Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der IS-IS-Authentifizierung

Der gesamte IS-IS-Protokollaustausch kann authentifiziert werden, um sicherzustellen, dass nur vertrauenswürdige Routing-Geräte am Routing des autonomen Systems (AS) teilnehmen. Standardmäßig ist die IS-IS-Authentifizierung auf dem Routinggerät deaktiviert.

Um die IS-IS-Authentifizierung zu konfigurieren, müssen Sie ein Authentifizierungskennwort definieren und den Authentifizierungstyp angeben.

Sie können eine der folgenden Authentifizierungsmethoden konfigurieren:

  • Einfache Authentifizierung: Verwendet ein Textkennwort, das im übertragenen Paket enthalten ist. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen. Eine einfache Authentifizierung ist aus Gründen der Kompatibilität mit vorhandenen IS-IS-Implementierungen enthalten. Wir empfehlen Ihnen jedoch, diese Authentifizierungsmethode nicht zu verwenden, da sie unsicher ist (der Text kann "geschnüffelt" werden).

    VORSICHT:

    Ein einfaches Kennwort, das länger als 254 Zeichen ist, wird abgeschnitten.

  • HMAC-MD5-Authentifizierung: Verwendet eine iterierte kryptografische Hash-Funktion. Das empfangende Routinggerät verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu überprüfen.

Sie können auch eine detailliertere Authentifizierung auf Schnittstellenebene für hello packets konfigurieren.

Um die Authentifizierung zu aktivieren und eine Authentifizierungsmethode anzugeben, schließen Sie die authentication-type Anweisung ein, und geben Sie den simple Authentifizierungstyp oder md5 an:

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.

Um ein Kennwort zu konfigurieren, fügen Sie die authentication-key Anweisung ein. Das Authentifizierungskennwort für alle Routinggeräte in einer Domäne muss identisch sein.

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.

Um den Rollover des Authentifizierungsschlüssels ohne Hit zu konfigurieren, schließen Sie die authentication-key-chain (Protocols IS-IS) Anweisung ein.

Das Passwort kann bis zu 255 Zeichen lang sein. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein.

Wenn Sie die Junos OS IS-IS-Software mit einer anderen Implementierung von IS-IS verwenden, muss die andere Implementierung so konfiguriert werden, dass dasselbe Kennwort für die Domäne, den Bereich und alle Schnittstellen verwendet wird, die mit einer Junos OS-Implementierung gemeinsam genutzt werden.

Die Authentifizierung von Hello Packets, partiellen Sequenznummern-PDUs (PSNP) und vollständigen Sequenznummern-PDUs (CSNP) können unterdrückt werden, um die Interoperabilität mit der Routing-Software verschiedener Anbieter zu ermöglichen. Verschiedene Anbieter handhaben die Authentifizierung auf unterschiedliche Weise, und die Unterdrückung der Authentifizierung für verschiedene PDU-Typen ist möglicherweise die einfachste Möglichkeit, die Kompatibilität innerhalb desselben Netzwerks zu gewährleisten.

Um IS-IS so zu konfigurieren, dass authentifizierte Pakete generiert, aber nicht die Authentifizierung für empfangene Pakete überprüft wird, fügen Sie die no-authentication-check Anweisung ein:

Um die Authentifizierung von IS-IS hello-Paketen zu unterdrücken, fügen Sie die no-hello-authentication folgende Anweisung ein:

Um die Authentifizierung von PSNPs zu unterdrücken, fügen Sie die no-psnp-authentication folgende Anweisung ein:

Um die Authentifizierung von CSNPs zu unterdrücken, fügen Sie die no-csnp-authentication folgende Anweisung ein:

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisungen einschließen können, finden Sie in den Abschnitten zur Anweisungszusammenfassung für diese Anweisungen.

Anmerkung:

Die authentication und die no-authentication Anweisungen müssen auf der gleichen Hierarchieebene konfiguriert sein. Die Konfiguration auf der [edit protocols isis interface interface-name] Hierarchieebene authentication und die Konfiguration no-authentication auf der [edit protocols isis] Hierarchieebene hat keine Auswirkungen.

Zugehörige Dokumentation