Linux下加强BGP路由协议安全的方案

本篇内容主要讲解“Linux下加强BGP路由协议安全的方案”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“Linux下加强BGP路由协议安全的方案”吧!

准备

加固BGP会话安全是相当简单而直截了当的，我们会使用以下路由器。

常用的Linux内核原生支持IPv4和IPv6的TCP MD5选项。因此，如果你从全新的Linux机器构建了一台Quagga路由器，TCP的MD5功能会自动启用。剩下来的事情，仅仅是配置Quagga以使用它的功能。但是，如果你使用的是FreeBSD机器或者为Quagga构建了一个自定义内核，请确保内核开启了TCP的MD5支持（如，Linux中的CONFIGTCPMD5SIG选项）。
配置Router-A验证功能

我们将使用Quagga的CLI Shell来配置路由器，我们将使用的唯一的一个新命令是‘password’。

代码如下:

[root@router-a ~]# vtysh
   router-a# conf t
   router-a(config)# router bgp 100
   router-a(config-router)# network 192.168.100.0/24
   router-a(config-router)# neighbor 10.10.12.2 remote-as 200
   router-a(config-router)# neighbor 10.10.12.2 password xmodulo

本例中使用的预共享密钥是‘xmodulo’。很明显，在生产环境中，你需要选择一个更健壮的密钥。

注意： 在Quagga中，‘service password-encryption’命令被用做加密配置文件中所有明文密码（如，登录密码）。然而，当我使用该命令时，我注意到BGP配置中的预共享密钥仍然是明文的。我不确定这是否是Quagga的限制，还是版本自身的问题。
配置Router-B验证功能

我们将以类似的方式配置router-B。

代码如下:

[root@router-b ~]# vtysh
   router-b# conf t
   router-b(config)# router bgp 200
   router-b(config-router)# network 192.168.200.0/24
   router-b(config-router)# neighbor 10.10.12.1 remote-as 100
   router-b(config-router)# neighbor 10.10.12.1 password xmodulo

验证BGP会话

如果一切配置正确，那么BGP会话就应该起来了，两台路由器应该能交换路由表。这时候，TCP会话中的所有流出包都会携带一个MD5摘要的包内容和一个密钥，而摘要信息会被另一端自动验证。

我们可以像平时一样通过查看BGP的概要来验证活跃的BGP会话。MD5校验和的验证在Quagga内部是透明的，因此，你在BGP级别是无法看到的。

如果你想要测试BGP验证，你可以配置一个邻居路由，设置其密码为空，或者故意使用错误的预共享密钥，然后查看发生了什么。你也可以使用包嗅探器，像tcpdump或者Wireshark等，来分析通过BGP会话的包。例如，带有“-M ”选项的tcpdump将验证TCP选项字段的MD5摘要。

到此，相信大家对“Linux下加强BGP路由协议安全的方案”有了更深的了解，不妨来实际操作一番吧！这里是亿速云网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！