了解 IS-IS 的无中断身份验证密钥滚动

可以对 IS-IS 协议交换进行身份验证，以确保只有可信的路由设备参与路由。默认情况下，身份验证处于禁用状态。身份验证算法创建一个编码的校验和，该校验和包含在传输的数据包中。接收路由设备使用身份验证密钥（密码）验证数据包的校验和。

如果为所有对等方配置身份验证，则该组中的每个对等方都将继承该组的身份验证。

您可以更新认证密钥，而无需重置任何 IS-IS 邻居会话。这称为 无中断身份验证密钥滚动更新。

无中断身份验证密钥滚动使用身份验证密钥链，该密钥链由正在更新的身份验证密钥组成。钥匙串包含多个钥匙。钥匙串中的每把钥匙都有唯一的开始时间。在下一个密钥的启动时间，会发生从当前密钥到下一个密钥的滚动，并且下一个密钥成为当前密钥。

您可以选择用于建立身份验证的算法。您可以配置 MD5 或 SHA-1 身份验证。从 Junos OS 24.2R1 版开始，我们通过以下哈希函数扩展了对 IS-IS 密钥串的支持：

将钥匙串和身份验证算法与 IS-IS 相邻会话相关联。每个密钥都包含一个标识符和一个秘密密码。

发送对等方根据密钥串中密钥的系统时间和开始时间选择活动密钥。接收对等方根据传入的密钥标识符确定用于进行身份验证的密钥。

您可以为 IS-IS 协议传输编码格式配置基于 RFC 5304 的编码或基于 RFC 5310 的编码。