Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication (BGP BFD Liveness Detection)

Syntax

Hierarchy Level

Description

指定路由器和路由身份验证,以缓解已配置为与其他路由器共享错误路由信息的计算机或路由器攻击的风险。路由器和路由认证使路由器能够仅在根据密码(密钥)验证是否与可靠来源通信时才共享信息。在此方法中,哈希键与发送到另一个路由器的路由一起发送。接收路由器将发送的密钥与自己配置的密钥进行比较。如果两者相同,则接收方路由器接受路由。

Options

认证 算法名称

配置用于验证指定 BFD 会话的算法。

  • 数值指定以下算法名称之一:

    • 简单密码 — 纯文本密码。一到 16 字节的纯文本用于认证 BFD 会话。可配置一个或多个密码。这种方法最不安全,仅当 BFD 会话不会受到数据包拦截时才应使用。

    • keyed-md5—密钥消息摘要 5 散列算法,用于传输和接收间隔超过 100 毫秒的会话。为了验证 BFD 会话的身份,键控 MD5 使用一个或多个密钥(由算法生成)和定期更新的序列号。通过这种方法,如果一个键匹配且序列号大于或等于收到的最后一个序列号,数据包将在接收端的会话中接受。虽然比简单密码更安全,但此方法容易出现重放攻击。提高序列号更新的速度可以降低此风险。

    • 分会讨论 5 散列算法——处理处理加密消息摘要 5 散列算法。此方法的工作方式与键控 MD5 相同,但序列号随每个数据包一起更新。尽管安全性比键控 MD5 和简单密码更安全,但此方法可能需要额外的时间来验证会话。

    • keyed-sha-1—密钥安全散列算法 I,用于传输和接收间隔超过 100 毫秒的会话。为了验证 BFD 会话的身份,键控 SHA 使用一个或多个密钥(由算法生成)和定期更新的序列号。密钥未在数据包内携带。借助这种方法,如果一个键匹配且序列号大于最后接收的序列号,数据包将在接收到的会话结束时接受。

    • 分会式-keyed-sha-1 —精心设计密钥安全散列算法 I。此方法以与加密 SHA 相同的方式工作,但序列号会随每个数据包一起更新。虽然比键控 SHA 和简单密码更安全,但此方法可能需要额外时间来验证会话。

键链 键链-名称

指定身份验证 keychain 的名称。Keychain 名称必须与在key-chain key-chain-name[edit security authentication-key-chain]层次结构级别上使用该语句配置的 keychains 之一匹配。

身份验证 keychain 将安全密钥与指定的 BFD 会话相关联。Keychain 中的每个关键都有唯一的开始时间。Keychain 身份验证允许您定期更改密码信息,而无需关闭对等会话。这种 keychain 身份验证方法称为无中断,因为密钥从一个到下一个,但没有重置任何对等会话或中断路由协议。

松散检查

指定 BFD 会话上的松散身份验证检查。只有在 BFD 会话的两端不配置身份验证时,才能对过渡期使用松散身份验证。

默认情况下,将启用严格身份验证,并在每个 BFD 会话的两端检查身份验证。或者,要使从未经身份验证的会话到经过身份验证的会话的平滑迁移,您可以配置松散检查。如果配置松散检查,在会话的每一端都不会检查是否有数据包被接受。

  • 本币严格身份验证已启用。指定松散检查以禁用它。

Required Privilege Level

路由 — 在配置中查看此语句。

路由控制 - 要将此语句添加至配置中。

Release Information

在 8.1 Junos OS中引入的语句。

支持 Junos OS 版本9.6 中引入的 BFD 认证。