IS-IS詳解（十五）——IS-IS 認證

今天繼續給大家介紹IS-IS相關内容。本文主要内容是IS-IS認證相關内容。

閱讀本文，您需要有一定的IS-IS基礎，如果您對此存在困惑，歡迎查閱我部落格的其他内容，相信您一定會有所收獲。

推薦閱讀：

IS-IS詳解（一）——IS-IS基礎

IS-IS詳解（二）——IS-IS鄰居建立

IS-IS詳解（三）——IS-IS 封包結構與功能

IS-IS詳解（四）——IS-IS Hello封包詳解

IS-IS詳解（五）——IS-IS 三次握手與兩次握手

IS-IS詳解（六）——IS-IS LSP機制詳解

IS-IS詳解（七）——IS-IS LSP封包詳解

IS-IS詳解（八）——深入探究IS-IS DIS選舉機制

IS-IS詳解（九）——IS-IS 骨幹區域與非骨幹區域通路基礎

IS-IS詳解（十）——IS-IS 骨幹區域與非骨幹區域通路進階

IS-IS詳解（十一）——IS-IS 區域間防路由環路和次優路徑

IS-IS詳解（十二）——IS-IS 路由過載、管理标記和主機名映射

IS-IS詳解（十三）——IS-IS 路由開銷類型

IS-IS詳解（十四）——IS-IS路由開銷計算與外部路由引入

一、IS-IS 認證簡介

為了保證IS-IS協定的安全性，防止未授權網絡裝置發送IS-IS封包，IS-IS支援認證機制。IS-IS認證有三種分類——接口認證、區域認證和路由域認證。認證方式可以選擇不認證、明文認證和MD5認證方式。

IS-IS的三種認證模式有不同的機制，接口認證的本質對Hello封包進行認證，其他封包不做認證；區域認證的本質是對L1的SNP封包和LSP封包進行認證而路由域認證的本質是對L2的SNP和LSP封包做認證。是以，與OSPF協定不同，IS-IS不支援在一台路由器上配置區域認證，而在其他路由器上配置接口認證的方式。

在預設情況下，IS-IS路由器不進行認證，也沒有認證字段。當配置認證時，IS-IS的認證時通過攜帶TLV字段實作的。

二、接口認證配置

如果要配置IS-IS路由器的接口認證，需要IS-IS路由器的接口上執行以下指令：

isis authentication-mode md5 cipher 123456 send-only 
           

其中，可以選擇認證的方式和本地存儲方式。最後的send-only參數可以添加也可以不添加。當配置指令中含有send-only指令時，該IS-IS路由器發送Hello封包時攜帶認證TLV，接受封包時不對封包進行認證，進而不管鄰居IS-IS路由器是否認證、不管認證是否正确，都能夠正常建立IS-IS鄰接關系。如果不攜帶send-only參數，則發送Hello封包時攜帶認證TLV，在接收封包時檢查封包的TLV字段，對封包進行認證。

send-only參數可以使得IS-IS協定支援在不中斷業務的前提下修改IS-IS全網認證密碼，而這一點是OSPF協定所不能實作的。

IS-IS協定在不中斷業務的前提下修改密碼大緻流程如下圖所示：

假設R1和R2路由器認證密碼為123，要修改新的認證密碼為321，則首先對R1接口修改其認證密碼為321，并添加send-only參數，之後對R2接口修改其認證密碼為321，然後将R1接口認證密碼去掉send-only參數，這樣就可以實作在不中斷業務的情況下修改IS-IS的認證密碼了。

三、區域認證和路由域認證配置

區域認證和路由域認證需要在IS-IS視圖下配置，區域認證配置指令如下：

路由域認證配置指令如下：

在配置區域認證和路由域認證時，由于其認證不是針對Hello封包的認證，是以即使認證失敗，IS-IS鄰居也會正常存在，但是此時鄰居之間的所有LSP資訊就全部丢棄。是以，在IS-IS應用時，一個區域内要麼全部不配置認證，要麼全部配置認證。

不管是路由域認證，還是區域認證，可以在上述三條指令的後面添加以下三類參數：

1、all-send-only

2、snp-packet authentication-avoid

3、snp-packet all-send-only

利用這三個參數，可以對區域認證和路由域認證的實作方式進行微調，以實作最符合業務場景的配置，不攜帶上述任何參數以及攜帶參數的差別如下：

1、不攜帶任何參數

當不攜帶任何參數時，IS-IS路由器對LSP、CSNP和PSNP封包添加認證TLV，并對接收到的L1的LSP、CSNP和PSNP封包進行認證。

2、攜帶all-send-only參數

當攜帶all-send-only參數時，IS-IS路由器對LSP、CSNP和PSNP封包添加認證TLV，但是不對收到的LSP、CSNP和PSNP封包進行認證。（利用本參數可以實作在區域認證和路由域認證不中斷業務的場景下更換認證密碼，實作方式與上相類似）

3、攜帶snp-packet authentication-avoid參數

當攜帶snp-packet authentication-avoid參數時，對發送的LSP封包添加認證TLV，并對接受的LSP做認證，忽略發送與認證SNP封包。

4、攜帶snp-packet all-send-only參數

當攜帶snp-packet authentication-avoid參數時，IS-IS路由器對LSP、CSNP和PSNP封包添加認證TLV，對接收的L封包做認證，但是不對接收到的CSNP和PSNP封包做認證。（本參數可以在一定程度上減少認證對路由器資源的消耗）

原創不易，轉載請說明出處：https://blog.csdn.net/weixin_40228200/article/details/120069969