BGPネイバー認証の概要

BGPネイバー認証によって、不正なBGPルータとネイバーにならないようにしてセキュリティを向上させることができます。もともとBGPではネイバー同士がお互い明示的にネイバー設定をしないといけないので、OSPFやEIGRPのように認証していないと他のルータが勝手にネイバーになってしまうことはありません。しかし、セキュアなネイバーを確立するためにはBGPネイバーの認証は重要です。

BGPネイバー認証の設定

BGPネイバーの認証はとてもシンプルです。コマンドは次のようになります。

BGPネイバー認証の設定

Router(config)#router bgp <AS>
Router(config-router)#neighbor <ip-address> password <password>

<AS>:AS番号
<ip-address>:ネイバーのIPアドレス
<password>:パスワード。大文字・小文字を区別します。

BGPネイバー認証の設定例

次のネットワーク構成で実際にネイバー認証の設定を行います。

図 BGPネイバー認証の確認
図 BGPネイバー認証の確認

R1およびISP1でネイバー認証の設定を行います。

R1 BGPネイバー認証

router bgp 100
 neighbor 172.16.1.11 password n-study

ISP1 ネイバー認証

router bgp 1
 neighbor 172.16.1. 1 password n-study

ネイバーの状態がEstablishedになれば、正しく認証は機能しています。認証の設定がうまくいかないのは、次の2パターンあります。

  1. 片方しかneighbor passwordコマンドが設定されていない
    次のようなメッセージが表示されます。
    *Mar 1 00:19:16.960: %TCP-6-BADAUTH: No MD5 digest from 172.16.1.11(179) to 172.16.1.1(11000) (RST)
  2. 設定しているパスワードが一致しない
    次のようなメッセージが表示されます。
    *Mar 1 00:27:54.015: %TCP-6-BADAUTH: Invalid MD5 digest from 172.16.1.11(179) to 172.16.1.1(11002)

BGPのネイバー認証に限りませんが、パスワードを設定するとき文字列の最後にスペースを入れないように気をつけましょう。

関連記事

BGPの仕組み