Configuration de l’authentification IS-IS
Tous les échanges de protocoles IS-IS peuvent être authentifiés pour garantir que seuls les équipements de routage approuvés participent au routage du système autonome (AS). Par défaut, l’authentification IS-IS est désactivée sur le périphérique de routage.
Pour configurer l’authentification IS-IS, vous devez définir un mot de passe d’authentification et spécifier le type d’authentification.
Vous pouvez configurer l’une des méthodes d’authentification suivantes :
Authentification simple : utilise un mot de passe texte inclus dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet. Une authentification simple est incluse pour assurer la compatibilité avec les implémentations IS-IS existantes. Cependant, nous vous recommandons de ne pas utiliser cette méthode d’authentification car elle n’est pas sécurisée (le texte peut être « reniflé »).
PRUDENCE:Un mot de passe simple de plus de 254 caractères est tronqué.
Authentification HMAC-MD5 : utilise une fonction de hachage cryptographique itérée. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Vous pouvez également configurer une authentification plus précise au niveau de l’interface pour les paquets hello.
Pour activer l’authentification et spécifier une méthode d’authentification, incluez l’instruction authentication-type en spécifiant le type d’authentification simple ou md5 :
authentication-type authentication;
Vous pouvez configurer cette instruction au niveau de la [edit protocols isis] [edit protocols isis interface interface-name] hiérarchie.
Pour configurer un mot de passe, incluez l’instruction authentication-key . Le mot de passe d’authentification de tous les périphériques de routage d’un domaine doit être le même.
authentication-key key;
Pour configurer la substitution de clé d’authentification sans accès, incluez l’instruction authentication-key-chain (Protocols IS-IS) .
Le mot de passe peut contenir jusqu’à 255 caractères. Si vous incluez des espaces, placez tous les caractères entre guillemets ( » « ).
Si vous utilisez le logiciel Junos OS IS-IS avec une autre implémentation d’IS-IS, l’autre implémentation doit être configurée pour utiliser le même mot de passe pour le domaine, la zone et toutes les interfaces partagées avec une implémentation Junos OS.
L’authentification des paquets hello, la PDU à numéro de séquence partielle (PSNP) et la PDU à numéro de séquence complet (CSNP) peuvent être supprimées pour permettre l’interopérabilité avec les logiciels de routage de différents fournisseurs. Différents fournisseurs gèrent l’authentification de différentes manières, et la suppression de l’authentification pour différents types de PDU peut être le moyen le plus simple d’autoriser la compatibilité au sein d’un même réseau.
Pour configurer IS-IS afin qu’il génère des paquets authentifiés, mais pas pour vérifier l’authentification sur les paquets reçus, incluez l’instruction no-authentication-check suivante :
no-authentication-check;
Pour supprimer l’authentification des paquets IS-IS hello, incluez l’instruction no-hello-authentication suivante :
no-hello-authentication;
Pour supprimer l’authentification des PSNP, incluez l’instruction no-psnp-authentication suivante :
no-psnp-authentication;
Pour supprimer l’authentification des CSNP, incluez l’instruction no-csnp-authentication suivante :
no-csnp-authentication;
Les instructions et authentication les no-authentication doivent être configurées au même niveau hiérarchique. La configuration authentication au niveau de la hiérarchie et la [edit protocols isis interface interface-name] configuration no-authentication au niveau de la [edit protocols isis] hiérarchie n’ont aucun effet.