authentication (BGP BFD Liveness Detection)

Konfigurieren Sie den Algorithmus, der zur Authentifizierung der angegebenen BFD-Sitzung verwendet wird.

• Werte: Geben Sie einen der folgenden Algorithmusnamen an:

  • simple-password – Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden 1 bis 16 Byte Klartext verwendet. Ein oder mehrere Passwörter können konfiguriert werden. Diese Methode ist die geringste Sicherheit und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.

  • keyed-md5– Keyed Message Digest 5 Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Mit dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der letzten erhaltenen Sequenznummer ist. Obwohl diese Methode sicherer ist als ein einfaches Passwort, ist sie anfällig für Wiederholungsangriffe. Wenn die Sequenznummer aktualisiert wird, kann dieses Risiko verringert werden.

  • akribisch-keyed-md5 – Akribisch keyed Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert auf dieselbe Weise wie keyed MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als der schlüsselgebundene MD5 und einfache Passwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

  • keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed SHA einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Mit dieser Methode werden Pakete am Empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer ist als die zuletzt empfangene Sequenznummer.

  • akribisch-sha-1 – Akribisch verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf dieselbe Weise wie keyed SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als schlüsselgebundene SHA und einfache Passwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

Geben Sie den Namen eines Authentifizierungsschlüsselbundes an. Der Schlüsselbundname muss mit einer der Schlüsselketten übereinstimmen, die mit der key-chain key-chain-name Anweisung auf [edit security authentication-key-chain] Hierarchieebene konfiguriert sind.

Der Authentifizierungsschlüsselbund ordnet der angegebenen BFD-Sitzung einen Sicherheitsschlüssel zu. Jeder Schlüssel hat eine eigene Startzeit innerhalb des Schlüsselbundes. Die Schlüsselbundauthentifizierung ermöglicht es Ihnen, die Kennwortinformationen in regelmäßigen Abständen zu ändern, ohne Peering-Sitzungen zu reduzieren. Diese Keychain-Authentifizierungsmethode wird als hitless bezeichnet, da die Schlüssel von einer zur nächsten übertragen werden, ohne Peering-Sitzungen zurückzusetzen oder das Routing-Protokoll zu unterbrechen.

Geben Sie die lose Authentifizierungsprüfung für die BFD-Sitzung an. Verwenden Sie lose Authentifizierung nur für Übergangszeiten, wenn die Authentifizierung möglicherweise nicht an beiden Enden der BFD-Sitzung konfiguriert ist.

Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Optional können Sie die lose Prüfung konfigurieren, um eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu ermöglichen. Wenn eine lose Prüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass die Authentifizierung an jedem Ende der Sitzung geprüft wird.

• Standard: Strenge Authentifizierung ist aktiviert. Geben Sie lose Prüfung an, um sie zu deaktivieren.