Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:IS-IS のヒットレス認証キー ロールオーバーの設定

この例では、IS-ISのヒットレス認証キーロールオーバーを設定する方法を示しています。

要件

IS-ISのヒットレス認証キーロールオーバーを設定する前に、デバイスの初期化以外の特別な設定は必要ありません。

概要

認証では、信頼できるルーターのみがルーティング更新プログラムに参加することを保証します。このキーチェーン認証方法は、ピアリング セッションをリセットしたり、ルーティング プロトコルを中断したりすることなく、キーが 1 つから次のキーにロール オーバーするため、ヒットレスと呼ばれます。Junos OSは、RFC 5304、 IS-IS暗号化認証 、およびRFC 5310、 IS-IS汎用暗号化認証の両方をサポートしています。

この例では、キーチェーンを設定するための以下のステートメントを含みます。

  • アルゴリズム— キーチェーンの各キーに対して、暗号化アルゴリズムを指定できます。アルゴリズムは SHA-1 または MD-5 です。

  • キー — キーチェーンは複数のキーを持つことができます。キーチェーン内の各キーは、一意の整数値で識別する必要があります。有効な識別子値の範囲は、0 ~ 63です。

  • キーチェーン — キーチェーンごとに名前を指定する必要があります。この例では、 base-key-globalbase-key-inter という 2 つのキーチェーンを定義します。

  • オプション—キーチェーンの各キーに対して、メッセージ認証コード:isis-enhanced または basic のエンコーディングを指定できます。基本(RFC 5304)操作は、デフォルトで有効になっています。

    isis-enhancedオプションを設定すると、Junos OSはRFC 5310エンコード済みルーティングプロトコルパケットを送信し、他のデバイスから受信したRFC 5304エンコード済みルーティングプロトコルパケットとRFC 5310エンコード済みルーティングプロトコルパケットの両方を受け入れます。

    基本を設定する(またはキー設定にオプションステートメントを含まない)場合、Junos OSはRFC 5304エンコード済みのルーティングプロトコルパケットを送受信し、他のデバイスから受信した5310エンコード済みルーティングプロトコルパケットを破棄します。

    この設定は IS-IS 専用であるため、TCP および BFD プロトコルはキーで設定されたエンコーディング オプションを無視します。

  • 秘密 — キーチェーンの各キーに対して、秘密パスワードを設定する必要があります。このパスワードは、暗号化またはプレーンテキスト形式で 秘密 のステートメントで入力できます。これは常に暗号化された形式で表示されます。

  • 開始時間 — 各キーは、ISO 8601形式を使用してUTCに基づいて開始時間を指定する必要があります。制御は、あるキーから次のキーに渡されます。設定された開始時間が(ルーティングデバイスのクロックに基づいて)到着すると、その開始時間を持つキーがアクティブになります。開始時間はルーティング デバイスのローカル タイム ゾーンで指定され、キー チェーン内で一意である必要があります。

キーチェーンは、すべてのインターフェイスにグローバルに、または特定のインターフェイスに対してより詳細に適用できます。

この例では、すべてのインターフェイスまたは特定のインターフェイスにキーチェーンを適用するための以下のステートメントを含みます。

  • authentication-key-chain—すべてのレベル 1 またはすべてのレベル 2 インターフェイスに対して、グローバル IS-IS レベルでキーチェーンを適用できます。

  • hello-authentication-key-chain—個々の IS-IS インターフェイス レベルでキーチェーンを適用できます。インターフェイス設定は、グローバル設定を上書きします。

トポロジ

図 1 は、この例で使用したトポロジーを示しています。

図 1:IS-IS のヒットレス認証キー ロールオーバー Hitless Authentication Key Rollover for IS-IS

この例では、ルーター R0 の設定を示しています。

構成

手順

R0 の CLI クイック設定

IS-ISのヒットレス認証キーロールオーバーを迅速に設定するには、以下のコマンドをコピーしてCLIに貼り付けます。

手順

IS-ISのヒットレス認証キーロールオーバーを設定するには:

  1. ルーターR0インターフェイスを設定します。

  2. 1つ以上の認証キーチェーンとキーを設定します。この例では、グローバルレベルとインターフェイスレベルのキーチェーンの両方を使用し、両方とも2つのキーを持つことを示しています。グローバルキーチェーンは、すべてのISISレベル2インターフェイスに適用されます。このキー チェーンは、hellos と LSP の両方の交換を認証します。インターフェイスキーチェーンは、特にISISレベル1のge-0/0/0インターフェイス(インターフェイスA)に適用され、hello交換の認証にのみ使用されます。

  3. ルーターR0上のすべてのレベル2 ISISインターフェイスに、ベースキーグローバルキーチェーンを適用します。

  4. レベル 1 の ISIS hello 認証のベースキー間鍵チェーンを、ルーター R0 の ge-0/0/0.0 インターフェイスに適用します。

  5. デバイスの設定が完了したら、設定をコミットします。

結果

show interfacesshow protocol、show security コマンドを入力して、設定を確認します。

検証

設定を確認するには、以下のコマンドを実行します。

  • show isis 認証

  • show security キーチェーン

関連ドキュメント