Linux下加强BGP路由协议安全的方案

发布时间:2021-09-03 17:32:01 作者:chen
来源:亿速云 阅读:128

本篇内容主要讲解“Linux下加强BGP路由协议安全的方案”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux下加强BGP路由协议安全的方案”吧!

准备

加固BGP会话安全是相当简单而直截了当的,我们会使用以下路由器。
Linux下加强BGP路由协议安全的方案

常用的Linux内核原生支持IPv4和IPv6的TCP MD5选项。因此,如果你从全新的Linux机器构建了一台Quagga路由器,TCP的MD5功能会自动启用。剩下来的事情,仅仅是配置Quagga以使用它的功能。但是,如果你使用的是FreeBSD机器或者为Quagga构建了一个自定义内核,请确保内核开启了TCP的MD5支持(如,Linux中的CONFIGTCPMD5SIG选项)。
配置Router-A验证功能

我们将使用Quagga的CLI Shell来配置路由器,我们将使用的唯一的一个新命令是‘password’。

   

代码如下:

[root@router-a ~]# vtysh
   router-a# conf t
   router-a(config)# router bgp 100
   router-a(config-router)# network 192.168.100.0/24
   router-a(config-router)# neighbor 10.10.12.2 remote-as 200
   router-a(config-router)# neighbor 10.10.12.2 password xmodulo

本例中使用的预共享密钥是‘xmodulo’。很明显,在生产环境中,你需要选择一个更健壮的密钥。

注意: 在Quagga中,‘service password-encryption’命令被用做加密配置文件中所有明文密码(如,登录密码)。然而,当我使用该命令时,我注意到BGP配置中的预共享密钥仍然是明文的。我不确定这是否是Quagga的限制,还是版本自身的问题。
配置Router-B验证功能

我们将以类似的方式配置router-B。

   

代码如下:

[root@router-b ~]# vtysh
   router-b# conf t
   router-b(config)# router bgp 200
   router-b(config-router)# network 192.168.200.0/24
   router-b(config-router)# neighbor 10.10.12.1 remote-as 100
   router-b(config-router)# neighbor 10.10.12.1 password xmodulo

验证BGP会话

如果一切配置正确,那么BGP会话就应该起来了,两台路由器应该能交换路由表。这时候,TCP会话中的所有流出包都会携带一个MD5摘要的包内容和一个密钥,而摘要信息会被另一端自动验证。

我们可以像平时一样通过查看BGP的概要来验证活跃的BGP会话。MD5校验和的验证在Quagga内部是透明的,因此,你在BGP级别是无法看到的。
Linux下加强BGP路由协议安全的方案

如果你想要测试BGP验证,你可以配置一个邻居路由,设置其密码为空,或者故意使用错误的预共享密钥,然后查看发生了什么。你也可以使用包嗅探器,像tcpdump或者Wireshark等,来分析通过BGP会话的包。例如,带有“-M ”选项的tcpdump将验证TCP选项字段的MD5摘要。

到此,相信大家对“Linux下加强BGP路由协议安全的方案”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

推荐阅读:
  1. 华为BGP动态路由协议理论+实验
  2. 用Google Authenticator加强SSH登录安全性

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

linux

上一篇:如何快速在CentOS7中安装Nginx

下一篇:MySQL中的隐藏列的具体查看方法

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》