Tôi tìm thấy một hành vi nhỏ gọn trên hộp Juniper mà tôi đang làm việc hôm nay.
Chúng tôi đã chuyển từ Cisco ASR sang MX và tất cả các đồng nghiệp trao đổi internet có cấu hình xác thực đã không được đưa ra. Chúng tôi đã nhận được thông báo nhật ký trên MX480 ngụ ý rằng xác thực cục bộ của chúng tôi chưa được đặt, mặc dù vậy. (Xem cấu hình labbed sau)
group R01-DSN-PEERS {
type external;
authentication-algorithm md5;
authentication-key-chain STUPID;
neighbor 192.168.100.1 {
peer-as 6996;
}
}
key-chain STUPID {
key 0 {
secret "$9$uEns1crM8xbY45Qt0O1cS"; ## SECRET-DATA
start-time "2015-1-1.01:01:00 +0000";
}
}
Phía đối diện, tôi phát hiện ra trông như:
router bgp 6996
neighbor 192.168.100.0 password _secret_stuff_
LƯU Ý: Có, hàng xóm đối diện được cấu hình đúng, đây chỉ là để cung cấp cho bạn một ý tưởng - ASR được cài đặt trước đó có thiết lập ngang hàng.
Chúng tôi cuối cùng đã làm cho nó hoạt động bằng cách đặt xác thực trực tiếp trên hàng xóm, mà không có chuỗi khóa, xem bên dưới:
group R01-DSN-PEERS {
type external;
neighbor 192.168.100.1 {
authentication-key "$9$041sISlWL7w2oTzpOBISy"; ## SECRET-DATA
peer-as 6996;
}
}
Thật tuyệt, giờ chúng tôi đã làm cho nó hoạt động - chúng tôi không có bất kỳ tệp đính kèm cụ thể nào để sử dụng chuỗi khóa.
Tôi quyết định thử nghiệm đầy đủ điều này và kéo các gói chụp để xem sự khác biệt trong các tùy chọn TCP / BGP là gì. Dưới đây là từng tình huống tôi đã thử (tất cả là Juniper, tôi không có hộp Cisco trong phòng thí nghiệm):
Đồng đẳng đã được thành lập:
- chuỗi xác thực-khóa trên nhóm BGP của cả hai đồng nghiệp.
- thuật toán xác thực trên nhóm BGP của cả hai đồng nghiệp.
Khi sử dụng chuỗi khóa xác thực, v.v., việc chụp gói không cung cấp cho tôi các tùy chọn xác thực TCP mà tôi mong đợi (tôi có thể cung cấp các ảnh chụp đầy đủ nếu cần thiết):
Đồng đẳng đã được thành lập:
- khóa xác thực trên ngang hàng BGP trong nhóm trên cả hai bộ định tuyến.
Đây là những gì tôi mong đợi khi sử dụng xác thực MD5:
Như bạn có thể thấy, MD5 được gọi rõ ràng trong bản chụp.
Bây giờ như tôi đã đề cập, chúng tôi không quan tâm liệu chúng tôi có sử dụng chuỗi khóa hay không, nó chỉ rất tò mò khi tôi không khớp các cấu hình, (xem bên dưới) - chúng sẽ không được THÀNH LẬP mặc dù có vẻ như chúng nên:
Đồng đẳng vỗ giữa HOẠT ĐỘNG / KẾT NỐI
- Ngang 1: khóa xác thực trên ngang hàng BGP trong nhóm.
- Peer 2: chuỗi khóa xác thực được đặt trên ngang hàng BGP trong nhóm.
- Peer 2: thuật toán xác thực được đặt trên ngang hàng BGP trong nhóm.
Nói chung, điều gì có thể giải thích cho sự khác biệt trong các ảnh chụp cho các tùy chọn "giống nhau"? Nếu bất cứ ai cần làm rõ thông tin, chỉ cần cho tôi biết.