IS-IS 인증 구성
모든 IS-IS 프로토콜 교환은 신뢰할 수 있는 라우팅 디바이스만 AS(Autonomous System) 라우팅에 참여하는 것을 보증하도록 인증될 수 있습니다. 기본적으로 IS-IS 인증은 라우팅 디바이스에서 비활성화됩니다.
IS-IS 인증을 구성하려면 인증 패스워드를 정의하고 인증 유형을 지정해야 합니다.
다음 인증 방법 중 하나를 구성할 수 있습니다.
단순 인증 - 전송된 패킷에 포함된 텍스트 비밀번호를 사용합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다. 기존 IS-IS 구현과의 호환성을 위해 단순 인증이 포함됩니다. 그러나 이 인증 방법은 안전하지 않으므로 사용하지 않는 것이 좋습니다(텍스트가 "스니핑"될 수 있음).
주의:254자를 초과하는 단순 암호는 잘립니다.
HMAC-MD5 인증—반복되는 암호화 해시 함수를 사용합니다. 수신 라우팅 디바이스는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다.
또한 Hello 패킷에 대해 보다 세분화된 인터페이스 수준 인증을 구성할 수 있습니다.
인증을 활성화하고 인증 방법을 지정하려면 또는 md5 인증 유형을 지정하는 명령문을 포함 authentication-type 하십시오.simple
authentication-type authentication;
이 명령문은 [edit protocols isis] 계층 수준 또는 계층에서 [edit protocols isis interface interface-name] 구성할 수 있습니다.
암호를 구성하려면 문을 포함합니다 authentication-key . 도메인 내 모든 라우팅 디바이스의 인증 패스워드는 동일해야 합니다.
authentication-key key;
무중단 인증 키 롤오버를 authentication-key-chain (Protocols IS-IS) 구성하려면 문을 포함합니다.
암호는 최대 255자까지 입력할 수 있습니다. 공백이 포함되어 있는 경우, 모든 문자를 따옴표(" ")로 묶습니다.
IS-IS의 다른 구현과 함께 Junos OS IS-IS 소프트웨어를 사용하는 경우, 다른 구현은 Junos OS 구현과 공유되는 도메인, 영역 및 모든 인터페이스에 대해 동일한 암호를 사용하도록 구성되어야 합니다.
Hello 패킷, PSNP(Partial Sequence Number PDU) 및 CSNP(Complete Sequence Number PDU)의 인증을 억제하여 서로 다른 벤더의 라우팅 소프트웨어와 상호 운용성을 지원할 수 있습니다. 서로 다른 공급업체는 다양한 방식으로 인증을 처리하며, 서로 다른 PDU 유형에 대한 인증을 억제하는 것이 동일한 네트워크 내에서 호환성을 허용하는 가장 간단한 방법일 수 있습니다.
인증된 패킷을 생성하되 수신된 패킷에 대한 인증을 확인하지 않도록 IS-IS(Intermediate System to Intermediate System)를 구성하려면, 문을 포함합니다:no-authentication-check
no-authentication-check;
IS-IS Hello 패킷의 인증을 억제하려면 문을 포함합니다.no-hello-authentication
no-hello-authentication;
PSNP 인증을 억제하려면 문을 포함합니다 no-psnp-authentication .
no-psnp-authentication;
CSNP 인증을 억제하려면 문을 포함합니다.no-csnp-authentication
no-csnp-authentication;
및 no-authentication 명령문은 authentication 동일한 계층 수준에서 구성해야 합니다. 계층 수준에서 을(를) 구성 authentication [edit protocols isis interface interface-name] 하고 계층 수준에서 을(를) 구성 no-authentication [edit protocols isis] 하면 효과가 없습니다.