Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication (BGP BFD Liveness Detection)

Syntax

Hierarchy Level

Description

Geben Sie die Router- und Routenauthentifizierung an, um das Risiko eines Angriffs auf einen Computer oder Router zu minimieren, der konfiguriert wurde, dass fehlerhafte Routinginformationen an einen anderen Router gemeinsam verwendet werden. Durch die Router- und Routenauthentifizierung können Router Informationen nur dann freigeben, wenn sie anhand eines Kennworts (Schlüssels) überprüfen können, ob sie mit einer vertrauenswürdigen Quelle sprechen. Bei dieser Methode wird ein Hashed-Schlüssel zusammen mit der Route an einen anderen Router gesendet. Der empfangende Router vergleicht den gesendeten Schlüssel mit seinem eigenen konfigurierten Schlüssel. Wenn sie identisch sind, akzeptiert der empfangende Router die Route.

Options

Authentifizierungsalgorithmus – Name

Konfigurieren Sie den algorithmus zur Authentifizierung der angegebenen BFD-Sitzung.

  • Werte: Einen dieser Algorithmusnamen angeben:

    • simples Kennwort– Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden ein bis 16 Bytes Klartext verwendet. Es können mindestens ein Passwort konfiguriert werden. Diese Methode ist am sichersten und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.

    • keyed-md5 – Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Übertragungs- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet der wichtige MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete am Ende der Empfangenden Sitzung akzeptiert, wenn einer der Schlüssel zueinander entspricht und die Sequenznummer größer oder gleich der letzten empfangenen Folgenummer ist. Obwohl diese Methode sicherer ist als ein einfaches Kennwort, ist sie anfällig für Replay-Angriffe. Ein höheres Tempo der Aktualisierung der Folgenummer kann dieses Risiko mindern.

    • ee-keyed-md5 – Wichtiger Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert genauso wie der Schlüssel zu MD5, aber die Sequence Number wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als die Schlüssel-MD5 und einfache Passwörter, kann diese Methode zusätzliche Zeit in Dauern dauern, um die Sitzung zu authentifizieren.

    • keyed-sha-1 – Keyed Secure Hash-Algorithmus I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet die Schlüsselschlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel zueinander passt und die Sequence Number größer ist als die letzte empfangene Folgenummer.

    • ie-keyed-sha-1 – 2018 Wichtiger secure Hash-Algorithmus I. Diese Methode funktioniert genauso wie der Schlüssel zu SHA, aber die Sequence Number wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als die Schlüsselschlüssel und einfache Passwörter, kann es mehr Zeit dauern, die Sitzung zu authentifizieren.

Schlüsselverkettung – Schlüsselkette – Name

Geben Sie den Namen einer Authentifizierungs-Keychain an. Der Keychain-Name muss einer der Schlüsselchains, die mit der Anweisung auf der key-chain key-chain-name Hierarchieebene [edit security authentication-key-chain] konfiguriert ist, übereinstimmen.

Die Authentifizierungs-Keychain verknüpft einen Sicherheitsschlüssel mit der angegebenen BFD-Sitzung. Jeder Schlüssel hat eine ganz eigene Startzeit innerhalb der Schlüsselkette. Dank der Keychain-Authentifizierung können Sie die Kennwortinformationen regelmäßig ändern, ohne Peering-Sitzungen zu verändern. Diese Keychain-Authentifizierungsmethode wird als "hitless" bezeichnet, da die Schlüssel von einer auf die nächste drücken, ohne Peering-Sitzungen erneut zu installieren oder das Routing-Protokoll zu unterbrechen.

Loose Check

Geben Sie die lose Authentifizierungsüberprüfung in der BFD-Sitzung an. Verwenden Sie lose Authentifizierung für Übergangszeiträume nur, wenn die Authentifizierung an beiden Enden der BFD-Sitzung unter Umständen nicht konfiguriert ist.

Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung geprüft. Optional können Sie für eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen loses Prüfen konfigurieren. Wenn lose Überprüfungen konfiguriert sind, werden Pakete akzeptiert, ohne dass an jedem Sitzungsende die Authentifizierung geprüft wird.

  • Standard: Strict-Authentifizierung ist aktiviert. Geben Sie Lose-Check zum Deaktivieren an.

Required Privilege Level

Routing: Diese Anweisung wird in der Konfiguration angezeigt.

Routing-Steuerung: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Erklärung eingeführt in Junos OS Version 8.1.

Unterstützung der BFD-Authentifizierung, eingeführt in Junos OS Version 9.6.