Keychain认证方式具有一组密码,可以根据配置自动切换,安全性较MD5认证方式更高,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。配置BGP Keychain认证前,必须配置Keychain-name对应的Keychain认证,否则TCP连接必能正常建立。
【注意】BGP对等体两端必须都配置针对TCP连接的应用程序的Keychain认证,所使用的Keychain(秘钥链)需已使用Keychain Keychain-name命令创建,然后分别通过key-id key-id、key-string {[plain] plain-text | [cipher] cipher-text}和algorithm {hmac-md5 hmac-sha-256 |hmc-sha1-12| hmac-sha1-20 |md5 |sha1|sha-256 |simple}命令配置该Keychain采用的key-id、密码及其认证算法,必须保证本端和对端的key-id、algorithm、key-string相同,才能正常地建立TCP连接,交互BGP消息。且BGP Keychain认证与BGP MD5认证互斥,不能在同一对等体间同时配置。
配置BGP Keychain认证的方法是在BGP视图下使用peer {ipv4-address|group-name| ipv6-address} Keychain Keychain-name命令进行的。命令中的pv4-address|group-name| ipv6-address用来指定要进行Keychain认证的对等体IP地址或对等体组名称,参数Keychain-name用来指定所采用的Keychain名称。1-47个字符,区分大小写,不支持空格。配置Keychain认证前,必须先配置Keychain-name参数对应的Keychain。
【示例】为对等体配置名称为Huawei的Keychain。
<Huawei>system-view
[Huawei]bgp 100
[Huawei-bgp]peer 1.1.1.2 as-number 200
[Huawei-bgp]peer 1.1.1.2 keychain Huawei