IS-IS認証の設定
すべてのIS-ISプロトコル交換を認証して、信頼できるルーティングデバイスのみが自律システム(AS)ルーティングに参加することを保証できます。デフォルトでは、ルーティングデバイスではIS-IS認証は無効になっています。
IS-IS認証を設定するには、認証パスワードを定義し、認証タイプを指定する必要があります。
以下の認証方法のいずれかを設定できます。
シンプル認証—送信パケットに含まれるテキスト パスワードを使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。既存の IS-IS 実装との互換性を確保するため、シンプルな認証が含まれています。ただし、この認証方法は安全 ではないため 、使用しないことをお勧めします(テキストを「スニッフィング」する可能性があります)。
注意:254 文字を超える単純なパスワードは切り捨てられます。
HMAC-MD5認証-反復された暗号化ハッシュ関数を使用します。受信側のルーティング デバイスは、認証キー(パスワード)を使用してパケットを検証します。
また、helloパケットに対して、よりきめ細かなインターフェイスレベル認証を設定することもできます。
認証を有効にし、認証方法を指定するには、 ステートメントをauthentication-type
含め、 または md5
認証タイプをsimple
指定します。
authentication-type authentication;
このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。
パスワードを設定するには、 ステートメントを authentication-key
含めます。ドメイン内のすべてのルーティング デバイスの認証パスワードは同じにする必要があります。
authentication-key key;
このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。
ヒットレス認証キーロールオーバーを設定するには、 ステートメントを authentication-key-chain (Protocols IS-IS)
含めます。
パスワードには、最大 255 文字を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲みます。
Junos OS IS-IS ソフトウェアを別の IS-IS 実装と併用する場合、他の実装は、Junos OS 実装と共有されるドメイン、エリア、およびすべてのインターフェイスに同じパスワードを使用するように設定する必要があります。
hello パケット、部分シーケンス番号 PDU(PSNP)、完全なシーケンス番号 PDU(CSNP)の認証を抑制して、異なるベンダーのルーティング ソフトウェアとの相互運用性を可能にします。さまざまなベンダーがさまざまな方法で認証を処理するため、PDU タイプごとに認証を抑制することが、同じネットワーク内での互換性を可能にする最も簡単な方法かもしれません。
認証されたパケットを生成するようにIS-ISを設定し、受信したパケットの認証をチェックしないようにするには、 ステートメントを no-authentication-check
含めます。
no-authentication-check;
IS-IS helloパケットの認証を抑制するには、 ステートメントを no-hello-authentication
含めます。
no-hello-authentication;
PSNF の認証を抑制するには、 ステートメントを no-psnp-authentication
含めます。
no-psnp-authentication;
CSP の認証を抑制するには、 ステートメントを no-csnp-authentication
含めます。
no-csnp-authentication;
これらのステートメントを含めることができる階層レベルの一覧は、これらのステートメントのステートメント概要セクションを参照してください。
authentication
および のno-authentication
ステートメントは、同じ階層レベルで設定する必要があります。階層レベルでを[edit protocols isis interface interface-name]
設定authentication
し、 階層レベルで[edit protocols isis]
を設定no-authentication
しても効果はありません。