IS-IS详解（十五）——IS-IS 认证

今天继续给大家介绍IS-IS相关内容。本文主要内容是IS-IS认证相关内容。

阅读本文，您需要有一定的IS-IS基础，如果您对此存在困惑，欢迎查阅我博客的其他内容，相信您一定会有所收获。

推荐阅读：

IS-IS详解（一）——IS-IS基础

IS-IS详解（二）——IS-IS邻居建立

IS-IS详解（三）——IS-IS 报文结构与功能

IS-IS详解（四）——IS-IS Hello报文详解

IS-IS详解（五）——IS-IS 三次握手与两次握手

IS-IS详解（六）——IS-IS LSP机制详解

IS-IS详解（七）——IS-IS LSP报文详解

IS-IS详解（八）——深入探究IS-IS DIS选举机制

IS-IS详解（九）——IS-IS 骨干区域与非骨干区域访问基础

IS-IS详解（十）——IS-IS 骨干区域与非骨干区域访问进阶

IS-IS详解（十一）——IS-IS 区域间防路由环路和次优路径

IS-IS详解（十二）——IS-IS 路由过载、管理标记和主机名映射

IS-IS详解（十三）——IS-IS 路由开销类型

IS-IS详解（十四）——IS-IS路由开销计算与外部路由引入

一、IS-IS 认证简介

为了保证IS-IS协议的安全性，防止未授权网络设备发送IS-IS报文，IS-IS支持认证机制。IS-IS认证有三种分类——接口认证、区域认证和路由域认证。认证方式可以选择不认证、明文认证和MD5认证方式。

IS-IS的三种认证模式有不同的机制，接口认证的本质对Hello报文进行认证，其他报文不做认证；区域认证的本质是对L1的SNP报文和LSP报文进行认证而路由域认证的本质是对L2的SNP和LSP报文做认证。因此，与OSPF协议不同，IS-IS不支持在一台路由器上配置区域认证，而在其他路由器上配置接口认证的方式。

在默认情况下，IS-IS路由器不进行认证，也没有认证字段。当配置认证时，IS-IS的认证时通过携带TLV字段实现的。

二、接口认证配置

如果要配置IS-IS路由器的接口认证，需要IS-IS路由器的接口上执行以下命令：

isis authentication-mode md5 cipher 123456 send-only 
           

其中，可以选择认证的方式和本地存储方式。最后的send-only参数可以添加也可以不添加。当配置命令中含有send-only命令时，该IS-IS路由器发送Hello报文时携带认证TLV，接受报文时不对报文进行认证，从而不管邻居IS-IS路由器是否认证、不管认证是否正确，都能够正常建立IS-IS邻接关系。如果不携带send-only参数，则发送Hello报文时携带认证TLV，在接收报文时检查报文的TLV字段，对报文进行认证。

send-only参数可以使得IS-IS协议支持在不中断业务的前提下修改IS-IS全网认证密码，而这一点是OSPF协议所不能实现的。

IS-IS协议在不中断业务的前提下修改密码大致流程如下图所示：

假设R1和R2路由器认证密码为123，要修改新的认证密码为321，则首先对R1接口修改其认证密码为321，并添加send-only参数，之后对R2接口修改其认证密码为321，然后将R1接口认证密码去掉send-only参数，这样就可以实现在不中断业务的情况下修改IS-IS的认证密码了。

三、区域认证和路由域认证配置

区域认证和路由域认证需要在IS-IS视图下配置，区域认证配置命令如下：

路由域认证配置命令如下：

在配置区域认证和路由域认证时，由于其认证不是针对Hello报文的认证，因此即使认证失败，IS-IS邻居也会正常存在，但是此时邻居之间的所有LSP信息就全部丢弃。因此，在IS-IS应用时，一个区域内要么全部不配置认证，要么全部配置认证。

不管是路由域认证，还是区域认证，可以在上述三条命令的后面添加以下三类参数：

1、all-send-only

2、snp-packet authentication-avoid

3、snp-packet all-send-only

利用这三个参数，可以对区域认证和路由域认证的实现方式进行微调，以实现最符合业务场景的配置，不携带上述任何参数以及携带参数的区别如下：

1、不携带任何参数

当不携带任何参数时，IS-IS路由器对LSP、CSNP和PSNP报文添加认证TLV，并对接收到的L1的LSP、CSNP和PSNP报文进行认证。

2、携带all-send-only参数

当携带all-send-only参数时，IS-IS路由器对LSP、CSNP和PSNP报文添加认证TLV，但是不对收到的LSP、CSNP和PSNP报文进行认证。（利用本参数可以实现在区域认证和路由域认证不中断业务的场景下更换认证密码，实现方式与上相类似）

3、携带snp-packet authentication-avoid参数

当携带snp-packet authentication-avoid参数时，对发送的LSP报文添加认证TLV，并对接受的LSP做认证，忽略发送与认证SNP报文。

4、携带snp-packet all-send-only参数

当携带snp-packet authentication-avoid参数时，IS-IS路由器对LSP、CSNP和PSNP报文添加认证TLV，对接收的L报文做认证，但是不对接收到的CSNP和PSNP报文做认证。（本参数可以在一定程度上减少认证对路由器资源的消耗）

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/120069969