1、配置BGP MD5认证

[Huawei-bgp]peer 1.1.1.1 password ?

                 cipher  Password with encrypted text

                 simple  Password with simple text

[Huawei-bgp]peer 1.1.1.1 password cipher ?

                 STRING<1-255>/<20-392>  Plain text/Encrypted text

BGP使用TCP作为传输协议，只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的，BGP就会认为这个数据包有效，但数据包的大部分参数对于攻击者来说是不难获得的。

为了保证BGP协议免受攻击，可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中MD5算法配置简单，配置后生成单一密码，需要人为干预才可以更换密码。

在配置MD5认证密码时，如果使用simple选项，密码将以明文形式保存在配置文件中，存在安全隐患。建议使用cipher选项，将密码加密保存。MD5认证存在安全风险。

为防止BGP对等体所设置的MD5密码被破解，需要周期性的更新MD5认证密码。

BGP MD5认证与BGP Keychain认证互斥。

2、配置BGP Keychain认证

[Huawei-bgp]peer 1.1.1.1 keychain ?

                  STRING<1-47>  Keychain name

为了保证BGP协议免受攻击，可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中Keychain具有一组密码，可以根据配置自动切换，但是配置过程较为复杂，适用于对安全性能要求比较高的网络。

配置BGP Keychain认证前，必须配置keychain-name对应的Keychain认证，否则TCP连接不能正常建立。

BGP对等体两端必须都配置针对使用TCP连接的应用程序的Keychain认证，且配置的Keychain必须使用相同的加密算法和密码，才能正常建立TCP连接，交互BGP消息。Keychain认证推荐使用SHA256和HMAC-SHA256加密算法。

3、配置BGP GTSM功能

3.1、使能BGP GTSM功能 （BGP两端同时使能）

[Huawei-bgp]peer 1.1.1.1 valid-ttl-hops ?

  INTEGER<1-255>  Valid GTSM TTL hops value # TTL跳数值

                       <cr>            Please press ENTER to execute command

3.2、设置未匹配GTSM策略的报文的缺省动作

[Huawei]gtsm default-action ?

  drop  Default action is drop  # 未匹配GTSM策略的报文不能通过过滤，将被丢弃

                     pass  Default action is pass  # 未匹配GTSM策略的报文通过过滤

3.3、使能丢弃报文的GTSM日志功能

[Huawei]gtsm log drop-packet all

GTSM和peer ebgp-max-hop功能均与BGP报文的TTL值相关，只能对同一对等体或对等体组使能两种功能中的一种。

为防止攻击者模拟真实的BGP协议报文对设备进行攻击，可以配置GTSM功能检测IP报文头中的TTL值。根据实际组网的需要，对于不符合TTL值范围的报文，GTSM可以设置为通过或丢弃。

当配置GTSM缺省动作为丢弃时，可以根据网络拓扑选择合适的TTL有效范围，不符合TTL值范围的报文会被接口板直接丢弃，这样就避免了网络攻击者模拟的“合法”BGP报文攻击设备。