Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解 IS-IS 的 BFD 身份验证

双向转发检测 (BFD) 可以快速检测相邻系统之间的通信故障。默认情况下,BFD 会话的身份验证处于禁用状态。但是,当在网络层协议上运行 BFD 时,服务攻击的风险可能很高。如果跨多个跃点或通过不安全的隧道运行 BFD,强烈建议使用身份验证。Junos OS 支持对通过 IS-IS 运行的 BFD 会话进行身份验证。BFD 身份验证仅在国内映像中受支持,在导出映像中不可用。

指定 身份验证 算法和密钥链,然后使用密钥链名称将该配置信息与安全身份验证密钥链相关联,可验证 BFD 会话。

以下部分介绍了支持的身份验证算法、安全密钥链以及可配置的身份验证级别:

BFD 身份验证算法

Junos OS 支持以下 BFD 身份验证算法:

  • simple-password — 纯文本密码。1 到 16 字节的纯文本用于对 BFD 会话进行身份验证。可以配置一个或多个密码。此方法最不安全,仅当 BFD 会话不受数据包拦截时才应使用。

  • keyed-md5—用于传输和接收间隔大于 100 毫秒的会话的密钥消息摘要 5 散列算法。要对 BFD 会话进行身份验证,密钥 MD5 使用一个或多个密钥(由算法生成)和一个定期更新的序列号。使用此方法,如果其中一个密钥匹配且序列号大于或等于收到的最后一个序列号,则会话的接收端将接受数据包。尽管这种方法比简单的密码更安全,但很容易受到重放攻击。提高序列号的更新速率可以降低此风险。

  • meticulous-keyed-md5—细致键控消息摘要 5 散列算法。此方法的工作方式与密钥 MD5 相同,但序列号会随着每个数据包的更新而更新。尽管此方法比密钥 MD5 和简单密码更安全,但此方法可能需要额外的时间来验证会话。

  • keyed-sha-1—密钥安全散列算法 I,用于传输和接收间隔大于 100 毫秒的会话。要对 BFD 会话进行身份验证,密钥 SHA 使用一个或多个密钥(由算法生成)和一个定期更新的序列号。密钥不会在数据包中携带。使用此方法,如果其中一个密钥匹配且序列号大于接收的最后一个序列号,则会话的接收端将接受数据包。

  • meticulous-keyed-sha-1—细致密钥安全散列算法 I.此方法的工作方式与密钥 SHA 相同,但序列号会随着每个数据包的更新而更新。虽然此方法比密钥 SHA 和简单密码更安全,但可能需要额外的时间来对会话进行身份验证。

注意:

meticulous-keyed-md5 和 meticulous-keyed-sha-1 身份验证算法不支持不间断活动路由 (NSR)。切换后,使用这些算法的 BFD 会话可能会中断。

安全性认证钥匙串

安全身份验证密钥链定义用于身份验证密钥更新的身份验证属性。通过密钥链名称配置安全身份验证密钥链并与协议关联时,可以在不中断路由和信令协议的情况下进行身份验证密钥更新。

身份验证钥匙串包含一个或多个钥匙串。每个钥匙串都包含一个或多个钥匙。每个密钥都保存密钥数据和密钥生效的时间。必须在 BFD 会话的两端配置算法和密钥链,并且它们必须匹配。配置中的任何不匹配都将导致创建 BFD 会话。

BFD 允许每个会话多个客户端,并且每个客户端可以定义自己的密钥链和算法。为避免混淆,建议仅指定一个安全身份验证钥匙串。

严格身份验证与松散身份验证

默认情况下,启用严格身份验证,并在每个 BFD 会话的两端检查身份验证。或者,为了从未经身份验证的会话顺利迁移到经过身份验证的会话,您可以配置 松散检查。配置松散检查后,数据包将被接受,而无需在会话的每一端检查身份验证。此功能仅适用于过渡期。

相关文档