Entendendo a implantação da chave de autenticação sem sucesso para IS-IS
As trocas de protocolo IS-IS podem ser autenticadas para garantir que apenas dispositivos de roteamento confiáveis participem do roteamento. Por padrão, a autenticação é desativada. O algoritmo de autenticação cria um checksum codificado que está incluído no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o checksum do pacote.
Se você configurar a autenticação para todos os pares, cada peer desse grupo herda a autenticação do grupo.
Você pode atualizar as chaves de autenticação sem redefinir nenhuma sessão de vizinhos IS-IS. Isso é chamado de rollover de chave de autenticação sem sucesso.
A implantação da chave de autenticação sem sucesso usa chaveiros de autenticação, que consistem nas chaves de autenticação que estão sendo atualizadas. O chaveiro inclui várias chaves. Cada chave no chaveiro tem um tempo de início único. Na hora de início da próxima chave, uma implantação ocorre da chave atual para a próxima chave, e a próxima chave se torna a chave atual.
Você pode escolher o algoritmo por meio da autenticação estabelecida. Você pode configurar a autenticação MD5 ou SHA-1. A partir do Junos OS Release 24.2R1, estendemos o suporte a chaveiro IS-IS com as seguintes funções de hash:
-
HMAC-SHA2-224
-
HMAC-SHA2-256
-
HMAC-SHA2-384
-
HMAC-SHA2-512
Você associa um chaveiro e o algoritmo de autenticação a uma sessão vizinha ao IS-IS. Cada chave contém um identificador e uma senha secreta.
O peer de envio escolhe a chave ativa com base no tempo do sistema e nos tempos de início das chaves no chaveiro. O peer receptor determina a chave com a qual autentica com base no identificador de chave de entrada.
Você pode configurar a codificação baseada em RFC 5304 ou a codificação baseada em RFC 5310 para o formato de codificação de transmissão de protocolo IS-IS.