替换华为交换机
- 0关注
- 0收藏,74浏览
问题描述:
| # |
| keychain 5 mode periodic weekly |
| key-id 5 |
| algorithm hmac-sha-256 |
| key-string cipher %^%#-PI*.si)"MVTs;G|LfIFv_|jO9@(l&~wU4WGJ>sW%^%# |
| # |
这个转换为华三是什么
组网及组网描述:
| # |
| keychain 5 mode periodic weekly |
| key-id 5 |
| algorithm hmac-sha-256 |
| key-string cipher %^%#-PI*.si)"MVTs;G|LfIFv_|jO9@(l&~wU4WGJ>sW%^%# |
| # |
这个转换为华三是什么
配置LDP安全功能
1.13.1 功能简介
在对安全性要求较高的网络中,可以通过配置LDP MD5认证或LDP keychain认证来提高网络的安全性。
· LDP MD5认证:对LDP报文通过MD5算法计算出唯一的摘要信息,来验证LDP消息的完整性。
· LDP keychain认证:keychain是一种增强型加密算法,类似于MD5,keychain也是针对LDP报文计算出对应的信息摘要,实现LDP报文防篡改校验。keychain是加密规则(key)的集合,用来为应用程序提供动态认证功能。keychain在不中断业务的前提下,通过定期更改用于认证的密钥和算法来提升网络数据传输的安全性。
管理员可以根据需求的不同选择配置LDP MD5认证或者LDP keychain认证。
· MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。
· keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。
1.13.2 配置限制和指导
LDP安全认证包括LDP MD5认证和LDP keychain认证,按生效优先级从高到低的排序是:与指定对等体的LDP会话的认证配置—>通过IPv4地址前缀列表过滤的LDP会话的认证配置—>所有LDP会话的认证配置。
· 对于同一优先级的认证配置,keychain认证和MD5认证是互斥的。例如,通过md5-authentication peer-lsr-id命令对指定对等体的LDP会话配置MD5认证后,无法再通过keychain-authentication peer命令对该对等体的LDP会话配置keychain认证。
· 对于不同优先级的配置,keychain认证和MD5认证可以同时配置,但对同一对等体的LDP会话来说,只有高优先级的配置生效。例如,通过md5-authentication peer-lsr-id命令对指定对等体Peer1的LDP会话配置MD5认证后,再通过keychain-authentication all命令对所有LDP会话配置keychain认证,则Peer1的LDP会话采用MD5认证,其他对等体的LDP会话采用keychain认证。
1.13.3 配置LDP MD5认证
1. 配置限制和指导
要想在LDP对等体之间成功建立LDP会话,必须保证LDP对等体上的LDP MD5认证配置一致。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入LDP视图或LDP-VPN实例视图。
¡ 进入LDP视图。
mpls ldp
¡ 请依次执行以下命令进入LDP-VPN实例视图。
mpls ldp
vpn-instance vpn-instance-name
(3) 开启LDP的MD5认证功能。
¡ 开启所有LDP会话的MD5安全认证功能。
md5-authentication all { cipher | plain } string
¡ 开启与指定对等体之间的LDP会话的MD5认证功能。
md5-authentication peer-lsr-id { cipher | plain } string
¡ 为通过IPv4地址前缀列表过滤的LDP会话开启MD5安全认证功能。
md5-authentication prefix-list prefix-list-name { cipher | plain } string
缺省情况下,LDP的MD5认证功能处于关闭状态。
1.13.4 配置LDP keychain认证
1. 配置限制和指导
LDP仅支持keychain内标识符为0~63的key。
要想在LDP对等体之间成功建立LDP会话,必须保证LDP对等体上的LDP keychain认证配置一致。
2. 配置准备
在执行本配置前,需要先创建keychain,配置方法参见“安全配置指导”中的“keychain”。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入LDP视图或LDP-VPN实例视图。
¡ 进入LDP视图。
mpls ldp
¡ 请依次执行以下命令进入LDP-VPN实例视图。
mpls ldp
vpn-instance vpn-instance-name
(3) 开启LDP keychain认证功能。
¡ 开启所有LDP会话的keychain安全认证功能。
keychain-authentication all name keychain-name
¡ 开启与指定对等体之间的LDP会话的keychain安全认证功能。
keychain-authentication peer peer-id name keychain-name
¡ 为通过IPv4地址前缀列表过滤的LDP会话开启keychain安全认证功能。
keychain-authentication prefix-list prefix-list-name name keychain-name
缺省情况下,LDP的keychain认证功能处于关闭状态。
暂无评论
参考
1.5 keychain配置举例
1.5.1 keychain基本功能配置举例
1. 组网需求
Switch A和Switch B之间建立OSPF邻居,使用keychain认证方式对发送和接收的报文进行校验。具体要求为:Switch A和Switch B的keychain中创建key 1和key 2,key 1的生命周期结束后,自动切换成key 2来对报文进行校验。
2. 组网图
图1-1 keychain配置组网图
3. 配置步骤
(1) 配置Switch A
# 配置接口的IP地址(略)。
# 配置OSPF基本功能。
<SwitchA> system-view
[SwitchA] ospf 1 router-id 1.1.1.1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 192.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# 配置名称为abc的keychain,并指定其工作于绝对时间模式。
[SwitchA] keychain abc mode absolute
# 在keychain abc中创建key 1和key 2,并配置其认证算法、认证密钥和生命周期。
[SwitchA-keychain-abc] key 1
[SwitchA-keychain-abc-key-1] authentication-algorithm md5
[SwitchA-keychain-abc-key-1] key-string plain 123456
[SwitchA-keychain-abc-key-1] send-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchA-keychain-abc-key-1] accept-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchA-keychain-abc-key-1] quit
[SwitchA-keychain-abc] key 2
[SwitchA-keychain-abc-key-2] authentication-algorithm hmac-md5
[SwitchA-keychain-abc-key-2] key-string plain pwd123
[SwitchA-keychain-abc-key-2] send-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchA-keychain-abc-key-2] accept-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchA-keychain-abc-key-2] quit
[SwitchA-keychain-abc] quit
# 配置接口Vlan-interface 100使用keychain验证模式。
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ospf authentication-mode keychain abc
[SwitchA-Vlan-interface100] quit
(2) 配置Switch B
# 配置接口的IP地址(略)。
# 配置OSPF基本功能。
[SwitchB] ospf 1 router-id 2.2.2.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# 配置名称为abc的keychain,并指定其工作于绝对时间模式。
[SwitchB] keychain abc mode absolute
# 在keychain abc中创建key 1和key2,并配置其认证算法、认证密钥和生命周期。
[SwitchB-keychain-abc] key 1
[SwitchB-keychain-abc-key-1] authentication-algorithm md5
[SwitchB-keychain-abc-key-1] key-string plain 123456
[SwitchB-keychain-abc-key-1] send-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchB-keychain-abc-key-1] accept-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchB-keychain-abc-key-1] quit
[SwitchB-keychain-abc] key 2
[SwitchB-keychain-abc-key-2] authentication-algorithm hmac-md5
[SwitchB-keychain-abc-key-2] key-string plain pwd123
[SwitchB-keychain-abc-key-2] send-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchB-keychain-abc-key-2] accept-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchB-keychain-abc-key-2] quit
[SwitchB-keychain-abc] quit
# 配置接口Vlan-interface 100使用keychain验证模式。
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ospf authentication-mode keychain abc
[SwitchB-Vlan-interface100] quit
4. 验证配置
(1) 当系统时间处于2015/02/06的10:00:00到11:00:00时,通过查看以下信息来确认keychain的运行状态。
# 查看Switch A的keychain信息,发现key 1为有效key。
[SwitchA] display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
HMAC-SHA-256 : 7
MD5 : 3
HMAC-SM3 : 52
SM3 : 51
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$dYTC8QeOKJkwFwP2k/rWL+1p6uMTw3MqNg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Active
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Active
Key ID : 2
Key string : $c$3$7TSPbUxoP1ytOqkdcJ3K3x0BnXEWl4mOEw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Inactive
# 查看Switch B的keychain信息,发现key 1为有效key。
[SwitchB] display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
HMAC-SHA-256 : 7
MD5 : 3
HMAC-SM3 : 52
SM3 : 51
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$/G/Shnh6heXWprlSQy/XDmftHa2JZJBSgg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Active
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Active
Key ID : 2
Key string : $c$3$t4qHAw1hpZYN0JKIEpXPcMFMVT81u0hiOw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Inactive
(2) 当系统时间处于2015/02/06的11:00:00到12:00:00时,通过查看以下信息来确认keychain的运行状态。
# 查看Switch A的keychain信息,发现key 2为有效key。
[SwitchA] display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
HMAC-SHA-256 : 7
MD5 : 3
HMAC-SM3 : 52
SM3 : 51
Default send key ID : None
Active send key ID : 2
Active accept key IDs: 2
Key ID : 1
Key string : $c$3$dYTC8QeOKJkwFwP2k/rWL+1p6uMTw3MqNg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Inactive
Key ID : 2
Key string : $c$3$7TSPbUxoP1ytOqkdcJ3K3x0BnXEWl4mOEw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Active
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Active
# 查看Switch B的keychain信息,发现key 2为有效key。
[SwitchB] display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
HMAC-SHA-256 : 7
MD5 : 3
HMAC-SM3 : 52
SM3 : 51
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$/G/Shnh6heXWprlSQy/XDmftHa2JZJBSgg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Inactive
Key ID : 2
Key string : $c$3$t4qHAw1hpZYN0JKIEpXPcMFMVT81u0hiOw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Active
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Active
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论