AUF DIESER SEITE
Beispiel: Konfigurieren des Hitless-Authentifizierungsschlüssel-Rollovers für IS-IS
In diesem Beispiel wird gezeigt, wie das Rollover des Authentifizierungsschlüssels ohne Treffer für IS-IS konfiguriert wird.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor der Rollover des Authentifizierungsschlüssels ohne Treffer für IS-IS konfiguriert wird.
Übersicht
Die Authentifizierung garantiert, dass nur vertrauenswürdige Router an Routing-Updates teilnehmen. Diese Schlüsselbund-Authentifizierungsmethode wird als "hitless" bezeichnet, da die Schlüssel von einem Schlüssel zum nächsten übertragen werden, ohne Peering-Sitzungen zurückzusetzen oder das Routing-Protokoll zu unterbrechen. Junos OS unterstützt sowohl RFC 5304 (IS-IS Cryptographic Authentication ) als auch RFC 5310 ( IS-IS Generic Cryptographic Authentication).
Dieses Beispiel enthält die folgenden Anweisungen zum Konfigurieren des Schlüsselbunds:
-
algorithm: Für jeden Schlüssel im Schlüsselbund können Sie einen Verschlüsselungsalgorithmus angeben. Der Algorithmus kann SHA-1 oder MD-5 sein.
-
key: Ein Schlüsselbund kann mehrere Schlüssel haben. Jeder Schlüssel innerhalb eines Schlüsselbunds muss durch einen eindeutigen ganzzahligen Wert identifiziert werden. Der Bereich der gültigen Bezeichnerwerte liegt zwischen 0 und 63.
-
keychain: Für jeden Schlüsselbund müssen Sie einen Namen angeben. In diesem Beispiel werden zwei Schlüsselbund definiert: base-key-global und base-key-inter.
-
options – Für jeden Schlüssel im Schlüsselbund können Sie die Codierung für den Nachrichtenauthentifizierungscode angeben:isis-enhanced oder basic. Der Basisbetrieb (RFC 5304) ist standardmäßig aktiviert.
Wenn Sie die Option isis-enhanced konfigurieren, sendet Junos OS RFC 5310-codierte Routing-Protokollpakete und akzeptiert sowohl RFC 5304-codierte als auch RFC 5310-codierte Routing-Protokollpakete, die von anderen Geräten empfangen werden.
Wenn Sie Basic konfigurieren (oder die options-Anweisung nicht in die Schlüsselkonfiguration aufnehmen), sendet und empfängt Junos OS Pakete mit RFC 5304-codierten Routing-Protokollen und verwirft 5310-codierte Routing-Protokollpakete, die von anderen Geräten empfangen werden.
Da diese Einstellung nur für IS-IS gilt, ignorieren die Protokolle TCP und BFD die im Schlüssel konfigurierte Codierungsoption.
-
secret: Für jeden Schlüssel im Schlüsselbund müssen Sie ein geheimes Passwort festlegen. Dieses Passwort kann entweder verschlüsselt oder im Klartextformat in die geheime Anweisung eingegeben werden. Es wird immer in verschlüsseltem Format angezeigt.
-
start-time: Jeder Schlüssel muss eine Startzeit basierend auf UTC im ISO 8601-Format angeben. Die Steuerung wird von einer Taste zur nächsten weitergegeben. Wenn eine konfigurierte Startzeit eintrifft (basierend auf der Uhr des Routing-Geräts), wird der Schlüssel mit dieser Startzeit aktiv. Die Startzeiten werden in der lokalen Zeitzone für ein Routing-Gerät angegeben und müssen innerhalb des Schlüsselbunds eindeutig sein.
Sie können einen Schlüsselbund global auf alle Schnittstellen oder granularer auf bestimmte Schnittstellen anwenden.
Dieses Beispiel enthält die folgenden Anweisungen zum Anwenden des Schlüsselbunds auf alle Schnittstellen oder auf bestimmte Schnittstellen:
-
authentication-key-chain: Ermöglicht das Anwenden eines Schlüsselbunds auf der globalen IS-IS-Ebene für alle Schnittstellen der Ebene 1 oder aller Ebene 2.
-
hello-authentication-key-chain: Ermöglicht das Anwenden eines Schlüsselbunds auf der Ebene der einzelnen IS-IS-Schnittstellen. Die Schnittstellenkonfiguration überschreibt die globale Konfiguration.
Topologie
Abbildung 1 zeigt die im Beispiel verwendete Topologie.
Dieses Beispiel zeigt die Konfiguration für Router R0.
Konfiguration
Verfahren
CLI-Schnellkonfiguration für R0
Um den Rollover des Authentifizierungsschlüssels ohne Treffer für IS-IS schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie die Befehle in die CLI ein.
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Rollover des Hitless-Authentifizierungsschlüssels für IS-IS:
-
Konfigurieren Sie die Schnittstellen des Routers R0.
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
Konfigurieren Sie einen oder mehrere Authentifizierungsschlüsselbunde und -schlüssel. In diesem Beispiel demonstrieren wir die Verwendung eines Schlüsselbunds auf globaler Ebene und eines Schlüsselbunds auf Schnittstellenebene, die beide zwei Schlüssel haben. Der globale Schlüsselbund wird auf alle ISIS-Level-2-Schnittstellen angewendet. Dieser Schlüsselbund authentifiziert sowohl Hellos als auch LSP-Austausch. Der Schnittstellenschlüsselbund wird speziell auf die ge-0/0/0-Schnittstelle (Schnittstelle A) für ISIS Level 1 angewendet und nur für die Authentifizierung von Hello-Austauschnachrichten verwendet.
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
Wenden Sie den Basisschlüssel-Global-Schlüsselbund auf alle ISIS-Schnittstellen der Ebene 2 auf Router R0 an.
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
Wenden Sie den Schlüsselbund base-key-inter für die ISIS-Hello-Authentifizierung auf Ebene 1 auf die Schnittstelle ge-0/0/0.0 auf Router R0 an.
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie die Befehle show interfaces, show protocols und show security eingeben.
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description "interface A";
family inet {
address 10.0.0.1/30;
}
family iso;
family inet6 {
address fe80::200:f8ff:fe21:67cf/128;
}
}
}
ge-0/0/1 {
unit 0 {
description "interface B";
family inet {
address 10.0.0.5/30;
}
family iso;
family inet6 {
address 10FB::C:ABC:1F0C:44DA/128;
}
}
}
ge-0/0/2 {
unit 0 {
description "interface C";
family inet {
address 10.0.0.9/30;
}
family iso;
family inet6 {
address ff06::c3/128;
}
}
}
user@host# show protocols
isis {
level 2 authentication-key-chain base-key-global;
interface ge-0/0/0.0 {
level 1 hello-authentication-key-chain base-key-inter;
}
}
user@host# show security
authentication-key-chains {
key-chain base-key-global {
key 63 {
secret "ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key 64 {
secret "ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key-chain base-key-inter {
key 0 {
secret "$ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm md5;
options basic;
}
key 1 {
secret "$ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm md5;
options basic;
}
}
}
Überprüfung
Führen Sie die folgenden Befehle aus, um die Konfiguration zu überprüfen:
-
ISIS-Authentifizierung anzeigen
-
Sicherheits-Schlüsselanhänger anzeigen