IS-IS 接口认证密码平滑更换

拓扑图

配置

AR1、AR2建立ISIS level-2邻居关系，并配置接口认证密码为huawei

sysname AR1
#
isis 1
 is-level level-2
 network-entity 49.0000.0000.0000.0001.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.1 255.255.255.0 
 isis enable 1
 isis authentication-mode md5 plain huawei

sysname AR2
#
isis 1
 is-level level-2
 network-entity 49.0000.0000.0000.0002.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0 
 isis enable 1
 isis authentication-mode md5 plain huawei

查看邻居关系

将接口认证密码切换至huawei@123，切换过程中邻居关系不中断

isis authentication-mode { simple | md5 } { plainplain-text | [ cipher ] plain-cipher-text } [ level-1 | level-2 ] [ ip | osi ] [ send-only ]

参数	参数说明	取值
simple	指定密码以纯文本方式发送。 须知： Simple加密算法存在安全风险，推荐使用HMAC-SHA256加密算法。	-
plainplain-text	指定密码为明文类型，只能键入明文口令，在查看配置文件时以明文方式显示口令。 须知： 如果使用plain选项，密码将以明文形式保存在配置文件中，存在安全隐患。建议使用cipher选项，将密码加密保存。	字符串形式，可以为字母或数字，区分大小写，不支持空格。当认证模式为simple时，长度为1～16；认证模式为md5或hmac-sha256时，长度为1～255。
cipherplain-cipher-text	指定密码为密文类型，可以键入明文或密文口令，在查看配置文件时以密文方式显示口令。系统默认为cipher类型。	字符串形式，可以为字母或数字，区分大小写，不支持空格。当认证模式为simple时，长度为1～16的明文或32或48的密文；认证模式为md5或hmac-sha256时，长度为1～255的明文或20～392的密文。
md5	指定密码通过MD5加密后发送。 须知： MD5加密算法存在安全风险，推荐使用HMAC-SHA256加密算法。	-
level-1	指定Level-1级别的认证。当IS-IS接口链路类型为Level-1-2时，如果不选择参数level-1或level-2，则为Level-1和Level-2的Hello报文都配置认证模式和密码。	-
level-2	指定Level-2级别的认证。当IS-IS接口链路类型为Level-1-2时，如果不选择参数level-1或level-2，则为Level-1和Level-2的Hello报文都配置认证模式和密码。 说明： 参数level-1和level-2仅在WAN侧以太网接口和LAN侧VLANIF接口上是可见的，而且必须先在接口上使能IS-IS。	-
ip	指定IP认证密码。使用keychain认证方式时，不能配置该选项。如果没有指定参数ip和osi，则默认为osi。	-
osi	指定OSI认证密码。使用keychain认证方式时，不能配置该选项。如果没有指定参数ip和osi，则默认为osi。	-
send-only	只对发送的Hello报文加载认证信息，不对接收的Hello报文进行认证。如果不指定此参数，则缺省为对发送的Hello报文加载认证信息且对接收的Hello报文进行认证。	-
keychainkeychain-name	指定密码为随时间变化的密钥链表。只有通过命令keychain创建了keychain-name之后，配置参数才会有效。 目前，IS-IS只支持hmac-md5和hmac-sha256算法。	字符串形式，长度范围是1～47，不区分大小写。字符不包括问号和空格，但是当输入的字符串两端使用双引号时，可在字符串中输入空格。
hmac-sha256	指定密码通过HMAC-SHA256算法加密后参与认证。	-
key-idkey-id	指定HMAC-SHA256算法的密钥ID。	整数形式，取值范围是0～65535。

send-only参数只对发送的Hello报文添加认证数据，不对接收的Hello报文进行认证

1）将AR1的接口认证配置添加参数send-only

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei send-only
#

2）将AR2的接口认证配置参数send-only

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123 send-only
#

3）修改AR1的接口认证密码为huawei@123，无需添加send-only参数

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123
#

4）修改AR2的接口认证密码，无需添加send-only参数

interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei@123
#

修改配置过程中查看ISIS邻居状态，始终保持UP