了解 IS-IS 的 BFD 身份验证
双向转发检测 (BFD) 可快速检测相邻系统之间的通信故障。默认情况下,BFD 会话身份验证处于禁用状态。但是,通过网络层协议运行 BFD 时,服务攻击的风险可能很大。如果您通过多个跃点或通过不安全的隧道运行 BFD,我们强烈建议使用身份验证。从 Junos OS 9.6 版开始,Junos OS 支持对通过 IS-IS 运行的 BFD 会话进行身份验证。BFD 身份验证仅在国内映像中受支持,导出映像中不提供。
通过指定身份验证算法和密钥链,然后使用密钥链名称将配置信息与安全认证密钥链相关联,即可对 BFD 会话进行验证。
以下部分介绍了支持的身份验证算法、安全密钥链和可配置的身份验证级别:
BFD 身份验证算法
Junos OS 支持以下算法进行 BFD 身份验证:
simple-password — 纯文本密码。使用 1 到 16 个字节的纯文本来验证 BFD 会话。可以配置一个或多个密码。此方法最不安全,仅在 BFD 会话不受数据包拦截的情况下使用。
keyed-md5 — 密钥消息摘要 5 散列算法,适用于传输和接收间隔超过 100 毫秒的会话。要验证 BFD 会话,密钥 MD5 使用一个或多个密钥(由算法生成)和定期更新的序列号。使用此方法,如果其中一个密钥匹配且序列号大于或等于接收的最后一个序列号,则会话接收端接受数据包。虽然此方法比简单的密码更安全,但很容易重播攻击。提高序列号的更新速度可以降低这种风险。
一丝不苟的密钥-md5 — 一丝不苟的密钥消息摘要 5 散列算法。此方法的工作方式与密钥 MD5 相同,但序列号会随每个数据包一起更新。虽然此方法比密钥 MD5 和简单密码更安全,但对会话进行身份验证可能需要额外的时间。
keyed-sha-1 — 密钥安全散列算法 I,适用于传输和接收间隔超过 100 毫秒的会话。要对 BFD 会话进行身份验证,密钥 SHA 使用一个或多个密钥(由算法生成)和定期更新的序列号。密钥不会在数据包中携带。使用此方法,如果其中一个密钥匹配且序列号大于接收的最后一个序列号,则会话接收端接受数据包。
一丝不苟密钥-sha-1 — 一丝不苟密钥安全散列算法 I。此方法的工作方式与密钥 SHA 相同,但序列号会随每个数据包一起更新。虽然此方法比密钥 SHA 和简单密码更安全,但可能需要额外的时间来验证会话。
一丝不苟密钥-md5 和一丝不苟-sha-1 身份验证算法不支持不间断主动路由 (NSR)。切换后,使用这些算法的 BFD 会话可能会关闭。
QFX5000 系列交换机和 EX4600 交换机不支持小于 1 秒的最小间隔值。
安全认证密钥链
安全认证密钥链定义用于更新身份验证密钥的身份验证属性。配置安全认证密钥链并通过密钥链名称与协议相关联时,可以在不中断路由和信令协议的情况下更新身份验证密钥。
身份验证密钥链包含一个或多个密钥链。每个密钥链都包含一个或多个密钥。每个密钥都保存着密钥数据和密钥生效的时间。算法和密钥链必须在 BFD 会话的两端配置,并且它们必须匹配。配置中的任何不匹配都阻止创建 BFD 会话。
BFD 允许每个会话多个客户端,并且每个客户端都可以定义自己的密钥链和算法。为了避免混淆,我们建议只指定一个安全认证密钥链。
严格身份验证与松散身份验证
默认情况下,在每个 BFD 会话的两端启用严格身份验证并检查身份验证。或者,要从未经过身份验证的会话平稳迁移至经过身份验证的会话,您可以配置 松散检查。配置松散检查时,在会话的每一端均接受数据包,而无需检查身份验证。此功能仅适用于过渡期。