Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication (BGP BFD Liveness Detection)

構文

階層レベル

説明

誤ったルーティング情報を別のルーターと共有するように設定されたマシンまたはルーターが攻撃されるリスクを軽減するために、ルーターとルート認証を指定します。ルーターおよびルート認証により、ルーターは、パスワード(鍵)に基づいて信頼できるソースと会話していることを確認できる場合にのみ、情報を共有できます。この方法では、ハッシュ鍵が、別のルーターに送信されるルートと共に送信されます。受信ルーターは、送信された鍵を独自の設定済み鍵と比較します。それらが同じ場合、受信ルーターはルートを受け入れます。

オプション

authentication algorithm-name

指定されたBFDセッションの認証に使用するアルゴリズムを設定します。

  • 値:次のいずれかのアルゴリズム名を指定します。

    • シンプルパスワード—プレーンテキストパスワード。BFDセッションの認証には、1~16バイトのプレーンテキストが使用されます。1つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFDセッションがパケット傍受の対象でない場合にのみ使用する必要があります。

    • keyed-md5—送信間隔と受信間隔が 100 ms を超えるセッションの鍵付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFDセッションを認証するために、キー付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、いずれかのキーが一致し、シーケンス番号が受信した最後のシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。単純なパスワードよりも安全性は高いですが、この方法は攻撃をリプレイする脆弱性があります。シーケンス番号が更新されるレートを上げることで、このリスクが軽減されます。

    • 細心の注意を払った- md5 - 細心の注意を要したメッセージダイジェスト5ハッシュアルゴリズム。この方法はキー付き MD5 と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付きMD5やシンプルなパスワードよりも安全性が高いですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

    • keyed-sha-1 —送信および受信間隔が 100 ms を超えるセッションの鍵付きセキュア ハッシュ アルゴリズム I。BFDセッションを認証するために、キー付きSHAは1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。鍵はパケット内で伝送されません。この方法では、いずれかのキーが一致し、シーケンス番号が最後に受信したシーケンス番号よりも大きい場合、セッションの受信側でパケットが受け入れられます。

    • 細心の注意を払った鍵付き sha-1 — 細心の注意を要したセキュア ハッシュ アルゴリズム I。このメソッドはキー付き SHA と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付き SHA やシンプルなパスワードよりもセキュアですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

key-chain key-chain-name

認証キーチェーンの名前を指定します。キーチェーン名は、 階層レベルの ステートメントで key-chain key-chain-name 設定されたキーチェーンの 1 つに一致する [edit security authentication-key-chain] 必要があります。

認証キーチェーンは、セキュリティキーを指定されたBFDセッションに関連付けます。各キーにはキーチェーン内で固有の開始時間があります。キーチェーン認証では、ピアリング セッションをダウンさせることなく、パスワード情報を定期的に変更できます。このキーチェーン認証方法は、ピアリング セッションをリセットしたり、ルーティング プロトコルを中断したりすることなく、キーが 1 つから次のキーにロール オーバーするため、 ヒットレス と呼ばれます。

loose-check

BFDセッションでルーズ認証チェックを指定します。BFDセッションの両端で認証が設定されていない可能性がある場合にのみ、移行期間にルーズ認証を使用します。

デフォルトでは、厳密な認証が有効になっており、各BFDセッションの両端で認証がチェックされます。必要に応じて、非認証セッションから認証済みセッションにスムーズに移行するには、 ルーズチェックを設定します。ルーズチェックが設定されている場合、セッションの各エンドで認証がチェックされることなくパケットが受け入れられます。

  • 既定:厳密な認証が有効になっています。ルーズチェックを指定して無効にします。

必要な権限レベル

ルーティング—設定でこのステートメントを表示します。

ルーティング制御—設定にこのステートメントを追加します。

リリース情報

Junos OS リリース 8.1 で導入されたステートメント。

Junos OS リリース 9.6 で導入された BFD 認証のサポート。