SUR CETTE PAGE
Exemple : configuration du déploiement de la clé d’authentification sans contact pour IS-IS
Cet exemple montre comment configurer le rollover de clé d’authentification sans heurt pour IS-IS.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer le rollover de clé d’authentification sans contact pour IS-IS.
Aperçu
L’authentification garantit que seuls les routeurs de confiance participent aux mises à jour du routage. Cette méthode d’authentification du trousseau de clés est appelée « hitless » (hitless), car les clés se déploient de l’une à l’autre sans réinitialisation des sessions d’appairage ou interruption du protocole de routage. Junos OS prend en charge à la fois la RFC 5304, l’authentification cryptographique IS-IS et l’authentification cryptographique générique IS-IS.
Cet exemple inclut les instructions suivantes pour configurer le trousseau :
-
algorithme : pour chaque clé du trousseau, vous pouvez spécifier un algorithme de chiffrement. L’algorithme peut être SHA-1 ou MD-5.
-
clé : un porte-clés peut avoir plusieurs clés. Chaque clé d’une chaîne de clés doit être identifiée par une valeur entière unique. La plage de valeurs d’identification valides est comprise entre 0 et 63.
-
chaîne de clés : pour chaque trousseau, vous devez spécifier un nom. Cet exemple définit deux chaînes de clés : base-key-global et base-key-inter.
-
options : pour chaque clé du trousseau, vous pouvez spécifier l’encodage du code d’authentification du message :isis-enhanced ou basic. L’opération de base (RFC 5304) est activée par défaut.
Lorsque vous configurez l’option isis-enhanced , Junos OS envoie des paquets de protocole de routage encodés RFC 5310 et accepte à la fois les paquets RFC 5304 encodés et RFC 5310 qui sont reçus depuis d’autres équipements.
Lorsque vous configurez l’instruction de base (ou que vous n’incluez pas l’instruction d’options dans la configuration de la clé), Junos OS envoie et reçoit des paquets de protocoles de routage RFC 5304 et abandonne les paquets de protocole de routage encodés 5310 qui sont reçus depuis d’autres équipements.
Étant donné que ce paramètre est uniquement pour IS-IS, les protocoles TCP et BFD ignorent l’option d’encodage configurée dans la clé.
-
secret : pour chaque clé du trousseau, vous devez définir un mot de passe secret. Ce mot de passe peut être saisi au format chiffré ou en texte brut dans l’instruction secrète . Il est toujours affiché au format chiffré.
-
heure de démarrage : chaque clé doit spécifier une heure de début basée sur UTC en utilisant le format ISO 8601. Le contrôle est transmis d’une clé à l’autre. Lorsqu’une heure de début configurée arrive (en fonction de l’horloge de l’équipement de routage), la clé avec cette heure de départ devient active. Les heures de démarrage sont spécifiées dans le fuseau horaire local d’un équipement de routage et doivent être uniques au sein de la chaîne de clés.
Vous pouvez appliquer un keychain à l’échelle mondiale à toutes les interfaces ou, plus précisément, à des interfaces spécifiques.
Cet exemple inclut les instructions suivantes pour appliquer le keychain à toutes les interfaces ou à des interfaces particulières :
-
chaîne de clés d’authentification : vous permet d’appliquer un trousseau au niveau IS-IS global pour toutes les interfaces de niveau 1 ou 2.
-
hello-authentication-key-chain : vous permet d’appliquer un trousseau au niveau de l’interface IS-IS individuelle. La configuration de l’interface remplace la configuration globale.
Topologie
La figure 1 illustre la topologie utilisée dans l’exemple.
Cet exemple illustre la configuration du routeur R0.
Configuration
Procédure
Configuration rapide CLI pour R0
Pour configurer rapidement le déploiement de la clé d’authentification sans problème pour IS-IS, copiez les commandes suivantes et collez les commandes dans la CLI.
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
Procédure étape par étape
Pour configurer le rollover de clé d’authentification sans contact pour IS-IS :
-
Configurez les interfaces du routeur R0.
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
Configurez une ou plusieurs clés et chaînes de clés d’authentification. Dans cet exemple, nous démontrons l’utilisation d’une chaîne de clés au niveau global et au niveau de l’interface, les deux ayant deux clés. La chaîne de clés mondiale est appliquée à toutes les interfaces ISIS de niveau 2. Cette chaîne de clés authentifie à la fois les échanges hellos et LSP. La chaîne de clés d’interface est appliquée spécifiquement à l’interface ge-0/0 (interface A) pour ISIS de niveau 1 et n’est utilisée que pour l’authentification des échanges bonjour.
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
Appliquez la chaîne de clés globale à toutes les interfaces ISIS de niveau 2 sur le routeur R0.
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
Appliquez la chaîne de clés base-clé-clé-inter pour l’authentification ISIS bonjour au niveau 1 à l’interface ge-0/0/0.0 sur le routeur R0.
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez votre configuration en entrant les interfaces show, les protocoles d’exposition et les commandes de sécurité .
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description "interface A";
family inet {
address 10.0.0.1/30;
}
family iso;
family inet6 {
address fe80::200:f8ff:fe21:67cf/128;
}
}
}
ge-0/0/1 {
unit 0 {
description "interface B";
family inet {
address 10.0.0.5/30;
}
family iso;
family inet6 {
address 10FB::C:ABC:1F0C:44DA/128;
}
}
}
ge-0/0/2 {
unit 0 {
description "interface C";
family inet {
address 10.0.0.9/30;
}
family iso;
family inet6 {
address ff06::c3/128;
}
}
}
user@host# show protocols
isis {
level 2 authentication-key-chain base-key-global;
interface ge-0/0/0.0 {
level 1 hello-authentication-key-chain base-key-inter;
}
}
user@host# show security
authentication-key-chains {
key-chain base-key-global {
key 63 {
secret "ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key 64 {
secret "ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm hmac-sha-1;
options isis-enhanced;
}
key-chain base-key-inter {
key 0 {
secret "$ABC123”;
start-time "2011-8-6.06:54:00-0700";
algorithm md5;
options basic;
}
key 1 {
secret "$ABC1234”;
start-time "2011-10-6.06:54:00-0700";
algorithm md5;
options basic;
}
}
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
-
afficher l’authentification isis
-
afficher le trousseau de sécurité