Routing IP: Guía de configuración ISIS, Cisco IOS Release 12.2SR
Mejora de la Seguridad en una Red IS-IS
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 206 KB | Inglés (30 Enero 2012) | Comentarios

Contenido

Mejora de la Seguridad en una Red IS-IS

Última actualización: De enero el 27 de 2012

Este módulo describe los procesos que usted puede seguir para aumentar la seguridad de la red cuando usted utiliza el Intermediate System-to-Intermediate System (IS-IS) en su red. Usted puede fijar las contraseñas, evitar que el Routers desautorizado forme las adyacencias con el Routers en su red IS-IS, y utilizar la autenticación IS-IS HMAC-MD5 y la característica de autenticación aumentada del texto claro.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Prerrequisitos de la Mejora de la Seguridad en una Red IS-IS

  • Antes de realizar las tareas en este módulo, usted debe ser familiar con los conceptos descritos en “descripción integrada del Routing Protocol IS-IS” y “configurar los módulos de una red básica IS-IS”.
  • Se asume que ya tiene IS-IS en ejecución en la red.

Información sobre la Mejora de la Seguridad en una Red IS-IS

Importancia de Evitar que la Información No Autorizada Ingrese en una Red IS-IS

Se recomienda que usted configura las funciones de seguridad descritas en este módulo para evitar que los mensajes de ruteo desautorizados sean colocados en el dominio de ruteo de la red. Usted puede fijar una contraseña de autenticación para cada interfaz, así como fija una contraseña de área para cada uno área IS-IS para evitar que el Routers desautorizado inyecte la información de ruteo falsa en la base de datos de estado de link, o usted puede configurar un tipo de autenticación IS-IS--cualquier IS-IS HMAC-MD5 o autenticación aumentada del texto claro.

Configuración de la autenticación IS-IS

Las secciones siguientes describen las tareas de configuración para la autenticación IS-IS. Soportan a dos tipos de autenticación: IS-IS HMAC-MD5 y texto claro. La tarea que usted se realiza depende encendido si usted está introduciendo la autenticación o está emigrando de un esquema de autenticación existente.

Antes de que usted pueda configurar la autenticación, usted debe tomar las decisiones siguientes:

  • Si configurar la autenticación para el caso IS-IS y/o para las interfaces IS-IS individuales (ambas tareas se incluyen en esta sección).
  • En qué autenticación de los niveles debe ser utilizada.
  • Qué tipo de la autenticación (IS-IS HMAC-MD5 o de texto claro) es ser utilizado.

Funcionalidad de la Autenticación IS-IS

La nueva autenticación del estilo IS-IS (IS-IS HMAC-MD5 y el texto claro) proporciona varias ventajas sobre los comandos password configuration del Estilo anterior que fueron descritos en las secciones anteriores, “fijando una contraseña de autenticación para cada interfaz” y “fijando una contraseña en el nivel el 1".

  • Se cifran las contraseñas cuando se visualiza la configuración del software.
  • Las contraseñas son más fáciles de manejar y de cambiar.
  • Las contraseñas se pueden rodar encima a las nuevas contraseñas sin las operaciones de la red de interrupción.
  • Las transiciones no quebrantadoras de la autenticación son soportadas permitiendo la configuración que permitió que el router validara los PDU sin la autenticación o con la información de autenticación añeja, con todo envían los PDU con la autenticación actual. Tales transiciones son útiles cuando usted está emigrando de ninguna autenticación a algún tipo de autenticación, cuando usted está cambiando el tipo de autenticación, y cuando usted está cambiando las claves.

El IS-IS tiene cinco tipos PDU: conecte el estado PDU (LSP), los saludos de LAN, el Punto a punto hola, el PDU de número de secuencia completo (CSNP), y el número de secuencia parcial PDU (PSNP). La autenticación IS-IS HMAC-MD5 o la autenticación de contraseña de texto sin cifrar se puede aplicar a los cinco tipos PDU. La autenticación se puede habilitar en diversos niveles IS-IS independientemente. Los PDU relacionados a la interfaz (saludos de LAN, Punto a punto hola, CSNP, y PSNP) se pueden habilitar con la autenticación en diversas interfaces, con diversos niveles y diversas contraseñas.

El modo de autenticación o el modo de la contraseña anterior puede ser configurado en un alcance dado (caso o interfaz IS-IS) y el nivel--mordido no ambos. Sin embargo, diversos modos se pueden configurar para diversos modos que la estera se configure para los diversos alcances o niveles. Si se piensan los modos mezclados, diversas claves se deben utilizar para diversos modos para no comprometer la contraseña encriptada en los PDU.

Ventajas de la autenticación de texto sin cifrar IS-IS

La autenticación del texto claro IS-IS (sólo texto) proporciona las mismas funciones que se proporciona usando la área-contraseña o el comando domain-password. Sin embargo, el uso de la autenticación del texto claro se aprovecha de las capacidades más flexibles de la administración de claves descritas arriba.

Ventajas de IS-IS HMAC-MD5 Authentication

  • El IS-IS ahora soporta autenticación de MD5, que es más seguro que la autenticación del texto claro. La autenticación IS-IS HMAC-MD5 agrega una publicación HMAC-MD5 a cada uno protocolo IS-IS la unidad de datos (PDU). El HMAC es un mecanismo para los códigos de autenticación de mensaje (MAC) usando las funciones de troceo criptográficas. Digest permite la autenticación en el nivel del Routing Protocol de IS-IS, lo que impide que se inyecten mensajes de ruteo no autorizados en el dominio de ruteo de la red.
  • Autenticación de MD5 o la autenticación del texto claro se puede habilitar en el nivel 1 o el nivel 2 independientemente.
  • Las contraseñas se pueden rodar encima a las nuevas contraseñas sin los mensajes de ruteo de interrupción.

Con el fin de la transición de la red, usted puede configurar el dispositivo de interconexión de redes para validar los PDU sin la autenticación o con la información de autenticación incorrecta, con todo envía los PDU con la autenticación. Tal transición pudo ser porque usted está emigrando de ninguna autenticación a algún tipo de autenticación, usted está cambiando el tipo de autenticación, o usted está cambiando las claves.

Migración a un Nuevo Tipo de Autenticación

Antes de que usted emigre de usar un tipo de autenticación de la Seguridad a otro, todo el Routers debe ser cargado con la nueva imagen que apoya el nuevo tipo de autenticación. El Routers continuará utilizando el método de autentificación original hasta que hayan cargado a todo el Routers con la nueva imagen que soporta el nuevo método de autentificación, y han configurado a todo el Routers para utilizar el nuevo método de autentificación. Una vez que cargan a todo el Routers con la imagen requerida, usted debe seguir los pasos para la configuración para el nuevo método de autentificación deseado según lo descrito en el HMAC-MD5 o la autenticación anterior del texto claro que configura para el caso IS-IS. Usted también debe decidir si configurar la autenticación para área IS-IS o para las interfaces IS-IS individuales. Ambas tareas se incluyen en la sección referida.

Migración de la vieja autenticación del texto claro a la autenticación HMAC-MD5

Cuando usted configura autenticación de MD5, las configuraciones de la área-contraseña y del comando domain-password serán reemplazadas automáticamente con los nuevos comandos authentication. Cuando usted configura autenticación de MD5, la configuración del comando isis password será reemplazada automáticamente con los nuevos comandos authentication.

Migración de la vieja autenticación del texto claro a la nueva autenticación del texto claro

Las ventajas de la migración del viejo método de autenticación del texto claro al nuevo método de autenticación del texto claro son como sigue:

  • Las contraseñas son más fáciles de cambiar y de mantener.
  • Las contraseñas pueden ser cifradas cuando se está visualizando la configuración del sistema (si usted utiliza la administración de claves).

Cómo Mejorar la Seguridad en una Red IS-IS

Configuración de una Contraseña de Autenticación para cada Interfaz


Nota


La contraseña se intercambia como sólo texto y proporciona así solamente la Seguridad limitada.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. número del tipo de la interfaz

4. contraseña [level-1| level-2] de la contraseña isis

5. Relance el paso 4 para cada contraseña de la interfaz que usted quiera fijar.

6. extremo

7. muestre el [brief] del [type number] de la interfaz del IP


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
número del tipo de la interfaz


Ejemplo:

Interface ethernet 0 de Router(config)#

 

Ingresa en el modo de configuración de la interfaz.

 
Paso 4
contraseña [level-1| level-2] de la contraseña isis


Ejemplo:

Router (config-if) # sjpass level-1 de la contraseña isis

 

Configura la contraseña de autenticación para una interfaz.

  • Diversas contraseñas se pueden asignar para diversos niveles de la encaminamiento usando las palabras claves level-1 y del nivel 2.
  • Especificando la palabra clave level-1 o del nivel 2 inhabilita la contraseña solamente para la encaminamiento del nivel 1 o del nivel 2, respectivamente.
 
Paso 5
Relance el paso 4 para cada contraseña de la interfaz que usted quiera fijar. 

--

 
Paso 6
Finalizar


Ejemplo:

Router(config-if)#end

 

Vuelve al modo EXEC privilegiado.

 
Paso 7
muestre el [brief] del [type number] de la interfaz del IP


Ejemplo:

Interface serial 1 del IP de la demostración del Router-

 

Muestra el estado de usabilidad de las interfaces configuradas para IP.

 

Configuración de una Contraseña en el Nivel 1


Nota


Esta contraseña se intercambia como texto normal y, por tanto, esta función solamente proporciona seguridad limitada.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. [area- tag] ISIS del router

4. contraseña de la área-contraseña

5. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
[area- tag] ISIS del router


Ejemplo:

Salesarea ISIS del router de Router(config)#

 

Habilita IS-IS como protocolo de ruteo IP y asigna una etiqueta a un proceso, si es necesario.

  • Ingresa en el modo de configuración del router.
 
Paso 4
contraseña de la área-contraseña


Ejemplo:

Router (config-router) # companyz de la área-contraseña

 

Configura área IS-IS la contraseña de autenticación, evitando que el Routers desautorizado inyecte la información de ruteo falsa en la base de datos de estado de link.

  • Esta contraseña se inserta en el link-state PDU (LSP) del unidad de datos del protocolo (PDU) del nivel 1, los PDU de números de secuencia completos (CSNP), y el número de secuencia parcial PDU (PSNP).
 
Paso 5
Finalizar


Ejemplo:

Router (config-router) # extremo

 

Vuelve al modo EXEC privilegiado.

 

Configuración de una Contraseña en el Nivel 2


Nota


Esta contraseña se intercambia como texto normal y, por tanto, esta función solamente proporciona seguridad limitada.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. [area-tag] ISIS del router

4. contraseña de la dominio-contraseña [autentique el snp {valide | envíe-solamente}]

5. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
[area-tag] ISIS del router


Ejemplo:

Salesarea ISIS del router de Router(config)#

 

Habilita IS-IS como protocolo de ruteo IP y asigna una etiqueta a un proceso, si es necesario.

  • Ingresa en el modo de configuración del router.
 
Paso 4
contraseña de la dominio-contraseña [autentique el snp {valide | envíe-solamente}]


Ejemplo:

Router (config-router) # dominio-contraseña company2

 

Configura la contraseña de autenticación del dominio de ruteo IS-IS, evitando que el Routers desautorizado inyecte la información de ruteo falsa en la base de datos de estado de link.

Nota    Esta contraseña se inserta en el link-state PDU (LSP) del nivel 2 PDU, los PDU de números de secuencia completos (CSNP), y el número de secuencia parcial PDU (PSNP). Si usted especifica la palabra clave del snp de la autenticidad junto con el validar o envía-solamente la palabra clave, el Routing Protocol IS-IS insertará la contraseña en el número de secuencia PDU (SNP).
Nota    Si usted no especifica la palabra clave del snp de la autenticidad junto con el validar ni envía-solamente la palabra clave, el Routing Protocol IS-IS no inserta la contraseña en los SNP.
 
Paso 5
Finalizar


Ejemplo:

Router (config-router) # extremo

 

Vuelve al modo EXEC privilegiado.

 

Configuración de la Autenticación HMAC-MD5 o de la Autenticación de Texto sin Formato por Primera Vez

Configurar el HMAC-MD5 o la autenticación del texto claro para el caso IS-IS

Para alcanzar una transición fluida a partir de un método de autentificación a otro, teniendo en cuenta la autenticación continua de IS-IS PDU, realiza los pasos de la tarea en la orden mostrada, que requiere la mudanza desde el router al router que hace ciertos pasos antes de que todos los pasos se realicen en cualquier un router.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. nombre-de-encadenamiento del llavero

4. clave-identificación dominante

5. texto de la clave-cadena

6. salida

7. salida

8. [area- tag] ISIS del router

9. la autenticación envía-solamente [level-1 | level-2]

10. Relance los pasos 1 a 9 en cada router que comunique.

11 modo de autenticación {md5 | text}[level-1 | level-2]

12.    nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación | level-2]

13.    Repita los pasos 11 y 12 en cada router que vaya a comunicar.

14.    ninguna autenticación envía-solamente

15.    Repite el Paso 14 en cada router que comunique.


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
nombre-de-encadenamiento del llavero


Ejemplo:

Llavero remote3754 de Router(config)#

 

Habilita la autenticación para los Routing Protocols e identifica un grupo de llaves de autenticación.

 
Paso 4
clave-identificación de la clave


Ejemplo:

Router (config-llavero) # clave 100

 

Identifica una llave de autenticación de un key chain.

  • El argumento key-id debe ser un número.
 
Paso 5
texto de la clave-cadena


Ejemplo:

Router (config-llavero-clave) # clave-cadena mno172

 

Especifica la cadena de la autenticación para una clave.

  • El argumento text puede tener de 1 a 80 caracteres alfanuméricos en mayúscula o minúscula; el primer carácter no puede ser un número.
 
Paso 6
salida


Ejemplo:

Router (config-llavero-clave) # salida

 

Vuelve al modo de configuración de key chain.

 
Paso 7
salida


Ejemplo:

Router (config-llavero) # salida

 

Vuelve al modo de configuración global.

 
Paso 8
[area- tag] ISIS del router


Ejemplo:

ISIS 1 del router de Router(config)#

 

Habilita IS-IS como protocolo de ruteo IP y asigna una etiqueta a un proceso, si es necesario.

  • Ingresa en el modo de configuración del router.
 
Paso 9
la autenticación envía-solamente [level-1 | level-2]


Ejemplo:

El router (config-router) # autenticación envía-solamente

 

Especifica para el caso IS-IS que autenticación de MD5 se realiza solamente en IS-IS PDU que es enviado (no recibido).

 
Paso 10
Repita los pasos del 1 al 9 en cada router que comunique. 

Utilice el mismo key string en cada router.

 
Paso 11
modo de autenticación {md5 | text}[level-1 | level-2]


Ejemplo:

Router (config-router) # md5 del modo de autenticación

 

Especifica el tipo de autenticación usado en IS-IS PDU para el caso IS-IS.

  • Especifique md5 para la autenticación MD5.
  • Especifica text para la autenticación de texto sin formato.
 
Paso 12
nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación | level-2]


Ejemplo:

Router (config-router) # cadena de claves de autenticación remote3754

 

Permisos autenticación de MD5 para el caso IS-IS.

 
Paso 13
Repita los pasos 11 y 12 en cada router que vaya a comunicar. 

--

 
Paso 14
ninguna autenticación envía-solamente


Ejemplo:

El router (config-router) # ninguna autenticación envía-solamente

 

Especifica para el caso IS-IS que autenticación de MD5 se realiza en IS-IS PDU que es enviado y recibido.

  • En el paso 9 usted habilita la autenticación que se realizará solamente para IS-IS PDU se estén enviando que. En el paso 14 usted no ingresa la ninguna autenticación envía-solamente el comando para ahora realizar la autenticación en los PDU enviados y recibidos.
 
Paso 15
Repite el Paso 14 en cada router que comunique. 

--

 

Configurar el HMAC-MD5 o la autenticación del texto claro para una interfaz IS-IS

Para alcanzar una transición fluida a partir de un método de autentificación a otro, teniendo en cuenta la autenticación continua de IS-IS PDU, realiza los pasos de la tarea en la orden mostrada, que requiere la mudanza desde el router al router que hace ciertos pasos antes de que todos los pasos se realicen en cualquier un router.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. nombre-de-encadenamiento del llavero

4. clave-identificación dominante

5. texto de la clave-cadena

6. salida

7. salida

8. número del tipo de la interfaz

9. la autenticación ISIS envía-solamente [level-1 | level-2]

10. Relance los pasos 1 a 9 en cada router que comunique.

11 modo de autenticación {md5 ISIS | text}[level-1 | level-2]

12.    nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación ISIS | level-2]

13.    Repita los pasos 11 y 12 en cada router que vaya a comunicar.

14.    ninguna autenticación ISIS envía-solamente

15.    Repite el Paso 14 en cada router que comunique.


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
nombre-de-encadenamiento del llavero


Ejemplo:

Llavero multistate87723 de Router(config)#

 

Habilita la autenticación para los Routing Protocols e identifica un grupo de llaves de autenticación.

 
Paso 4
clave-identificación de la clave


Ejemplo:

Router (config-llavero) # clave 201

 

Identifica una llave de autenticación de un key chain.

  • El argumento key-id debe ser un número.
 
Paso 5
texto de la clave-cadena


Ejemplo:

Router (config-llavero-clave) # clave-cadena Idaho

 

Especifica la cadena de la autenticación para una clave.

  • El argumento text puede tener de 1 a 80 caracteres alfanuméricos en mayúscula o minúscula; el primer carácter no puede ser un número.
 
Paso 6
salida


Ejemplo:

Router (config-llavero-clave) # salida

 

Vuelve al modo de configuración de key chain.

 
Paso 7
salida


Ejemplo:

Router (config-llavero) # salida

 

Vuelve al modo de configuración global.

 
Paso 8
número del tipo de la interfaz


Ejemplo:

Interface ethernet 0 de Router(config)#

 

Configura una interfaz.

 
Paso 9
la autenticación ISIS envía-solamente [level-1 | level-2]


Ejemplo:

El router (config-if) # autenticación ISIS envía-solamente

 

Especifica que la autenticación está realizada solamente en los PDU que son enviados (no recibidos) en una interfaz IS-IS especificada.

 
Paso 10
Repita los pasos del 1 al 9 en cada router que comunique. 

Utilice el mismo key string en cada router.

 
Paso 11
modo de autenticación {md5 ISIS | text}[level-1 | level-2]


Ejemplo:

Router (config-if) # md5 del modo de autenticación ISIS

 

Especifica el tipo de autenticación que se utiliza para una interfaz IS-IS.

  • Especifique md5 para la autenticación MD5.
  • Especifica text para la autenticación de texto sin formato.
 
Paso 12
nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación ISIS | level-2]


Ejemplo:

Router (config-if) # cadena de claves de autenticación multistate87723 ISIS

 

Habilita la autenticación MD5 para una interfaz IS-IS.

 
Paso 13
Repita los pasos 11 y 12 en cada router que vaya a comunicar. 

--

 
Paso 14
ninguna autenticación ISIS envía-solamente


Ejemplo:

El router (config-if) # ninguna autenticación ISIS envía-solamente

 

Especifica que la autenticación está realizada en los PDU que son enviados y recibidos en una interfaz IS-IS especificada.

 
Paso 15
Repite el Paso 14 en cada router que comunique. 

--

 

Migración a un nuevo método de autentificación

PASOS SUMARIOS

1. Cargue a todo el Routers con la imagen requerida para soportar el nuevo, deseado método de autentificación.

2. Configure al nuevo modo de autenticación en la interfaz y área IS-IS siguiendo las tareas apropiadas en la autenticación que configura HMAC-MD5 o la autenticación del texto claro por primera vez.


PASOS DETALLADOS
Paso 1   Cargue a todo el Routers con la imagen requerida para soportar el nuevo, deseado método de autentificación.
Paso 2   Configure al nuevo modo de autenticación en la interfaz y área IS-IS siguiendo las tareas apropiadas en la autenticación que configura HMAC-MD5 o la autenticación del texto claro por primera vez.

Configuración de la Autenticación en un Router Nuevo Añadido a una Red que Ya Tiene la Autenticación Configurada

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. nombre-de-encadenamiento del llavero

4. clave-identificación dominante

5. texto de la clave-cadena

6. salida

7. salida

8. número del tipo de la interfaz

9. modo de autenticación {md5 ISIS | text}[level-1 | level-2]

10. nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación ISIS | level-2]


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
nombre-de-encadenamiento del llavero


Ejemplo:

Llavero multistate87723 de Router(config)#

 

Habilita la autenticación para los Routing Protocols e identifica un grupo de llaves de autenticación.

 
Paso 4
clave-identificación de la clave


Ejemplo:

Router (config-llavero) # clave 201

 

Identifica una llave de autenticación de un key chain.

  • El argumento key-id debe ser un número.
 
Paso 5
texto de la clave-cadena


Ejemplo:

Router (config-llavero-clave) # clave-cadena Idaho

 

Especifica la cadena de la autenticación para una clave.

  • El argumento text puede tener de 1 a 80 caracteres alfanuméricos en mayúscula o minúscula; el primer carácter no puede ser un número.
 
Paso 6
salida


Ejemplo:

Router (config-llavero-clave) # salida

 

Vuelve al modo de configuración de key chain.

 
Paso 7
salida


Ejemplo:

Router (config-llavero) # salida

 

Vuelve al modo de configuración global.

 
Paso 8
número del tipo de la interfaz


Ejemplo:

Interface ethernet 0 de Router(config)#

 

Configura una interfaz.

 
Paso 9
modo de autenticación {md5 ISIS | text}[level-1 | level-2]


Ejemplo:

Router (config-if) # md5 del modo de autenticación ISIS

 

Especifica el tipo de autenticación que se utiliza para una interfaz IS-IS.

  • Especifique md5 para la autenticación MD5.
  • Especifica text para la autenticación de texto sin formato.
 
Paso 10
nombre-de-encadenamiento [level-1 de la cadena de claves de autenticación ISIS | level-2]


Ejemplo:

Router (config-if) # cadena de claves de autenticación multistate87723 ISIS

 

Habilita la autenticación MD5 para una interfaz IS-IS.

 

Ejemplos de Configuración para Mejorar la Seguridad en una Red IS-IS

Ejemplo que configura la autenticación IS-IS HMAC-MD5

El siguiente ejemplo configura un llavero y una clave para la autenticación IS-IS HMAC-MD5 para la interfaz de Ethernet 3 (en hola los PDU) y para el caso IS-IS (en el LSP, el CSNP, y PSNP PDU).

!
key chain cisco
 key 100
 key-string tasman-drive
!
interface Ethernet3
 ip address 10.1.1.1 255.255.255.252
 ip router isis real_secure_network
 isis authentication mode md5 level-1
 isis authentication key-chain cisco level-1
!
router isis real_secure_network
 net 49.0000.0101.0101.0101.00
 is-type level-1
 authentication mode md5 level-1
 authentication key-chain cisco level-1
!

Ejemplo que configura la autenticación del texto claro IS-IS

El siguiente ejemplo configura un llavero y una clave para la autenticación del texto claro IS-IS para la interfaz de Ethernet 3 (en hola los PDU) y para el caso IS-IS (en el LSP, el CSNP, y PSNP PDU).

!
key chain cisco
 key 100
 key-string tasman-drive
!
interface Ethernet3
 ip address 10.1.1.1 255.255.255.252
 ip router isis real_secure_network
 isis authentication mode text level-1
 isis authentication key-chain cisco level-1
!
router isis real_secure_network
 net 49.0000.0101.0101.0101.00
 is-type level-1
 authentication mode text level-1
 authentication key-chain cisco level-1
!

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos de IS-IS: sintaxis, modo de comando, valores por defecto, comando history, Pautas para el uso, y ejemplos del comando complete

Routing IP del Cisco IOS: Referencia de comandos ISIS

Llaveros y administración de claves

  • Routing IP del Cisco IOS: Referencia de comandos del protocolo independiente
  • “Configurando módulo de las características IP Routing Protocol-Independent”

Descripción general de la información conceptual sobre Cisco IS-IS con links a todos los módulos IS-IS individuales

Módulo "Descripción General de Integrated IS-IS Routing Protocol"

Estándares

Estándar

Título

Ninguno

--

RFC

RFC

Título

RFC 1321

El algoritmo condensado de mensaje MD5

RFC 2104

HMAC: Creación de un Hash con Llave para la Autenticación del Mensaje

RFC 3567

Autenticación criptográfica IS-IS

Asistencia Técnica

Descripción

Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información sobre Funciones para Mejorar la Seguridad en una Red IS-IS

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 1Información sobre Funciones para Mejorar la Seguridad en una Red IS-IS

Nombre de la función

Versiones

Información sobre la Función

Autenticación IS-IS HMAC-MD5 y Autenticación Mejorada de Texto Claro

Cisco IOS XE 3.1.0 SG del 12.0(21)ST 12.0(22)S 12.2(11)S 12.2(13)T 12.2(14)S

La característica de autenticación IS-IS HMAC-MD5 agrega una publicación HMAC-MD5 a cada unidad de datos del protocolo (PDU) del Intermediate System-to-Intermediate System (IS-IS). Digest permite la autenticación en el nivel del Routing Protocol de IS-IS, lo que impide que se inyecten mensajes de ruteo no autorizados en el dominio de ruteo de la red. La autenticación de texto despejado IS-IS (texto sencillo) se mejora de modo que las contraseñas se encripten cuando se muestre la configuración del software y sean más fáciles de administrar y de cambiar.

Cisco y el logotipo de Cisco son marcas registradas o marcas registradas de Cisco y/o de sus afiliados en los E.E.U.U. y otros países. Para ver una lista de marcas registradas de Cisco, vaya a este URL: www.cisco.com/go/trademarks. Las marcas registradas de tercera persona mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1110R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. del © 2012 todos los derechos reservados.