Configuración de la autenticación IS-IS
Todos los intercambios de protocolo IS-IS se pueden autenticar para garantizar que solo los dispositivos de enrutamiento de confianza participen en el enrutamiento del sistema autónomo (AS). De forma predeterminada, la autenticación IS-IS está deshabilitada en el dispositivo de enrutamiento.
Para configurar la autenticación IS-IS, debe definir una contraseña de autenticación y especificar el tipo de autenticación.
Puede configurar uno de los siguientes métodos de autenticación:
Autenticación simple: utiliza una contraseña de texto que se incluye en el paquete transmitido. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. Se incluye autenticación simple para compatibilidad con implementaciones IS-IS existentes. Sin embargo, le recomendamos que no utilice este método de autenticación porque no es seguro (el texto se puede "oler").
PRECAUCIÓN:Una contraseña simple que supere los 254 caracteres se trunca.
Autenticación HMAC-MD5 o SHA-1: utiliza una función hash criptográfica iterada. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete.
También puede configurar una autenticación a nivel de interfaz más detallada para los paquetes de saludo.
Para habilitar la autenticación y especificar un método de autenticación, incluya la instrucción especificando el tipo de authentication-type
autenticación omd5
:simple
authentication-type authentication;
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
Para configurar una contraseña, incluya la authentication-key
instrucción. La contraseña de autenticación para todos los dispositivos de enrutamiento de un dominio debe ser la misma.
authentication-key key;
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
Para configurar la sustitución de claves de autenticación sin visitas, incluya la authentication-key-chain (Protocols IS-IS)
instrucción.
La contraseña puede contener hasta 255 caracteres. Si incluye espacios, escriba todos los caracteres entre comillas (" ").
Si utiliza el software IS-IS de Junos OS con otra implementación de IS-IS, la otra implementación debe configurarse para utilizar la misma contraseña para el dominio, el área y todas las interfaces que se comparten con una implementación de Junos OS.
La autenticación de paquetes de saludo, PDU de número de secuencia parcial (PSNP) y PDU de número de secuencia completa (CSNP) se pueden suprimir para permitir la interoperabilidad con el software de enrutamiento de diferentes proveedores. Diferentes proveedores manejan la autenticación de varias maneras, y suprimir la autenticación para diferentes tipos de PDU puede ser la forma más sencilla de permitir la compatibilidad dentro de la misma red.
Para configurar IS-IS para generar paquetes autenticados, pero no para comprobar la autenticación en los paquetes recibidos, incluya la no-authentication-check
instrucción:
no-authentication-check;
Para suprimir la autenticación de paquetes de saludo IS-IS, incluya la no-hello-authentication
instrucción:
no-hello-authentication;
Para suprimir la autenticación de PSNP, incluya la no-psnp-authentication
instrucción:
no-psnp-authentication;
Para suprimir la autenticación de CSNP, incluya la no-csnp-authentication
instrucción:
no-csnp-authentication;
Para obtener una lista de los niveles jerárquicos en los que puede incluir estas instrucciones, consulte las secciones de resumen de instrucciones de estas instrucciones.
Las authentication
instrucciones y las no-authentication
deben configurarse en el mismo nivel jerárquico. La configuración en el nivel de jerarquía y la configuración authentication
no-authentication
en el nivel de [edit protocols isis interface interface-name]
[edit protocols isis]
jerarquía no tienen ningún efecto.