IS-IS认证原理(华为设备)

最新推荐文章于 2021-09-02 21:48:50 发布
最新推荐文章于 2021-09-02 21:48:50 发布
阅读量3.1k 收藏 14
点赞数 1
分类专栏: HCIE R&S学习笔记 文章标签: IS-IS 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/112623060
版权

概念:

IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。

根据报文种类,IS-IS 支持以下三种认证类型:
一、接口认证:是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。对于IS-IS接口认证,有以下两种设置:

  1. 发送带有验证TLV的验证报文,本地对收到的报文也进行验证检测
  2. 发送带验证TLV的验证报文,但是本地对收到的报文不进行检测

二、区域认证:是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。

三、路由域认证:是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。

对于区域和路由域认证,可以设置为SNP和LSP分开认证:

  1. 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
  2. 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
  3. 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
  4. 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。

根据报文的认证方式,可以分为以下三类:
一、明文认证:一种简单的认证方式,将配置的密码直接加入报文中,这种认证方式安全性不够。

二、MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。

三、Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。

认证信息的携带形式:
IS-IS通过TLV的形式携带认证信息,认证TLV的类型为10,具体格式如下:
在这里插入图片描述
Type:ISO定义认证报文的类型值为10,长度为1字节。
Length:指定认证TLV值的长度,长度1字节。
Value:指定认证的具体内容,其中包括了认证的类型和认证的密码,长度为1~254字节。

其中认证的类型为1字节,具体定义如下:
0:保留的类型
1:明文认证
54:MD5认证
255:路由域私有认证方式

明文抓包信息如下:
在这里插入图片描述
可以看到明文认证对应的认证类型为1,并且密码是用明文方式发送的。

MD5抓包信息如下:
在这里插入图片描述
可以看到MD5认证对应的类型值为54,而且密码已经被加密。

IS-IS接口认证:

背景:
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

注意点:
通过配置IS-IS接口认证,可以封装认证信息到Hello报文中,以确认邻居的有效性和正确性。华为设备在配置接口认证时可以跟随send-only字段,具体解释解释:

  1. 如果配置了send-only则表示仅对发送的Hello封装认证信息。而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时。才可以建立起邻居关系。
  2. 如果没有配置send-only ,此时应保证同一网络所有接口的相同级别的认证密码一致。

IS-IS区域认证和路由域认证:

背景:

通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
区域认证会将认证密码封装在Level-1区域的IS-IS报文中(SNP和LSP),只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。
路由域认证是将认证密码封装在Level-2区域的IS-IS报文中(SNP和LSP),只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。

注意点:
配置路由域认证和区域认证可以同时进行,都可以生效,但是同一区域中认证方式一定要一致,不能进行接口认证,否则无法正常泛洪IS-IS报文。

在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立(建立是通过hello报文)。

区域和路由域认证支持以下几种组合形式:(华为设备)

  1. 对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。
  2. 对发送的LSP封装认证信息并检查收到的LSP ,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。
  3. 对发送的LSP和SNP都封装认证信息,只检查收到的LSP ,不检查收到的SNP。该情况下需要配置参数snp-packet send-only.
  4. 对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only.

optional checksum:

背景:
在网络运行期间,IS-IS路由器可能会收到恶意报文的攻击,或者IS-IS报文被篡改,可能导致网络的重要信息被窃取,给网络造成重大损失。optional checksum特性是指在IS-IS路由器发送的CSNP、PSNP及Hello报文中,封装optional checksum TLV,对端在收到封装后的报文后,首先检查其携带的TLV是否正确,如果不正确,则拒绝接收,从而保证网络的安全性。华为设备默认是开启的。

注意:
如果IS-IS接口或者区域已经配置了MD5认证或者含有生效MD5认证的Keychain认证,则IS-IS路由器发送Hello和SNP报文时不携带checksum TLV,只校验接收到的报文。

配置:
[R1-isis-1]optional-checksum enable //在进程下进行配置

参考资料:华为HedEx文档

格洛米爱学习
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ISIS认证概述
qq_46402409的博客
12-23 2851
ISIS认证 ISIS认证是通过TLV进行携带的,默认不携带。 加密方式:MD5,keychain,明文(不安全,抓包可以看见),无认证 三种认证:1.接口认证 本质是对HELLO的认证 (对L1L2的都有效) 确认邻居的可靠,只有接口认证可以影响邻居的建立。 配置接口认证isis authentication-mode simple cipher huawei123 (明文认证 密文显示) 未做认证的,发送报文时携带认证tlv,接受报文时忽略...
iNode智能客户端MacOS版 iNodeClient for MacOS 7.3(E0538)支持802.1x认证方式,内附安装指导手册
07-05
iNode智能客户端MacOS版 iNodeClient for MacOS 7.3(E0538)支持802.1x认证方式,内附安装指导手册
zookeeper和kafka的SASL认证
BigData
10-27 954
1. 搭建Kafka集群时, 对ZooKeeper认证与权限控制 http://ohmycat.me/2019/05/08/kafka-with-zookeeper-authentication.html 2. zookeeper和kafka的SASL认证以及生产实践 https://developer.aliyun.com/article/708449 3. zookeeper(client-server身份认证-SASL配置) https://bbs.huaweicloud.com/blogs
openwrt 认证收费_openwrt h3c 802.1x 校园网认证
weixin_39641334的博客
02-19 961
openwrt h3c 802.1x 校园网认证环境CHAOS CALMER (15.05.1, r48532)校园网使用iNode智能客户端认证,使用802.1x协议参考B同学的教程(涉及隐私不给出连接)操作安装wpad路由器可以连上互联网,ssh登陆后root@OpenWrt:~# opkg remove wpad-mini #卸载pwad-miniroot@OpenWrt:~# opk...
webview 禁止苹果自动下拉_苹果开发者账号申请必备:双重认证教程!
weixin_39724889的博客
11-22 251
在此之前,德普船长出过一份苹果开发者账户注册教程(点击跳转教程),其中有小问题,就是苹果账户的双重认证,现在申请苹果开发者账号要求开启双重认证才能提交申请,这一步需要在苹果设备进行操作,有些小伙伴不太清楚,所以德普船长整理了一份双重验证的操作流程,希望能帮助到大家。双重验证其实是一种设备验证,需要苹果账户绑定苹果手机或者电脑设备!如果没开启将提示下面这个页面,先来开启好双重认证再去申请,需要登录...
微软MCP认证攻略
weixin_46473369的博客
03-17 1958
什么是MCP认证? MCP(Microsoft Certified Professionals)是微软对于全球获得微软相关认证者的统称。凡是通过 MCP 认证考试的人,即代表您已经获得相对应的微软产品或技术的专业证明。 MCP认证有什么用? 绝大多少人所关心的问题无非是:在获得 MCP 认证之后,将拥有哪些求职优势? 全球公认的权威性:由于 MCP 认证是微软认证体系中比较重要的认证,具备 IT...
华为路由器 三层路由防环--IS-IS 协议互引路由
04-06
动态路由协议IS-IS在现网有广泛的应用。组网方案中经常涉及IS-IS多进程路由互引场 ...如果在部署IS-IS协议互引的设备上没有配置路由策略,或者配置路由策略不合 理,可能会出现三层路由环路,导致业务受损。
华为 NE20E-S V800R010C10SPC500 配置指南 - IS-IS配置
04-20
了解IS-IS的基本原理、配置和配置举例。 1 IS-IS概述 2 IS-IS支持的License和配置注意事项 3 配置IS-IS的基本功能(IPv4) 4 调整IS-IS的选路(IPv4) 5 配置IS-IS与其他路由协议交互(IPv4) 6 调整IS-IS路由的收敛速度...
HuaWei ❀ IS-IS 路由器分类
12-14
IS-IS 路由器分类 (1)Level-1路由器 Level-1路由器负责区域内的路由,它只属于同一区域的Level-1和Level-2路由器形成邻居关系,属于不同区域的Level-1路由器不能形成邻居关系,Level-1路由器只负责维护Level-的...
华为IS-IS基础配置
12-23
华为IS-IS基础配置
华为路由器 三层路由防环--OSPF 协议与 IS-IS 协议互引路由
04-06
动态路由协议OSPF与IS-IS,在现网有广泛的应用。组网方案中经常涉及OSPF与IS-IS ...如果在部署OSPF协议与IS-IS协议互引的设备上没有配置路由策略, 或者配置路由策略不合理,可能会出现三层路由环路,导致业务受损。
oce专项认证 oracle_官方解密Oracle 数据库认证
weixin_39671621的博客
12-19 341
原标题:官方解密Oracle 数据库认证 您最近是否曾被困在Oracle认证的重重迷宫中?如果是的话,您一定也曾对此感到头昏脑胀。因为各个技术层面上都有太多的产品面向广泛并且多样化的用户,您很难知道应该从哪里开始。Oracle认证计划开始于Oracle Database 7.3。当时的考生只能选择数据库管理员或开发人员的路径。几十年后的今天,情况已完全不同!认证计划虽然以我们的两个核心——Orac...
**最全微软MCP认证攻略**
weixin_46473369的博客
03-13 1578
什么是MCP认证? MCP(Microsoft Certified Professionals)是微软对于全球获得微软相关认证者的统称。凡是通过 MCP 认证考试的人,即代表您已经获得相对应的微软产品或技术的专业证明。 MCP认证有什么用? 绝大多少人所关心的问题无非是:在获得 MCP 认证之后,将拥有哪些求职优势? 全球公认的权威性:由于 MCP 认证是微软认证体系中比较重要的认证,具备 IT...
H3C-5500 做的VRRP
weixin_34117211的博客
09-15 238
<VRRP-1>dis curr # version 5.20, Release 2202 # sysname VRRP-1 # irf mac-address persistent timer irf auto-update enable undo irf link-delay # domain default enable s...
IS-IS详解(十五)——IS-IS 认证
永远是少年
09-02 3221
今天继续给大家介绍IS-IS相关内容。本文主要内容是IS-IS路由开销计算与外部路由引入。 阅读本文,您需要有一定的IS-IS基础,如果您对此存在困惑,欢迎查阅我博客的其他内容,相信您一定会有所收获。 推荐阅读: IS-IS详解(一)——IS-IS基础 IS-IS详解(二)——IS-IS邻居建立 IS-IS详解(三)——IS-IS 报文结构与功能 IS-IS详解(四)——IS-IS Hello报文详解 IS-IS详解(五)——IS-IS 三次握手与两次握手 IS-IS详解(六)——IS-IS LSP机制详解
今年取得的Oracle方面的认证证书总结
cmy19760818的博客
06-05 902
今年上半年辛苦但是收获丰硕,在公司方面大力支持和自己的刻苦努力下,顺利完成了Oracle10g 和 11g相关的4项认证的考试的学习和考试。作为阶段性的小小的学习成果,...
openwrt 认证收费_在OpenWrt中安装Wiwiz实现portal认证
weixin_32192627的博客
12-23 2287
1.系统需求硬件已安装了OpenWrt固件的无线路由器(典型的有Linksys WRT54G系列)软件Wifidog你可以尝试执行以下命令安装Wifidog:opkg update # Optionalopkg install wifidog复制代码将无线路由器接入Internet。设置并启用无线网络,即,使用无线路由器创建一个可用的Access Point。2.在Web控制面板中创建热点登录到W...
MCSA&MCP认证证书
weixin_34111819的博客
01-26 794
2017年1月拿到了微软的第一张证书Mark一下再接再厉,拿下MCSE 转载于:https://blog.51cto.com/huzhichong/1894289
华为is is协议收敛时间
最新发布
01-04
IS-IS协议是一种用于路由的动态内部网关协议(IGP)。IS-IS通常用于大型企业网络或互联网服务提供商的骨干网络中。IS-IS协议的收敛时间指的是在网络中发生链路或节点故障后,IS-IS协议需要多长时间来更新并收敛网络路由。 IS-IS协议的收敛时间与网络规模、链路状态数据库的大小、路由器处理能力和网络拓扑结构等因素有关。一般来说,IS-IS协议的收敛时间通常比较快,可以在数秒到数十秒之间完成。 IS-IS协议实现收敛的过程包括以下几个步骤: 1. 发现链路故障:当链路或节点故障发生时,邻居路由器会通过Hello消息检测到邻居的失效,从而触发IS-IS协议的故障检测机制。 2. 建立新的链路状态数据库(LSDB):邻居路由器之间通过IS-IS协议交换链路状态信息,当发现故障后,路由器会更新链路状态信息,并重新计算路径。 3. 更新路由表:IS-IS协议使用收敛树算法计算新的最短路径,并根据新的链路状态信息更新路由表。 4. 发送更新信息:路由器将新的路由信息发送给邻居路由器,以便全网更新。 5. 收敛结束:当网络中的所有路由器都收敛到新的路由表后,IS-IS协议完成收敛过程,网络恢复正常。 IS-IS协议的快速收敛能力使得它在大型网络中得到广泛应用,提高了网络的可靠性和稳定性。然而,由于网络的复杂性和规模,IS-IS协议的收敛时间可能会有所延长。因此,在设计和运维网络时,需要合理规划网络拓扑结构、优化链路状态数据库,并定期对网络进行性能优化和故障排除,以保证IS-IS协议能够快速、稳定地进行收敛。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值