Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IS-IS のヒットレス認証キー ロールオーバーについて

IS-ISプロトコル交換を認証することで、信頼できるルーティングデバイスだけがルーティングに参加することを保証できます。デフォルトでは、認証は無効になっています。認証アルゴリズムは、送信されるパケットに含まれるエンコードされたチェックサムを作成します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットのチェックサムを検証します。

すべてのピアに認証を設定すると、そのグループ内の各ピアがグループの認証を継承します。

IS-ISネイバーセッションをリセットせずに認証キーを更新できます。これは、 ヒットレス認証キーロールオーバーと呼ばれます。

ヒットレス認証キーのロールオーバーでは、更新される認証キーで構成される認証キーチェーンが使用されます。キーチェーンには複数のキーが含まれています。キーチェーンの各キーには、一意の開始時刻があります。次のキーの開始時刻に、現在のキーから次のキーへのロールオーバーが発生し、次のキーが現在のキーになります。

認証を確立するアルゴリズムを選択できます。MD5 または SHA-1 認証を設定できます。Junos OS リリース 24.2R1 以降、以下のハッシュ関数を使用して、IS-IS キーチェーンまでサポートを拡張します。

  • HMAC-SHA2-224

  • HMAC-SHA2-256

  • HMAC-SHA2-384

  • HMAC-SHA2-512

キーチェーンと認証アルゴリズムをIS-ISネイバーセッションに関連付けます。各キーには、識別子と秘密のパスワードが含まれています。

送信ピアは、キーチェーン内のキーのシステム時刻と開始時刻に基づいて、現在のキーを選択します。受信側のピアは、受信したキー識別子に基づいて、認証に使用するキーを決定します。

IS-IS プロトコル伝送符号化形式には、RFC 5304 ベースの符号化または RFC 5310 ベースの符号化のいずれかを設定できます。

関連資料