所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-MPLS

本文档介绍了设备支持的MPLS相关配置。主要内容包括静态LSP的基本原理和配置过程、MPLS LDP的基本原理和配置过程、MPLS QoS的基本原理和配置过程、MPLS TE的基本原理和配置过程、MPLS OAM的基本原理和配置过程、Seamless MPLS的基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RSVP认证

配置RSVP认证

背景信息

RSVP认证通过使用密钥验证的方法来防止非授权的节点与本节点进行RSVP邻居的建立和防止通过构造报文来达到欺骗的目的。缺省情况下,没有配置RSVP认证。建议配置RSVP认证,提高系统安全性。

RSVP密钥验证可防止以下两种不合法的RSVP邻居的建立,避免对本地节点的攻击(如恶意的预留大量带宽):
  • 防止对端在没有授权的情况下和本节点建立邻居关系;

  • 防止通过伪造RSVP报文的方式和本节点建立RSVP邻居。

但只用RSVP密钥验证不能防止回放攻击,也不能解决因网络拥塞导致RSVP报文失序从而引发RSVP邻居之间认证关系终止的问题。这两个问题可以通过配置handshake功能和message window功能来解决。

为了防止RSVP认证无法终止,可配置RSVP认证生存时间。配置RSVP认证生存后,当RSVP邻居之间不存在CR-LSP时可保持RSVP邻居关系,直到RSVP认证生存时间超时。

RSVP密钥验证可以在接口视图或者MPLS RSVP-TE邻居视图下进行配置。
  • 配置接口视图下的RSVP密钥验证功能:应用于两个直连节点。
  • 配置MPLS RSVP-TE邻居视图下的RSVP密钥验证功能:可以应用于任意两个互相配置为邻居的节点,推荐使用这种配置方式。

请在MPLS TE隧道各节点进行如下配置。

要求在三个刷新周期内,在直连的两个接口都完成配置。如果在三个刷新周期内没有在两个接口都完成配置,则会导致会话Down。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 进入接口视图或者MPLS RSVP-TE邻居视图。

    • 执行命令interface interface-type interface-number,进入MPLS TE链路的接口视图。

      在接口视图下配置的RSVP密钥验证功能,仅在当前接口下生效且优先级最低。

      说明:

      对于以太网接口,还需要执行undo portswitch命令将接口切换到三层模式。

    • 执行命令mpls rsvp-te peer ip-address,进入MPLS RSVP-TE邻居视图。

      • ip-address为邻居的接口地址,且与其LSR-ID不相同时,则该密钥认证是基于邻居接口地址的配置。这种配置方式只对该邻居的该接口生效,具有较高安全性,所以优先级最高。
      • ip-address与邻居LSR-ID相同时,则该密钥认证是基于邻居LSR-ID的配置。这种配置方式将使密钥验证功能在该邻居上生效,而不限定邻居的接口,其优先级低于基于邻居接口地址配置的密钥验证的优先级,但高于接口视图下配置的验证功能的优先级。
      说明:

      当采用对端设备的LSR-ID作为邻居地址时,需要配置RSVP认证的设备上必须使能CSPF功能。

  3. 执行命令mpls rsvp-te authentication { { cipher | plain } auth-key | keychain keychain-name },配置验证密钥。

    可以根据选用的参数,配置HMAC-MD5认证或者Keychain认证。
    • cipher:配置HMAC-MD5认证,并使用密文方式显示认证密钥。

    • plain:配置HMAC-MD5认证,并使用明文方式显示认证密钥。

    • keychain:配置Keychain认证,引用全局配置的Keychain,目前只支持HMAC-MD5方式

      在使用中需要注意,HMAC-MD5属于不安全的加密算法,建议使用Keychain认证。

  4. (可选)执行命令mpls rsvp-te authentication lifetime lifetime,设置RSVP认证生存时间。

    lifetime表示认证生存时间,HH:MM:SS格式,取值范围是00:00:01~23:59:59,缺省值为00:30:00,即30分钟。

    RSVP认证时间的功能是:当RSVP邻居之间不存在CR-LSP时可以保持RSVP邻居关系,直到RSVP认证生存时间超时。RSVP认证时间不影响已存在的CR-LSP的状态。

  5. (可选)执行命令mpls rsvp-te authentication handshake,配置handshake功能。

    在本端配置handshake功能后,如果本端收到一个没有与自己建立RSVP认证关系的邻居所发送的RSVP消息,则本端会发送携带本端标识信息的Challenge消息给该邻居,邻居收到Challenge消息后回应一个Response消息。Response消息中携带了收到的Challenge消息的标识信息。本端收到邻居发来的Response消息,如果其中携带的标识信息与本端一致,就确定可以与该邻居建立RSVP认证关系。

    说明:

    如果在邻居之间配置了Handshake功能,并且需要执行mpls rsvp-te authentication lifetime lifetime命令配置认证生存时间,那么认证生存时间的时长需要大于命令mpls rsvp-te timer refresh配置的RSVP刷新消息的发送时间间隔。

    如果认证生存时间小于RSVP刷新消息的发送时间间隔,会造成在认证生存时间内收不到RSVP刷新消息而删除认证关系。这样,当下一个刷新消息到来的时候就需要重新进行Handshake机制的检测,如此反复会造成TE隧道无法建立或者被删除。

  6. (可选)执行命令mpls rsvp-te authentication window-size window-size,配置message window功能,即指定本地设备可保存的邻居RSVP消息有效序列号的个数。

    缺省情况下,RSVP消息窗口大小是1,即本地设备只能保存邻居RSVP消息的一个最近的最大的序列号。

    当配置的window-size大于1时,本地就可以保存邻居RSVP消息的最近多个有效序列号。

    说明:

    当RSVP接口类型为Eth-Trunk时,RSVP邻居之间只在Trunk链路上建立一个邻居关系。RSVP消息可以从Trunk的任意一个成员接口接收,且各个成员口不是按顺序接收报文的,这样可能造成RSVP消息失序,因此必须配置RSVP消息滑动窗口。建议将滑动窗口大小配置为大于32。如果滑动窗口设置过小,收到的失序的RSVP消息有些可能不在窗口范围内而被丢弃,这样会导致RSVP邻居关系终止。

  7. 执行命令quit,退回系统视图。
  8. (可选)配置challenge消息重传间隔和最大重传次数。

    当两个节点间的认证消息失序以后,一个节点将向另一个节点发送challenge消息请求恢复连接;如果没有收到对端的响应消息,该节点将在一个重传间隔后重传challenge消息。如果达到最大重传次数后,仍未收到对方的响应消息,则认证失败;如果达到最大次数前,认证成功,则清零challenge消息重传计数。

    为了在不同的网络条件下提升RSVP认证的成功率,可配置此步骤调整challenge消息的重传间隔和最大重传次数。

    1. 执行命令mpls,进入MPLS视图。
    2. 执行命令mpls rsvp-te retrans-timer challenge retransmission-interval,配置challenge消息重传间隔。

      缺省情况下,challenge消息的重传间隔为1000ms。

    3. 执行命令mpls rsvp-te challenge-lost max-miss-times,配置RSVP认证过程中认证方允许重传challenge消息的最大次数。

      缺省情况下,challenge消息的最大重传次数为3。

翻译
下载文档
更新时间:2019-08-20

文档编号:EDOC1000141521

浏览量:8196

下载量:343

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页