authentication (BGP BFD Liveness Detection)

指定されたBFDセッションの認証に使用するアルゴリズムを設定します。

• 値：次のいずれかのアルゴリズム名を指定します。

  • シンプルパスワード—プレーンテキストパスワード。BFDセッションの認証には、1~16バイトのプレーンテキストが使用されます。1つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFDセッションがパケット傍受の対象でない場合にのみ使用する必要があります。

  • keyed-md5—送信間隔と受信間隔が 100 ms を超えるセッションの鍵付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFDセッションを認証するために、キー付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、いずれかのキーが一致し、シーケンス番号が受信した最後のシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。単純なパスワードよりも安全性は高いですが、この方法は攻撃をリプレイする脆弱性があります。シーケンス番号が更新されるレートを上げることで、このリスクが軽減されます。

  • 細心の注意を払った- md5 - 細心の注意を要したメッセージダイジェスト5ハッシュアルゴリズム。この方法はキー付き MD5 と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付きMD5やシンプルなパスワードよりも安全性が高いですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

  • keyed-sha-1 —送信および受信間隔が 100 ms を超えるセッションの鍵付きセキュア ハッシュ アルゴリズム I。BFDセッションを認証するために、キー付きSHAは1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。鍵はパケット内で伝送されません。この方法では、いずれかのキーが一致し、シーケンス番号が最後に受信したシーケンス番号よりも大きい場合、セッションの受信側でパケットが受け入れられます。

  • 細心の注意を払った鍵付き sha-1 — 細心の注意を要したセキュア ハッシュ アルゴリズム I。このメソッドはキー付き SHA と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付き SHA やシンプルなパスワードよりもセキュアですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

認証キーチェーンの名前を指定します。キーチェーン名は、 階層レベルの ステートメントで key-chain key-chain-name 設定されたキーチェーンの 1 つに一致する [edit security authentication-key-chain] 必要があります。

認証キーチェーンは、セキュリティキーを指定されたBFDセッションに関連付けます。各キーにはキーチェーン内で固有の開始時間があります。キーチェーン認証では、ピアリング セッションをダウンさせることなく、パスワード情報を定期的に変更できます。このキーチェーン認証方法は、ピアリング セッションをリセットしたり、ルーティング プロトコルを中断したりすることなく、キーが 1 つから次のキーにロール オーバーするため、 ヒットレス と呼ばれます。

BFDセッションでルーズ認証チェックを指定します。BFDセッションの両端で認証が設定されていない可能性がある場合にのみ、移行期間にルーズ認証を使用します。

デフォルトでは、厳密な認証が有効になっており、各BFDセッションの両端で認証がチェックされます。必要に応じて、非認証セッションから認証済みセッションにスムーズに移行するには、 ルーズチェックを設定します。ルーズチェックが設定されている場合、セッションの各エンドで認証がチェックされることなくパケットが受け入れられます。

• 既定：厳密な認証が有効になっています。ルーズチェックを指定して無効にします。