IS-IS v1.2.pptVIP

IS-IS认证方式 * Copyright ? 2003 Juniper Networks, Inc. Proprietary and Confidential Copyright ? 2003 Juniper Networks, Inc. Proprietary and Confidential * IS-IS PDU类型 IS-IS有3种PDU类型，共9种PDU： 1，Hello： Level 1 LAN IS-IS hello、 Level 2 LAN IS-IS hello、 Point-to-point IS-IS Hello 作用：形成和维护ISIS neighbor关系 2，SNP： CSNP：Level 1 CSNP、 Level 2 CSNP PSNP ：Level 1 PSNP、 Level 2 PSNP 作用：与ospf DBD类似，将ISIS database中的所有LSP头，做一个数据库的摘要描 述，用于告诉其他isis路由器“我这里有哪些LSP”，CSNP是全部数据库的摘要， PSNP 是部分数据库的摘要（PSNP用于增量更新的情况下） 3，LSP： Level 1 LSP、 Level 2 LSP 作用：承载ISIS的所有链路状态信息，（ospf是将链路状态信息分别承载在LSA type 1、 2、3、4、5、7等等之中，而ISIS是将本路由器的所有链路状态信息承载在一个LSP中） IS-IS有两种配置认证的方式： 1，明文 2，MD5 IS-IS有两种配置认证的方法： 1，per-interface （或称基于接口的认证配置方法） 2，per-level （或称基于isis全局level的认证配置方法） 两种认证配置的区别： per-interface：针对Hello进行认证（SNP和LSP中不包含认证TLV） per-level：针对所有IS-IS PDU进行认证（包括Hello、SNP、LSP） IS-IS认证 CR的配置： show configuration protocols isis level 2 disable; level 1 { wide-metrics-only; preference 115; external-preference 115; } interface so-3/0/3.0 { =====》目前认证是配置在接口下，所以是per-interface的认证方式 level 1 { metric 150; hello-authentication-key $9$NNbs4GUH5QnUjqfQz6/yleKLxs24; ## SECRET-DATA hello-authentication-type md5; } } BRAS的配置： 基于全局的isis认证，配置情况，由于无法登陆，暂时没有拿到。 目前CR与BRAS的配置 CR与BRAS的ISIS认证的抓包分析 从捕捉到的数据来看，结果如下： CR向BAS发送的ISIS hello 包含 认证TLV。 BAS向CR发送的ISIS hello 包含 认证TLV。 CR向BAS发送的ISIS LSP 不包含 认证TLV。 BAS向CR发送的ISIS LSP 包含 认证TLV。 CR向BAS发送的ISIS SNP 不包含 认证TLV （本次没有抓到此种数据包） BAS向CR发送的ISIS SNP 包含 认证TLV。 CR向BRAS发送的hello中含有认证TLV CR向BAS发出一个数据包 该数据包是ISIS 的Level 1 hello 该数据包含有认证TLV TLV Type：0a，转换为10进制是10 （TLV编号10表示这是isis认证TLV） TLV Length：11，转换为10进制是17 TLV Value：数据从36 到3d共17位 BRAS 向CR发送的hello中含有认证TLV BAS 向CR发出一个数据包 该数据包是ISIS 的Level 1 hello 该数据包含有认证TLV 由于CR与BRAS的hello中均包含认证TLV，所以CR与BRAS可以形成正常的ISIS Adjacency关系 CR向BAS发出一个数据包 该数据包是ISIS 的Level 1 LSP 该数据包中无认证TLV CR向BRAS发送的LSP中不含有认证TLV 该LSP是由SCC-GD-SZ-MAN起