Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 IS-IS 身份验证

可以对所有 IS-IS 协议交换进行身份验证,以确保只有受信任的路由设备参与自治系统 (AS) 路由。默认情况下,路由设备上的 IS-IS 身份验证处于禁用状态。

要配置 IS-IS 身份验证,必须定义身份验证密码并指定身份验证类型。

您可以配置以下身份验证方法之一:

  • 简单身份验证 — 使用传输数据包中包含的文本密码。接收路由设备使用身份验证密钥(密码)来验证数据包。包含简单身份验证是为了与现有 IS-IS 实现兼容。但是,我们建议您 不要 使用此身份验证方法,因为它不安全(可以“嗅探”文本)。

    谨慎:

    超过 254 个字符的简单密码将被截断。

  • HMAC-MD5 或 SHA-1 身份验证 — 使用迭代加密散列函数。接收路由设备使用身份验证密钥(密码)来验证数据包。

您还可以为 hello 数据包配置更精细的接口级身份验证。

要启用身份验证并指定身份验证方法,请包含 authentication-type 语句,指定 simplemd5 身份验证类型:

有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。

要配置密码,请包含 authentication-key 语句。域中所有路由设备的身份验证密码必须相同。

有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。

要配置无中断身份验证密钥滚动更新,请包含 authentication-key-chain (Protocols IS-IS) 语句。

密码最多可包含 255 个字符。如果包含空格,请用引号 (“ ”) 将所有字符括起来。

如果将 Junos OS IS-IS 软件与其他 IS-IS 实现一起使用,则必须将另一个实现配置为对域、区域以及与 Junos OS 实现共享的所有接口使用相同的密码。

可以抑制hello 数据包、部分序列号 PDU (PSNP) 和完整序列号 PDU (CSNP) 的身份验证,以实现与不同供应商的路由软件的互操作性。不同的供应商以各种方式处理身份验证,抑制不同 PDU 类型的身份验证可能是在同一网络中实现兼容性的最简单方法。

要将 IS-IS 配置为生成经过身份验证的数据包,但不检查收到的数据包的身份验证,请包含以下 no-authentication-check 语句:

要禁止对 IS-IS hello 数据包进行身份验证,请包含以下 no-hello-authentication 语句:

要禁止对 PSNP 进行身份验证,请包含以下 no-psnp-authentication 语句:

要禁止对 CSNP 进行身份验证,请包含以下 no-csnp-authentication 语句:

有关可包含这些语句的层次结构级别的列表,请参阅这些语句的语句摘要部分。

注意:

必须在同一层次结构级别上配置和authenticationno-authentication语句。在[edit protocols isis interface interface-name]层次结构级别进行配置和在层次结构级别进行配置[edit protocols isis]no-authentication不起作用authentication