Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zum Rollover von Hitless-Authentifizierungsschlüsseln für IS-IS

IS-IS-Protokollaustausche können authentifiziert werden, um sicherzustellen, dass nur vertrauenswürdige Routing-Geräte am Routing teilnehmen. Standardmäßig ist die Authentifizierung deaktiviert. Der Authentifizierungsalgorithmus erstellt eine codierte Prüfsumme, die im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um die Prüfsumme des Pakets zu überprüfen.

Wenn Sie die Authentifizierung für alle Peers konfigurieren, erbt jeder Peer in dieser Gruppe die Authentifizierung der Gruppe.

Sie können Authentifizierungsschlüssel aktualisieren, ohne IS-IS-Nachbarsitzungen zurückzusetzen. Dies wird als Hitless-Authentifizierungsschlüssel-Rollover bezeichnet.

Beim Hitless-Authentifizierungsschlüssel-Rollover werden Authentifizierungsschlüsselbunde verwendet, die aus den Authentifizierungsschlüsseln bestehen, die aktualisiert werden. Der Schlüsselbund enthält mehrere Schlüssel. Jeder Schlüssel im Schlüsselbund hat eine eindeutige Startzeit. Zur Startzeit des nächsten Schlüssels erfolgt ein Rollover vom aktuellen Schlüssel zum nächsten Schlüssel, und der nächste Schlüssel wird zum aktuellen Schlüssel.

Sie können den Algorithmus auswählen, über den die Authentifizierung eingerichtet wird. Sie können die MD5- oder SHA-1-Authentifizierung konfigurieren. Ab Junos OS Version 24.2R1 erweitern wir die Unterstützung für IS-IS-Schlüsselbund mit den folgenden Hash-Funktionen:

  • HMAC-SHA2-224-KARTON

  • HMAC-SHA2-256-KARTON

  • HMAC-SHA2-384-KARTON

  • HMAC-SHA2-512-KARTON

Sie ordnen einen Schlüsselbund und den Authentifizierungsalgorithmus einer benachbarten IS-IS-Sitzung zu. Jeder Schlüssel enthält einen Bezeichner und ein geheimes Kennwort.

Der sendende Peer wählt den aktiven Schlüssel basierend auf der Systemzeit und den Startzeiten der Schlüssel im Schlüsselbund aus. Der empfangende Peer bestimmt den Schlüssel, mit dem er sich authentifiziert, basierend auf dem Bezeichner des eingehenden Schlüssels.

Sie können entweder die RFC 5304-basierte Codierung oder die RFC 5310-basierte Codierung für das IS-IS-Protokollübertragungscodierungsformat konfigurieren.

Zugehörige Dokumentation