设置 BGP 消息摘要 5 (MD5) 认证密钥

边界网关协议 (BGP) 认证是一个附加的安全层，仅当路由器能够基于密钥验证其是否与可信源通信时，它才能共享信息。 BGP 同级之间的 TCP MD5 认证会验证通过 BGP 会话发送的每条传输消息。

BGP 认证需求

确保遵循以下 BGP MD5 认证需求:

BGP MD5 密钥必须创建为已导入的 type-standard key (不是根密钥)。您提供的密钥资料必须是 base64-encoded，并且原始字符串的最大长度不能超过 126 个可打印 ASCII 字符。有关更多信息，请参阅创建 base64-encoded 加密密钥。

密钥材料必须是 base64-encoded，最长可达 7 500 字节。密钥名称 (与密钥材料不同) 是便于识别密钥的唯一人类可读名称。
在已认证的 BGP 会话期间，必须使用相同的密钥配置 BGP 同级以建立 BGP 邻居关系。使用其他密钥配置的路由器无法维护 BGP 邻居关系。

您可以将密钥存储在 Key Protect 或 Hyper Protect Crypto Services (HPCS) 中。要配置 BGP MD5 认证，请执行以下步骤:

使用密钥设置密钥库实例。有关指示信息，请参阅 Key Protect: 加密密钥入门或 HPCS: 创建和导入加密密钥。

如果使用 HPCS，请务必注意，对于标准密钥，"extractable": <key_type> 值设置为 true。
为 Direct Link 创建加密密钥后，使用 IBM Cloud Identity and Access Management (IAM) 在实例和 Direct Link 服务之间授予授权。您可以在实例级别授予访问权限，这样 Direct Link 服务就可以访问该实例中的所有密钥。您还可以逐个密钥地授予访问权。有关指示信息，请参阅使用授权在服务之间授予访问权。

如果使用 Key Protect，请在选择 Direct Link 作为源服务后选择 基于所选属性的资源。然后，选择 资源类型> Direct Link Connect 或 资源类型> Direct Link Dedicated，然后选择 Key Protect 作为目标服务。

您应该授予对实例中所有密钥的访问权; 否则，每次要对 Direct Link使用其他密钥时，都必须授予新的服务到服务授权。只要网关正在使用密钥，就不应将其删除，也不应撤销服务到服务授权。
如果 Key Protect 或 HPCS 实例具有基于上下文的限制 (CBR) 规则，那么必须将 Direct Link 服务引用添加到该规则的网络区域。有关指示信息，请参阅 Direct Link 如何与基于上下文的限制集成。