BGP加密穿越ASA分析

首先分析没有ASA的情况：

R2：

router bgp 200

no synchronization

bgp router-id 2.2.2.2

bgp log-neighbor-changes

neighbor 192.168.12.1 remote-as 100

neighbor 192.168.12.1 password cisco

no auto-summary

R1：

router bgp 100

no synchronization

bgp router-id 1.1.1.1

bgp log-neighbor-changes

neighbor 192.168.12.2 remote-as 200

neighbor 192.168.12.2 password cisco

no auto-summary

抓包分析：









从上面的分析可以看出：bgp MD5验证在TCP选项中添加类型为19的选项。

在有ASA下的情况下





ASA：

access-list bgpacl extended permit tcp any any eq bgp

access-group bgpacl in interface outside

在R3和R4提示：









抓包分析：









通过上图可以看出发出的TCP 是正常的。









通过上图可以看出，通过ASA后选项已经被移除了。

结论：

一 双方进行BGP邻居建立时，会把自己的消息首先进行HASH，得到一个哈希值并一起发过去，并且把TCP头部中的序列号字段置为19，告诉对端要执行MD5认证。

二 防火墙默认情况下会将该选项位清除掉，因此就会导致两个对等体之间会话通信失败

三 当TCP连接穿 越防火墙时，防火墙会将原来的SYN号，清空自己生成一个新的序列号，而对于BGP的MD5认证来说，这个SYN也是其中的参数，改变之后，对端收到之后计算出来的MD5值将会不一样，同样也不能进行认证成功。（这点同样可以使用抓包验证）

问题解决：

一、 使用ACL将BGP流量匹配出来

access-list bgpacl extended permit tcp any any eq bgp

二、 定义一个TCP-map

tcp-map tcp

tcp-options range 19 19 allow

三、 定义一个class-map

class-map bgpmd5

match access-list bgpacl

四、 定义一个policy-map

policy-map bgp

class bgpmd5

set connection random-sequence-number disable

关闭序列号扰乱

set connection advanced-options tcp

修改已匹配数据包TCP报头中的选项

五、 将policy-map应用到口下

service-policy bgp interface outside

这样BGP邻居就可以正常建立了