所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 12800 V200R003C00 配置指南-MPLS

本文档介绍了MPLS的配置,具体包括MPLS基础、MPLS LDP配置、MPLS QoS配置、MPLS TE配置和SR-TE配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RSVP认证

配置RSVP认证

背景信息

RSVP认证通过使用密钥验证的方法来防止非授权的节点与本节点进行RSVP邻居的建立和防止通过构造报文来达到欺骗的目的。缺省情况下,没有配置RSVP认证。建议配置RSVP认证,否则系统可能不安全。

RSVP密钥验证可防止以下两种不合法的RSVP邻居的建立,避免对本地节点的攻击(如恶意的预留大量带宽):
  • 防止对端在没有授权的情况下和本节点建立邻居关系;

  • 防止通过伪造RSVP报文的方式和本节点建立RSVP邻居。

但只用RSVP密钥验证不能防止回放攻击,也不能解决因网络拥塞导致RSVP报文失序从而引发RSVP邻居之间认证关系终止的问题。这两个问题可以通过配置handshake功能和message window功能来解决。

为了防止RSVP认证无法终止,可配置RSVP认证生存时间。配置RSVP认证生存后,当RSVP邻居之间不存在CR-LSP时可保持RSVP邻居关系,直到RSVP认证生存时间超时。

请在MPLS TE隧道各节点进行如下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 进入接口视图或者MPLS RSVP-TE邻居视图。

    • 执行命令interface interface-type interface-number,进入MPLS TE链路的接口视图。

      在接口视图下配置的RSVP密钥验证功能,仅在当前接口下生效且优先级最低。

    • 进入MPLS RSVP-TE邻居视图
      1. 执行命令mpls,进入MPLS视图。
      2. 执行命令mpls rsvp-te peer ip-address,进入MPLS RSVP-TE邻居视图。
        • ip-address为邻居的接口地址,且与其LSR-ID不相同时,则该密钥认证是基于邻居接口地址的配置。这种配置方式只对该邻居的该接口生效,具有较高安全性,所以优先级最高。
        • ip-address与邻居LSR-ID相同时,则该密钥认证是基于邻居LSR-ID的配置。这种配置方式将使密钥验证功能在该邻居上生效,而不限定邻居的接口,其优先级低于基于邻居接口地址配置的密钥验证的优先级,但高于接口视图下配置的验证功能的优先级。
        说明:

        当采用对端设备的LSR-ID作为邻居地址时,需要配置RSVP认证的设备上必须使能CSPF功能。

  3. 执行命令mpls rsvp-te authentication { { cipher | plain } auth-key | keychain keychain-name },配置验证密钥。

    可以根据选用的参数,配置HMAC-MD5认证或者Keychain认证。
    • cipher:配置HMAC-MD5认证,并使用密文方式显示认证密钥。

    • plain:配置HMAC-MD5认证,并使用明文方式显示认证密钥。

    • keychain:配置Keychain认证,引用全局配置的Keychain,目前只支持HMAC-MD5方式

      在使用中需要注意,HMAC-MD5属于不安全的加密算法,建议使用Keychain认证。

  4. (可选)执行命令mpls rsvp-te authentication lifetime lifetime,设置RSVP认证生存时间。

    lifetime表示认证生存时间,HH:MM:SS格式,取值范围是00:00:01~23:59:59,缺省值为00:30:00,即30分钟。

    RSVP认证时间的功能是:当RSVP邻居之间不存在CR-LSP时可以保持RSVP邻居关系,直到RSVP认证生存时间超时。RSVP认证时间不影响已存在的CR-LSP的状态。

  5. (可选)执行命令mpls rsvp-te authentication handshake,配置handshake功能。

    只有在RSVP认证双方均配置handshake功能,该功能才能生效。

  6. (可选)执行命令mpls rsvp-te authentication window-size window-size,配置message window功能,即指定本地设备可保存的邻居RSVP消息有效序列号的个数。

    缺省情况下,RSVP消息窗口大小是1,即本地设备只能保存邻居RSVP消息的一个最近的最大的序列号。

    当配置的window-size大于1时,本地就可以保存邻居RSVP消息的最近多个有效序列号。

    说明:

    当RSVP接口类型为Eth-Trunk时,RSVP邻居之间只在Trunk链路上建立一个邻居关系。RSVP消息可以从Trunk的任意一个成员接口接收,且各个成员口不是按顺序接收报文的,这样可能造成RSVP消息失序,因此必须配置RSVP消息滑动窗口。建议将滑动窗口大小配置为大于32。如果滑动窗口设置过小,收到的失序的RSVP消息有些可能不在窗口范围内而被丢弃,这样会导致RSVP邻居关系终止。

  7. 执行命令quit,退回系统视图。
  8. (可选)配置challenge消息重传间隔和最大重传次数。

    当两个节点间的认证消息失序以后,一个节点将向另一个节点发送challenge消息请求恢复连接;如果没有收到对端的响应消息,该节点将在一个重传间隔后重传challenge消息。如果达到最大重传次数后,仍未收到对方的响应消息,则认证失败;如果达到最大次数前,认证成功,则清零challenge消息重传计数。

    为了在不同的网络条件下提升RSVP认证的成功率,可配置此步骤调整challenge消息的重传间隔和最大重传次数。

    1. 执行命令mpls rsvp-te retrans-timer challenge retransmission-interval,配置challenge消息重传间隔。

      缺省情况下,challenge消息的重传间隔为1000ms。

    2. 执行命令mpls rsvp-te challenge-lost max-miss-times,配置RSVP认证过程中认证方允许重传challenge消息的最大次数。

      缺省情况下,challenge消息的最大重传次数为3。

  9. 执行命令commit,提交配置。
翻译
下载文档
更新时间:2019-05-05

文档编号:EDOC1100004215

浏览量:27638

下载量:477

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页