Протокол IP : Протокол IS-IS

Настройка аутентификации IS-IS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Желательно установить удостоверение подлинности для протоколов маршрутизации для того, чтобы предотвратить добавление вредоносных данных в таблицу маршрутизации. Этот документ демонстрирует аутентификацию открытого текста между маршрутизаторами, выполняющими Обмен информацией между промежуточными системами (IS-IS) для IP.

Этот документ только покрывает Аутентификацию Открытого текста IS-IS. Сошлитесь на Аутентификацию HMAC-MD5 IS-IS и Расширенную Аутентификацию Открытого текста для получения дополнительной информации о других типах аутентификации IS-IS.

Предварительные условия

Требования

Читатели данной документации должны быть знакомы с операцией IS-IS и конфигурацией.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования. Конфигурация в этом документе была испытана на Cisco 2500 Series Router, который использует Cisco IOS version 12.2(24a)

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в Условные обозначения технических терминов Cisco.

Общие сведения

IS-IS обеспечивает конфигурацию пароля для указанной ссылки, области или домена. Маршрутизаторы, которые следует сделать соседями, должны обменяться одинаковым паролем для настроенного уровня проверки подлинности. Маршрутизатор, не обладающий верным паролем, не может использовать соответствующую функцию (т.е. не может установить соединение, быть членом области или членом домена уровня 2 соответственно).

Cisco программное обеспечение IOS� позволяет трем типам аутентификации IS-IS быть настроенными.

  • Аутентификация IS-IS — В течение длительного времени, это было единственным способом настроить аутентификацию для IS-IS.

  • Аутентификация HMAC-MD5 IS-IS — Эта функция добавляет дайджест HMAC-MD5 к каждому элементу данных Протокола IS-IS (PDU). Это было представлено в версии программного обеспечения Cisco IOS 12.2 (13) T и только поддерживается на ограниченном числе платформы.

  • Расширенная Аутентификация Открытого текста — С этой новой характеристикой, аутентификация открытого текста может быть настроена с помощью новых команд, которые позволяют паролям быть зашифрованными, когда отображена конфигурация ПО. Это также делает пароли проще управлять и измениться.

Примечание: Сошлитесь на Аутентификацию HMAC-MD5 IS-IS и Расширенную Аутентификацию для сведений Открытого текста на MD-5 ISIS и Расширенную Аутентификацию Открытого текста.

Протокол IS-IS, как задано в RFC 1142 leavingcisco.com, обеспечивает аутентификацию Hellos и Link State Packets (LSP) посредством включения информации для аутентификации как часть LSP. Эта информация для аутентификации закодирована как Type Length Value (TLV) трижды. Тип опознавательного TLV равняется 10; длина TLV является переменной; и значение TLV зависит от используемого типа проверки подлинности. По умолчанию аутентификация отключена.

Настройка

В этом разделе обсуждается, как настроить удостоверение подлинности открытого текста IS-IS для соединения, для области и для домена.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Проверка подлинности интерфейса

При настройке аутентификации IS-IS на интерфейсе можно включить пароль для Уровня 1, Уровня 2 или обеих маршрутизаций Уровня 1/выравнивать 2. Если вы не задаете уровень, по умолчанию является Уровень 1 и Уровень 2. В зависимости от уровня, для которого настроена аутентификация, пароль переносят в соответствующих Приветственных сообщениях. В уровне аутентификации интерфейса IS-IS должен отслеживаться тип смежности в интерфейсе. Используйте команду show clns neighbor для обнаружения типа смежности. Для проверки подлинности области и домена нельзя указать уровень.

Схему сети и конфигурации для проверки подлинности интерфейса на Маршрутизаторе A, Ethernet 0 и Маршрутизатор B, Ethernet 0 показывают ниже. Маршрутизатор A и Маршрутизатор B оба настроены с паролем "IS-IS" SECr3t и для Уровня 1 и для Уровня 2. Данные пароли вводятся с учетом регистра символов.

На маршрутизаторах Cisco, настроенных с IS-IS Обслуживания сети без установления соединения (CLNS), смежностью CLNS между ними является Уровень 1/выр 2 по умолчанию. Так, маршрутизатор A и маршрутизатор B будут иметь оба типа смежности, если не сконфигурированы специально для 1-го уровня или 2-го уровня.

isis_authent_01.gif

Маршрутизатор А Маршрутизатор В
interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
isis password SECr3t

interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis 
net 49.1234.1111.1111.1111.00 
interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
isis password SECr3t

interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 

Аутентификация зоны

Ниже приведены схема сети и конфигурации для аутентификации области. Когда область аутентификации настроена, пароль переносят в LSP L1, CSNP и PSNPS. Все маршрутизаторы в одной зоне связи между промежуточными системами IS-IS, 49.1234. Для них всех установлен пароль зоны "tiGHter"."

/image/gif/paws/13792/isis_authent_02.gif

Маршрутизатор А Маршрутизатор В
interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis
 
router isis  
net 49.1234.1111.1111.1111.00 
area-password tiGHter
interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 
area-password tiGHter

МАРШРУТИЗАТОР C Маршрутизатор D
interface ethernet1
ip address 172.16.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.1234.3333.3333.3333.00 
area-password tiGHter
interface ethernet1
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.1234.4444.4444.4444.00 
area-password tiGHter

Аутентификация в домене

Ниже приведены схема сети и конфигурации для аутентификации домена. Маршрутизатор A и Маршрутизатор B находятся в Области IS-IS 49.1234; C Маршрутизатора находится в Области IS-IS 49.5678; и Маршрутизатор D находится в области 49.9999. Все маршрутизаторы находятся в одном домене IS-IS (49), а в их конфигурации задан пароль домена "seCurity."."

/image/gif/paws/13792/isis_authent_03.gif

Маршрутизатор А Маршрутизатор В
interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.1111.1111.1111.00 
domain-password seCurity
interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 
domain-password seCurity

МАРШРУТИЗАТОР C Маршрутизатор D
interface ethernet1 
ip address 172.16.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.5678.3333.3333.3333.00 
domain-password seCurity
interface ethernet1 
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.9999.4444.4444.4444.00 
domain-password seCurity

Сочетание аутентификации в домене, области и интерфейсе

Топология и частичные конфигурации в этом разделе иллюстрируют комбинацию доменов, область и проверку подлинности интерфейса. Маршрутизатор A и маршрутизатор B находятся в одной области и настроены с паролем области "tiGHter."." C маршрутизатора и Маршрутизатор D принадлежат двум различным областям, чем Маршрутизатор A и Маршрутизатор B. Все маршрутизаторы находятся в том же домене и совместно используют пароль доменного уровня "безопасность". Маршрутизатор B и C Маршрутизатора имеют конфигурацию интерфейса для Соединения Ethernet между ними. C маршрутизатора и Маршрутизатор D формируют только смежности L2 с их соседними узлами, и пароль области настройки не требуется.

/image/gif/paws/13792/isis_authent_03.gif

Маршрутизатор А Маршрутизатор В
interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.1111.1111.1111.00 
domain-password seCurity
area-password tiGHter
interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis

interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis
clns router isis
isis password Fri3nd level-2

router isis  
net 49.1234.2222.2222.2222.00 
domain-passwordseCurity
area-password tiGHter

МАРШРУТИЗАТОР C Маршрутизатор D
interface ethernet1
ip address 172.16.1.2 255.255.255.0
ip router isis
isis password Fri3nd level-2

interfaceethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.5678.3333.3333.3333.00 
domain-password seCurity
interface ethernet1
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.9999.4444.4444.4444.00 
domain-password seCurity

Проверка.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Чтобы проверить, работает ли проверка подлинности интерфейса должным образом, используйте команду show clns neighbors в пользовательском EXEC или привилегированном режиме EXEC. Выходные данные команды отображают тип смежности и состояние соединения. Этот пример выходных данных от команды show clns neighbors показывает маршрутизатор, правильно настроенный для проверки подлинности интерфейса, и отображает состояние как UP:

RouterA# show clns neighbors

System Id      Interface   SNPA                State  Holdtime  Type Protocol
RouterB        Et0         0000.0c76.2882      Up     27        L1L2 IS-IS

Для области и Аутентификации в домене, проверка аутентификации может быть сделана с помощью команд отладки, как объяснено в следующем разделе.

Устранение неполадок

Если непосредственно подключенным маршрутизаторам настроили аутентификацию на одной стороне ссылки, а не на другом, маршрутизаторы не формируют смежность IS-IS CLNS. В приведенных ниже выходных данных видно, что для маршрутизатора B задана аутентификация интерфейса на интерфейсе Ethernet 0, а для маршрутизатора A не задана аутентификация на соседних интерфейсах.

Router_A# show clns neighbors
System Id      Interface   SNPA                State  Holdtime  Type Protocol
Router_B       Et0         00e0.b064.46ec      Init   265       IS   ES-IS

Router_B# show clns neighbors

Если непосредственно подключенным маршрутизаторам настроили area-authentication на одной стороне ссылки, смежность IS-IS CLNS сформирована между двумя маршрутами. Однако маршрутизатор, на котором настроен area-authentication, не принимает LSP L1 от соседа CLNS без настроенного area-authentication. Однако соседний узел без area-authentication действительно продолжает принимать и L1 и LSP L2.

Это - сообщение отладки на Маршрутизаторе A, где область аутентификации настроена и L1 LSP получения от соседнего узла (Маршрутизатор B) без области аутентификации:

Router_A# deb isis update-packets
 IS-IS Update related packet debugging is on
 Router_A#
 *Mar 1 00:47:14.755: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1128,
 *Mar 1 00:47:14.759: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
 *Mar 1 00:47:14.763: ISIS-Upd: LSP authentication failed
 Router_A#
 *Mar 1 00:47:24.455: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1118,
 *Mar 1 00:47:24.459: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
 *Mar 1 00:47:24.463: ISIS-Upd: LSP authentication failed
 RouterA#

При настройке аутентификации в домене на одном маршрутизаторе она отклоняет LSP L2 от маршрутизаторов, которым не настраивали аутентификацию в домене. Маршрутизаторы, которым не настраивали аутентификацию, принимают LSP от маршрутизатора, которому действительно настраивали аутентификацию.

Приведенные ниже выходные данные отладки указывают на ошибки аутентификации LSP. Маршрутизатор CA настроен для области или аутентификации в домене и является уровнем приема 2 LSP от маршрутизатора (DB Маршрутизатора), который не настроен для домена или проверки подлинности с помощью пароля.

Router_A# debug isis update-packets
IS-IS Update related packet debugging is on
Router_A#
*Mar  1 02:32:48.315: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 374,
*Mar  1 02:32:48.319: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
*Mar  1 02:32:48.319: ISIS-Upd: LSP authentication failed
Router_A#
*Mar  1 02:32:57.723: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 365,
*Mar  1 02:32:57.727: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
*Mar  1 02:32:57.727: ISIS-Upd: LSP authentication failed

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13792