Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IS-IS認証の設定

すべてのIS-ISプロトコル交換を認証して、信頼できるルーティングデバイスのみが自律システム(AS)ルーティングに参加することを保証できます。デフォルトでは、ルーティングデバイスではIS-IS認証は無効になっています。

IS-IS認証を設定するには、認証パスワードを定義し、認証タイプを指定する必要があります。

以下の認証方法のいずれかを設定できます。

  • シンプル認証—送信パケットに含まれるテキスト パスワードを使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。既存の IS-IS 実装との互換性を確保するため、シンプルな認証が含まれています。ただし、この認証方法は安全 ではないため 、使用しないことをお勧めします(テキストを「スニッフィング」する可能性があります)。

    注意:

    254 文字を超える単純なパスワードは切り捨てられます。

  • HMAC-MD5認証-反復された暗号化ハッシュ関数を使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。

また、helloパケットに対して、よりきめ細かなインターフェイスレベル認証を設定することもできます。

認証を有効にし、認証方法を指定するには、 ステートメントをauthentication-type含め、 または md5 認証タイプをsimple指定します。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。

パスワードを設定するには、 ステートメントを authentication-key 含めます。ドメイン内のすべてのルーティング デバイスの認証パスワードは同じにする必要があります。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。

ヒットレス認証キーロールオーバーを設定するには、 ステートメントを authentication-key-chain (Protocols IS-IS) 含めます。

パスワードには、最大 255 文字を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲みます。

Junos OS IS-IS ソフトウェアを別の IS-IS 実装と併用する場合、他の実装は、Junos OS 実装と共有されるドメイン、エリア、およびすべてのインターフェイスに同じパスワードを使用するように設定する必要があります。

hello パケット、部分シーケンス番号 PDU(PSNP)、完全なシーケンス番号 PDU(CSNP)の認証を抑制して、異なるベンダーのルーティング ソフトウェアとの相互運用性を可能にします。さまざまなベンダーがさまざまな方法で認証を処理するため、PDU タイプごとに認証を抑制することが、同じネットワーク内での互換性を可能にする最も簡単な方法かもしれません。

認証されたパケットを生成するようにIS-ISを設定し、受信したパケットの認証をチェックしないようにするには、 ステートメントを no-authentication-check 含めます。

IS-IS helloパケットの認証を抑制するには、 ステートメントを no-hello-authentication 含めます。

PSNF の認証を抑制するには、 ステートメントを no-psnp-authentication 含めます。

CSP の認証を抑制するには、 ステートメントを no-csnp-authentication 含めます。

これらのステートメントを含めることができる階層レベルの一覧は、これらのステートメントのステートメント概要セクションを参照してください。

メモ:

authenticationおよび のno-authenticationステートメントは、同じ階層レベルで設定する必要があります。階層レベルでを[edit protocols isis interface interface-name]設定authenticationし、 階層レベルで[edit protocols isis]を設定no-authenticationしても効果はありません。