Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:为 IS-IS 配置无中断身份验证密钥反转

此示例说明如何为 IS-IS 配置无中断身份验证密钥反转。

要求

为 IS-IS 配置无中断身份验证密钥反转之前,不需要除设备初始化之外的特殊配置。

概述

身份验证保证只有可信路由器才能参与路由更新。这种密钥链身份验证方法称为无中断,因为密钥从一个滚动到下一个,不会重置任何对等会话或中断路由协议。Junos OS 同时支持 RFC 5304、 IS-IS 加密身份验证 和 RFC 5310、 IS-IS 通用密码身份验证

此示例包含以下用于配置密钥链的语句:

  • 算法 — 对于密钥链中的每个密钥,可以指定一个加密算法。该算法可以是 SHA-1 或 MD-5。

  • 密钥 — 一个密钥链可以有多个密钥。密钥链中的每个密钥都必须由一个唯一的整数值标识。有效标识符值的范围是 0 到 63。

  • 密钥链 — 对于每个密钥链,必须指定一个名称。此示例定义两个密钥链: base-key-globalbase-key-inter

  • 选项 — 对于密钥链中的每个密钥,可以指定消息身份验证代码的编码:isis-enhancedbasic。默认情况下,基本 (RFC 5304) 操作处于启用状态。

    配置 isis 增强 型选项时,Junos OS 会发送 RFC 5310 编码的路由协议数据包,并接受从其他设备接收的 RFC 5304 编码和 RFC 5310 编码的路由协议数据包。

    配置 基本 (或在密钥配置中不包含 options 语句)时,Junos OS 会发送和接收 RFC 5304 编码的路由协议数据包,并丢弃从其他设备接收的 5310 编码路由协议数据包。

    由于此设置仅适用于 IS-IS,因此 TCP 和 BFD 协议会忽略在密钥中配置的编码选项。

  • 密钥 — 对于密钥链中的每个密钥,您必须设置一个密钥密码。可在 secret 语句中以加密或纯文本格式输入此密码。始终以加密格式显示。

  • 开始时间 — 每个密钥都必须使用 ISO 8601 格式基于 UTC 指定开始时间。控制从一个密钥传递到下一个密钥。当配置的开始时间到达时(基于路由设备的时钟),具有该开始时间的密钥将变为活动状态。开始时间在路由设备的本地时区指定,且在密钥链中必须唯一。

您可以将密钥链全局应用于所有接口,也可以更精细地应用于特定接口。

此示例包含以下语句,用于将密钥链应用于所有接口或特定接口:

  • 认证密钥链 — 允许您在所有级别 1 或所有级别 2 接口的全局 IS-IS 级别应用密钥链。

  • hello-authentication-key-chain — 允许您在单个 IS-IS 接口级别应用密钥链。接口配置将覆盖全局配置。

拓扑

图 1 显示了此示例中使用的拓扑。

图 1:IS-IS 的无中断身份验证密钥反转 Hitless Authentication Key Rollover for IS-IS

此示例显示了路由器 R0 的配置。

配置

程序

CLI R0 快速配置

要为 IS-IS 快速配置无中断身份验证密钥反转,请复制以下命令,并将命令粘贴到 CLI 中。

逐步过程

要为 IS-IS 配置无中断身份验证密钥反转:

  1. 配置路由器 R0 接口。

  2. 配置一个或多个身份验证密钥链和密钥。在此示例中,我们演示了使用全局密钥链和接口级密钥链,两者都有两个密钥。全局密钥链应用于所有 ISIS 2 级接口。此密钥链对 hellos 和 LSP 交换进行验证。接口密钥链特别应用于 ISIS 级别 1 的 ge-0/0/0 接口(接口 A),仅用于验证 hello 交换。

  3. 将基本密钥全局密钥链应用于路由器 R0 上的所有 2 级 ISIS 接口。

  4. 将 1 级 ISIS hello 身份验证的基本密钥链应用于路由器 R0 上的 ge-0/0/0.0 接口。

  5. 完成设备配置后,提交配置。

结果

输入 show interfaces(显示协议)和显示安全命令,以确认您的配置。

验证

要验证配置,请运行以下命令:

  • 显示 isis 身份验证

  • 显示安全密钥链

相关文档