例:IS-IS のヒットレス認証キー ロールオーバーの設定

IS-IS のヒットレス認証鍵ロールオーバーを設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

認証により、信頼できるルーターのみがルーティング更新に参加することが保証されます。このキーチェーン認証方法は、ピアリングセッションをリセットしたり、ルーティングプロトコルを中断したりすることなく、キーが1つのキーから次のキーにロールオーバーするため、ヒットレスと呼ばれます。Junos OSは、RFC 5304、 IS-IS暗号化認証 とRFC 5310、 IS-IS汎用暗号化認証の両方をサポートしています。

この例では、キーチェーンを設定するための次のステートメントが含まれています。

• algorithm:キーチェーン内のキーごとに、暗号化アルゴリズムを指定できます。アルゴリズムは SHA-1 または MD-5 です。

• キー - キーチェーンは複数のキーを持つことができます。キーチェーン内の各キーは、一意の整数値で識別される必要があります。有効な ID 値の範囲は 0 から 63 です。

• key-chain:キーチェーンごとに、名前を指定する必要があります。この例では、 base-key-global と base-key-inter の 2 つのキーチェーンを定義しています。

• options—キーチェーン内の各キーに対して、メッセージ認証コードのエンコーディング(isis-enhanced または basic)を指定できます。基本(RFC 5304)操作はデフォルトで有効になっています。

  isis-enhanced オプションを設定すると、Junos OS は RFC 5310 エンコードされたルーティングプロトコルパケットを送信し、他のデバイスから受信された RFC 5304 エンコードされたルーティングプロトコルパケットと RFC 5310 エンコードされたルーティングプロトコルパケットの両方を受け入れます。

  basic を設定する(またはキー設定に options ステートメントを含めない)場合、Junos OS は RFC 5304 エンコード ルーティング プロトコル パケットを送受信し、他のデバイスから受信した 5310 エンコード ルーティング プロトコル パケットをドロップします。

  この設定はIS-IS専用であるため、TCPおよびBFDプロトコルはキーで構成されたエンコードオプションを無視します。

• secret:キーチェーン内のキーごとに、秘密のパスワードを設定する必要があります。このパスワードは、 シークレット ステートメントに暗号化またはプレーンテキスト形式で入力できます。常に暗号化された形式で表示されます。

• start-time - 各キーは、ISO 8601 形式を使用して UTC に基づく開始時間を指定する必要があります。制御は 1 つのキーから次のキーに渡されます。(ルーティングデバイスのクロックに基づいて)設定された開始時間が来ると、その開始時間を持つキーがアクティブになります。開始時間は、ルーティングデバイスのローカルタイムゾーンで指定され、キーチェーン内で一意である必要があります。

キーチェーンは、すべてのインターフェイスにグローバルに適用することも、特定のインターフェイスに細かく適用することもできます。

この例では、すべてのインターフェイスまたは特定のインターフェイスにキーチェーンを適用するための以下のステートメントが含まれています。

• authentication-key-chain—すべてのレベル 1 またはすべてのレベル 2 インターフェイスに、グローバル IS-IS レベルでキーチェーンを適用できます。

• hello-authentication-key-chain:個々の IS-IS インターフェイス レベルでキーチェーンを適用できます。インターフェイスの設定は、グローバル設定よりも優先されます。

• プロシージャ
• 業績

設定を確認するには、次のコマンドを実行します。

• ISIS認証を表示

• セキュリティキーチェーンを表示