IS-IS支持明文及密文MD5认证。下面做个小小的汇总:
明文接口认证
我们可以为IS-IS的level1或level2分配一个接口认证密码。如果不指定level2,则默认的level1的认证。如果接口开启了明文认证,那么密码会被插入到所有的IS-IS报文中:IIH、LSP、CSNP、以及PSNP(基于特定的level)。实际在CISCO设备上抓包的时候,发现只有IIH中携带了明文的密码信息(放在用于认证的TLV中), 其他报文没有看到。
命令如下(接口级别):
isis password <string>明文area认证
区域验证,其实就是Level1 area的验证。在一台IS-IS路由器上增加了区域验证后,其将会检查自己收到的IS-IS报文,如果报文中没有验证信息或者错误,则忽略。而其自身在产生的IS-IS报文则会携带验证信息,如果接收方没有配置区域认证,在接收到这些携带了验证信息的报文后,仍然可以正常的学习。Area认证的认证信息只会包含在LSPs报文中,其他报文不包含。命令如下(路由进程中):
area-password <string>明文domain认证
是在Level2 LSP、CSNP、PSNP中插入密码。命令如下(路由进程中):
domain-password <string>在CISCO IOS上,我经过抓包验证,发现使用domain认证,IIH报文、CSNP、PSNP是不携带认证信息的,LSP则携带用于认证的TLV
密文接口认证
原理与明文接口认证差不多,只不过可以给予HMAC-MD5认证
R1(config-if)#isis authentication key-chain test level-1
R1(config-if)#isis authentication mode md5 level-1密文LSPs认证
在LSP中携带密文的认证信息,可以指定level1或level2的密文lsp认证
R1(config-router)#authentication key-chain test level-1
R1(config-router)# authentication mode md5 level-1
