配置区域或路由域的认证
背景信息
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
区域认证会将认证密码封装在Level-1区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。
路由域认证是将认证密码封装在Level-2区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。
在配置区域或路由域的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。
Simple和MD5认证模式存在安全风险,推荐使用HMAC-SHA256认证模式。
在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。
无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令isis [ process-id ],进入IS-IS视图。
- 以下命令是并列关系,可以同时配置,请根据实际需要选择执行以下命令。
执行命令area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } [ ip | osi ] | keychain keychain-name } [ snp-packet { authentication-avoid | send-only } | all-send-only ],设置区域认证模式。
缺省情况下,系统不对产生的Level-1路由信息报文封装认证信息,也不会验证收到的Level-1路由信息报文。
执行命令domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } [ ip | osi ] | keychain keychain-name } [ snp-packet { authentication-avoid | send-only } | all-send-only ],设置路由域认证模式。
缺省情况下,系统不对产生的Level-2路由信息报文封装认证信息,也不会验证收到的Level-2路由信息报文。
认证支持以下几种组合形式:
对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。
对发送的LSP封装认证信息并检查收到的LSP,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。
对发送的LSP和SNP都封装认证信息,只检查收到的LSP,不检查收到的SNP。该情况下需要配置参数snp-packet send-only。
对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only。
如果选用keychain方式认证,则key采用的认证加密算法必须配置为hmac-md5或hmac-sha-256。
- 执行命令commit,提交配置。
