IS-IS认证原理(华为设备)

最新推荐文章于 2024-04-01 15:44:11 发布
最新推荐文章于 2024-04-01 15:44:11 发布
阅读量3.2k 收藏 14
点赞数 1
分类专栏: HCIE R&S学习笔记 文章标签: IS-IS 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/112623060
版权

概念:

IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。

根据报文种类,IS-IS 支持以下三种认证类型:
一、接口认证:是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。对于IS-IS接口认证,有以下两种设置:

  1. 发送带有验证TLV的验证报文,本地对收到的报文也进行验证检测
  2. 发送带验证TLV的验证报文,但是本地对收到的报文不进行检测

二、区域认证:是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。

三、路由域认证:是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。

对于区域和路由域认证,可以设置为SNP和LSP分开认证:

  1. 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
  2. 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
  3. 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
  4. 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。

根据报文的认证方式,可以分为以下三类:
一、明文认证:一种简单的认证方式,将配置的密码直接加入报文中,这种认证方式安全性不够。

二、MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。

三、Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。

认证信息的携带形式:
IS-IS通过TLV的形式携带认证信息,认证TLV的类型为10,具体格式如下:
在这里插入图片描述
Type:ISO定义认证报文的类型值为10,长度为1字节。
Length:指定认证TLV值的长度,长度1字节。
Value:指定认证的具体内容,其中包括了认证的类型和认证的密码,长度为1~254字节。

其中认证的类型为1字节,具体定义如下:
0:保留的类型
1:明文认证
54:MD5认证
255:路由域私有认证方式

明文抓包信息如下:
在这里插入图片描述
可以看到明文认证对应的认证类型为1,并且密码是用明文方式发送的。

MD5抓包信息如下:
在这里插入图片描述
可以看到MD5认证对应的类型值为54,而且密码已经被加密。

IS-IS接口认证:

背景:
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

注意点:
通过配置IS-IS接口认证,可以封装认证信息到Hello报文中,以确认邻居的有效性和正确性。华为设备在配置接口认证时可以跟随send-only字段,具体解释解释:

  1. 如果配置了send-only则表示仅对发送的Hello封装认证信息。而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时。才可以建立起邻居关系。
  2. 如果没有配置send-only ,此时应保证同一网络所有接口的相同级别的认证密码一致。

IS-IS区域认证和路由域认证:

背景:

通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
区域认证会将认证密码封装在Level-1区域的IS-IS报文中(SNP和LSP),只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。
路由域认证是将认证密码封装在Level-2区域的IS-IS报文中(SNP和LSP),只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。

注意点:
配置路由域认证和区域认证可以同时进行,都可以生效,但是同一区域中认证方式一定要一致,不能进行接口认证,否则无法正常泛洪IS-IS报文。

在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立(建立是通过hello报文)。

区域和路由域认证支持以下几种组合形式:(华为设备)

  1. 对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。
  2. 对发送的LSP封装认证信息并检查收到的LSP ,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。
  3. 对发送的LSP和SNP都封装认证信息,只检查收到的LSP ,不检查收到的SNP。该情况下需要配置参数snp-packet send-only.
  4. 对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only.

optional checksum:

背景:
在网络运行期间,IS-IS路由器可能会收到恶意报文的攻击,或者IS-IS报文被篡改,可能导致网络的重要信息被窃取,给网络造成重大损失。optional checksum特性是指在IS-IS路由器发送的CSNP、PSNP及Hello报文中,封装optional checksum TLV,对端在收到封装后的报文后,首先检查其携带的TLV是否正确,如果不正确,则拒绝接收,从而保证网络的安全性。华为设备默认是开启的。

注意:
如果IS-IS接口或者区域已经配置了MD5认证或者含有生效MD5认证的Keychain认证,则IS-IS路由器发送Hello和SNP报文时不携带checksum TLV,只校验接收到的报文。

配置:
[R1-isis-1]optional-checksum enable //在进程下进行配置

参考资料:华为HedEx文档

格洛米爱学习
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IS-IS 中间系统到中间系统的认证
weixin_34061042的博客
01-05 936
ISIS认证1.接口认证 ---L1L2的IIH hello报文进行认证2.区域认证 ---针对L1SNPLSP进行认证3.路由域认证 ---针对L2SNPLSP进行认证方式三种:1.null2.明文3.MD5配置:接口认证:接口下明文认证 --hello报文认证,如果认证不一致,导致不能建立邻接关系interface GigabitEthernet0/0/1i...
openwrt 认证收费_openwrt h3c 802.1x 校园网认证
weixin_39641334的博客
02-19 983
openwrt h3c 802.1x 校园网认证环境CHAOS CALMER (15.05.1, r48532)校园网使用iNode智能客户端认证,使用802.1x协议参考B同学的教程(涉及隐私不给出连接)操作安装wpad路由器可以连上互联网,ssh登陆后root@OpenWrt:~# opkg remove wpad-mini #卸载pwad-miniroot@OpenWrt:~# opk...
中间系统-OL,认证,管理标记
Noel_Xie的博客
04-01 1040
AR1-isis-1]import-route isis level-1 into level-2 filter-policy route-policy ,执行路由泄露时进行路由过滤。[AR1-isis-1]domain-authentication-mode md5 plain hcie all-send-only,发送报文携带认证,接收报文进行 认证。附加系统ID([AR1-isis-1]virtual-system 0000.0000.0006,配置虚拟系统ID,跟系统ID一样需要唯一)。
zookeeper和kafka的SASL认证
BigData
10-27 994
1. 搭建Kafka集群时, 对ZooKeeper认证与权限控制 http://ohmycat.me/2019/05/08/kafka-with-zookeeper-authentication.html 2. zookeeper和kafka的SASL认证以及生产实践 https://developer.aliyun.com/article/708449 3. zookeeper(client-server身份认证-SASL配置) https://bbs.huaweicloud.com/blogs
webview 禁止苹果自动下拉_苹果开发者账号申请必备:双重认证教程!
weixin_39724889的博客
11-22 266
在此之前,德普船长出过一份苹果开发者账户注册教程(点击跳转教程),其中有小问题,就是苹果账户的双重认证,现在申请苹果开发者账号要求开启双重认证才能提交申请,这一步需要在苹果设备进行操作,有些小伙伴不太清楚,所以德普船长整理了一份双重验证的操作流程,希望能帮助到大家。双重验证其实是一种设备验证,需要苹果账户绑定苹果手机或者电脑设备!如果没开启将提示下面这个页面,先来开启好双重认证再去申请,需要登录...
微软MCP认证攻略
weixin_46473369的博客
03-17 2030
什么是MCP认证? MCP(Microsoft Certified Professionals)是微软对于全球获得微软相关认证者的统称。凡是通过 MCP 认证考试的人,即代表您已经获得相对应的微软产品或技术的专业证明。 MCP认证有什么用? 绝大多少人所关心的问题无非是:在获得 MCP 认证之后,将拥有哪些求职优势? 全球公认的权威性:由于 MCP 认证是微软认证体系中比较重要的认证,具备 IT...
oce专项认证 oracle_官方解密Oracle 数据库认证
weixin_39671621的博客
12-19 356
原标题:官方解密Oracle 数据库认证 您最近是否曾被困在Oracle认证的重重迷宫中?如果是的话,您一定也曾对此感到头昏脑胀。因为各个技术层面上都有太多的产品面向广泛并且多样化的用户,您很难知道应该从哪里开始。Oracle认证计划开始于Oracle Database 7.3。当时的考生只能选择数据库管理员或开发人员的路径。几十年后的今天,情况已完全不同!认证计划虽然以我们的两个核心——Orac...
【直通华为HCNA/HCNP系列R篇-11】IS-IS路由配置与管理
06-08
本课程以笔者编写、由华为公司指定作为ICT认证培训教材的《华为路由器学习指南》为主线,并是对书中内容的全面更新和提高,全面、系统、深入,并以全实战化方式讲解了华为设备中各种IS-IS路由技术原理和各主要功能的...
HCIP-IERS V2.5华为认证 HCIP实验指导书.pdf
12-28
获得HCIP认证的工程师应能够使用华为网络设备构建完整的中小型企业网络,并能够支持企业所需的语音、无线、云、安全和存储等各类应用集成到网络之中,确保这些应用在网络中的正常运行。此外,HCIP认证还强调网络的...
华为认证HCIP实验指导书HCIP-IERS V2.5.pdf
02-02
### 华为认证HCIP-IERS V2.5实验指导书关键知识点解析 #### 一、华为认证体系概述 华为认证体系是华为基于其在信息通信技术(ICT)领域的深厚经验和对未来行业发展趋势的理解,推出的一套全面覆盖IP、IT、CT技术...
iNode智能客户端MacOS版 iNodeClient for MacOS 7.3(E0538)支持802.1x认证方式,内附安装指导手册
07-05
iNode智能客户端MacOS版 iNodeClient for MacOS 7.3(E0538)支持802.1x认证方式,内附安装指导手册
华为HCIE-RS面试理论V3.0-含追问
最新发布
05-20
2. **理论深度**:深入理解各种路由协议的工作机制,例如IGP(内部网关协议)和EGP(外部网关协议),包括但不限于RIP、OSPF、IS-IS和BGP等。 3. **实践能力**:掌握如何在实际网络环境中部署和配置路由交换设备,以及...
华为认证网络专家培训-路由与交换实验手册
11-23
### 华为认证网络专家培训-路由与交换实验手册知识点概览 #### 第一章 RIP路由协议配置 ##### 原理概述 - **RIP(Routing Information Protocol)**:是一种内部网关协议(IGP),适用于小型网络,如校园网或区域...
**最全微软MCP认证攻略**
weixin_46473369的博客
03-13 1628
什么是MCP认证? MCP(Microsoft Certified Professionals)是微软对于全球获得微软相关认证者的统称。凡是通过 MCP 认证考试的人,即代表您已经获得相对应的微软产品或技术的专业证明。 MCP认证有什么用? 绝大多少人所关心的问题无非是:在获得 MCP 认证之后,将拥有哪些求职优势? 全球公认的权威性:由于 MCP 认证是微软认证体系中比较重要的认证,具备 IT...
H3C-5500 做的VRRP
weixin_34117211的博客
09-15 249
<VRRP-1>dis curr # version 5.20, Release 2202 # sysname VRRP-1 # irf mac-address persistent timer irf auto-update enable undo irf link-delay # domain default enable s...
IS-IS详解(十五)——IS-IS 认证
永远是少年
09-02 3326
今天继续给大家介绍IS-IS相关内容。本文主要内容是IS-IS路由开销计算与外部路由引入。 阅读本文,您需要有一定的IS-IS基础,如果您对此存在困惑,欢迎查阅我博客的其他内容,相信您一定会有所收获。 推荐阅读: IS-IS详解(一)——IS-IS基础 IS-IS详解(二)——IS-IS邻居建立 IS-IS详解(三)——IS-IS 报文结构与功能 IS-IS详解(四)——IS-IS Hello报文详解 IS-IS详解(五)——IS-IS 三次握手与两次握手 IS-IS详解(六)——IS-IS LSP机制详解
今年取得的Oracle方面的认证证书总结
cmy19760818的博客
06-05 908
今年上半年辛苦但是收获丰硕,在公司方面大力支持和自己的刻苦努力下,顺利完成了Oracle10g 和 11g相关的4项认证的考试的学习和考试。作为阶段性的小小的学习成果,...
openwrt 认证收费_在OpenWrt中安装Wiwiz实现portal认证
weixin_32192627的博客
12-23 2318
1.系统需求硬件已安装了OpenWrt固件的无线路由器(典型的有Linksys WRT54G系列)软件Wifidog你可以尝试执行以下命令安装Wifidog:opkg update # Optionalopkg install wifidog复制代码将无线路由器接入Internet。设置并启用无线网络,即,使用无线路由器创建一个可用的Access Point。2.在Web控制面板中创建热点登录到W...
ISIS协议详解:HCNP中的IS-IS概念与配置
"本文档介绍了ISIS(Intermediate System to Intermediate System)的基础内容,主要适用于HCNP(华为认证网络专业人员)的学习。ISIS是一种链路状态协议,常用于大型网络和运营商环境,采用NSAP地址结构,并根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值