تكوين مصادقة MD5 بين نظائر BGP

خيارات التنزيل

PDF (297.0 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (97.8 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (83.9 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٤ مايو ٢٠٢٦

معرّف المستند:112188

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

معلومات أساسية

التكوين

الرسم التخطيطي للشبكة

التكوينات

فهم تصحيح الأخطاء

التحقق من الصحة

استكشاف الأخطاء وإصلاحها

معلومات ذات صلة

المقدمة

يصف هذا المستند كيفية تكوين مصادقة ملخص الرسالة 5 (MD5) على اتصال TCP بين نظاري BGP.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تستند المعلومات الواردة في هذا المستند إلى مخرجات الأمر من موجهات السلسلة 3600 التي تشغل الإصدار 12.4(15)T14 من Cisco IOS^®.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يمكنك تكوين مصادقة MD5 بين نظائر BGP، وهذا يعني التحقق من صحة كل مقطع يتم إرساله على اتصال TCP بين نظائر TCP. يجب تكوين مصادقة MD5 باستخدام نفس كلمة المرور على كل من نظاري BGP؛ وإلا فلن يتسنى لنا الربط بينهما. عند تكوين مصادقة MD5، فإنها تتسبب في قيام برنامج Cisco IOS بإنشاء ملخص MD5 والتحقق منه لكل مقطع يتم إرساله على اتصال TCP.

التكوين

في هذا القسم معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم. يتمتع فقط مستخدم Cisco المسجل بالوصول إلى أدوات ومعلومات Cisco الداخلية.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

MD5-BGP Network Diagram

التكوينات

يستخدم هذا المستند هذه التكوينات:

تكوينات الموجه 0
R0# ! interface Loopback70 ip address 10.70.70.70 255.255.255.255 ! interface Serial1/0 ip address 10.10.10.1 255.255.255.0 serial restart-delay 0 ! router bgp 400 no synchronization bgp log-neighbor-changes neighbor 10.80.80.80 remote-as 400 !--- iBGP Configuration using Loopback Address neighbor 10.80.80.80 password cisco !--- Invoke MD5 authentication on a TCP connection to a BGP peer neighbor 10.80.80.80 update-source Loopback70 no auto-summary ! ip route 10.80.80.80 255.255.255.255 10.10.10.2 !--- This static route ensures that the remote peer address used for peering is reachable.

تكوينات الموجه 0

R0#
!
interface Loopback70
 ip address 10.70.70.70 255.255.255.255
!
interface Serial1/0
 ip address 10.10.10.1 255.255.255.0
 serial restart-delay 0
!
router bgp 400
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.80.80.80 remote-as 400 

!--- iBGP Configuration using Loopback Address

 neighbor 10.80.80.80 password cisco   

!--- Invoke MD5 authentication on a TCP connection to a BGP peer

 neighbor 10.80.80.80 update-source Loopback70
 no auto-summary
!
ip route 10.80.80.80 255.255.255.255 10.10.10.2 

!--- This static route ensures that the remote peer address used for peering is reachable.

تكوينات الموجه 1
R1# ! interface Loopback80 ip address 10.80.80.80 255.255.255.255 ! interface Serial1/0 ip address 10.10.10.2 255.255.255.0 serial restart-delay 0 ! router bgp 400 no synchronization bgp log-neighbor-changes neighbor 10.70.70.70 remote-as 400 !--- iBGP Configuration using Loopback Address neighbor 10.70.70.70 password cisco !--- Invoke MD5 authentication on a TCP connection to a BGP peer neighbor 10.70.70.70 update-source Loopback80 no auto-summary ! ip route 10.70.70.70 255.255.255.255 10.10.10.1 !--- This static route ensures that the remote peer address used for peering is reachable.

تكوينات الموجه 1

R1#
!
interface Loopback80
 ip address 10.80.80.80 255.255.255.255
!
interface Serial1/0
 ip address 10.10.10.2 255.255.255.0
 serial restart-delay 0
!
router bgp 400
 no synchronization
 bgp log-neighbor-changes
 neighbor 10.70.70.70 remote-as 400

!--- iBGP Configuration using Loopback Address
  
 neighbor 10.70.70.70 password cisco 

!--- Invoke MD5 authentication on a TCP connection to a BGP peer

 neighbor 10.70.70.70 update-source Loopback80
 no auto-summary
!
ip route 10.70.70.70 255.255.255.255 10.10.10.1 

!--- This static route ensures that the remote peer address used for peering is reachable.

فهم تصحيح الأخطاء

R0#clear ip bgp *
*Mar 1 01:02:17.523: %BGP-5-ADJCHANGE: neighbor 10.80.80.80 Down User reset

R0#debug ip bgp
BGP debugging is on for address family: IPv4 Unicast
*Mar  1 01:03:58.159: BGP: 10.80.80.80 open failed: Connection timed out; remote host not responding, open active delayed 1782ms (2000ms max, 28% jitter)
*Mar  1 01:03:58.415: %SYS-5-CONFIG_I: Configured from console by console
*Mar  1 01:03:59.943: BGP: 10.80.80.80 open active, local address 10.70.70.70
*Mar  1 01:04:00.039: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:00.807: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(33358) to 10.70.70.70(179)
*Mar  1 01:04:01.991: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:01.995: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:05.995: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:06.015: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to 10.70.70.70(64444)
*Mar  1 01:04:29.947: BGP: 10.80.80.80 open failed: Connection timed out; remote host not responding, open active delayed 3932ms (4000ms max, 28% jitter)
*Mar  1 01:04:33.879: BGP: 10.80.80.80 open active, local address 10.70.70.70
*Mar  1 01:04:33.983: BGP: 10.80.80.80 went from Active to OpenSent
*Mar  1 01:04:33.983: BGP: 10.80.80.80 sending OPEN, version 4, my as: 400, hold time 180 seconds
*Mar  1 01:04:33.987: BGP: 10.80.80.80 send message type 1, length (incl. header ) 45
*Mar  1 01:04:34.091: BGP: 10.80.80.80 rcv message type 1, length (excl. header) 26
*Mar  1 01:04:34.091: BGP: 10.80.80.80 rcv OPEN, version 4, holdtime 180 seconds
*Mar  1 01:04:34.091: BGP: 10.80.80.80 rcv OPEN w/ OPTION parameter len: 16
*Mar  1 01:04:34.095: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 6
*Mar  1 01:04:34.095: BGP: 10.80.80.80 OPEN has CAPABILITY code: 1, length 4
*Mar  1 01:04:34.095: BGP: 10.80.80.80 OPEN has MP_EXT CAP for afi/safi: 1/1
*Mar  1 01:04:34.095: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 2
*Mar  1 01:04:34.095: BGP: 10.80.80.80 OPEN has CAPABILITY code: 128, length 0
*Mar  1 01:04:34.099: BGP: 10.80.80.80 OPEN has ROUTE-REFRESH capability(old) for all address-families
*Mar  1 01:04:34.099: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2 (Capability) len 2
*Mar  1 01:04:34.099: BGP: 10.80.80.80 OPEN has CAPABILITY code: 2, length 0
*Mar  1 01:04:34.099: BGP: 10.80.80.80 OPEN has ROUTE-REFRESH capability(new) for all address-families BGP: 10.80.80.80 rcvd OPEN w/ remote AS 400
*Mar  1 01:04:34.103: BGP: 10.80.80.80 went from OpenSent to OpenConfirm
*Mar  1 01:04:34.103: BGP: 10.80.80.80 went from OpenConfirm to Established
*Mar  1 01:04:34.103: %BGP-5-ADJCHANGE: neighbor 10.80.80.80 Up

إذا كان الموجه لديه كلمة مرور تم تكوينها لجيران، ولكن الموجه المجاور لا يحتوي على كلمة مرور، يتم عرض رسالة مثل هذه أثناء محاولة الموجهات إنشاء جلسة BGP بينهما:

%TCP-6-BADAUTH: No MD5 digest from [peer's IP address]:11003 to [local router's IP address]:179

بالمثل، إذا كان لكلا الموجهين كلمات مرور مختلفة تم تكوينها، يتم عرض رسالة مثل هذه:

%TCP-6-BADAUTH: Invalid MD5 digest from [peer's IP address]:11004 to [local router's IP address]:179

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

إظهار جيران ip bgp | تضمين BGP

R0#show ip bgp neighbors| include BGP 
BGP neighbor is 10.80.80.80, remote AS 400, internal link
  BGP version 4, remote router ID 10.80.80.80
  BGP state = Established, up for 00:08:26
  BGP table version 1, neighbor version 1/0

show ip bgp summary

R0#show ip bgp summary
BGP router identifier 10.70.70.70, local AS number 400
BGP table version is 1, main routing table version 1

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.80.80.80 4 400 75 75 1 0 0 00:08:52 0

show ip bgp summary

R1#show ip bgp summary 
BGP router identifier 10.80.80.80, local AS number 400
BGP table version is 1, main routing table version 1

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.70.70.70 4 400 76 76 1 0 0 00:09:27 0