MD5-Authentifizierung auf Drittanbieter-Routern einrichten

Wenn Sie die MD5-Authentifizierung konfigurieren, wenn Sie mithilfe von Cloud Router eine BGP-Sitzung (Border Gateway Protocol) einrichten, müssen Sie auch die MD5-Authentifizierung auf dem Peer-Router konfigurieren. Die folgenden Abschnitte enthalten Anleitungen für mehrere Router von Drittanbietern.

MD5 ist eine Methode der BGP-Peer-Authentifizierung, die den MD5-Nachrichten-Digest-Algorithmus verwendet. Bei diesem Ansatz müssen BGP-Peers denselben Authentifizierungsschlüssel verwenden, ansonsten kann keine Verbindung zwischen ihnen hergestellt werden. Später wird jedes Segment, das zwischen den Peers weitergeleitet wird, überprüft. Weitere Informationen zur MD5-Authentifizierung finden Sie unter RFC 2385. Weitere Informationen zur Verwendung der MD5-Authentifizierung mit Cloud Router finden Sie unter MD5-Authentifizierung verwenden.

Arista EOS

In den folgenden Abschnitten wird die Verwendung der MD5-Authentifizierung mit Arista Extensible Betriebssystem-Geräten (EOS) beschrieben

Weitere Informationen finden Sie in der Arista-Dokumentation.

MD5-Authentifizierung konfigurieren

Melden Sie sich zum Konfigurieren der MD5-Authentifizierung beim Arista-Router an und verknüpfen Sie den BGP-Peer mit Ihrem geheimen Schlüssel:

router bgp ASN
neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY

Ersetzen Sie die folgenden Werte:

  • ASN: die ASN für die Arista-Seite der BGP-Sitzung
  • CLOUD_ROUTER_IP_ADDRESS: die IP-Adresse des Cloud Routers, mit dem Sie ein Peering durchführen
  • SECRET_KEY: Ihr geheimer MD5-Authentifizierungsschlüssel; Sie müssen denselben Schlüssel verwenden, mit dem Sie die entsprechende BGP-Sitzung auf dem Cloud Router konfiguriert haben.

Konfiguration prüfen

Prüfen Sie die Konfiguration, nachdem Sie sie festgeschrieben haben:

show running-config

Suchen Sie in der Ausgabe nach Folgendem:

..
router bgp ASN
   ...
   neighbor CLOUD_ROUTER_IP_ADDRESS password ENCRYPTED_KEY_STRING
   ...

In dieser Ausgabe ist ENCRYPTED_KEY_STRING ein verschlüsselter String, der Ihren geheimen Schlüssel darstellt.

Routen überprüfen

Führen Sie den folgenden Befehl aus, um Routen zu prüfen.

show ip route bgp

Status bestätigen

Führen Sie den folgenden Befehl aus, um den Status eines BGP-Nachbarn aufzurufen.

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

Ersetzen Sie CLOUD_ROUTER_IP_ADDRESS durch die IP-Adresse des Nachbarn.

Cisco IOS und IOS-XE

In den folgenden Abschnitten wird die Verwendung der MD5-Authentifizierung mit Cisco IOS- und IOS-XE-Geräten beschrieben.

Weitere Informationen finden Sie in der Cisco-Dokumentation unter Beispiel für die MD5-Authentifizierung zwischen BGP-Peers-Konfigurationen.

MD5-Authentifizierung konfigurieren

Melden Sie sich zum Konfigurieren von MD5 beim Cisco-Router an und verknüpfen Sie den BGP-Peer mit Ihrem geheimen Schlüssel:

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

Ersetzen Sie die folgenden Werte:

  • ASN: die ASN für die Cisco-Seite der BGP-Sitzung
  • CLOUD_ROUTER_IP_ADDRESS: die IP-Adresse des Cloud Routers, mit dem Sie ein Peering durchführen
  • SECRET_KEY: Ihr geheimer MD5-Authentifizierungsschlüssel; Sie müssen denselben Schlüssel verwenden, mit dem Sie die entsprechende BGP-Sitzung auf dem Cloud Router konfiguriert haben.

Konfiguration prüfen

Prüfen Sie die Konfiguration, nachdem Sie sie festgeschrieben haben:

show running-config

Suchen Sie in der Ausgabe nach Folgendem:

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password  ... 
 ...

Routen überprüfen

Führen Sie den folgenden Befehl aus, um Routen zu prüfen.

show ip route bgp

Status bestätigen

Führen Sie den folgenden Befehl aus, um den Status eines BGP-Nachbarn aufzurufen.

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

Ersetzen Sie CLOUD_ROUTER_IP_ADDRESS durch die IP-Adresse des Nachbarn.

Juniper JunOS

In den folgenden Abschnitten wird die Verwendung der MD5-Authentifizierung mit Juni JunOS-Geräten beschrieben.

Weitere Informationen finden Sie in der Juniper-Dokumentation.

MD5-Authentifizierung konfigurieren

Melden Sie sich zur Konfiguration von MD5 beim Juniper-Router an und verknüpfen Sie den BGP-Peer mit Ihrem geheimen Schlüssel:

set protocols bgp group YOUR_PEER_GROUP neighbor CLOUD_ROUTER_IP_ADDRESS SECRET_KEY

Ersetzen Sie die folgenden Werte:

  • YOUR_PEER_GROUP: die BGP-Peer-Gruppe
  • CLOUD_ROUTER_IP_ADDRESS: die IP-Adresse des Cloud Routers, mit dem Sie ein Peering durchführen
  • SECRET_KEY: Ihr geheimer MD5-Authentifizierungsschlüssel; Sie müssen denselben Schlüssel verwenden, mit dem Sie die entsprechende BGP-Sitzung auf dem Cloud Router konfiguriert haben.

Konfiguration prüfen

Prüfen Sie die Konfiguration, nachdem Sie sie festgeschrieben haben:

show configuration

Suchen Sie in der Ausgabe nach Folgendem:

bgp {
    group YOUR_PEER_GROUP {
        ...
        neighbor CLOUD_ROUTER_IP_ADDRESS {
            authentication-key ENCRYPTED_KEY_STRING; ## SECRET-DATA
            ...
        }
    }
}

In dieser Ausgabe ist ENCRYPTED_KEY_STRING ein verschlüsselter String, der Ihren geheimen Schlüssel darstellt.

Routen überprüfen

Führen Sie den folgenden Befehl aus, um Routen zu prüfen.

show ip route bgp

Status bestätigen

Führen Sie den folgenden Befehl aus, um den Status eines BGP-Nachbarn aufzurufen.

show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS

Ersetzen Sie CLOUD_ROUTER_IP_ADDRESS durch die IP-Adresse des Nachbarn.

Palo Alto Networks-VM-Serien

In den folgenden Abschnitten wird die Verwendung der MD5-Authentifizierung mit Palo Alto Networks-VM-Series beschrieben.

Weitere Informationen finden Sie in der Palo Alto Networks-Dokumentation.

MD5-Authentifizierung konfigurieren

Führen Sie in der PAN-OS-Weboberfläche die folgenden Schritte aus:

  1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > BGP > Neues Auth-Profil erstellen.

  2. Geben Sie im Fenster Auth-Profil Werte für folgende Werte ein:

    • Profilname
    • Secret/Secret bestätigen

    Achten Sie darauf, denselben geheimen Schlüssel zu verwenden, den Sie zum Konfigurieren der BGP-Sitzung auf dem Cloud Router verwendet haben.

  3. Wenden Sie Ihr neues Authentifizierungsprofil auf die BGP-Sitzung an:

    1. Gehen Sie zu Netzwerk > Virtuelle Router > ROUTER_NAME > BGP > Peering-Gruppe > YOUR PEER GROUP > YOUR BGP PEER > Verbindungsoptionen.

    2. Wählen Sie im Feld Auth-Profil das soeben erstellte Authentifizierungsprofil aus.

  4. Klicken Sie auf OK.

Konfiguration prüfen

Prüfen Sie sie über die PAN-OS-Weboberfläche, nachdem Sie die MD5-Authentifizierung konfiguriert haben. Gehen Sie zu Netzwerk > Virtuelle Router > Weitere Laufzeitstatistiken > BGP > Peer, um Details zur Konfiguration aufzurufen.

Routen überprüfen

Führen Sie folgende Schritte aus, um Routen über die PAN-OS-Weboberfläche zu prüfen:

  1. Wählen Sie Netzwerk > Virtuelle Router aus.

  2. Klicken Sie in der Zeile, die dem virtuellen Router entspricht, an dem Sie interessiert sind, auf Weitere Laufzeitstatistiken.

  3. Wählen Sie Routing > Routingtabelle aus.

Status bestätigen

Führen Sie folgende Schritte aus, um den BGP-Peer-Status über die PAN-OS-Weboberfläche zu prüfen:

  1. Wählen Sie Netzwerk > Virtuelle Router aus.

  2. Klicken Sie in der Zeile, die dem virtuellen Router entspricht, an dem Sie interessiert sind, auf Weitere Laufzeitstatistiken.

  3. Wählen Sie BGP > Peer aus.

Quagga

In den folgenden Abschnitten wird die Verwendung der MD5-Authentifizierung mit Quagga-Geräten beschrieben.

Weitere Informationen finden Sie in der Quagga-Dokumentation.

MD5-Authentifizierung konfigurieren

Melden Sie sich zum Konfigurieren von MD5 beim Quagga-Router an und verknüpfen Sie den BGP-Peer mit Ihrem geheimen Schlüssel:

router bgp ASN
 neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
 !

Ersetzen Sie die folgenden Werte:

  • ASN: die ASN für die Quagga-Seite der BGP-Sitzung
  • CLOUD_ROUTER_IP_ADDRESS: die IP-Adresse des Cloud Routers, mit dem Sie ein Peering durchführen
  • SECRET_KEY: Ihr geheimer MD5-Authentifizierungsschlüssel; Sie müssen denselben Schlüssel verwenden, mit dem Sie die entsprechende BGP-Sitzung auf dem Cloud Router konfiguriert haben.

Konfiguration prüfen

Prüfen Sie die Konfiguration, nachdem Sie sie festgeschrieben haben:

show running-config

Suchen Sie in der Ausgabe nach Folgendem:

..
router bgp ASN
 ...
 neighbor CLOUD_ROUTER_IP_ADDRESS  password ENCRYPTED_KEY_STRING
 ...

In dieser Ausgabe ist ENCRYPTED_KEY_STRING ein verschlüsselter String, der Ihren geheimen Schlüssel darstellt.

Routen überprüfen

Führen Sie den folgenden Befehl aus, um die Routentabelle anzusehen.

show ip bgp

Weitere Informationen finden Sie in der Quagga-Dokumentation für diesen Befehl.

Status bestätigen

Verwenden Sie den folgenden Befehl, um den BGP-Status zu prüfen.

show ip bgp neighbor CLOUD_ROUTER_IP_ADDRESS

Ersetzen Sie CLOUD_ROUTER_IP_ADDRESS durch die IP-Adresse des Nachbarn.

Nächste Schritte