配置 IS-IS 身份验证
可以对所有 IS-IS 协议交换进行身份验证,以确保只有可信的路由设备参与自治系统 (AS) 路由。默认情况下,路由设备上的 IS-IS 身份验证处于禁用状态。
要配置 IS-IS 身份验证,必须定义身份验证密码并指定身份验证类型。
您可以配置以下身份验证方法之一:
简单验证 — 使用传输数据包中包含的文本密码。接收路由设备使用认证密钥(密码)验证数据包。包括简单身份验证,以便与现有 IS-IS 实现兼容。但是,我们建议 您不要 使用此身份验证方法,因为它不安全(文本可能会被“嗅探”)。
谨慎:超过 254 个字符的简单密码将被截断。
HMAC-MD5 验证 — 使用迭代加密散列函数。接收路由设备使用认证密钥(密码)验证数据包。
您还可以为hello数据包配置更精细的接口级身份验证。
要启用身份验证并指定身份验证方法,请包含 authentication-type 语句,并指定 simple 或 md5 身份验证类型:
authentication-type authentication;
有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。
要配置密码,请包含 authentication-key 语句。域中所有路由设备的身份验证密码必须相同。
authentication-key key;
有关可包含此语句的层次结构级别的列表,请参阅此语句的语句摘要部分。
要配置无中断身份验证密钥滚动更新,请包含语 authentication-key-chain (Protocols IS-IS) 句。
密码最多可包含 255 个字符。如果包含空格,请用引号 (“ ”) 将所有字符括起来。
如果将 Junos OS IS-IS 软件与 IS-IS 的另一个实现一起使用,则必须将另一个实现配置为对与 Junos OS 实现共享的域、区域和所有接口使用相同的密码。
可以抑制 hello 数据包、部分序列号 PDU (PSNP) 和完整序列号 PDU (CSNP) 的身份验证,以实现与不同供应商路由软件的互作性。不同的供应商以不同的方式处理身份验证,抑制不同 PDU 类型的身份验证可能是允许在同一网络内兼容性的最简单方法。
要将 IS-IS 配置为生成经过身份验证的数据包,而不是检查收到的数据包上的身份验证,请包含以下 no-authentication-check 语句:
no-authentication-check;
要抑制对 IS-IS hello 数据包的身份验证,请包含以下 no-hello-authentication 语句:
no-hello-authentication;
要抑制对 PSNP 的身份验证,请包含以下 no-psnp-authentication 语句:
no-psnp-authentication;
要抑制对 CSNP 的身份验证,请包含以下 no-csnp-authentication 语句:
no-csnp-authentication;
有关可包含这些语句的层次结构级别的列表,请参阅这些语句的语句摘要部分。
authentication和语no-authentication句必须在同一层级配置。在[edit protocols isis interface interface-name]层次结构级别进行配置authentication和在[edit protocols isis]层次结构级别进行配置no-authentication都没有影响。