配置LDP安全机制

AR100-S, AR110-S, AR120-S, AR150-S, AR160-S, AR200-S, AR1200-S, AR2200-S, AR3200-S V200R009 配置指南-MPLS（命令行）

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置LDP安全机制

在对安全性要求较高的网络中，可以通过配置LDP MD5认证、LDP Keychain认证、LDP GTSM来提高网络的安全性。

前置任务

在配置LDP安全机制之前，需完成以下任务：

配置MPLS LDP基本功能。

配置流程

以下任务没有顺序关系，可以根据需要选择执行下面的配置任务。但对于同一邻居，配置LDP MD5认证和配置LDP Keychain认证只能二选一。

配置LDP MD5认证
配置LDP Keychain认证
配置LDP GTSM
检查LDP安全机制配置结果

配置LDP MD5认证

背景信息

为了提高LDP会话连接的安全性，可以对LDP使用的TCP连接配置MD5认证。LDP会话的两个对等体可以配置不同的加密方式，但是密码必须相同。

MD5算法配置简单，配置后生成单一密码，需要人为干预才可以切换密码，适用于需要短时间加密的网络。

对于同一邻居，在配置Keychain认证后，不能再配置MD5认证；同样，在配置MD5认证后，不能再配置Keychain认证。在使用中需要注意，MD5属于不安全的加密算法，建议使用Keychain认证。

配置LDP MD5认证可能会导致LDP会话重建，与原来会话相关的LSP将被删除，造成MPLS业务中断。

操作步骤

执行命令system-view，进入系统视图。
执行命令mpls ldp，进入MPLS-LDP视图。
执行命令md5-password { plain | cipher } peer-lsr-id password，使能MD5认证，并配置认证密码。
缺省情况下，LDP对等体之间不进行MD5认证。

如果使用plain选项，密码将以明文形式保存在配置文件中，以低级别登录的用户可以通过查看配置方式获取密码，造成安全隐患。因此，建议使用cipher选项，将密码加密保存。

配置LDP Keychain认证

背景信息

为了提高LDP会话连接的安全性，可以对LDP使用的TCP连接配置Keychain认证。

Keychain具有一组密码，可以根据配置自动切换，但是配置过程较为复杂，适用于对安全性能要求比较高的网络。

对于同一邻居，在配置Keychain认证后，不能再配置MD5认证；同样，在配置MD5认证后，不能再配置Keychain认证。

配置LDP Keychain认证之前，首先要配置全局Keychain。具体配置过程参见《Huawei AR系列接入路由器配置指南—安全》中的“Keychain配置”。

配置LDP Keychain认证可能会导致LDP会话重建，与原来会话相关的LSP将被删除，造成MPLS业务中断。

操作步骤

执行命令system-view，进入系统视图。
执行命令mpls ldp，进入MPLS-LDP视图。
执行命令authentication key-chain peer peer-id name keychain-name，使能LDP Keychain认证，并引用配置的Keychain名称。
缺省情况下，LDP对等体之间不进行LDP Keychain认证。

配置LDP GTSM

背景信息

通用TTL安全保护机制GTSM（Generalized TTL Security Mechanism）通过判定报文的TTL值，确定报文是否有效，从而保护设备免受攻击。在LDP对等体上配置GTSM功能，通过配置的TTL有效范围，对LDP对等体间的LDP消息报文进行TTL检测。如果LDP消息报文的TTL不符合配置的范围要求，就认为此报文为非法攻击报文予以丢弃，以免LDP协议在收到大量伪装报文时，因处理大量伪装报文而受到攻击，进而实现对上层协议的保护。

操作步骤

执行命令system-view，进入系统视图。
执行命令mpls ldp，进入MPLS LDP视图。
执行命令gtsm peer ip-address valid-ttl-hops hops，配置LDP GTSM功能。
缺省情况下，没有在任何LDP对等体上配置GTSM功能。

如果将hops设置为GTSM功能允许的最大有效跳数，当LDP对等体发来报文的TTL值在[255–hops+1，255]范围内，则接收该报文，否则丢弃该报文。

检查LDP安全机制配置结果

前提条件

已经完成LDP安全特性的所有配置。

操作步骤

执行命令display mpls ldp session verbose，查看LDP MD5认证、LDP Keychain认证的配置情况。
执行命令display gtsm statistics all，查看GTSM的统计信息。

配置LDP MD5认证
配置LDP Keychain认证
配置LDP GTSM
检查LDP安全机制配置结果

翻译

English

下载文档

更新时间：2020-09-07

文档编号：EDOC1000174144

浏览量：11304

下载量：381

平均得分:

本文档适用于这些产品

提示

前置任务

配置流程

配置LDP MD5认证

背景信息

操作步骤

配置LDP Keychain认证

背景信息

操作步骤

配置LDP GTSM

背景信息

操作步骤

检查LDP安全机制配置结果

前提条件

操作步骤

相关版本

相关文档

关于华为

如何购买

合作伙伴

资源

快速链接

企业业务App

提示

企业用户

集团网站

个人用户

运营商用户

AFRICA

LATIN AMERICA

MIDDLE EAST

ASIA PACIFIC

NORTH AMERICA

EUROPE

配置LDP安全机制

前置任务

配置流程

配置LDP MD5认证

背景信息

操作步骤

配置LDP Keychain认证

背景信息

操作步骤

配置LDP GTSM

背景信息

操作步骤

检查LDP安全机制配置结果

前提条件

操作步骤

相关版本

相关文档

关于华为

如何购买

合作伙伴

资源

快速链接

企业业务App