拓扑图
配置
AR1、AR2建立ISIS level-2邻居关系,并配置接口认证密码为huawei
sysname AR1
#
isis 1is-level level-2network-entity 49.0000.0000.0000.0001.00
#
interface GigabitEthernet0/0/0ip address 12.1.1.1 255.255.255.0 isis enable 1isis authentication-mode md5 plain huaweisysname AR2
#
isis 1is-level level-2network-entity 49.0000.0000.0000.0002.00
#
interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0 isis enable 1isis authentication-mode md5 plain huawei查看邻居关系
将接口认证密码切换至huawei@123,切换过程中邻居关系不中断
isis authentication-mode { simple | md5 } { plainplain-text | [ cipher ] plain-cipher-text } [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
| 参数 | 参数说明 | 取值 |
| simple | 指定密码以纯文本方式发送。 须知: Simple加密算法存在安全风险,推荐使用HMAC-SHA256加密算法。 | - |
| plainplain-text | 指定密码为明文类型,只能键入明文口令,在查看配置文件时以明文方式显示口令。 须知: 如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。 | 字符串形式,可以为字母或数字,区分大小写,不支持空格。当认证模式为simple时,长度为1~16;认证模式为md5或hmac-sha256时,长度为1~255。 |
| cipherplain-cipher-text | 指定密码为密文类型,可以键入明文或密文口令,在查看配置文件时以密文方式显示口令。系统默认为cipher类型。 | 字符串形式,可以为字母或数字,区分大小写,不支持空格。当认证模式为simple时,长度为1~16的明文或32或48的密文;认证模式为md5或hmac-sha256时,长度为1~255的明文或20~392的密文。 |
| md5 | 指定密码通过MD5加密后发送。 须知: MD5加密算法存在安全风险,推荐使用HMAC-SHA256加密算法。 | - |
| level-1 | 指定Level-1级别的认证。当IS-IS接口链路类型为Level-1-2时,如果不选择参数level-1或level-2,则为Level-1和Level-2的Hello报文都配置认证模式和密码。 | - |
| level-2 | 指定Level-2级别的认证。当IS-IS接口链路类型为Level-1-2时,如果不选择参数level-1或level-2,则为Level-1和Level-2的Hello报文都配置认证模式和密码。 说明: 参数level-1和level-2仅在WAN侧以太网接口和LAN侧VLANIF接口上是可见的,而且必须先在接口上使能IS-IS。 | - |
| ip | 指定IP认证密码。使用keychain认证方式时,不能配置该选项。如果没有指定参数ip和osi,则默认为osi。 | - |
| osi | 指定OSI认证密码。使用keychain认证方式时,不能配置该选项。如果没有指定参数ip和osi,则默认为osi。 | - |
| send-only | 只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。如果不指定此参数,则缺省为对发送的Hello报文加载认证信息且对接收的Hello报文进行认证。 | - |
| keychainkeychain-name | 指定密码为随时间变化的密钥链表。只有通过命令keychain创建了keychain-name之后,配置参数才会有效。 目前,IS-IS只支持hmac-md5和hmac-sha256算法。 | 字符串形式,长度范围是1~47,不区分大小写。字符不包括问号和空格,但是当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| hmac-sha256 | 指定密码通过HMAC-SHA256算法加密后参与认证。 | - |
| key-idkey-id | 指定HMAC-SHA256算法的密钥ID。 | 整数形式,取值范围是0~65535。 |
send-only参数只对发送的Hello报文添加认证数据,不对接收的Hello报文进行认证
1)将AR1的接口认证配置添加参数send-only
interface GigabitEthernet0/0/0isis authentication-mode md5 plain huawei send-only
#2)将AR2的接口认证配置参数send-only
interface GigabitEthernet0/0/0isis authentication-mode md5 plain huawei@123 send-only
#3)修改AR1的接口认证密码为huawei@123,无需添加send-only参数
interface GigabitEthernet0/0/0isis authentication-mode md5 plain huawei@123
#4)修改AR2的接口认证密码,无需添加send-only参数
interface GigabitEthernet0/0/0isis authentication-mode md5 plain huawei@123
#修改配置过程中查看ISIS邻居状态,始终保持UP
