所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置key

配置key

背景信息

配置Keychain时,key代表Keychain认证规则,每一个key包括:认证算法、认证加密的密钥、活跃的发送时间、活跃的接收时间,以及该key是否为缺省的发送key。一个Keychain中最多可以有64个key。

同一个Keychain中key必须唯一。不同的Keychain中key ID可以相同。同一Keychain中不能有多个发送key同时生效,否则应用程序无法选择应用哪个发送key进行加密。但是同一Keychain中可以有多个接收key同时生效,接收端会根据接收到的key ID,选择ID相同的活跃的接收key进行解密。

如果发送端的key发生变更,接收端的key也需要变更。由于网络上时钟可能不同步,在接收端和发送端变更key时,有可能存在时间延迟。在延迟的时间范围内会造成数据丢失。为了实现两端key变更时不丢包,可以配置接收容忍时间。接收容忍时间只对接收端的key有效。接收容忍时间将导致接收的起始和终止的时间延长。

如果在某个时间段管理员没有配置key,此时将没有活跃的发送key。在该时间段,应用程序将没有认证的交互。为了避免这种情况,可以配置缺省发送key。任何存在的key都可以被指定为缺省发送key,在一个Keychain中只能有一个缺省发送key。在没有其他活跃的发送key时,应用程序将使用缺省发送key作为活跃的发送key。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令keychain keychain-name,进入Keychain视图。
  3. 执行命令time mode { utc | lmt },配置Keychain的时间模式。
  4. 执行命令key-id key-id,创建key-id,并进入key-id视图。
  5. 执行命令algorithm { hmac-md5 | hmac-sha-256 | hmac-sha1-12 | hmac-sha1-20 | md5 | sha-1 | sha-256 | simple },配置key采用的认证加密算法。

    各个应用程序支持的算法有不同,具体情况如下:

    RIP支持MD5和simple;BGP和BGP4+支持MD5;IS-IS支持HMAC-MD5和simple;OSPF支持MD5、simple和HMAC-MD5;MSDP支持MD5;MPLS的LDP支持MD5,MPLS的TE支持HMAC-MD5

  6. 执行命令key-string { plain plain-text | [ cipher ] cipher-text },配置key的认证加密的密钥。

    说明:

    配置认证密码时,请尽量选择密文模式,因为明文格式密码会以明文的方式保存在配置文件中,有高安全风险。为保证设备安全,请定期修改密码。

  7. 配置发送时间。创建Keychain时,选择的时间模式不同,配置发送时间的命令也不同。具体请参考表14-2

    表14-2  配置发送时间

    创建Keychain的模式

    配置发送时间的命令

    absolute

    send-time start-time start-date { duration { duration-value | infinite } | to end-time end-date }

    periodic daily

    send-time daily start-time to end-time

    periodic weekly

    send-time day { start-day-name to end-day-name | day-name &<1-7> }

    periodic monthly

    send-time date { start-date-value to end-date-value | date-value &<1-31> }

    periodic yearly

    send-time month { start-month-name to end-month-name | month-name &<1-12> }

    说明:
    建议配置NTP(Network Time Protocol),使网络中各设备的时钟保持一致,以避免因为时钟不同步,而产生混乱。

  8. 配置接收时间。创建Keychain时,选择的时间模式不同,配置接收时间的命令也不同。具体请参考表14-3

    表14-3  配置接收时间

    创建Keychain的模式

    配置接收时间的命令

    absolute

    receive-time start-time start-date { duration { duration-value | infinite } | to end-time end-date }

    periodic daily

    receive-time daily start-time to end-time

    periodic weekly

    receive-time day { start-day-name to end-day-name | day-name &<1-7> }

    periodic monthly

    receive-time date { start-date-value to end-date-value | date-value &<1-31> }

    periodic yearly

    receive-time month { start-month-name to end-month-name | month-name &<1-12> }

  9. (可选)执行命令default send-key-id,配置该key为缺省发送key。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32343

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页