首先分析没有ASA的情况:
R2:
router bgp 200
no synchronization bgp router-id 2.2.2.2 bgp log-neighbor-changes neighbor 192.168.12.1 remote-as 100 neighbor 192.168.12.1 password cisco no auto-summaryR1:
router bgp 100
no synchronization bgp router-id 1.1.1.1 bgp log-neighbor-changes neighbor 192.168.12.2 remote-as 200 neighbor 192.168.12.2 password cisco no auto-summary抓包分析:
从上面的分析可以看出:bgp MD5验证在TCP选项中添加类型为19的选项。
在有ASA下的情况下
ASA:
access-list bgpacl extended permit tcp any any eq bgp
access-group bgpacl in interface outside在R3和R4提示:
抓包分析:
通过上图可以看出发出的TCP 是正常的。
通过上图可以看出,通过ASA后选项已经被移除了。
结论:
一 双方进行BGP邻居建立时,会把自己的消息首先进行HASH,得到一个哈希值并一起发过去,并且把TCP头部中的序列号字段置为19,告诉对端要执行MD5认证。
二 防火墙默认情况下会将该选项位清除掉,因此就会导致两个对等体之间会话通信失败 三 当TCP连接穿 越防火墙时,防火墙会将原来的SYN号,清空自己生成一个新的序列号,而对于BGP的MD5认证来说,这个SYN也是其中的参数,改变之后,对端收到之后计算出来的MD5值将会不一样,同样也不能进行认证成功。(这点同样可以使用抓包验证)问题解决:
一、 使用ACL将BGP流量匹配出来
access-list bgpacl extended permit tcp any any eq bgp 二、 定义一个TCP-map tcp-map tcp tcp-options range 19 19 allow 三、 定义一个class-map class-map bgpmd5 match access-list bgpacl 四、 定义一个policy-map policy-map bgp class bgpmd5 set connection random-sequence-number disable 关闭序列号扰乱 set connection advanced-options tcp 修改已匹配数据包TCP报头中的选项 五、 将policy-map应用到口下 service-policy bgp interface outside这样BGP邻居就可以正常建立了