每日一练 - BGP配置中的认证方法

01 真题题目

在 BGP 配置中使用认证,应该如何配置?

A.一对 BGP 对等体之间必频使用相同的 MD5 PASSWORD

B.同一个 AS 内的所有路由器都必须使用相同的 password

C.一台路由器上的所有 BGP 对等体都必频使用相同的 password

D.一对 BGP 对等体之间必须使用相同的明文 password

02 真题答案

A

03 答案解析

在BGP协议中，为了增强安全性，可以配置认证机制来确保只有合法的对等体之间才能交换路由信息。BGP支持多种认证方式，其中MD5认证是最常见的一种。

根据题目选项，正确答案是A，即一对BGP对等体之间必须使用相同的MD5 PASSWORD。这是因为MD5认证是基于对等体之间预先共享的一个密钥来进行的，该密钥在配置时被设置为MD5散列值的一部分，对等体之间通过验证接收到的更新消息中的认证信息来确认对方身份，保证了通信的安全性。

选项B、C、D都不正确。BGP认证配置的灵活性允许不同对等体或同一台路由器上的不同对等体使用不同的密码，只要每一对直接通信的对等体之间密码匹配即可，无需全局统一。
而且，出于安全考虑，明文password（选项D）并不是推荐的认证方式，因为明文传输容易被截获，而MD5作为一种加密散列算法，提供了更好的安全性。
 

04 学习拓展

· MD5认证的工作原理：在BGP配置中启用MD5认证时，路由器会对发出的每一条BGP更新报文附加一个MD5散列值，该散列值是基于更新报文内容和预设的密码计算得出的。
接收方收到消息后，会使用相同的密码和接收到的报文内容重新计算MD5散列值，如果计算结果与报文中携带的散列值一致，则认为消息来源可信，否则丢弃该消息。

· 配置实践：在Cisco IOS等路由器操作系统中，配置BGP MD5认证通常涉及在BGP邻居配置命令下使用password [plain | md5] 。
其中，推荐使用md5关键字指定使用MD5散列认证，而非明文密码。例如，配置一对BGP对等体间的认证可能如下所示：router(config-router)# neighbor <peer-ip> password md5 <secret>

· 安全性考量：虽然MD5认证增加了BGP通信的安全性，但需要注意的是，MD5算法本身存在潜在的安全风险，尤其是在密码学领域。因此，在高度敏感的网络环境中，建议考虑使用更安全的认证机制，如SHA系列的散列函数，尽管这可能依赖于特定设备和软件版本的支持。

· 案例分析：金融行业或政府机构的网络中，BGP连接往往跨越多个地理位置，使用认证可以确保路由信息在传输过程中不被篡改或恶意注入。
例如，一家跨国银行在全球多个数据中心部署BGP，为确保内部路由信息的完整性和保密性，每个数据中心之间的BGP对等体连接都配置了唯一的MD5认证密钥。
这样，即使某一链路遭到监听或攻击，攻击者也无法伪造有效的BGP更新消息，从而保护了整个网络的路由结构。

通过上述分析，我们可以看到，BGP认证是保护路由信息安全的重要手段，正确配置认证不仅需要理解其工作原理，还需结合实际网络环境，采取合理的安全策略。

还想学更多技术知识？又或是需要完整华为真题真题题库？

私信小编，回复【题库】，限时获取~

想获取更多『 思科 | 华为 | 华三 | 红帽 | CISP | OCP | PMP | 软考 』、『 考证咨询 | 认证真题 | 职业规划 | 岗位内推 』，请关注公众号：HCIE考证研究所