IS-ISのヒットレス認証キーロールオーバーについて

IS-ISプロトコル交換を認証することで、信頼できるルーティングデバイスのみがルーティングに参加することを保証できます。デフォルトでは、認証は無効になっています。認証アルゴリズムは、送信パケットに含まれるエンコード済みチェックサムを作成します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットのチェックサムを検証します。

すべてのピアに認証を設定すると、そのグループの各ピアがグループの認証を継承します。

IS-ISネイバーセッションをリセットすることなく、認証キーを更新できます。これは、 ヒットレス認証キーロールオーバーと呼ばれます。

ヒットレス認証キー ロールオーバーでは、更新中の認証キーで構成される認証キーチェーンを使用します。キーチェーンには複数のキーが含まれます。キーチェーンの各キーには、固有の開始時間があります。次のキーの開始時には、現在のキーから次のキーへのロールオーバーが発生し、次のキーが現在のキーになります。

認証を確立するアルゴリズムを選択できます。MD5 または SHA-1 認証を設定できます。キーチェーンと認証アルゴリズムを IS-IS 隣接セッションに関連付けます。各キーには、識別子と秘密パスワードが含まれています。

送信ピアは、システム時間とキーのキーの開始時間に基づいて、キーをキーチェーンで選択します。受信ピアは、受信鍵識別子に基づいて、認証対象の鍵を決定します。

IS-ISプロトコル伝送エンコーディング形式には、RFC 5304ベースのエンコーディングまたはRFC 5310ベースのエンコーディングのいずれかを設定できます。