配置 IS-IS 身份验证
可以对所有 IS-IS 协议交换进行身份验证,以确保只有受信任的路由设备参与自治系统 (AS) 路由。默认情况下,路由设备上的 IS-IS 身份验证处于禁用状态。
要配置 IS-IS 身份验证,必须定义身份验证密码并指定身份验证类型。
您可以配置以下身份验证方法之一:
简单身份验证 — 使用传输数据包中包含的文本密码。接收路由设备使用身份验证密钥(密码)来验证数据包。包含简单身份验证是为了与现有 IS-IS 实现兼容。但是,我们建议您 不要 使用此身份验证方法,因为它不安全(可以“嗅探”文本)。
谨慎:超过 254 个字符的简单密码将被截断。
HMAC-MD5 或 SHA-1 身份验证 — 使用迭代加密散列函数。接收路由设备使用身份验证密钥(密码)来验证数据包。
您还可以为 hello 数据包配置更精细的接口级身份验证。
要启用身份验证并指定身份验证方法,请包含 authentication-type
语句,指定 simple
或 md5
身份验证类型:
authentication-type authentication;
有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。
要配置密码,请包含 authentication-key
语句。域中所有路由设备的身份验证密码必须相同。
authentication-key key;
有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。
要配置无中断身份验证密钥滚动更新,请包含 authentication-key-chain (Protocols IS-IS)
语句。
密码最多可包含 255 个字符。如果包含空格,请用引号 (“ ”) 将所有字符括起来。
如果将 Junos OS IS-IS 软件与其他 IS-IS 实现一起使用,则必须将另一个实现配置为对域、区域以及与 Junos OS 实现共享的所有接口使用相同的密码。
可以抑制hello 数据包、部分序列号 PDU (PSNP) 和完整序列号 PDU (CSNP) 的身份验证,以实现与不同供应商的路由软件的互操作性。不同的供应商以各种方式处理身份验证,抑制不同 PDU 类型的身份验证可能是在同一网络中实现兼容性的最简单方法。
要将 IS-IS 配置为生成经过身份验证的数据包,但不检查收到的数据包的身份验证,请包含以下 no-authentication-check
语句:
no-authentication-check;
要禁止对 IS-IS hello 数据包进行身份验证,请包含以下 no-hello-authentication
语句:
no-hello-authentication;
要禁止对 PSNP 进行身份验证,请包含以下 no-psnp-authentication
语句:
no-psnp-authentication;
要禁止对 CSNP 进行身份验证,请包含以下 no-csnp-authentication
语句:
no-csnp-authentication;
有关可包含这些语句的层次结构级别的列表,请参阅这些语句的语句摘要部分。
必须在同一层次结构级别上配置和authentication
no-authentication
语句。在[edit protocols isis interface interface-name]
层次结构级别进行配置和在层次结构级别进行配置[edit protocols isis]
no-authentication
不起作用authentication
。