Configuração da autenticação IS-IS
Todas as trocas de protocolo IS-IS podem ser autenticadas para garantir que apenas dispositivos de roteamento confiáveis participem do roteamento autônomo do sistema (AS). Por padrão, a autenticação IS-IS é desativada no dispositivo de roteamento.
Para configurar a autenticação IS-IS, você deve definir uma senha de autenticação e especificar o tipo de autenticação.
Você pode configurar um dos seguintes métodos de autenticação:
Autenticação simples — usa uma senha de texto que está incluída no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote. A autenticação simples é incluída para compatibilidade com implementações IS-IS existentes. No entanto, recomendamos que você não use esse método de autenticação porque ele é inseguro (o texto pode ser "farejado").
CUIDADO:Uma senha simples que excede 254 caracteres é truncada.
Autenticação de HMAC-MD5 ou SHA-1 — usa uma função de hash criptográfica iterada. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote.
Você também pode configurar uma autenticação de nível de interface mais refinada para pacotes de olá.
Para habilitar a autenticação e especificar um método de autenticação, inclua a authentication-type
declaração, especificando o simple
tipo ou md5
autenticação:
authentication-type authentication;
Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.
Para configurar uma senha, inclua a authentication-key
declaração. A senha de autenticação para todos os dispositivos de roteamento em um domínio deve ser a mesma.
authentication-key key;
Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.
Para configurar a implantação da chave de autenticação sem sucesso, inclua a authentication-key-chain (Protocols IS-IS)
declaração.
A senha pode conter até 255 caracteres. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").
Se você estiver usando o software IS-IS do Junos OS com outra implementação do IS-IS, a outra implementação deve ser configurada para usar a mesma senha para o domínio, a área e todas as interfaces que são compartilhadas com uma implementação do Junos OS.
A autenticação de pacotes hello, PDU de número de sequência parcial (PSNP) e PDU de número de sequência completo (CSNP) podem ser suprimidas para permitir a interoperabilidade com o software de roteamento de diferentes fornecedores. Diferentes fornecedores lidam com a autenticação de várias maneiras, e suprimir a autenticação para diferentes tipos de PDU pode ser a maneira mais simples de permitir a compatibilidade dentro da mesma rede.
Para configurar o IS-IS para gerar pacotes autenticados, mas não verificar a autenticação em pacotes recebidos, inclua a no-authentication-check
declaração:
no-authentication-check;
Para suprimir a autenticação de pacotes de olá IS-IS, inclua a no-hello-authentication
declaração:
no-hello-authentication;
Para suprimir a autenticação dos PSNPs, inclua a no-psnp-authentication
declaração:
no-psnp-authentication;
Para suprimir a autenticação de CSNPs, inclua a no-csnp-authentication
declaração:
no-csnp-authentication;
Para obter uma lista de níveis de hierarquia nos quais você pode incluir essas declarações, veja as seções de resumo da declaração para essas declarações.
As authentication
declarações e as no-authentication
declarações devem ser configuradas no mesmo nível de hierarquia. authentication
Configurar no nível de [edit protocols isis interface interface-name]
hierarquia e configurar no-authentication
no nível de [edit protocols isis]
hierarquia não tem efeito.