Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre le rollover de clé d’authentification sans accès pour IS-IS

Les échanges de protocoles IS-IS peuvent être authentifiés pour garantir que seuls les équipements de routage approuvés participent au routage. Par défaut, l’authentification est désactivée. L’algorithme d’authentification crée une somme de contrôle codée qui est incluse dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier la somme de contrôle du paquet.

Si vous configurez l’authentification pour tous les homologues, chaque homologue de ce groupe hérite de l’authentification du groupe.

Vous pouvez mettre à jour les clés d’authentification sans réinitialiser les sessions voisines IS-IS. C’est ce qu’on appelle le rollover de clé d’authentification sans accès.

Le rollover de clé d’authentification sans accès utilise des trousseaux d’authentification, qui sont constitués des clés d’authentification en cours de mise à jour. Le trousseau comprend plusieurs clés. Chaque clé du trousseau a une heure de début unique. À l’heure de début de la clé suivante, un basculement de la clé actuelle vers la clé suivante se produit, et la clé suivante devient la clé actuelle.

Vous pouvez choisir l’algorithme par lequel l’authentification est établie. Vous pouvez configurer l’authentification MD5 ou SHA-1. À partir de la version 24.2R1 de Junos OS, nous étendons la prise en charge du trousseau IS-IS avec les fonctions de hachage suivantes :

  • HMAC-SHA2-224

  • HMAC-SHA2-256

  • HMAC-SHA2-384

  • HMAC-SHA2-512

Vous associez un trousseau et l’algorithme d’authentification à une session voisine IS-IS. Chaque clé contient un identifiant et un mot de passe secret.

L’homologue émetteur choisit la clé active en fonction de l’heure système et des heures de début des clés du trousseau. L’homologue récepteur détermine la clé avec laquelle il s’authentifie en fonction de l’identificateur de clé entrant.

Vous pouvez configurer l’encodage basé sur la RFC 5304 ou l’encodage basé sur la RFC 5310 pour le format de codage de transmission de protocole IS-IS.

Documentation connexe