最佳答案
在Spine-Leaf架构上为已建立的OSPF和BGP EVPN邻居添加密钥认证,确实存在使邻居关系中断的风险。不过,H3C的设备(如S125、S6825系列)提供了成熟的“密钥滚动(Key Rollover)”机制,可以实现无缝、不中断业务的密钥添加。这是一个需要谨慎规划的割接操作。
以下是针对两种协议的具体操作步骤:
OSPF 协议的无中断认证配置
为OSPF邻居添加认证,核心逻辑是先添加新密钥,待邻居稳定后,再删除旧的无认证状态或密钥。
选择认证模式与密钥滚动机制
H3C支持为整个区域(Area)或特定接口配置认证,接口级认证的优先级更高。推荐使用安全性更好的 MD5 或 HMAC-MD5 认证。OSPF的密钥滚动机制允许在同一个接口上同时存在多个密钥(key-id),路由器会使用所有已配置的密钥对发送的报文进行签名,并用其中任何一个有效的密钥来验证接收到的报文,从而保证在密钥切换过程中通信不会中断。详细配置步骤
以下示例以Spine和Leaf之间接口配置MD5认证为例:① 在Spine交换机上添加新密钥
在所有Spine交换机的相关接口下,添加新的MD5认证密钥。interface Vlan-interface10 ospf authentication-mode md5 1 plain YourNewKey由于对端(Leaf)尚未配置,OSPF会触发密钥滚动,Spine会同时用新、旧方式发送报文,确保不被Leaf当成攻击或错误丢弃。# 假设Spine与Leaf1相连的接口为Vlan-interface10② 在对应Leaf交换机上添加相同的密钥
尽快在与该Spine相邻的所有Leaf交换机的对应接口上,也添加相同的新密钥。interface Vlan-interface10 ospf authentication-mode md5 1 plain YourNewKey为确保稳定,建议先在一组Spine-Leaf上完成操作,观察邻居关系稳定后,再变更下一组,逐步推进,降低全网风险。# Leaf1上③ 在所有邻居稳定后完成滚动
当所有邻居都配置了新密钥后,OSPF会自动结束密钥滚动过程。此时,两边设备将只使用新密钥进行认证。④ 验证并保存
display ospf peer # 保存配置 save# 查看OSPF邻居状态是否为FULL
应对复杂场景:使用Keychain(可选)
对于更复杂的密钥管理需求,H3C还支持Keychain(密钥链)认证方式。它允许为一组密钥定义不同的生效时间段,实现基于时间的、自动的、周期的密钥切换,管理更加灵活。Keychain配置示例思路:
keychain ospf_keychain_1 mode absolute # 2. 创建一个key (ID 1),定义其算法、密钥字串和生效时间段 key 1 algorithm md5 key-string plain YourNewKey send-lifetime utc 00:00 06/01/2026 to 00:00 09/01/2026 accept-lifetime utc 00:00 05/31/2026 to 00:00 09/02/2026 # 3. 在OSPF接口下应用该keychain interface Vlan-interface10 ospf authentication-mode keychain ospf_keychain_1通过合理设置# 1. 创建一个绝对时间模式的keychainsend-lifetime和accept-lifetime(通常accept-lifetime要略长一点作为冗余时间),可以实现无人值守的密钥平滑切换。
BGP EVPN 邻居的无中断认证配置
为BGP(含EVPN)邻居添加认证,推荐使用 Keychain 方式。MD5方式也可行,但灵活性较差。
推荐方式:Keychain认证
Keychain是H3C官方为实现BGP不中断业务切换密钥与加密方式而推出的功能。配置思路与OSPF类似,但应用于BGP对等体上。① 创建Keychain:与OSPF的Keychain创建方式一致(参考上文)。
② 在两端的Border和Leaf上,为BGP Peer配置Keychain认证:
peer 10.1.1.1 keychain bgp_keychain_1bgp 65001 # 进入BGP实例视图③ 逐步推进并验证:
display bgp peer# 查看BGP邻居状态(EVPN邻居在BGP内)
备选方式:MD5认证
如果只是简单添加一个静态密钥,MD5方式也可以。虽然配置更简单,但不支持自动切换,未来需变更密钥时必须重执行一次操作,MD5认证的交互依然适用,不会中断已建立的连接来直接新增认证。配置示例:
peer 10.1.1.1 password simple YourNewKeybgp 65001
此命令亦不会中断当前已建立的BGP TCP连接,仅对新建立的连接生效。若需让已存在的连接也应用新认证,BGP软复位可能造成中断,建议通过Keychain方式或重启连接来逐步实现。
所有Spine(S125系列)、Leaf(S6825系列)、Border设备,在所有OSPF互联直连接口下配置:ospf authentication-mode <选定认证类型,如hmac-sha256> compatible;同时在BGP视图下配置:peer
第二段:逐链路完成OSPF密钥部署
按链路为单位,先在某条Spine-Leaf互联的Spine侧接口下配置:ospf authentication-mode <同前认证类型> <密钥字符串>,立即到对端Leaf同互联接口下配置完全相同的OSPF密钥。利用兼容模式同时支持带认证/无认证报文的特性,OSPF邻居不会中断,逐链路完成所有OSPF互联密钥配置后,执行display ospf peer brief确认所有邻居Full状态稳定,路由无振荡。
第三段:逐点完成BGP EVPN邻居密钥部署
按邻居为单位,先在Border侧BGP EVPN地址族视图下配置:peer <对应Leaf的Loopback地址> password <设定的密钥字符串>,立即到对端Leaf的BGP EVPN地址族视图下配置完全相同的BGP密钥。兼容模式下BGP不会断连,逐台完成所有Border-Leaf EVPN邻居密钥配置后,执行display bgp l2vpn evpn peer brief确认所有邻居Established状态稳定,EVPN路由无丢失。
第四段:全网关闭兼容模式固化配置
所有密钥部署完成后观察1~2小时确认业务完全正常,逐台设备删除OSPF接口下配置的compatible后缀,变为纯强制认证模式,再删除BGP视图下的peer password-compatible配置,最终完成无中断的密钥上线,全程业务零丢包。
暂无评论
Spine-Leaf EVPN 架构 OSPF/BGP EVPN 在线加密钥、业务零中断 标准做法
核心原则:先两端同时配置相同密钥 + 认证模式,再全局使能认证,全程邻居不震荡、业务无中断;不能先开认证再配密钥,会直接断邻居。
下面分 OSPF 加密钥、BGP EVPN 加密钥 两套零中断步骤,适配 S125/S6825 Comware V7。
一、通用原理(为什么能不中断)
Comware V7 机制:
仅配置 密钥链 / 密钥、认证模式,不敲使能认证命令 时,设备不做校验,原有邻居正常保持;
两端所有设备都配好相同密钥 后,再逐点开启认证使能,协议平滑切换到密文认证,邻居不重建、路由不刷新、业务无感知;
全程不用断邻居、不用清进程,在线平滑改造。
二、OSPF 邻居 在线添加密钥(零中断步骤)
场景:Spine ↔ Leaf 直连 OSPF,无认证 → 改为 MD5/HMAC-SHA256 密钥认证
步骤 1:所有两端设备先配置密钥链、密钥(不启用认证)
所有 Spine、Leaf 统一配置相同密钥链和密钥号
bash
运行
# 1. 创建密钥链
key chain OSPF_KEY
key 1
key-string simple 自定义密码 # 两端完全一致
# 2. OSPF 进程下配置认证类型 + 引用密钥链
ospf 1 router-id x.x.x.x
area 0
authentication-mode hmac-sha256 key-chain OSPF_KEY
✅ 此时只配密钥和认证模式,还没真正启用校验,邻居保持正常、业务不中断。
步骤 2:逐接口开启 OSPF 认证使能(平滑生效)
在每个互联接口下敲:
bash
运行
interface 互联接口
ospf authentication enable
逐台、逐接口配置,边配边生效,邻居不会断开;
所有接口配置完,OSPF 正式切换为密文认证,改造完成。
若用老式区域 MD5:逻辑一样,先配区域密钥,全部配完再全局生效,不中断。
三、BGP EVPN 邻居 在线添加密钥(零中断)
场景:Border ↔ Leaf 建立 BGP L2VPN EVPN 邻居,现加 BGP 密钥认证
步骤 1:两端先配置相同密钥,不影响现有邻居
BGP 视图下直接对 EVPN 邻居配置密钥:
bash
运行
bgp 65000
peer 对端IP password simple 自定义密码
🔥 关键特性:Comware V7 中,已经建立的 BGP 邻居,中途配置 peer password,不会立即断开;只会等待下次邻居刷新才校验,只要两端密码一致,邻居不会震荡。
步骤 2:逐设备刷新 BGP 邻居(可选、可控平滑)
想主动平滑切换,不等待老化:
bash
运行
reset bgp 对端IP soft reset-inbound
软重置,不中断业务、只重新协商能力和认证,EVPN 路由重新收敛无丢包。
四、关键操作禁忌(避免业务中断)
❌ 不要 先敲 authentication enable 再配密钥
先启用认证、密钥没配完,立刻校验失败,邻居 Down,业务断。
❌ 不要 单端单独配置密钥
两端不一致,一启用立刻邻居断裂。
✅ 必须 全网同区域 / 同邻居 先统一密钥配置,再批量开启认证使能。
五、极简总结 操作顺序
OSPF全网 Spine/Leaf 先统一配:密钥链 + 区域认证模式引用密钥 → 全部配完 → 逐接口 ospf authentication enable → 零中断完成。
BGP EVPNBorder/Leaf 两端逐台配置 peer x.x.x.x password → 两端一致后软重置邻居 → 平滑切换认证,业务无感知。
六、适配你现场的补充
如果你需要,我可以给你:
一套 可直接复制的标准化配置模板(OSPF 密钥链 + BGP 密码)
以及 按 Spine-Leaf-Border 逐台配置顺序表,照着逐台敲,完全不用停业务。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论