AUF DIESER SEITE
Beispiel: Konfigurieren des Hitless-Authentifizierungsschlüsselrollovers für IS-IS
In diesem Beispiel wird gezeigt, wie das Rollover des Authentifizierungsschlüssels für IS-IS konfiguriert wird.
Anforderungen
Es ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht, bevor Sie den Rollover des Zugriffsschlüssels für IS-IS konfigurieren.
Überblick
Die Authentifizierung garantiert, dass nur vertrauenswürdige Router an Routing-Updates teilnehmen. Diese Schlüsselbund-Authentifizierungsmethode wird als "Hitless" bezeichnet, da die Schlüssel von einem Schlüssel zum nächsten übertragen werden, ohne dass Peering-Sitzungen zurückgesetzt oder das Routing-Protokoll unterbrochen werden. Junos OS unterstützt sowohl RFC 5304, IS-IS kryptografische Authentifizierung , als auch RFC 5310, IS-IS generische kryptografische Authentifizierung.
Dieses Beispiel enthält die folgenden Anweisungen zum Konfigurieren des Schlüsselbunds:
-
algorithm: Für jeden Schlüssel im Schlüsselbund können Sie einen Verschlüsselungsalgorithmus angeben. Der Algorithmus kann SHA-1 oder MD-5 sein.
-
Schlüssel: Ein Schlüsselbund kann mehrere Schlüssel enthalten. Jeder Schlüssel innerhalb eines Schlüsselbunds muss durch einen eindeutigen ganzzahligen Wert identifiziert werden. Der Bereich gültiger Bezeichnerwerte reicht von 0 bis 63.
-
key-chain: Für jeden Schlüsselbund müssen Sie einen Namen angeben. In diesem Beispiel werden zwei Schlüsselbunde definiert: base-key-global und base-key-inter.
-
Optionen: Für jeden Schlüssel im Schlüsselbund können Sie die Codierung für den Nachrichtenauthentifizierungscode angeben:ISIS-Enhanced oder Basic. Der Basisbetrieb (RFC 5304) ist standardmäßig aktiviert.
Wenn Sie die Option "ISIS-erweitert " konfigurieren, sendet Junos OS RFC 5310-codierte Routing-Protokollpakete und akzeptiert sowohl RFC 5304-codierte als auch RFC 5310-codierte Routing-Protokollpakete, die von anderen Geräten empfangen werden.
Wenn Sie Basic konfigurieren (oder die options-Anweisung nicht in die Schlüsselkonfiguration aufnehmen), sendet und empfängt Junos OS RFC 5304-codierte Routing-Protokoll-Pakete und verwirft 5310-codierte Routing-Protokollpakete, die von anderen Geräten empfangen werden.
Da diese Einstellung nur für IS-IS gilt, ignorieren die TCP- und BFD-Protokolle die im Schlüssel konfigurierte Codierungsoption.
-
secret: Für jeden Schlüssel im Schlüsselbund müssen Sie ein geheimes Passwort festlegen. Dieses Passwort kann entweder verschlüsselt oder im Klartextformat in die geheime Anweisung eingegeben werden. Sie wird immer verschlüsselt angezeigt.
-
start-time—Jeder Schlüssel muss eine Startzeit basierend auf UTC im ISO 8601-Format angeben. Die Steuerung wird von einem Schlüssel zum nächsten weitergegeben. Wenn eine konfigurierte Startzeit eintrifft (basierend auf der Uhr des Routing-Geräts), wird der Schlüssel mit dieser Startzeit aktiv. Startzeiten werden in der lokalen Zeitzone für ein Routinggerät angegeben und müssen innerhalb des Schlüsselbunds eindeutig sein.
Sie können einen Schlüsselbund global auf alle Schnittstellen oder granularer auf bestimmte Schnittstellen anwenden.
Dieses Beispiel enthält die folgenden Anweisungen zum Anwenden des Schlüsselbunds auf alle Schnittstellen oder auf bestimmte Schnittstellen:
-
authentication-key-chain: Ermöglicht es Ihnen, einen Schlüsselbund auf der globalen IS-IS-Ebene für alle Level-1- oder alle Level-2-Schnittstellen anzuwenden.
-
hello-authentication-key-chain: Ermöglicht es Ihnen, einen Schlüsselbund auf der Ebene der einzelnen IS-IS-Schnittstellen anzuwenden. Die Schnittstellenkonfiguration überschreibt die globale Konfiguration.
Topologie
Abbildung 1 zeigt die im Beispiel verwendete Topologie.
Dieses Beispiel zeigt die Konfiguration für Router R0.
Konfiguration
Verfahren
CLI-Schnellkonfiguration für R0
Kopieren Sie die folgenden Befehle, und fügen Sie die Befehle in die CLI ein, um das Rollover des Authentifizierungsschlüssels für IS-IS schnell zu konfigurieren.
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das Rollover des Authentifizierungsschlüssels ohne Beeinträchtigung für IS-IS:
-
Konfigurieren Sie die R0-Schnittstellen des Routers.
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
Konfigurieren Sie einen oder mehrere Authentifizierungsschlüsselbunde und -schlüssel. In diesem Beispiel demonstrieren wir die Verwendung eines globalen Schlüsselbunds und eines Schlüsselbunds auf Schnittstellenebene, die beide über zwei Schlüssel verfügen. Der globale Schlüsselbund wird auf alle ISIS-Level-2-Schnittstellen angewendet. Dieser Schlüsselbund authentifiziert sowohl Hallos als auch LSP-Austausche. Der Schnittstellenschlüsselbund wird speziell auf die Schnittstelle ge-0/0/0 (Schnittstelle A) für ISIS Level 1 angewendet und nur für die Authentifizierung von Hallo-Exchanges verwendet.
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
Wenden Sie den Schlüsselbund base-key-global auf alle ISIS-Schnittstellen der Ebene 2 auf Router R0 an.
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
Wenden Sie den Schlüsselbund base-key-inter für die ISIS-hello-Authentifizierung auf Ebene 1 auf die Schnittstelle ge-0/0/0.0 auf Router R0 an.
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die Befehle show interfaces, show protocols und show security eingeben.
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description "interface A";
family inet {
address 10.0.0.1/30;
}
family iso;
family inet6 {
address fe80::200:f8ff:fe21:67cf/128;
}
}
}
ge-0/0/1 {
unit 0 {
description "interface B";
family inet {
address 10.0.0.5/30;
}
family iso;
family inet6 {
address 10FB::C:ABC:1F0C:44DA/128;
}
}
}
ge-0/0/2 {
unit 0 {
description "interface C";
family inet {
address 10.0.0.9/30;
}
family iso;
family inet6 {
address ff06::c3/128;
}
}
}
user@host# show protocols
isis {
level 2 authentication-key-chain base-key-global;
interface ge-0/0/0.0 {
level 1 hello-authentication-key-chain base-key-inter;
}
}
user@host# show security
authentication-key-chains {
key-chain base-key-global {
key 63 {
secret "ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key 64 {
secret "ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key-chain base-key-inter {
key 0 {
secret "$ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm md5;
options basic;
}
key 1 {
secret "$ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm md5;
options basic;
}
}
}
Verifizierung
Führen Sie die folgenden Befehle aus, um die Konfiguration zu überprüfen:
-
ISIS-Authentifizierung anzeigen
-
Sicherheits-Schlüsselbund anzeigen