NESTA PÁGINA
Exemplo: configuração do rollover da chave de autenticação sem sucesso para IS-IS
Este exemplo mostra como configurar o rollover de chave de autenticação sem sucesso para IS-IS.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar a implantação da chave de autenticação sem sucesso para IS-IS.
Visão geral
A autenticação garante que apenas roteadores confiáveis participem de atualizações de roteamento. Este método de autenticação de keychain é chamado de hitless porque as chaves rolam de um para o outro sem redefinir nenhuma sessão de peering ou interromper o protocolo de roteamento. O Junos OS oferece suporte a rfc 5304, autenticação criptográfica IS-IS e RFC 5310, autenticação criptográfica genérica IS-IS.
Este exemplo inclui as seguintes declarações para configurar o chaveiro:
-
algoritmo — Para cada chave no chaveiro, você pode especificar um algoritmo de criptografia. O algoritmo pode ser SHA-1 ou MD-5.
-
chave — um chaveiro pode ter várias chaves. Cada chave dentro de um chaveiro deve ser identificada por um valor único de inteiro. A faixa de valores de identificador válidos é de 0 a 63.
-
cadeia de chaves — Para cada chaveiro, você deve especificar um nome. Este exemplo define duas cadeiras-chave: base-key-global e base-key-inter.
-
opções — Para cada chave no chaveiro, você pode especificar a codificação para o código de autenticação de mensagens: aprimorado ou básico. A operação básica (RFC 5304) é habilitada por padrão.
Quando você configura a opção aprimorada pelo ISIS , o Junos OS envia pacotes de protocolo de roteamento codificados rfc 5310 e aceita pacotes de protocolo de roteamento codificados rfc 5304 e RFC 5310 que são recebidos de outros dispositivos.
Quando você configura pacotes básicos (ou não incluem a declaração de opções na configuração da chave) o Junos OS envia e recebe pacotes de protocolos de roteamento codificados rfc 5304 e derruba pacotes de protocolo de roteamento codificados por 5310 recebidos de outros dispositivos.
Como essa configuração é apenas para IS-IS, o TCP e os protocolos BFD ignoram a opção de codificação configurada na chave.
-
segredo — Para cada chave no chaveiro, você deve definir uma senha secreta. Essa senha pode ser inscrita em formato de texto criptografado ou simples na declaração secreta . Ele é sempre exibido em formato criptografado.
-
tempo de início — cada chave deve especificar um horário de início com base na UTC usando o formato ISO 8601. O controle passa de uma chave para a outra. Quando chega um horário de início configurado (com base no relógio do dispositivo de roteamento), a chave com esse tempo de início fica ativa. Os tempos de início são especificados no fuso horário local para um dispositivo de roteamento e devem ser exclusivos dentro da cadeia de chaves.
Você pode aplicar um chaveiro globalmente em todas as interfaces ou mais granularmente a interfaces específicas.
Este exemplo inclui as seguintes declarações para aplicar o chaveiro em todas as interfaces ou a interfaces específicas:
-
cadeia de chave de autenticação — permite que você aplique um chaveiro no nível IS-IS global para todas as interfaces de Nível 1 ou todas as interfaces de Nível 2.
-
olá-autenticação-key-chain — permite que você aplique um chaveiro no nível de interface IS-IS individual. A configuração da interface substitui a configuração global.
Topologia
A Figura 1 mostra a topologia usada no exemplo.
Este exemplo mostra a configuração para o Roteador R0.
Configuração
Procedimento
Configuração rápida de CLI para R0
Para configurar rapidamente a rolagem da chave de autenticação sem sucesso para IS-IS, copie os seguintes comandos e cole os comandos na CLI.
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
Procedimento passo a passo
Para configurar a implantação da chave de autenticação sem sucesso para IS-IS:
-
Configure as interfaces R0 do roteador.
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
Configure uma ou mais chaves e cadeias de autenticação. Neste exemplo, demonstramos o uso de uma cadeia de chaves global e de nível de interface, ambas com duas chaves. A cadeia de chaves global é aplicada a todas as interfaces de nível 2 do ISIS. Essa cadeia de chaves autentica ambas as trocas de olás e LSP. A cadeia de chave de interface é aplicada especificamente à interface ge-0/0/0 (Interface A) para o nível 1 do ISIS e é usada apenas para autenticar trocas de olá.
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
Aplique a cadeia de chaves global base-key em todas as interfaces ISIS de nível 2 no Roteador R0.
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
Aplique a cadeia de chaves base-key-inter para a autenticação do ISIS hello no Nível 1 à interface ge-0/0/0.0 no Roteador R0.
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Resultados
Confirme sua configuração entrando nas interfaces de show, mostre protocolos e mostre comandos de segurança .
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description "interface A";
family inet {
address 10.0.0.1/30;
}
family iso;
family inet6 {
address fe80::200:f8ff:fe21:67cf/128;
}
}
}
ge-0/0/1 {
unit 0 {
description "interface B";
family inet {
address 10.0.0.5/30;
}
family iso;
family inet6 {
address 10FB::C:ABC:1F0C:44DA/128;
}
}
}
ge-0/0/2 {
unit 0 {
description "interface C";
family inet {
address 10.0.0.9/30;
}
family iso;
family inet6 {
address ff06::c3/128;
}
}
}
user@host# show protocols
isis {
level 2 authentication-key-chain base-key-global;
interface ge-0/0/0.0 {
level 1 hello-authentication-key-chain base-key-inter;
}
}
user@host# show security
authentication-key-chains {
key-chain base-key-global {
key 63 {
secret "ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key 64 {
secret "ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key-chain base-key-inter {
key 0 {
secret "$ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm md5;
options basic;
}
key 1 {
secret "$ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm md5;
options basic;
}
}
}
Verificação
Para verificar a configuração, execute os seguintes comandos:
-
mostrar autenticação isis
-
mostrar chaveiro de segurança