所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-MPLS

本文档介绍了设备支持的MPLS相关配置。主要内容包括静态LSP的基本原理和配置过程、MPLS LDP的基本原理和配置过程、MPLS QoS的基本原理和配置过程、MPLS TE的基本原理和配置过程、MPLS OAM的基本原理和配置过程、Seamless MPLS的基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置LDP MD5认证

配置LDP MD5认证

背景信息

为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5认证。LDP会话的两个对等体可以配置不同的加密方式,但是密码必须相同。

MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。

对于同一邻居,在配置Keychain认证后,不能再配置MD5认证;同样,在配置MD5认证后,不能再配置Keychain认证。

LDP安全认证的配置,按生效优先级从高到低的排序是:对单对等体的配置、按对等体组批量配置、对所有对等体批量配置。对于同一优先级的配置,Keychain认证和MD5认证是互斥的。对于不同优先级的配置,Keychain认证和MD5认证可以同时配置,但对同一对等体来说,只有高优先级的配置生效。例如:对单对等体Peer1配置了MD5认证后,再对所有对等体批量配置Keychain认证,则Peer1仍采用MD5认证。其他对等体会采用Keychain认证。

配置LDP MD5认证可能会导致LDP会话重建,与原来会话相关的LSP将被删除,造成MPLS业务中断。

说明:

MD5属于不安全的加密算法,建议使用Keychain认证。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mpls ldp,进入MPLS-LDP视图。
  3. 配置LDP MD5认证。

    如果使用plain选项,密码将以明文形式保存在配置文件中,以低级别登录的用户可以通过查看配置方式获取密码,造成安全隐患。因此,建议使用cipher选项,将密码加密保存。

    • 对单对等体配置LDP MD5认证。

      执行命令md5-password { plain | cipher } peer-lsr-id password,使能MD5认证,并配置认证密码。

      缺省情况下,LDP对等体之间不进行MD5认证。

    • 按对等体组批量配置LDP MD5认证。

      1. 执行命令md5-password { plain | cipher } peer-group ip-prefix-name password,按对等体组批量使能MD5认证,并配置认证密码。

        其中,对等体组包含的对等体IP地址范围,由IP地址前缀列表ip-prefix-name来限定。因此,执行此步骤前需要先配置名称为ip-prefix-name的IP地址前缀列表。

      2. (可选)执行命令authentication exclude peer peer-id,指定不认证的对等体。

        缺省情况下,在按对等体组批量配置LDP MD5认证后,限定范围内的所有对等体都会进行MD5认证。如果不希望对某一对等体进行认证,请执行此步骤。

    • 对所有对等体批量配置LDP MD5认证。

      1. 执行命令md5-password { plain | cipher } all password,对所有对等体批量使能MD5认证,并配置认证密码。

      2. (可选)执行命令authentication exclude peer peer-id,指定不认证的对等体。

        缺省情况下,在对所有对等体批量配置LDP MD5认证后,所有对等体都会进行MD5认证。如果不希望对某一对等体进行认证,请执行此步骤。

翻译
下载文档
更新时间:2019-08-20

文档编号:EDOC1000141521

浏览量:8022

下载量:343

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页