Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

身份验证(BGP BFD 活动性检测)

 

语法

层次结构级别

Release Information

Junos OS 版本 8.1 中引入的语句。

在 EX 系列交换机 Junos OS 版本9.0 中引入的语句。

支持 Junos OS 版本9.6 中引入的 BFD 认证。

在 QFX 系列 Junos OS 版本12.1 中引入的语句。

Junos OS 版本14.1 版中引入的语句,用于 OCX 系列 X53-D20。

说明

指定路由器和路由身份验证,以缓解已配置为与其他路由器共享错误路由信息的计算机或路由器攻击的风险。路由器和路由认证使路由器能够仅在根据密码(密钥)验证是否与可靠来源通信时才共享信息。在此方法中,哈希键与发送到另一个路由器的路由一起发送。接收路由器将发送的密钥与自己配置的密钥进行比较。如果两者相同,则接收方路由器接受路由。

选项

认证 算法名称配置用于验证指定 BFD 会话的算法。

值: 指定以下算法名称之一:

  • 简单密码—纯文本密码。使用一至 16 个字节的纯文本来验证 BFD 会话的身份。可配置一个或多个密码。这种方法最不安全,仅当 BFD 会话不会受到数据包拦截时才应使用。

  • 键控-md5—键控消息摘要5哈希算法,用于传输和接收间隔超过 100 ms 的会话。为了验证 BFD 会话的身份,键控 MD5 使用一个或多个密钥(由算法生成)和定期更新的序列号。通过这种方法,如果一个键匹配且序列号大于或等于收到的最后一个序列号,数据包将在接收端的会话中接受。虽然比简单密码更安全,但此方法容易出现重放攻击。提高序列号更新的速度可以降低此风险。

  • meticulous 键控-md5—Meticulous 键控消息摘要5哈希算法。此方法的工作方式与键控 MD5 相同,但序列号随每个数据包一起更新。尽管安全性比键控 MD5 和简单密码更安全,但此方法可能需要额外的时间来验证会话。

  • 键控-1—键控安全哈希算法 I 表示传输和接收间隔超过 100 ms 的会话。为了验证 BFD 会话的身份,键控 SHA 使用一个或多个密钥(由算法生成)和定期更新的序列号。密钥未在数据包内携带。借助这种方法,如果一个键匹配且序列号大于最后接收的序列号,数据包将在接收到的会话结束时接受。

  • meticulous 键控-1—Meticulous 加密安全哈希算法 I。此方法的工作方式与键控 SHA 相同,但序列号随每个数据包更新。虽然比键控 SHA 和简单密码更安全,但此方法可能需要额外时间来验证会话。

钥匙链 键链名称指定身份验证 keychain 的名称。Keychain 名称必须与在key-chain key-chain-name[edit security authentication-key-chain]层次结构级别上使用该语句配置的 keychains 之一匹配。

身份验证 keychain 将安全密钥与指定的 BFD 会话相关联。Keychain 中的每个关键都有唯一的开始时间。Keychain 身份验证允许您定期更改密码信息,而无需关闭对等会话。这种 keychain 身份验证方法称为无中断,因为密钥从一个到下一个,但没有重置任何对等会话或中断路由协议。

松散检查指定 BFD 会话上的松散身份验证检查。只有在 BFD 会话的两端不配置身份验证时,才能对过渡期使用松散身份验证。

默认情况下,将启用严格身份验证,并在每个 BFD 会话的两端检查身份验证。或者,要使从未经身份验证的会话到经过身份验证的会话的平滑迁移,您可以配置松散检查。如果配置松散检查,在会话的每一端都不会检查是否有数据包被接受。

缺省值: 严格身份验证已启用。指定松散检查以禁用它。

所需的权限级别

路由—以查看配置中的此语句。

用于将此—语句添加到配置中的路由控制。