من المستحسن تكوين المصادقة لبروتوكولات التوجيه لمنع إدخال المعلومات الضارة في جدول التوجيه. يوضّح هذا المستند مصادقة النص الواضح بين أجهزة التوجيه التي تقوم بتشغيل نظام وسيط إلى وسيط (IS-IS) لبروتوكول الإنترنت.
يغطي هذا المستند فقط مصادقة نص IS-IS Clear. ارجع إلى تحسين الأمان في شبكة IS-IS للحصول على مزيد من المعلومات حول الأنواع الأخرى من مصادقة IS-IS.
يجب أن يكون قراء هذا المستند على دراية بعملية تكوين IS-IS.
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة. تم إختبار التكوين في هذا المستند على موجهات سلسلة 2500 من Cisco، التي تشغل الإصدار 12.2(24a) من Cisco IOS
IS-IS يسمح بتكوين كلمة مرور لارتباط محدد أو منطقة أو مجال محدد. يجب أن تقوم الموجهات التي تريد أن تصبح مجاورة بتبادل نفس كلمة المرور لمستوى المصادقة الذي تم تكوينه لها. يحظر على الموجه الذي لا يحمل كلمة المرور المناسبة المشاركة في الوظيفة المقابلة (أي لا يجوز له تهيئة رابط أو أن يكون عضوا في منطقة أو أن يكون عضوا في مجال المستوى 2 على التوالي).
يتيح برنامج Cisco IOS®تكوين ثلاثة أنواع من مصادقة IS-IS.
مصادقة IS-IS - لفترة طويلة، كانت هذه هي الطريقة الوحيدة لتكوين مصادقة IS-IS.
مصادقة IS-IS HMAC-MD5 - تضيف هذه الميزة ملخص HMAC-MD5 إلى كل وحدة بيانات بروتوكول نظام وسيط إلى نظام وسيط (IS-IS) (PDU). تم تقديمه في الإصدار 12.2(13)T من البرنامج Cisco IOS Software ويتم دعمه فقط على أنظمة أساسية ذات عدد محدود.
المصادقة النصية الواضحة المحسنة - باستخدام هذه الميزة الجديدة، يمكن تكوين مصادقة النص الواضح باستخدام أوامر جديدة تسمح بتشفير كلمات المرور عند عرض تكوين البرنامج. كما أنها تجعل كلمات المرور أكثر سهولة في الإدارة والتغيير.
ملاحظة: ارجع إلى تحسين الأمان في شبكة IS-IS للحصول على معلومات حول MD-5 ل ISIS والمصادقة المحسنة للنص الواضح.
يوفر بروتوكول نظام وسيط إلى نظام وسيط (IS-IS)، كما هو محدد في RFC 1142، مصادقة حزم حالة الارتباط (LSPs) وحزم حالة الارتباط (LSPs) من خلال تضمين معلومات المصادقة كجزء من بروتوكول نظام وسيط إلى نظام وسيط (LSP). يتم تشفير معلومات المصادقة هذه كقيمة طول النوع (TLV) ثلاثية. نوع مصادقة TLV هو 10، وطول TLV متغير، وقيمة TLV تعتمد على نوع المصادقة الذي يتم إستخدامه. بشكل افتراضي، يتم تعطيل المصادقة.
يناقش هذا القسم كيفية تكوين مصادقة نص واضح ل IS-IS على إرتباط ولمنطقة ولمجال.
ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أفضل الممارسات للبحث عن الأوامر (للعملاء المسجلين فقط).
عندما تقوم بتكوين مصادقة IS-IS على واجهة، يمكنك تمكين كلمة المرور للمستوى 1 أو المستوى 2 أو لكل من توجيه المستوى 1/المستوى 2. إذا لم تحدد مستوى، فإن الافتراضي هو المستوى 1 والمستوى 2. بناء على المستوى الذي تم تكوين المصادقة له، يتم حمل كلمة المرور في رسائل Hello المطابقة. يجب أن يتتبع مستوى مصادقة واجهة IS-IS نوع التجاور على الواجهة. أستخدم الأمر show clns neighbor لمعرفة نوع التجاور. بالنسبة لمصادقة المنطقة والمجال، لا يمكنك تحديد المستوى.
يوضح الرسم التخطيطي للشبكة وتكوينات مصادقة الواجهة على الموجه A و Ethernet 0 والموجه B و Ethernet 0 أدناه. يتم تكوين الموجه A والموجه B كلاهما باستخدام كلمة مرور SECr3T لكل من المستوى 1 والمستوى 2. كلمات المرور هذه حساسة لحالة الأحرف.
في موجهات Cisco التي تم تكوينها باستخدام خدمة الشبكة غير المتصلة (CLNS) is-is، يكون تجاور CLNS بينها المستوى 1/المستوى 2 بشكل افتراضي. لذلك، سيكون للموجه A والموجه B كلا نوعي التجاور، ما لم يتم تكوينهما بشكل خاص للمستوى 1 أو المستوى 2.
الموجه A | الموجه B |
---|---|
interface ethernet 0 ip address 10.3.3.1 255.255.255.0 ip router isis isis password SECr3t interface ethernet1 ip address 10.1.1.1 255.255.255.0 ip router isis router isis net 49.1234.1111.1111.1111.00 |
interface ethernet 0 ip address 10.3.3.2 255.255.255.0 ip router isis isis password SECr3t interface ethernet1 ip address 172.16.1.1 255.255.255.0 ip router isis router isis net 49.1234.2222.2222.2222.00 |
ويرد أدناه الرسم التخطيطي للشبكة وتكويناتها لمصادقة المنطقة. عند تكوين مصادقة المنطقة، يتم حمل كلمة المرور في بروتوكولات LSP و CSNPs و PSNPS من المستوى 1. توجد جميع الموجهات في نفس منطقة IS-IS، 49.1234، ويتم تكوينها جميعا باستخدام كلمة مرور المنطقة "tiGHter".
الموجه A | الموجه B |
---|---|
interface ethernet 0 ip address 10.3.3.1 255.255.255.0 ip router isis interface ethernet1 ip address 10.1.1.1 255.255.255.0 ip router isis router isis net 49.1234.1111.1111.1111.00 area-password tiGHter |
interface ethernet 0 ip address 10.3.3.2 255.255.255.0 ip router isis interface ethernet1 ip address 172.16.1.1 255.255.255.0 ip router isis router isis net 49.1234.2222.2222.2222.00 area-password tiGHter |
الموجه C | الموجه D |
---|---|
interface ethernet1 ip address 172.16.1.2 255.255.255.0 ip router isis interface ethernet0 ip address 192.168.50.1 255.255.255.0 ip router isis router isis net 49.1234.3333.3333.3333.00 area-password tiGHter |
interface ethernet1 ip address 10.1.1.2 255.255.255.0 ip router isis interface ethernet0 ip address 192.168.50.2 255.255.255.0 ip router isis router isis net 49.1234.4444.4444.4444.00 area-password tiGHter |
يتم عرض الرسم التخطيطي للشبكة وتكوينات مصادقة المجال أدناه. يوجد الموجه A والموجه B في منطقة IS-IS 49.1234، والموجه C في منطقة IS-IS 49.5678، والموجه D في المنطقة 49.999. تقع جميع الموجهات في مجال IS-IS نفسه (49) ويتم تكوينها باستخدام كلمة مرور المجال "seConnection".
الموجه A | الموجه B |
---|---|
interface ethernet 0 ip address 10.3.3.1 255.255.255.0 ip router isis interface ethernet1 ip address 10.1.1.1 255.255.255.0 ip router isis router isis net 49.1234.1111.1111.1111.00 domain-password seCurity |
interface ethernet 0 ip address 10.3.3.2 255.255.255.0 ip router isis interface ethernet1 ip address 172.16.1.1 255.255.255.0 ip router isis router isis net 49.1234.2222.2222.2222.00 domain-password seCurity |
الموجه C | الموجه D |
---|---|
interface ethernet1 ip address 172.16.1.2 255.255.255.0 ip router isis interface ethernet0 ip address 192.168.50.1 255.255.255.0 ip router isis router isis net 49.5678.3333.3333.3333.00 domain-password seCurity |
interface ethernet1 ip address 10.1.1.2 255.255.255.0 ip router isis interface ethernet0 ip address 192.168.50.2 255.255.255.0 ip router isis router isis net 49.9999.4444.4444.4444.00 domain-password seCurity |
توضح الطبولوجيا والتكوينات الجزئية في هذا القسم مجموعة من مصادقة المجال والمنطقة والواجهة. يقع الموجه A والموجه B في نفس المنطقة ويتم تكوينهما باستخدام كلمة مرور المنطقة "tiGHter". ينتمي الموجه C والموجه D إلى منطقتين مختلفتين عن الموجه A والموجه B. توجد جميع الموجهات في نفس المجال وتشارك كلمة مرور مستوى المجال "seGuard". يحتوي الموجه B والموجه C على تكوين واجهة لارتباط الإيثرنت بينهما. لا يشكل الموجه C والموجه D إلا عمليات تجاور L2 مع جيرانهم ولا يتطلب تكوين كلمة مرور المنطقة.
الموجه A | الموجه B |
---|---|
interface ethernet 0 ip address 10.3.3.1 255.255.255.0 ip router isis interface ethernet1 ip address 10.1.1.1 255.255.255.0 ip router isis router isis net 49.1234.1111.1111.1111.00 domain-password seCurity area-password tiGHter |
interface ethernet 0 ip address 10.3.3.2 255.255.255.0 ip router isis interface ethernet1 ip address 172.16.1.1 255.255.255.0 ip router isis clns router isis isis password Fri3nd level-2 router isis net 49.1234.2222.2222.2222.00 domain-passwordseCurity area-password tiGHter |
الموجه C | الموجه D |
---|---|
interface ethernet1 ip address 172.16.1.2 255.255.255.0 ip router isis isis password Fri3nd level-2 interfaceethernet0 ip address 192.168.50.1 255.255.255.0 ip router isis router isis net 49.5678.3333.3333.3333.00 domain-password seCurity |
interface ethernet1 ip address 10.1.1.2 255.255.255.0 ip router isis interface ethernet0 ip address 192.168.50.2 255.255.255.0 ip router isis router isis net 49.9999.4444.4444.4444.00 domain-password seCurity |
يتم دعم بعض أوامر العرض بواسطة Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) (العملاء المسجلون فقط)، والذي يسمح لك بعرض تحليل إخراج أمر العرض.
للتحقق من ما إذا كانت مصادقة الواجهة تعمل بشكل صحيح، أستخدم الأمر show clns neighbors في وضع EXEC للمستخدم أو وضع EXEC ذي الامتيازات. يعرض إخراج الأمر نوع التجاور وحالة الاتصال. يعرض هذا النموذج الناتج من الأمر show clns neighbors موجه تم تكوينه بشكل صحيح لمصادقة الواجهة ويعرض الحالة ك UP:
RouterA# show clns neighbors System Id Interface SNPA State Holdtime Type Protocol RouterB Et0 0000.0c76.2882 Up 27 L1L2 IS-IS
بالنسبة لمصادقة المنطقة والنطاق، يمكن إجراء التحقق من المصادقة باستخدام أوامر تصحيح الأخطاء كما هو موضح في القسم التالي.
إذا كانت الموجهات المتصلة مباشرة تحتوي على مصادقة تم تكوينها على جانب واحد من الرابط، وليس على الجانب الآخر، فإن الموجهات لا تشكل تجاور CLNS IS-IS. في الإخراج أدناه، يتم تكوين الموجه B لمصادقة الواجهة على واجهة إيثرنت 0 الخاصة بها، ولم يتم تكوين الموجه A باستخدام المصادقة على الواجهة المجاورة له.
Router_A# show clns neighbors System Id Interface SNPA State Holdtime Type Protocol Router_B Et0 00e0.b064.46ec Init 265 IS ES-IS Router_B# show clns neighbors
إذا كانت الموجهات المتصلة مباشرة مزودة بمصادقة المنطقة تم تكوينها على أحد جانبي الارتباط، فسيتم تكوين تجاور CLNS IS-IS بين الخطين. ومع ذلك، فإن الموجه الذي يتم تكوين مصادقة المنطقة عليه، لا يقبل LSPs من L1 من جار CLNS بدون مصادقة المنطقة التي تم تكوينها. ومع ذلك، يستمر المجاور الذي لا يملك مصادقة المنطقة في قبول كل من LSPs من المستوى الأول والمستوى الثاني.
هذه هي رسالة تصحيح الأخطاء على الموجه A حيث يتم تكوين مصادقة المنطقة واستلام L1 LSP من جهاز مجاور (الموجه B) دون مصادقة المنطقة:
Router_A# deb isis update-packets IS-IS Update related packet debugging is on Router_A# *Mar 1 00:47:14.755: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1128, *Mar 1 00:47:14.759: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0) *Mar 1 00:47:14.763: ISIS-Upd: LSP authentication failed Router_A# *Mar 1 00:47:24.455: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1118, *Mar 1 00:47:24.459: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0) *Mar 1 00:47:24.463: ISIS-Upd: LSP authentication failed RouterA#
إذا قمت بتكوين مصادقة المجال على موجه واحد، فإنها ترفض بروتوكولات LSP من L2 من الموجهات التي لا تحتوي على مصادقة المجال التي تم تكوينها. تقبل الموجهات التي لا تحتوي على مصادقة تم تكوينها LSPs من الموجه الذي تم تكوين المصادقة عليه.
يظهر إخراج تصحيح الأخطاء أدناه حالات فشل مصادقة LSP. يتم تكوين مرجع التحكم في الوصول للموجه لمصادقة المنطقة أو المجال ويستلم عناوين LSP للمستوى 2 من موجه (DB للموجه) لم يتم تكوينه لمصادقة المجال أو كلمة المرور.
Router_A# debug isis update-packets IS-IS Update related packet debugging is on Router_A# *Mar 1 02:32:48.315: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 374, *Mar 1 02:32:48.319: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0) *Mar 1 02:32:48.319: ISIS-Upd: LSP authentication failed Router_A# *Mar 1 02:32:57.723: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 365, *Mar 1 02:32:57.727: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0) *Mar 1 02:32:57.727: ISIS-Upd: LSP authentication failed
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
23-Jan-2018 |
الإصدار الأولي |