在第三方路由器上設定 MD5 驗證
如果您在使用 Cloud Router 建立邊界閘道通訊協定 (BGP) 工作階段時設定 MD5 驗證,則必須在對等路由器上設定 MD5 驗證。以下各節將提供幾個第三方路由器的指南。
MD5 是一種 BGP 對等點驗證方法,使用 MD5 訊息摘要演算法。使用這種方法時,BGP 對等端必須使用相同的驗證金鑰,否則無法建立連線。之後,系統會驗證對等端之間傳送的每個區段。如要進一步瞭解 MD5 驗證,請參閱 RFC 2385。如要進一步瞭解如何在 Cloud Router 中使用 MD5 驗證,請參閱「使用 MD5 驗證」。
Arista EOS
以下各節說明如何在 Arista 可擴充作業系統 (EOS) 裝置上使用 MD5 驗證。
詳情請參閱 Arista 說明文件。
設定 MD5 驗證
如要設定 MD5 驗證,請登入 Arista 路由器,並將 BGP 對等端與您的密鑰建立關聯:
router bgp ASN neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY
替換下列值:
ASN:BGP 工作階段 Arista 端的 ASNCLOUD_ROUTER_IP_ADDRESS:您與之建立對等連線的 Cloud Router IP 位址SECRET_KEY:您的 MD5 密鑰;請務必使用在 Cloud Router 上設定對應 BGP 工作階段時所用的金鑰
驗證設定
提交設定後,請驗證設定:
show running-config
在輸出內容中,請查看下列詳細資料。
.. router bgpASN... neighborCLOUD_ROUTER_IP_ADDRESSpasswordENCRYPTED_KEY_STRING...
在這個輸出內容中,ENCRYPTED_KEY_STRING 是代表機密金鑰的加密字串。
驗證路徑
如要驗證路線,請執行下列指令。
show ip route bgp
核對狀態
如要查看 BGP 鄰居的狀態,請執行下列指令。
show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS
將 CLOUD_ROUTER_IP_ADDRESS 替換為鄰居的 IP 位址。
Cisco IOS 和 IOS-XE
以下各節說明如何在 Cisco IOS 和 IOS-XE 裝置上使用 MD5 驗證。
詳情請參閱 Cisco 說明文件中的「BGP 對等點之間的 MD5 驗證設定範例」。
設定 MD5 驗證
如要設定 MD5,請登入 Cisco 路由器,並將 BGP 對等點與您的密鑰建立關聯:
router bgp ASN neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY !
替換下列值:
ASN:BGP 工作階段的 Cisco 端 ASNCLOUD_ROUTER_IP_ADDRESS:您與之建立對等連線的 Cloud Router IP 位址SECRET_KEY:您的 MD5 密鑰;請務必使用在 Cloud Router 上設定對應 BGP 工作階段時所用的金鑰
驗證設定
提交設定後,請驗證設定:
show running-config
在輸出內容中尋找下列詳細資料:
.. router bgpASN... neighborCLOUD_ROUTER_IP_ADDRESSpassword......
驗證路徑
如要驗證路線,請執行下列指令。
show ip route bgp
核對狀態
如要查看 BGP 鄰居的狀態,請執行下列指令。
show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS
將 CLOUD_ROUTER_IP_ADDRESS 替換為鄰居的 IP 位址。
Juniper JunOS
以下各節說明如何在 Juniper JunOS 裝置上使用 MD5 驗證。
如需更多資訊,請參閱 Juniper 說明文件。
設定 MD5 驗證
如要設定 MD5,請登入 Juniper 路由器,並將 BGP 對等點與密鑰建立關聯:
set protocols bgp group YOUR_PEER_GROUP neighbor CLOUD_ROUTER_IP_ADDRESS SECRET_KEY
替換下列值:
YOUR_PEER_GROUP:BGP 對等點群組CLOUD_ROUTER_IP_ADDRESS:您與之建立對等連線的 Cloud Router IP 位址SECRET_KEY:您的 MD5 密鑰;請務必使用在 Cloud Router 上設定對應 BGP 工作階段時所用的金鑰
驗證設定
提交設定後,請驗證設定:
show configuration
在輸出內容中,請查看下列詳細資料。
bgp {
group YOUR_PEER_GROUP {
...
neighbor CLOUD_ROUTER_IP_ADDRESS {
authentication-key ENCRYPTED_KEY_STRING; ## SECRET-DATA
...
}
}
}
在這個輸出內容中,ENCRYPTED_KEY_STRING 是代表機密金鑰的加密字串。
驗證路徑
如要驗證路線,請執行下列指令。
show ip route bgp
核對狀態
如要查看 BGP 鄰居的狀態,請執行下列指令。
show ip bgp neighbors CLOUD_ROUTER_IP_ADDRESS
將 CLOUD_ROUTER_IP_ADDRESS 替換為鄰居的 IP 位址。
Palo Alto Networks VM-Series
以下各節說明如何在 Palo Alto Networks VM-Series 裝置上使用 MD5 驗證。
詳情請參閱 Palo Alto Networks 說明文件。
設定 MD5 驗證
在 PAN-OS Web 介面中,完成下列步驟:
依序選取「Network」>「Virtual Routers」> ROUTER_NAME >「BGP」>「Create a new Auth Profile」。
在「Auth Profile」視窗中,輸入下列各項的值:
- 設定檔名稱
- 密鑰/確認密鑰
請務必使用在 Cloud Router 上設定 BGP 工作階段時所用的相同密鑰。
將新的驗證設定檔套用至 BGP 工作階段:
依序前往「網路」>「虛擬路由器」> ROUTER_NAME > BGP > Peer Group > YOUR PEER GROUP > YOUR BGP PEER >「連線選項」。
在「Auth Profile」欄位中,選取您剛剛建立的驗證設定檔。
按一下 [確定]。
驗證設定
設定 MD5 驗證後,請使用 PAN-OS Web 介面進行驗證。如要查看設定的詳細資料,請依序前往「Network」>「Virtual Routers」>「More Runtime Stats」>「BGP」>「Peer」。
驗證路徑
如要使用 PAN-OS Web 介面驗證路徑,請完成下列步驟:
依序選取「Network」>「Virtual Routers」。
在對應您感興趣的虛擬路由器的資料列中,按一下「更多執行階段統計資料」。
依序選取「Routing」>「Route Table」。
核對狀態
如要使用 PAN-OS 網路介面驗證 BGP 對等端狀態,請完成下列步驟:
依序選取「Network」>「Virtual Routers」。
在對應您感興趣的虛擬路由器的資料列中,按一下「更多執行階段統計資料」。
依序選取「BGP」「Peer」。
Quagga
以下各節說明如何在 Quagga 裝置上使用 MD5 驗證。
詳情請參閱 Quagga 說明文件。
設定 MD5 驗證
如要設定 MD5,請登入 Quagga 路由器,並將 BGP 對等點與您的密鑰建立關聯:
router bgp ASN neighbor CLOUD_ROUTER_IP_ADDRESS password SECRET_KEY !
替換下列值:
ASN:BGP 工作階段 Quagga 端的 ASNCLOUD_ROUTER_IP_ADDRESS:您與之建立對等連線的 Cloud Router IP 位址SECRET_KEY:您的 MD5 驗證金鑰密碼;請務必使用在 Cloud Router 上設定對應 BGP 工作階段時所用的金鑰
驗證設定
提交設定後,請驗證設定:
show running-config
在輸出內容中,請查看下列詳細資料。
.. router bgpASN... neighborCLOUD_ROUTER_IP_ADDRESSpasswordENCRYPTED_KEY_STRING...
在這個輸出內容中,ENCRYPTED_KEY_STRING 是代表機密金鑰的加密字串。
驗證路徑
如要查看路由表,請執行下列指令。
show ip bgp
詳情請參閱 Quagga 說明文件 (適用於此指令)。
核對狀態
如要驗證 BGP 狀態,請使用下列指令。
show ip bgp neighbor CLOUD_ROUTER_IP_ADDRESS
將 CLOUD_ROUTER_IP_ADDRESS 替換為鄰居的 IP 位址。