IS-IS认证
IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
认证的分类
根据报文的种类,认证可以分为以下三类:
-
接口认证:是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。
对于接口认证,有以下两种设置:
-
发送带认证TLV的认证报文,本地对收到的报文也进行认证检查。
-
发送带认证TLV的认证报文,但是本地对收到的报文不进行认证检查。
-
-
区域认证:是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。
-
路由域认证:是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。
对于区域和路由域认证,可以设置为SNP和LSP分开认证。
-
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
-
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
-
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
-
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。
-
根据报文的认证方式,可以分为以下三类:
-
明文认证:一种简单的认证方式,将配置的密码直接加入报文中,这种认证方式安全性不够。
-
MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。
-
Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。
认证信息的携带形式
IS-IS通过TLV的形式携带认证信息,认证TLV的类型为10,具体格式如下:
-
Type:ISO定义认证报文的类型值为10,长度为1字节。
-
Length:指定认证TLV值的长度,长度1字节。
-
Value:指定认证的具体内容,其中包括了认证的类型和认证的密码,长度为1~254字节。
其中认证的类型为1字节,具体定义如下:
-
0:保留的类型
-
1:明文认证
-
54:MD5认证
-
255:路由域私有认证方式
-