Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IS-IS 認証の設定

すべてのIS-ISプロトコル交換を認証することで、信頼済みのルーティングデバイスだけが自律システム(AS)ルーティングに参加することを保証できます。デフォルトでは、ルーティングデバイスではIS-IS認証は無効になっています。

IS-IS認証を設定するには、認証パスワードを定義し、認証タイプを指定する必要があります。

次のいずれかの認証方法を設定できます。

  • 簡易認証 - 送信パケットに含まれるテキストパスワードを使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。既存の IS-IS 実装との互換性のために、簡易認証が含まれています。ただし、この認証方法は安全でないため、使用 しない ことをお勧めします (テキストが "スニッフィング" される可能性があります)。

    注意:

    254 文字を超える単純なパスワードは切り捨てられます。

  • HMAC-MD5 認証 - 反復暗号化ハッシュ関数を使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。

また、helloパケットに対して、よりきめ細かなインターフェイスレベルの認証を設定することもできます。

認証を有効にして認証方法を指定するには、 authentication-type ステートメントを含め、 simple または md5 認証タイプを指定します。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要のセクションを参照してください。

パスワードを設定するには、 authentication-key ステートメントを含めます。ドメイン内のすべてのルーティングデバイスの認証パスワードは同じである必要があります。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要のセクションを参照してください。

ヒットレス認証キーのロールオーバーを設定するには、 authentication-key-chain (Protocols IS-IS) ステートメントを含めます。

パスワードは最大 255 文字です。スペースを含む場合は、すべての文字を引用符(" ")で囲んでください。

IS-IS の別の実装で Junos OS IS-IS ソフトウェアを使用する場合、もう一方の実装は、Junos OS 実装と共有されるドメイン、エリア、およびすべてのインターフェイスに同じパスワードを使用するように設定する必要があります。

helloパケット、部分シーケンス番号PDU(PSNP)、および完全シーケンス番号PDU(CSNP)の認証を抑制して、異なるベンダーのルーティングソフトウェアとの相互運用性を実現できます。ベンダーによって認証の処理方法はさまざまですが、同じネットワーク内で互換性を確保するには、さまざまなPDUタイプの認証を抑制するのが最も簡単な方法かもしれません。

IS-IS が認証済みパケットを生成するように設定するが、受信パケットの認証をチェックしないように設定するには、 no-authentication-check ステートメントを含めます。

IS-IS Helloパケットの認証を抑制するには、 no-hello-authentication ステートメントを含めます。

PSNPの認証を抑制するには、 no-psnp-authentication ステートメントを含めます。

CSNP の認証を抑制するには、 no-csnp-authentication ステートメントを含めます。

これらのステートメントを含めることができる階層レベルの一覧は、これらのステートメントのステートメント概要セクションを参照してください。

手記:

authenticationno-authenticationステートメントは、同じ階層レベルで設定する必要があります。[edit protocols isis interface interface-name]階層レベルでauthenticationを設定し、[edit protocols isis]階層レベルでno-authenticationを設定しても、効果はありません。