SUR CETTE PAGE
Exemple : configuration de la substitution de clé d’authentification sans accès pour IS-IS
Cet exemple montre comment configurer le remplacement de clé d’authentification sans accès pour IS-IS.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer la restauration de clé d’authentification sans accès pour IS-IS.
Aperçu
L’authentification garantit que seuls les routeurs approuvés participent aux mises à jour de routage. Cette méthode d’authentification de trousseau est dite « sans impact », car les clés passent de l’une à l’autre sans réinitialisation des sessions d’appairage ni interruption du protocole de routage. Junos OS prend en charge à la fois la RFC 5304, Authentification cryptographique IS-IS, et la RFC 5310, Authentification cryptographique générique IS-IS.
Cet exemple inclut les instructions suivantes pour configurer le trousseau :
-
algorithm : pour chaque clé du trousseau, vous pouvez spécifier un algorithme de chiffrement. L’algorithme peut être SHA-1 ou MD-5.
-
key : un trousseau peut avoir plusieurs clés. Chaque clé d’un trousseau doit être identifiée par une valeur entière unique. La plage de valeurs d’identificateur valides est comprise entre 0 et 63.
-
key-chain : pour chaque trousseau, vous devez spécifier un nom. Cet exemple définit deux trousseaux de clés : base-key-global et base-key-inter.
-
options : pour chaque clé du trousseau, vous pouvez spécifier l’encodage du code d’authentification du message :isis-enhanced ou basic. L’opération de base (RFC 5304) est activée par défaut.
Lorsque vous configurez l’option améliorée par isis , Junos OS envoie des paquets de protocole de routage codés en RFC 5310 et accepte les paquets de protocole de routage codés en RFC 5304 et codés en RFC 5310 reçus d’autres périphériques.
Lorsque vous configurez la configuration de base (ou que vous n’incluez pas l’instruction options dans la configuration de la clé), Junos OS envoie et reçoit des paquets de protocoles de routage codés selon la norme RFC 5304 et abandonne les paquets de protocoles de routage codés en 5310 reçus d’autres périphériques.
Étant donné que ce paramètre ne concerne que l’IS-IS, les protocoles TCP et BFD ignorent l’option d’encodage configurée dans la clé.
-
secret : pour chaque clé du trousseau, vous devez définir un mot de passe secret. Ce mot de passe peut être saisi en format crypté ou en texte brut dans la déclaration secrète . Il est toujours affiché au format crypté.
-
start-time : chaque clé doit spécifier une heure de début basée sur UTC en utilisant le format ISO 8601. Le contrôle passe d’une touche à l’autre. Lorsqu’une heure de début configurée arrive (en fonction de l’horloge du périphérique de routage), la clé avec cette heure de début devient active. Les heures de début sont spécifiées dans le fuseau horaire local d’un périphérique de routage et doivent être uniques dans le trousseau de clés.
Vous pouvez appliquer un trousseau de clés globalement à toutes les interfaces ou de manière plus granulaire à des interfaces spécifiques.
Cet exemple inclut les instructions suivantes pour l’application du trousseau à toutes les interfaces ou à des interfaces particulières :
-
authentication-key-chain : vous permet d’appliquer un trousseau au niveau IS-IS global à toutes les interfaces de niveau 1 ou de niveau 2.
-
hello-authentication-key-chain : vous permet d’appliquer un trousseau de clés au niveau de l’interface IS-IS individuelle. La configuration de l’interface remplace la configuration globale.
Topologie
La figure 1 illustre la topologie utilisée dans l’exemple.
Cet exemple montre la configuration du routeur R0.
Configuration
Procédure
Configuration rapide de CLI pour R0
Pour configurer rapidement la substitution de clé d’authentification sans accès pour IS-IS, copiez les commandes suivantes et collez-les dans l’interface de ligne de commande.
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
Procédure étape par étape
Pour configurer le remplacement de clé d’authentification sans accès pour IS-IS :
-
Configurez les interfaces du routeur R0.
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
Configurez un ou plusieurs trousseaux de clés d’authentification. Dans cet exemple, nous démontrons l’utilisation d’un trousseau de clés au niveau global et d’un trousseau niveau de l’interface, les deux ayant deux clés. Le trousseau global est appliqué à toutes les interfaces de niveau 2 de l’EI. Ce trousseau authentifie à la fois les hellos et les échanges LSP. Le trousseau d’interface est appliqué spécifiquement à l’interface ge-0/0/0 (Interface A) pour ISIS Level 1 et n’est utilisé que pour authentifier les échanges hello.
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
Appliquez le trousseau de clés base-key-global à toutes les interfaces ISIS de niveau 2 sur le routeur R0.
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
Appliquez le trousseau de clés base-key-inter pour l’authentification ISIS hello au niveau 1 à l’interface ge-0/0/0.0 sur le routeur R0.
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez votre configuration en entrant les commandes show interfaces, show protocols, et show security .
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description "interface A";
family inet {
address 10.0.0.1/30;
}
family iso;
family inet6 {
address fe80::200:f8ff:fe21:67cf/128;
}
}
}
ge-0/0/1 {
unit 0 {
description "interface B";
family inet {
address 10.0.0.5/30;
}
family iso;
family inet6 {
address 10FB::C:ABC:1F0C:44DA/128;
}
}
}
ge-0/0/2 {
unit 0 {
description "interface C";
family inet {
address 10.0.0.9/30;
}
family iso;
family inet6 {
address ff06::c3/128;
}
}
}
user@host# show protocols
isis {
level 2 authentication-key-chain base-key-global;
interface ge-0/0/0.0 {
level 1 hello-authentication-key-chain base-key-inter;
}
}
user@host# show security
authentication-key-chains {
key-chain base-key-global {
key 63 {
secret "ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key 64 {
secret "ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key-chain base-key-inter {
key 0 {
secret "$ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm md5;
options basic;
}
key 1 {
secret "$ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm md5;
options basic;
}
}
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
-
Afficher l’authentification ISIS
-
Afficher le trousseau de sécurité