Verständnis des Hitless-Authentifizierungsschlüssel-Rollovers für IS-IS

Der IS-IS-Protokollaustausch kann authentifiziert werden, um sicherzustellen, dass nur vertrauenswürdige Routing-Geräte am Routing teilnehmen. Standardmäßig ist die Authentifizierung deaktiviert. Der Authentifizierungsalgorithmus erstellt eine kodierte Prüfsumme, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um die Prüfsumme des Pakets zu überprüfen.

Wenn Sie die Authentifizierung für alle Peers konfigurieren, erbt jeder Peer in dieser Gruppe die Authentifizierung der Gruppe.

Sie können Authentifizierungsschlüssel aktualisieren, ohne eine IS-IS-Nachbarschaftssitzung zurückzusetzen. Dies wird als Hitless-Authentifizierungsschlüssel-Rollover bezeichnet.

Hitless-Authentifizierungsschlüssel-Rollover verwendet Authentifizierungsschlüsselketten, die aus den Authentifizierungsschlüsseln bestehen, die aktualisiert werden. Der Schlüsselbund enthält mehrere Schlüssel. Jeder Schlüssel im Schlüsselbund hat eine eigene Startzeit. Beim Start des nächsten Schlüssels erfolgt ein Rollover von der aktuellen zum nächsten Schlüssel, und der nächste Schlüssel wird zum aktuellen Schlüssel.

Sie können den Algorithmus auswählen, über den die Authentifizierung eingerichtet wird. Sie können die MD5- oder SHA-1-Authentifizierung konfigurieren. Sie weisen einen Schlüsselanhänger und den Authentifizierungsalgorithmus einer IS-IS-Nachbarsitzung zu. Jeder Schlüssel enthält einen Bezeichner und ein geheimes Passwort.

Der sendenden Peer wählt den aktiven Schlüssel basierend auf der Systemzeit und den Startzeiten der Schlüssel im Schlüsselbund aus. Der empfangende Peer bestimmt den Schlüssel, mit dem er sich authentifiziert, basierend auf der Kennung des eingehenden Schlüssels.

Sie können entweder RFC 5304-basierte Codierung oder RFC 5310-basierte Codierung für das IS-IS-Protokoll-Übertragungscodierungsformat konfigurieren.