IS-IS 接口认证密码平滑更换

拓扑图

IS-IS 接口认证密码平滑更换_第1张图片

配置

AR1、AR2建立ISIS level-2邻居关系,并配置接口认证密码为huawei

sysname AR1
#
isis 1
 is-level level-2
 network-entity 49.0000.0000.0000.0001.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.1 255.255.255.0 
 isis enable 1
 isis authentication-mode md5 plain huawei
sysname AR2
#
isis 1
 is-level level-2
 network-entity 49.0000.0000.0000.0002.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0 
 isis enable 1
 isis authentication-mode md5 plain huawei

查看邻居关系

IS-IS 接口认证密码平滑更换_第2张图片

将接口认证密码切换至huawei@123,切换过程中邻居关系不中断

isis authentication-mode { simple | md5 } { plainplain-text | [ cipher ] plain-cipher-text } [ level-1 | level-2 ] [ ip | osi ] [ send-only ]

参数

参数说明

取值

simple

指定密码以纯文本方式发送。

须知:

Simple加密算法存在安全风险,推荐使用HMAC-SHA256加密算法。

-

plainplain-text

指定密码为明文类型,只能键入明文口令,在查看配置文件时以明文方式显示口令。

须知:

如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。

字符串形式,可以为字母或数字,区分大小写,不支持空格。当认证模式为simple时,长度为1~16;认证模式为md5hmac-sha256时,长度为1~255。

cipherplain-cipher-text

指定密码为密文类型,可以键入明文或密文口令,在查看配置文件时以密文方式显示口令。系统默认为cipher类型。

字符串形式,可以为字母或数字,区分大小写,不支持空格。当认证模式为simple时,长度为1~16的明文或32或48的密文;认证模式为md5hmac-sha256时,长度为1~255的明文或20~392的密文。

md5

指定密码通过MD5加密后发送。

须知:

MD5加密算法存在安全风险,推荐使用HMAC-SHA256加密算法。

-

level-1

指定Level-1级别的认证。当IS-IS接口链路类型为Level-1-2时,如果不选择参数level-1level-2,则为Level-1和Level-2的Hello报文都配置认证模式和密码。

-

level-2

指定Level-2级别的认证。当IS-IS接口链路类型为Level-1-2时,如果不选择参数level-1level-2,则为Level-1和Level-2的Hello报文都配置认证模式和密码。

说明:

参数level-1level-2仅在WAN侧以太网接口和LAN侧VLANIF接口上是可见的,而且必须先在接口上使能IS-IS。

-

ip

指定IP认证密码。使用keychain认证方式时,不能配置该选项。如果没有指定参数iposi,则默认为osi

-

osi

指定OSI认证密码。使用keychain认证方式时,不能配置该选项。如果没有指定参数iposi,则默认为osi

-

send-only

只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。如果不指定此参数,则缺省为对发送的Hello报文加载认证信息且对接收的Hello报文进行认证。

-

keychainkeychain-name

指定密码为随时间变化的密钥链表。只有通过命令keychain创建了keychain-name之后,配置参数才会有效。

目前,IS-IS只支持hmac-md5和hmac-sha256算法。

字符串形式,长度范围是1~47,不区分大小写。字符不包括问号和空格,但是当输入的字符串两端使用双引号时,可在字符串中输入空格。

hmac-sha256

指定密码通过HMAC-SHA256算法加密后参与认证。

-

key-idkey-id

指定HMAC-SHA256算法的密钥ID。

整数形式,取值范围是0~65535。

send-only参数只对发送的Hello报文添加认证数据,不对接收的Hello报文进行认证

1)将AR1的接口认证配置添加参数send-only

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei send-only
#

2)将AR2的接口认证配置参数send-only

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123 send-only
#

3)修改AR1的接口认证密码为huawei@123,无需添加send-only参数

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123
#

4)修改AR2的接口认证密码,无需添加send-only参数

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123
#

修改配置过程中查看ISIS邻居状态,始终保持UP

IS-IS 接口认证密码平滑更换_第3张图片

你可能感兴趣的:(IS-IS,网络,运维)