isis的安全及认证


IS-IS支持明文及密文MD5认证。下面做个小小的汇总:

明文接口认证

我们可以为IS-IS的level1或level2分配一个接口认证密码。如果不指定level2,则默认的level1的认证。如果接口开启了明文认证,那么密码会被插入到所有的IS-IS报文中:IIH、LSP、CSNP、以及PSNP(基于特定的level)。实际在CISCO设备上抓包的时候,发现只有IIH中携带了明文的密码信息(放在用于认证的TLV中), 其他报文没有看到。

命令如下(接口级别):

isis password <string>

明文area认证

区域验证,其实就是Level1 area的验证。在一台IS-IS路由器上增加了区域验证后,其将会检查自己收到的IS-IS报文,如果报文中没有验证信息或者错误,则忽略。而其自身在产生的IS-IS报文则会携带验证信息,如果接收方没有配置区域认证,在接收到这些携带了验证信息的报文后,仍然可以正常的学习。Area认证的认证信息只会包含在LSPs报文中,其他报文不包含。命令如下(路由进程中):

area-password <string>

明文domain认证

是在Level2 LSP、CSNP、PSNP中插入密码。命令如下(路由进程中):

domain-password <string>

在CISCO IOS上,我经过抓包验证,发现使用domain认证,IIH报文、CSNP、PSNP是不携带认证信息的,LSP则携带用于认证的TLV

密文接口认证

原理与明文接口认证差不多,只不过可以给予HMAC-MD5认证

R1(config-if)#isis authentication key-chain test level-1
R1(config-if)#isis authentication mode md5 level-1

密文LSPs认证

在LSP中携带密文的认证信息,可以指定level1或level2的密文lsp认证

R1(config-router)#authentication key-chain test level-1
R1(config-router)# authentication mode md5 level-1

文章作者: AaronXu
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 AaronXu !
评论
  目录