所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 12800 V200R003C00 配置指南-MPLS

本文档介绍了MPLS的配置,具体包括MPLS基础、MPLS LDP配置、MPLS QoS配置、MPLS TE配置和SR-TE配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置LDP Keychain认证

配置LDP Keychain认证

背景信息

为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置Keychain认证。

Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。

对于同一邻居,在配置Keychain认证后,不能再配置MD5认证;同样,在配置MD5认证后,不能再配置Keychain认证。

配置LDP Keychain认证之前,首先要配置全局Keychain。具体配置过程参见《CloudEngine 12800, 12800E系列交换机 配置指南—安全》中的“Keychain配置”。

配置LDP Keychain认证可能会导致LDP会话重建,与原来会话相关的LSP将被删除,造成MPLS业务中断。

说明:

LDP安全认证的配置,按生效优先级从高到低的排序是:对单对等体的配置、按对等体组批量配置、对所有对等体批量配置。对于同一优先级的配置,Keychain认证和MD5认证是互斥的。对于不同优先级的配置,Keychain认证和MD5认证可以同时配置,但对同一对等体来说,只有高优先级的配置生效。例如:对单对等体Peer1配置了MD5认证后,再对所有对等体批量配置Keychain认证,则Peer1仍采用MD5认证。其他对等体会采用Keychain认证。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mpls ldp,进入MPLS-LDP视图。
  3. 配置LDP Keychain认证

    • 对单对等体配置LDP Keychain认证

      执行命令authentication key-chain peer peer-id name keychain-name,使能LDP Keychain认证,并引用配置的Keychain名称。

      缺省情况下,LDP对等体之间不进行LDP Keychain认证。

    • 按对等体组批量配置LDP Keychain认证

      1. 执行命令authentication key-chain peer-group ip-prefix-name name keychain-name,按对等体组批量使能LDP Keychain认证,并引用配置的Keychain名称。

        其中,对等体组包含的对等体IP地址范围,由IP地址前缀列表ip-prefix-name来限定。因此,执行此步骤前需要先配置名称为ip-prefix-name的IP地址前缀列表。

      2. (可选)执行命令authentication exclude peer peer-id,指定不认证的对等体。

        缺省情况下,在按对等体组批量配置LDP Keychain认证后,限定范围内的所有对等体都会进行Keychain认证。如果不希望对某一对等体进行认证,请执行此步骤。

    • 对所有对等体批量配置LDP Keychain认证

      1. 执行命令authentication key-chain all name keychain-name,对所有对等体批量使能LDP Keychain认证,并引用配置的Keychain名称。

      2. (可选)执行命令authentication exclude peer peer-id,指定不认证的对等体。

        缺省情况下,在对所有对等体批量配置LDP Keychain认证后,所有对等体都会进行Keychain认证。如果不希望对某一对等体进行认证,请执行此步骤。

  4. 执行命令commit,提交配置。
翻译
下载文档
更新时间:2019-05-05

文档编号:EDOC1100004215

浏览量:27398

下载量:474

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页