部分介绍了如何将 MD5 身份验证用于 Quagga 设备。

如需了解详情,请参阅 Quagga 文档

配置 MD5 身份验证

如需配置 MD5,请登录 Quagga 路由器并将 BGP 对等端与您的密钥相关联:

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

替换以下值:

  • ASN:BGP 会话的 Quagga 端的 ASN
  • CLOUD_ROUTER_IP_ADDRESS:您要与之建立对等互连的 Cloud Router 路由器的 IP 地址
  • SECRET_KEY:您的 Secret MD5 身份验证密钥;确保使用您在 Cloud Router 路由器上配置相应的 BGP 会话时使用的同一密钥

验证配置

提交配置后,请进行验证:

show running-config

在输出中,查找以下详细信息:

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password ENCRYPTED_KEY_STRING
 ...

在此输出中,ENCRYPTED_KEY_STRING 是表示您的密钥的加密字符串。

验证路由

如需查看路由表,请运行以下命令。

show ip bgp

如需了解详情,请参阅此命令的 Quagga 文档

验证状态

如需验证 BGP 状态,请使用以下命令。

show ip bgp neighbor CLOUD_ROUTER_IP_ADDRESS

CLOUD_ROUTER_IP_ADDRESS 替换为邻居的 IP 地址。

后续步骤