03、IS-IS认证

IS-IS认证

IS-IS认证是基于网络安全性的要求而实现的一种认证手段，通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃，达到自我保护的目的。

认证的分类

根据报文的种类，认证可以分为以下三类：

• 接口认证：是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。

  对于接口认证，有以下两种设置：

  • 发送带认证TLV的认证报文，本地对收到的报文也进行认证检查。

  • 发送带认证TLV的认证报文，但是本地对收到的报文不进行认证检查。

• 区域认证：是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。

• 路由域认证：是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。

  对于区域和路由域认证，可以设置为SNP和LSP分开认证。

  • 本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都进行认证检查。

  • 本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文携带认证TLV，但不对收到的SNP报文进行检查。

  • 本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文不携带认证TLV，也不对收到的SNP报文进行认证检查。

  • 本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都不进行认证检查。

根据报文的认证方式，可以分为以下三类：

• 明文认证：一种简单的认证方式，将配置的密码直接加入报文中，这种认证方式安全性不够。

• MD5认证：通过将配置的密码进行MD5算法之后再加入报文中，这样提高了密码的安全性。

• Keychian认证：通过配置随时间变化的密码链表来进一步提升网络的安全性。

认证信息的携带形式

IS-IS通过TLV的形式携带认证信息，认证TLV的类型为10，具体格式如下：

• Type：ISO定义认证报文的类型值为10，长度为1字节。

• Length：指定认证TLV值的长度，长度1字节。

• Value：指定认证的具体内容，其中包括了认证的类型和认证的密码，长度为1～254字节。

  其中认证的类型为1字节，具体定义如下：

  • 0：保留的类型

  • 1：明文认证

  • 54：MD5认证

  • 255：路由域私有认证方式