BGP xác thực-khóa-chuỗi so với khóa xác thực


7

Tôi tìm thấy một hành vi nhỏ gọn trên hộp Juniper mà tôi đang làm việc hôm nay.

Chúng tôi đã chuyển từ Cisco ASR sang MX và tất cả các đồng nghiệp trao đổi internet có cấu hình xác thực đã không được đưa ra. Chúng tôi đã nhận được thông báo nhật ký trên MX480 ngụ ý rằng xác thực cục bộ của chúng tôi chưa được đặt, mặc dù vậy. (Xem cấu hình labbed sau)

group R01-DSN-PEERS {
    type external;
    authentication-algorithm md5;
    authentication-key-chain STUPID;
    neighbor 192.168.100.1 {
        peer-as 6996;
    }
}

key-chain STUPID {
    key 0 {
        secret "$9$uEns1crM8xbY45Qt0O1cS"; ## SECRET-DATA
        start-time "2015-1-1.01:01:00 +0000";
    }
}

Phía đối diện, tôi phát hiện ra trông như:

router bgp 6996
neighbor 192.168.100.0 password _secret_stuff_

LƯU Ý: Có, hàng xóm đối diện được cấu hình đúng, đây chỉ là để cung cấp cho bạn một ý tưởng - ASR được cài đặt trước đó có thiết lập ngang hàng.

Chúng tôi cuối cùng đã làm cho nó hoạt động bằng cách đặt xác thực trực tiếp trên hàng xóm, mà không có chuỗi khóa, xem bên dưới:

group R01-DSN-PEERS {
    type external;
    neighbor 192.168.100.1 {
        authentication-key "$9$041sISlWL7w2oTzpOBISy"; ## SECRET-DATA
        peer-as 6996;
    }
}

Thật tuyệt, giờ chúng tôi đã làm cho nó hoạt động - chúng tôi không có bất kỳ tệp đính kèm cụ thể nào để sử dụng chuỗi khóa.

Tôi quyết định thử nghiệm đầy đủ điều này và kéo các gói chụp để xem sự khác biệt trong các tùy chọn TCP / BGP là gì. Dưới đây là từng tình huống tôi đã thử (tất cả là Juniper, tôi không có hộp Cisco trong phòng thí nghiệm):

  1. Đồng đẳng đã được thành lập:

    • chuỗi xác thực-khóa trên nhóm BGP của cả hai đồng nghiệp.
    • thuật toán xác thực trên nhóm BGP của cả hai đồng nghiệp.

Khi sử dụng chuỗi khóa xác thực, v.v., việc chụp gói không cung cấp cho tôi các tùy chọn xác thực TCP mà tôi mong đợi (tôi có thể cung cấp các ảnh chụp đầy đủ nếu cần thiết):

nắp-1

  1. Đồng đẳng đã được thành lập:

    • khóa xác thực trên ngang hàng BGP trong nhóm trên cả hai bộ định tuyến.

Đây là những gì tôi mong đợi khi sử dụng xác thực MD5:

nắp-2

Như bạn có thể thấy, MD5 được gọi rõ ràng trong bản chụp.

Bây giờ như tôi đã đề cập, chúng tôi không quan tâm liệu chúng tôi có sử dụng chuỗi khóa hay không, nó chỉ rất tò mò khi tôi không khớp các cấu hình, (xem bên dưới) - chúng sẽ không được THÀNH LẬP mặc dù có vẻ như chúng nên:

  1. Đồng đẳng vỗ giữa HOẠT ĐỘNG / KẾT NỐI

    • Ngang 1: khóa xác thực trên ngang hàng BGP trong nhóm.
    • Peer 2: chuỗi khóa xác thực được đặt trên ngang hàng BGP trong nhóm.
    • Peer 2: thuật toán xác thực được đặt trên ngang hàng BGP trong nhóm.

Nói chung, điều gì có thể giải thích cho sự khác biệt trong các ảnh chụp cho các tùy chọn "giống nhau"? Nếu bất cứ ai cần làm rõ thông tin, chỉ cần cho tôi biết.

Câu trả lời:


5

Vâng, tôi quản lý để tìm ra điều này.

Điểm mấu chốt là:

  • Sử dụng chuỗi khóa xác thực sử dụng "Tùy chọn xác thực nâng cao TCP"
  • Sử dụng khóa xác thực sử dụng "Tùy chọn chữ ký TCP MD5"

Từ https://tools.ietf.org/html/draft-bonica-tcp-auth-06

12.4.  Backwards Compatibility

   On any particular TCP connection, use of the TCP Enhanced
   Authentication Option precludes use of the TCP MD5 Signature Option.

Bạn chỉ đơn giản là không thể trộn lẫn hai tùy chọn TCP khác nhau.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.