IS-IS 認証の設定
すべてのIS-ISプロトコル交換を認証することで、信頼済みのルーティングデバイスだけが自律システム(AS)ルーティングに参加することを保証できます。デフォルトでは、ルーティングデバイスではIS-IS認証は無効になっています。
IS-IS認証を設定するには、認証パスワードを定義し、認証タイプを指定する必要があります。
次のいずれかの認証方法を設定できます。
簡易認証 - 送信パケットに含まれるテキストパスワードを使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。既存の IS-IS 実装との互換性のために、簡易認証が含まれています。ただし、この認証方法は安全でないため、使用 しない ことをお勧めします (テキストが "スニッフィング" される可能性があります)。
注意:254 文字を超える単純なパスワードは切り捨てられます。
HMAC-MD5 認証 - 反復暗号化ハッシュ関数を使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
また、helloパケットに対して、よりきめ細かなインターフェイスレベルの認証を設定することもできます。
認証を有効にして認証方法を指定するには、 authentication-type
ステートメントを含め、 simple
または md5
認証タイプを指定します。
authentication-type authentication;
このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要のセクションを参照してください。
パスワードを設定するには、 authentication-key
ステートメントを含めます。ドメイン内のすべてのルーティングデバイスの認証パスワードは同じである必要があります。
authentication-key key;
このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要のセクションを参照してください。
ヒットレス認証キーのロールオーバーを設定するには、 authentication-key-chain (Protocols IS-IS)
ステートメントを含めます。
パスワードは最大 255 文字です。スペースを含む場合は、すべての文字を引用符(" ")で囲んでください。
IS-IS の別の実装で Junos OS IS-IS ソフトウェアを使用する場合、もう一方の実装は、Junos OS 実装と共有されるドメイン、エリア、およびすべてのインターフェイスに同じパスワードを使用するように設定する必要があります。
helloパケット、部分シーケンス番号PDU(PSNP)、および完全シーケンス番号PDU(CSNP)の認証を抑制して、異なるベンダーのルーティングソフトウェアとの相互運用性を実現できます。ベンダーによって認証の処理方法はさまざまですが、同じネットワーク内で互換性を確保するには、さまざまなPDUタイプの認証を抑制するのが最も簡単な方法かもしれません。
IS-IS が認証済みパケットを生成するように設定するが、受信パケットの認証をチェックしないように設定するには、 no-authentication-check
ステートメントを含めます。
no-authentication-check;
IS-IS Helloパケットの認証を抑制するには、 no-hello-authentication
ステートメントを含めます。
no-hello-authentication;
PSNPの認証を抑制するには、 no-psnp-authentication
ステートメントを含めます。
no-psnp-authentication;
CSNP の認証を抑制するには、 no-csnp-authentication
ステートメントを含めます。
no-csnp-authentication;
これらのステートメントを含めることができる階層レベルの一覧は、これらのステートメントのステートメント概要セクションを参照してください。
authentication
とno-authentication
ステートメントは、同じ階層レベルで設定する必要があります。[edit protocols isis interface interface-name]
階層レベルでauthentication
を設定し、[edit protocols isis]
階層レベルでno-authentication
を設定しても、効果はありません。