BGP 피어 간의 MD5 인증 구성
소개
이 문서에서는 두 BGP 피어 간의 TCP 연결에서 MD5(Message Digest5) 인증을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 Cisco IOS® 버전 12.4(15)T14를 실행하는 3600 Series 라우터의 명령 출력을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
배경 정보
두 BGP 피어 간에 MD5 인증을 구성할 수 있습니다. 즉, 피어 간의 TCP 연결에서 전송되는 각 세그먼트가 확인됩니다. MD5 인증은 두 BGP 피어에서 동일한 비밀번호로 구성해야 합니다. 그렇지 않으면 두 BGP 피어 간의 연결을 설정할 수 없습니다. MD5 인증을 구성하면 Cisco IOS 소프트웨어가 TCP 연결에서 전송되는 모든 세그먼트의 MD5 다이제스트를 생성하고 확인합니다.
구성
이 섹션에서는 이 문서에서 설명하는 기능을 구성하는 방법에 대해 설명합니다.
네트워크 다이어그램
이 문서에서는 이 네트워크 설정을 사용합니다.
설정
이 문서에서는 다음 설정을 사용합니다.
| 라우터 0 컨피그레이션 |
|---|
R0# |
| 라우터 1 컨피그레이션 |
|---|
R1# ! interface Loopback80 ip address 10.80.80.80 255.255.255.255 ! interface Serial1/0 ip address 10.10.10.2 255.255.255.0 serial restart-delay 0 ! router bgp 400 no synchronization bgp log-neighbor-changes neighbor 10.70.70.70 remote-as 400 !--- iBGP Configuration using Loopback Address neighbor 10.70.70.70 password cisco !--- Invoke MD5 authentication on a TCP connection to a BGP peer neighbor 10.70.70.70 update-source Loopback80 no auto-summary ! ip route 10.70.70.70 255.255.255.255 10.10.10.1 !--- This static route ensures that the remote peer address used for peering is reachable. |
디버그 이해
R0#clear ip bgp **Mar 1 01:02:17.523: %BGP-5-ADJCHANGE: neighbor 10.80.80.80 Down User reset
R0#debug ip bgp
BGP debugging is on for address family: IPv4 Unicast
*Mar 1 01:03:58.159: BGP: 10.80.80.80 open failed: Connection timed out;
remote host not responding, open active delayed 1782ms (2000ms max, 28%
jitter)
*Mar 1 01:03:58.415: %SYS-5-CONFIG_I: Configured from console by console
*Mar 1 01:03:59.943: BGP: 10.80.80.80 open active, local address 10.70.70.70
*Mar 1 01:04:00.039: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:00.807: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(33358)
to 10.70.70.70(179)
*Mar 1 01:04:01.991: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:01.995: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:05.995: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:06.015: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
70. 70.70.70(64444)
*Mar 1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 10.80.80.80(179) to
10.70.70.70(64444)
*Mar 1 01:04:29.947: BGP: 10.80.80.80 open failed: Connection timed out;
remote host not responding, open active delayed 3932ms (4000ms max, 28%
jitter)
*Mar 1 01:04:33.879: BGP: 10.80.80.80 open active, local address 10.70.70.70
*Mar 1 01:04:33.983: BGP: 10.80.80.80 went from Active to OpenSent
*Mar 1 01:04:33.983: BGP: 10.80.80.80 sending OPEN, version 4, my as: 400,
hold time 180 seconds
*Mar 1 01:04:33.987: BGP: 10.80.80.80 send message type 1, length (incl.
header ) 45
*Mar 1 01:04:34.091: BGP: 10.80.80.80 rcv message type 1, length (excl.
header) 26
*Mar 1 01:04:34.091: BGP: 10.80.80.80 rcv OPEN, version 4, holdtime 180 seconds
*Mar 1 01:04:34.091: BGP: 10.80.80.80 rcv OPEN w/ OPTION parameter len: 16
*Mar 1 01:04:34.095: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2
(Capability) len 6
*Mar 1 01:04:34.095: BGP: 10.80.80.80 OPEN has CAPABILITY code: 1, length 4
*Mar 1 01:04:34.095: BGP: 10.80.80.80 OPEN has MP_EXT CAP for afi/safi: 1/1
*Mar 1 01:04:34.095: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2
(Capability) len 2
*Mar 1 01:04:34.095: BGP: 10.80.80.80 OPEN has CAPABILITY code: 128, length 0
*Mar 1 01:04:34.099: BGP: 10.80.80.80 OPEN has ROUTE-REFRESH capability(old)
for all address-families
*Mar 1 01:04:34.099: BGP: 10.80.80.80 rcvd OPEN w/ optional parameter type 2
(Capability) len 2
*Mar 1 01:04:34.099: BGP: 10.80.80.80 OPEN has CAPABILITY code: 2, length 0
*Mar 1 01:04:34.099: BGP: 10.80.80.80 OPEN has ROUTE-REFRESH capability(new)
for all address-families
BGP: 10.80.80.80 rcvd OPEN w/ remote AS 400
*Mar 1 01:04:34.103: BGP: 10.80.80.80 went from OpenSent to OpenConfirm
*Mar 1 01:04:34.103: BGP: 10.80.80.80 went from OpenConfirm to Established
*Mar 1 01:04:34.103: %BGP-5-ADJCHANGE: neighbor 10.80.80.80 Up
라우터에 네이버에 대해 구성된 비밀번호가 있지만 네이버 라우터에는 구성되어 있지 않은 경우, 라우터가 네이버 간 BGP 세션을 설정하려고 시도하는 동안 다음과 같은 메시지가 표시됩니다.
%TCP-6-BADAUTH: No MD5 digest from [peer's IP address]:11003 to [local
router's IP address]:179
마찬가지로, 두 라우터에 서로 다른 비밀번호가 구성되어 있으면 다음과 같은 메시지가 표시됩니다.
%TCP-6-BADAUTH: Invalid MD5 digest from [peer's IP address]:11004 to [local
router's IP address]:179
다음을 확인합니다.
설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
-
show ip bgp neighbors | bgp 포함
R0#show ip bgp neighbors| include BGP BGP neighbor is 10.80.80.80, remote AS 400, internal link BGP version 4, remote router ID 10.80.80.80 BGP state = Established, up for 00:08:26 BGP table version 1, neighbor version 1/0 -
show ip bgp summary
R0#show ip bgp summary BGP router identifier 10.70.70.70, local AS number 400 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.80.80.80 4 400 75 75 1 0 0 00:08:52 0 -
show ip bgp summary
R1#show ip bgp summary BGP router identifier 10.80.80.80, local AS number 400 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.70.70.70 4 400 76 76 1 0 0 00:09:27 0
문제 해결
현재 이 컨피그레이션에 대해 다루어진 트러블슈팅 정보가 없습니다.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
12-Jan-2024 |
재인증. |
1.0 |
19-Oct-2010 |
최초 릴리스 |
피드백