تكوين مصادقة IS-IS

المقدمة

يصف هذا المستند تكوين المصادقة لبروتوكولات التوجيه لمنع إدخال المعلومات الضارة في جدول التوجيه. يوضّح هذا المستند مصادقة النص الواضح بين أجهزة التوجيه التي تقوم بتشغيل نظام وسيط إلى وسيط (IS-IS) لبروتوكول الإنترنت.

يغطي هذا المستند فقط مصادقة نص IS-IS Clear. ارجع إلى تحسين الأمان في شبكة IS-IS للحصول على مزيد من المعلومات حول الأنواع الأخرى من مصادقة IS-IS.

المتطلبات الأساسية

المتطلبات

يجب أن يكون قراء هذا المستند على دراية بعملية تكوين IS-IS.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة. تم إختبار التكوين في هذا المستند على موجهات سلسلة 2500 من Cisco، التي تشغل الإصدار 12.2(24a) من Cisco IOS.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

IS-IS يسمح بتكوين كلمة مرور لارتباط محدد أو منطقة أو مجال محدد. يجب أن تقوم الموجهات التي تريد أن تصبح مجاورة بتبادل نفس كلمة المرور لمستوى المصادقة الذي تم تكوينه لها. يحظر على الموجه الذي لا يحمل كلمة المرور المناسبة المشاركة في الوظيفة المقابلة (أي لا يجوز له تهيئة رابط أو أن يكون عضوا في منطقة أو أن يكون عضوا في مجال المستوى 2 على التوالي).

يتيح برنامج Cisco IOS^®تكوين ثلاثة أنواع من مصادقة IS-IS.

• مصادقة IS-IS - لفترة طويلة، كانت هذه هي الطريقة الوحيدة لتكوين مصادقة IS-IS.

• مصادقة IS-IS HMAC-MD5 - تضيف هذه الميزة ملخص HMAC-MD5 إلى كل وحدة بيانات بروتوكول نظام وسيط إلى نظام وسيط (IS-IS) (PDU). تم تقديمه في الإصدار 12.2(13)T من البرنامج Cisco IOS Software ويتم دعمه فقط على أنظمة أساسية ذات عدد محدود.

• المصادقة النصية الواضحة المحسنة - باستخدام هذه الميزة الجديدة، يمكن تكوين مصادقة النص الواضح باستخدام أوامر جديدة تسمح بتشفير كلمات المرور عند عرض تكوين البرنامج. كما أنها تجعل كلمات المرور أكثر سهولة في الإدارة والتغيير.

ملاحظة: ارجع إلى تحسين الأمان في شبكة IS-IS للحصول على معلومات حول MD-5 ل ISIS والمصادقة المحسنة للنص الواضح.

يوفر بروتوكول نظام وسيط إلى نظام وسيط (IS-IS)، كما هو محدد في RFC 1142، مصادقة حزم حالة الارتباط (LSPs) وحزم حالة الارتباط (LSPs) من خلال تضمين معلومات المصادقة كجزء من بروتوكول نظام وسيط إلى نظام وسيط (LSP). يتم تشفير معلومات المصادقة هذه كقيمة طول النوع (TLV) ثلاثية. نوع مصادقة TLV هو 10، وطول TLV متغير، وقيمة TLV تعتمد على نوع المصادقة الذي يتم إستخدامه. بشكل افتراضي، يتم تعطيل المصادقة.

التكوين

يناقش هذا القسم كيفية تكوين مصادقة نص واضح ل IS-IS على إرتباط ولمنطقة ولمجال.

مصادقة الواجهة

عندما تقوم بتكوين مصادقة IS-IS على واجهة، يمكنك تمكين كلمة المرور للمستوى 1 أو المستوى 2 أو لكل من توجيه المستوى 1/المستوى 2. إذا لم تحدد مستوى، فإن الافتراضي هو المستوى 1 والمستوى 2. بناء على المستوى الذي تم تكوين المصادقة له، يتم حمل كلمة المرور في رسائل Hello المطابقة. يجب أن يتتبع مستوى مصادقة واجهة IS-IS نوع التجاور على الواجهة. أستخدم الأمر show clns neighbor لمعرفة نوع التجاور. بالنسبة لمصادقة المنطقة والمجال، لا يمكنك تحديد المستوى.

يوضح الرسم التخطيطي للشبكة وتكوينات مصادقة الواجهة على الموجه A و Ethernet 0 والموجه B و Ethernet 0 أدناه. يتم تكوين الموجه A والموجه B كلاهما باستخدام كلمة مرور SECr3T لكل من المستوى 1 والمستوى 2. كلمات المرور هذه حساسة لحالة الأحرف.

في موجهات Cisco التي تم تكوينها باستخدام خدمة الشبكة غير المتصلة (CLNS) is-is، يكون تجاور CLNS بينها المستوى 1/المستوى 2 بشكل افتراضي. لذلك، سيكون للموجه A والموجه B كلا نوعي التجاور، ما لم يتم تكوينهما بشكل خاص للمستوى 1 أو المستوى 2.

interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
isis password SECr3t

interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis 
net 49.1234.1111.1111.1111.00 

interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
isis password SECr3t

interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 

مصادقة المنطقة

ويرد أدناه الرسم التخطيطي للشبكة وتكويناتها لمصادقة المنطقة. عند تكوين مصادقة المنطقة، يتم حمل كلمة المرور في بروتوكولات LSP و CSNPs و PSNPS من المستوى 1. توجد جميع الموجهات في نفس منطقة IS-IS، 49.1234، ويتم تكوينها جميعا باستخدام كلمة مرور المنطقة "tiGHter".

interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis
 
router isis  
net 49.1234.1111.1111.1111.00 
area-password tiGHter

interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 
area-password tiGHter

interface ethernet1
ip address 172.16.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.1234.3333.3333.3333.00 
area-password tiGHter

interface ethernet1
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.1234.4444.4444.4444.00 
area-password tiGHter

مصادقة المجال

يتم عرض الرسم التخطيطي للشبكة وتكوينات مصادقة المجال أدناه. يوجد الموجه A والموجه B في منطقة IS-IS 49.1234، والموجه C في منطقة IS-IS 49.5678، والموجه D في المنطقة 49.999. تقع جميع الموجهات في مجال IS-IS نفسه (49) ويتم تكوينها باستخدام كلمة مرور المجال "seConnection".

interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.1111.1111.1111.00 
domain-password seCurity

interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis
interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.2222.2222.2222.00 
domain-password seCurity

interface ethernet1 
ip address 172.16.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.5678.3333.3333.3333.00 
domain-password seCurity

interface ethernet1 
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.9999.4444.4444.4444.00 
domain-password seCurity

دمج مصادقة المجال والمنطقة والواجهة

توضح الطبولوجيا والتكوينات الجزئية في هذا القسم مجموعة من مصادقة المجال والمنطقة والواجهة. يقع الموجه A والموجه B في نفس المنطقة ويتم تكوينهما باستخدام كلمة مرور المنطقة "tiGHter". ينتمي الموجه C والموجه D إلى منطقتين مختلفتين عن الموجه A والموجه B. توجد جميع الموجهات في نفس المجال وتشارك كلمة مرور مستوى المجال "seGuard". يحتوي الموجه B والموجه C على تكوين واجهة لارتباط الإيثرنت بينهما. لا يشكل الموجه C والموجه D إلا عمليات تجاور L2 مع جيرانهم ولا يتطلب تكوين كلمة مرور المنطقة.

interface ethernet 0
ip address 10.3.3.1 255.255.255.0
ip router isis
interface ethernet1
ip address 10.1.1.1 255.255.255.0
ip router isis

router isis  
net 49.1234.1111.1111.1111.00 
domain-password seCurity
area-password tiGHter

interface ethernet 0
ip address 10.3.3.2 255.255.255.0
ip router isis

interface ethernet1
ip address 172.16.1.1 255.255.255.0
ip router isis
clns router isis
isis password Fri3nd level-2

router isis  
net 49.1234.2222.2222.2222.00 
domain-passwordseCurity
area-password tiGHter

interface ethernet1
ip address 172.16.1.2 255.255.255.0
ip router isis
isis password Fri3nd level-2

interfaceethernet0
ip address 192.168.50.1 255.255.255.0
ip router isis

router isis  
net 49.5678.3333.3333.3333.00 
domain-password seCurity

interface ethernet1
ip address 10.1.1.2 255.255.255.0
ip router isis

interface ethernet0
ip address 192.168.50.2 255.255.255.0
ip router isis

router isis  
net 49.9999.4444.4444.4444.00 
domain-password seCurity

التحقق من الصحة

يتم دعم بعض أوامر العرض بواسطة Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) (العملاء المسجلون فقط)، والذي يسمح لك بعرض تحليل إخراج أمر العرض.

للتحقق من ما إذا كانت مصادقة الواجهة تعمل بشكل صحيح، أستخدم الأمر show clns neighbors في وضع EXEC للمستخدم أو وضع EXEC ذي الامتيازات. يعرض إخراج الأمر نوع التجاور وحالة الاتصال. يعرض هذا النموذج الناتج من الأمر show clns neighbors موجه تم تكوينه بشكل صحيح لمصادقة الواجهة ويعرض الحالة ك UP:

RouterA# show clns neighbors

System Id      Interface   SNPA                State  Holdtime  Type Protocol
RouterB        Et0         0000.0c76.2882      Up     27        L1L2 IS-IS

بالنسبة لمصادقة المنطقة والنطاق، يمكن إجراء التحقق من المصادقة باستخدام أوامر تصحيح الأخطاء كما هو موضح في القسم التالي.

استكشاف الأخطاء وإصلاحها

إذا كانت الموجهات المتصلة مباشرة تحتوي على مصادقة تم تكوينها على جانب واحد من الرابط، وليس على الجانب الآخر، فإن الموجهات لا تشكل تجاور CLNS IS-IS. في الإخراج أدناه، يتم تكوين الموجه B لمصادقة الواجهة على واجهة إيثرنت 0 الخاصة بها، ولم يتم تكوين الموجه A باستخدام المصادقة على الواجهة المجاورة له.

Router_A# show clns neighbors
System Id      Interface   SNPA                State  Holdtime  Type Protocol
Router_B       Et0         00e0.b064.46ec      Init   265       IS   ES-IS

Router_B# show clns neighbors

إذا كانت الموجهات المتصلة مباشرة مزودة بمصادقة المنطقة تم تكوينها على أحد جانبي الارتباط، فسيتم تكوين تجاور CLNS IS-IS بين الخطين. ومع ذلك، فإن الموجه الذي يتم تكوين مصادقة المنطقة عليه، لا يقبل LSPs من L1 من جار CLNS بدون مصادقة المنطقة التي تم تكوينها. ومع ذلك، يستمر المجاور الذي لا يملك مصادقة المنطقة في قبول كل من LSPs من المستوى الأول والمستوى الثاني.

هذه هي رسالة تصحيح الأخطاء على الموجه A حيث يتم تكوين مصادقة المنطقة واستلام L1 LSP من جهاز مجاور (الموجه B) دون مصادقة المنطقة:

Router_A# deb isis update-packets
 IS-IS Update related packet debugging is on
 Router_A#
 *Mar 1 00:47:14.755: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1128,
 *Mar 1 00:47:14.759: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
 *Mar 1 00:47:14.763: ISIS-Upd: LSP authentication failed
 Router_A#
 *Mar 1 00:47:24.455: ISIS-Upd: Rec L1 LSP 2222.2222.2222.00-00, seq 3, ht 1118,
 *Mar 1 00:47:24.459: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
 *Mar 1 00:47:24.463: ISIS-Upd: LSP authentication failed
 RouterA#

إذا قمت بتكوين مصادقة المجال على موجه واحد، فإنها ترفض بروتوكولات LSP من L2 من الموجهات التي لا تحتوي على مصادقة المجال التي تم تكوينها. تقبل الموجهات التي لا تحتوي على مصادقة تم تكوينها LSPs من الموجه الذي تم تكوين المصادقة عليه.

يظهر إخراج تصحيح الأخطاء أدناه حالات فشل مصادقة LSP. يتم تكوين مرجع التحكم في الوصول للموجه لمصادقة المنطقة أو المجال ويستلم عناوين LSP للمستوى 2 من موجه (DB للموجه) لم يتم تكوينه لمصادقة المجال أو كلمة المرور.

Router_A# debug isis update-packets
IS-IS Update related packet debugging is on
Router_A#
*Mar  1 02:32:48.315: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 374,
*Mar  1 02:32:48.319: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
*Mar  1 02:32:48.319: ISIS-Upd: LSP authentication failed
Router_A#
*Mar  1 02:32:57.723: ISIS-Upd: Rec L2 LSP 2222.2222.2222.00-00, seq 8, ht 365,
*Mar  1 02:32:57.727: ISIS-Upd: from SNPA 0000.0c76.2882 (Ethernet0)
*Mar  1 02:32:57.727: ISIS-Upd: LSP authentication failed

معلومات ذات صلة

• صفحة دعم توجيه IP
• الدعم التقني والمستندات - Cisco Systems