例:IS-IS のヒットレス認証キー ロールオーバーの設定
この例では、IS-ISのヒットレス認証キーロールオーバーを設定する方法を示しています。
要件
IS-ISのヒットレス認証キーロールオーバーを設定する前に、デバイスの初期化以外の特別な設定は必要ありません。
概要
認証では、信頼できるルーターのみがルーティング更新プログラムに参加することを保証します。このキーチェーン認証方法は、ピアリング セッションをリセットしたり、ルーティング プロトコルを中断したりすることなく、キーが 1 つから次のキーにロール オーバーするため、ヒットレスと呼ばれます。Junos OSは、RFC 5304、 IS-IS暗号化認証 、およびRFC 5310、 IS-IS汎用暗号化認証の両方をサポートしています。
この例では、キーチェーンを設定するための以下のステートメントを含みます。
-
アルゴリズム— キーチェーンの各キーに対して、暗号化アルゴリズムを指定できます。アルゴリズムは SHA-1 または MD-5 です。
-
キー — キーチェーンは複数のキーを持つことができます。キーチェーン内の各キーは、一意の整数値で識別する必要があります。有効な識別子値の範囲は、0 ~ 63です。
-
キーチェーン — キーチェーンごとに名前を指定する必要があります。この例では、 base-key-global と base-key-inter という 2 つのキーチェーンを定義します。
-
オプション—キーチェーンの各キーに対して、メッセージ認証コード:isis-enhanced または basic のエンコーディングを指定できます。基本(RFC 5304)操作は、デフォルトで有効になっています。
isis-enhancedオプションを設定すると、Junos OSはRFC 5310エンコード済みルーティングプロトコルパケットを送信し、他のデバイスから受信したRFC 5304エンコード済みルーティングプロトコルパケットとRFC 5310エンコード済みルーティングプロトコルパケットの両方を受け入れます。
基本を設定する(またはキー設定にオプションステートメントを含まない)場合、Junos OSはRFC 5304エンコード済みのルーティングプロトコルパケットを送受信し、他のデバイスから受信した5310エンコード済みルーティングプロトコルパケットを破棄します。
この設定は IS-IS 専用であるため、TCP および BFD プロトコルはキーで設定されたエンコーディング オプションを無視します。
-
秘密 — キーチェーンの各キーに対して、秘密パスワードを設定する必要があります。このパスワードは、暗号化またはプレーンテキスト形式で 秘密 のステートメントで入力できます。これは常に暗号化された形式で表示されます。
-
開始時間 — 各キーは、ISO 8601形式を使用してUTCに基づいて開始時間を指定する必要があります。制御は、あるキーから次のキーに渡されます。設定された開始時間が(ルーティングデバイスのクロックに基づいて)到着すると、その開始時間を持つキーがアクティブになります。開始時間はルーティング デバイスのローカル タイム ゾーンで指定され、キー チェーン内で一意である必要があります。
キーチェーンは、すべてのインターフェイスにグローバルに、または特定のインターフェイスに対してより詳細に適用できます。
この例では、すべてのインターフェイスまたは特定のインターフェイスにキーチェーンを適用するための以下のステートメントを含みます。
-
authentication-key-chain—すべてのレベル 1 またはすべてのレベル 2 インターフェイスに対して、グローバル IS-IS レベルでキーチェーンを適用できます。
-
hello-authentication-key-chain—個々の IS-IS インターフェイス レベルでキーチェーンを適用できます。インターフェイス設定は、グローバル設定を上書きします。
構成
手順
R0 の CLI クイック設定
IS-ISのヒットレス認証キーロールオーバーを迅速に設定するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set interfaces ge-0/0/0 unit 0 description "interface A" set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/30 set interfaces ge-0/0/0 unit 0 family iso set interfaces ge-0/0/0 unit 0 family inet6 address fe80::200:f8ff:fe21:67cf/128 set interfaces ge-0/0/1 unit 0 description "interface B" set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 set interfaces ge-0/0/1 unit 0 family iso set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 set interfaces ge-0/0/2 unit 0 description "interface C" set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.9/30 set interfaces ge-0/0/2 unit 0 family iso set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 set security authentication-key-chains key-chain base-key-global key 63 secret "$ABC123" set security authentication-key-chains key-chain base-key-global key 63 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 63 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 63 options isis-enhanced set security authentication-key-chains key-chain base-key-global key 64 secret "$ABC1234" set security authentication-key-chains key-chain base-key-global key 64 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-global key 64 algorithm hmac-sha-1 set security authentication-key-chains key-chain base-key-global key 64 options isis-enhanced set security authentication-key-chains key-chain base-key-inter key 0 secret "$ABC123" set security authentication-key-chains key-chain base-key-inter key 0 start-time "2011-8-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 0 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 0 options basic set security authentication-key-chains key-chain base-key-inter key 1 secret "$ABC1234" set security authentication-key-chains key-chain base-key-inter key 1 start-time "2011-10-6.06:54:00-0700" set security authentication-key-chains key-chain base-key-inter key 1 algorithm md5 set security authentication-key-chains key-chain base-key-inter key 1 options basic set protocols isis level 2 authentication-key-chain base-key-global set protocols isis interface ge-0/0/0.0 level 1 hello-authentication-key-chain base-key-inter
手順
IS-ISのヒットレス認証キーロールオーバーを設定するには:
-
ルーターR0インターフェイスを設定します。
[edit] user@host# edit interfaces ge-0/0/0 unit 0 [edit interfaces ge-0/0/0 unit 0] user@host# set description "interface A" user@host# set family inet address 10.0.0.1/30 user@host# set family iso user@host# set family inet6 address fe80::200:f8ff:fe21:67cf/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/1 unit 0 [edit interfaces ge-0/0/1 unit 0] user@host# set interfaces ge-0/0/1 unit 0 description "interface B" user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30 user@host# set interfaces ge-0/0/1 unit 0 family iso user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 10FB::C:ABC:1F0C:44DA/128 user@host# exit [edit] user@host# edit interfaces ge-0/0/2 unit 0 [edit interfaces ge-0/0/2 unit 0] user@host# set description "interface C" user@host# set family inet address 10.0.0.9/30 user@host# set interfaces ge-0/0/2 unit 0 family iso user@host# set interfaces ge-0/0/2 unit 0 family inet6 address ff06::c3/128 user@host# exit
-
1つ以上の認証キーチェーンとキーを設定します。この例では、グローバルレベルとインターフェイスレベルのキーチェーンの両方を使用し、両方とも2つのキーを持つことを示しています。グローバルキーチェーンは、すべてのISISレベル2インターフェイスに適用されます。このキー チェーンは、hellos と LSP の両方の交換を認証します。インターフェイスキーチェーンは、特にISISレベル1のge-0/0/0インターフェイス(インターフェイスA)に適用され、hello交換の認証にのみ使用されます。
[edit] user@host# edit security authentication-key-chains key-chain base-key-global [edit security authentication-key-chains key-chain base-key-global] user@host# set key 63 secret "$ABC123" user@host# set key 63 start-time "2011-8-6.06:54:00-0700" user@host# set key 63 algorithm hmac-sha-1 user@host# set key 63 options isis-enhanced user@host# set key 64 secret "$ABC1234" user@host# set key 64 start-time "2011-10-6.06:54:00-0700" user@host# set key 64 algorithm hmac-sha-1 user@host# set key 64 options isis-enhanced user@host# exit [edit] user@host# edit security authentication-key-chains key-chain base-key-inter [edit security authentication-key-chains key-chain base-key-inter] user@host# set key 0 secret "$ABC123" user@host# set key 0 start-time "2011-8-6.06:54:00-0700" user@host# set key 0 algorithm md5 user@host# set key 0 options basic user@host# set key 1 secret "$ABC1234" user@host# set key 1 start-time "2011-10-6.06:54:00-0700" user@host# set key 1 algorithm md5 user@host# set key 1 options basic user@host# exit
-
ルーターR0上のすべてのレベル2 ISISインターフェイスに、ベースキーグローバルキーチェーンを適用します。
[edit] user@host# edit protocols isis level 2 [edit protocols isis level 1] set authentication-key-chain base-key-global user@host# exit
-
レベル 1 の ISIS hello 認証のベースキー間鍵チェーンを、ルーター R0 の ge-0/0/0.0 インターフェイスに適用します。
[edit] user@host# edit protocols isis interface ge-0/0/0.0 level 1 [edit protocols isis interface ge-0/0/0.0 level 1] set hello-authentication-key-chain base-key-inter user@host# exit
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
show interfaces、show protocol、show security コマンドを入力して、設定を確認します。
user@host# show interfaces ge-0/0/0 { unit 0 { description "interface A"; family inet { address 10.0.0.1/30; } family iso; family inet6 { address fe80::200:f8ff:fe21:67cf/128; } } } ge-0/0/1 { unit 0 { description "interface B"; family inet { address 10.0.0.5/30; } family iso; family inet6 { address 10FB::C:ABC:1F0C:44DA/128; } } } ge-0/0/2 { unit 0 { description "interface C"; family inet { address 10.0.0.9/30; } family iso; family inet6 { address ff06::c3/128; } } }
user@host# show protocols isis { level 2 authentication-key-chain base-key-global; interface ge-0/0/0.0 { level 1 hello-authentication-key-chain base-key-inter; } }
user@host# show security authentication-key-chains { key-chain base-key-global { key 63 { secret "ABC123”; start-time "2011-8-6.06:54:00-0700"; algorithm hmac-sha-1; options isis-enhanced; } key 64 { secret "ABC1234”; start-time "2011-10-6.06:54:00-0700"; algorithm hmac-sha-1; options isis-enhanced; } key-chain base-key-inter { key 0 { secret "$ABC123”; start-time "2011-8-6.06:54:00-0700"; algorithm md5; options basic; } key 1 { secret "$ABC1234”; start-time "2011-10-6.06:54:00-0700"; algorithm md5; options basic; } } }
検証
設定を確認するには、以下のコマンドを実行します。
-
show isis 認証
-
show security キーチェーン