配置FIPS模式

在配置FIPS模式后，安全相关的业务需要执行以下操作才能满足FIPS模式的安全要求。

• NTP：切换FIPS模式后，建议执行ntp authentication-keyid设置NTP验证密钥，其中认证算法建议选择HMAC-SHA256算法。
• 单播VRRP：切换FIPS模式前，如果单播VRRP没有配置认证字，那么切换FIPS模式后不需要重新配置认证字；反之，需要执行vrrp vrid authentication-mode命令重新配置认证字，认证算法建议选择simple。
• MSDP：切换FIPS模式后，建议使用peer keychain（MSDP）命令配置MSDP对等体之间建立TCP连接和MSDP消息的Keychain认证，在Keychain中选择安全算法，不建议使用peer password（MSDP）命令配置MD5认证。
• Keychain：切换FIPS模式后，执行algorithm命令配置Key-id认证算法时，不建议使用MD5认证算法，建议使用HMAC-SHA256算法。
• IPSec：切换FIPS模式后，需要执行sa authentication-hex和sa encryption-hex命令重新配置认证密钥和加密密钥，或者执行sa string-key命令重新配置认证密钥。配置ah authentication-algorithm和esp authentication-algorithm命令时不建议使用MD5认证算法。
• DLDP：切换FIPS模式后，需要重新配置dldp authentication-mode命令，不建议使用MD5认证算法。
• 用户登录：切换FIPS模式前，如果未配置set authentication password命令，则切换FIPS模式后无需处理；反之，则需要重新配置。
• SSH：切换FIPS模式后，在服务器端执行ssh server dh-exchange min-len命令，配置SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时，最小密钥长度建议大于1024bits。
• OSPF：切换FIPS模式后，需要执行ospf authentication-mode或authentication-mode（OSPF区域）命令重新配置认证密钥，认证算法建议选择HMAC-SHA256或simple，不建议使用MD5和HMAC-MD5算法。
• OSPFv3：切换FIPS模式后，需要执行ospfv3 authentication-mode命令，或者执行authentication-mode（OSPFv3）命令重新配置认证密钥，认证算法建议选择HMAC-SHA256。
• IS-IS：切换FIPS模式后，需要执行isis authentication-mode、area-authentication-mode或domain-authentication-mode命令重新配置认证密钥，认证算法建议选择HMAC-SHA256、Keychain或simple，不建议使用MD5算法。
• TRILL：切换FIPS模式后，需要执行trill authentication-mode命令重新配置认证密钥，或执行area-authentication-mode（TRILL）命令重新配置认证密钥，认证算法建议选择HMAC-SHA256、Keychain或simple，不建议使用MD5算法。
• RIP：切换FIPS模式后，需要执行rip authentication-mode命令重新配置认证密钥，认证算法建议选择HMAC-SHA256或simple，不建议使用MD5。
• AAA：本地用户密码属于不安全配置，切换FIPS模式后需要重新配置密码。
• BGP：切换FIPS模式后，建议使用peer keychain（BGP）命令配置BGP对等体建立TCP连接和MSDP消息的Keychain认证，在Keychain中选择安全算法，不建议使用peer password命令配置MD5认证。
• BGP：切换FIPS模式后，执行tcp（BMP）命令配置BMP与监控服务器建立TCP连接的链接信息时，不建议使用MD5认证算法，建议使用Keychain算法。