аутентификация области IS-IS не работает должным образом
-
Здравствуйте, все. Я тестирую аутентификацию IS-IS Area, вот моя топология: ![Mitrixsen_0-1769261649573.png] P1 router isis net 49.0001.1111.1111.1111.00 is-type level-1 area-password CISCO PE2-XE — этот узел специально настроен без пароля router isis net 49.0001.2222.2222.2222.00 is-type level-1 P3-XR router isis SP1 is-type level-1 net 49.0001.3333.3333.3333.00 lsp-password text encrypted 14343B382F2B address-family ipv4 unicast Пароль зашифрован на XR, но он такой же, как и на P1,
CISCO
. Мой вопрос: LSP должны быть аутентифицированы. Однако P2-XE без проблем узнает маршруты от P1 и P3 ![Mitrixsen_1-1769262072876.png] А P3 также узнает маршрут PE2. ![Mitrixsen_2-1769262085332.png] Я тестирую это в Cisco CML. Это баг? Потому что для меня это не имеет смысла, для этих маршрутизаторов не имеет смысла устанавливать маршруты от LSP, которые не прошли аутентификацию. Спасибо Дэвид
-
Привет, @Mitrixsen
Для начала, что касается функции аутентификации IS-IS, вы обнаружите, скажем так, набор необычных/неожиданных поведений, если ожидаете увидеть реализацию, аналогичную другим протоколам, однако все они работают так, как и предполагается. Поищите, что не имеет смысла при беглом взгляде, и вы найдете следующее. Далее, что касается структуры CLI аутентификации LSP в IOS-XE, настоятельно рекомендую отказаться от старых команд
area
и
domain
и перейти к использованию команды
authentication
. Теперь, что касается вашей проблемы, то то, что вы видите, является как ожидаемым, так и неожиданным, скорее всего, из-за того, что вы выполнили некоторые операции в определенном порядке. Во-первых, что должно произойти и почему. Что касается аутентификации LSP с открытым текстом, RFC1195 почти четко описывает ожидаемую реализацию: Use of the authentication field is optional. Routers are not required to be able to interpret authentication information.
As with other fields in the integrated IS-IS, if a router does not implement authentication then it will ignore any
authentication field that may be present in an IS-IS packet. Чтобы перевести вышесказанное, маршрутизатор, НЕ использующий аутентификацию LSP, но получающий аутентифицированный LSP с открытым текстом (TLV 10), примет LSP и сочтет его действительным, просто игнорируя информацию TLV 10. По этой причине в вашем примере на PE2-XE, выполнив
show isis database
и
show isis database verbose
, вы должны увидеть LSP от двух других маршрутизаторов в PE2-XE LSDB (таким образом, LSP принимаются), вы также должны увидеть, что эти LSP аутентифицированы с помощью открытого текста (эта информация отображается, потому что PE2-XE распознает TLV 10, так как он поддерживает аутентификацию с помощью открытого текста, однако она не реализована). В результате вы увидите записи ISIS в PE2-XE RIB. В том же RFC также указано: If a packet is received which contains invalid authentication information, then the entire packet is discarded. Чтобы перевести вышесказанное, маршрутизатор, использующий аутентификацию LSP, однако получающий LSP либо без аутентификации в виде открытого текста, либо с другой/несовпадающей строкой. По этой причине P1 и P3-XR должны отбрасывать LSP, полученные от P2-XE, что означает отсутствие маршрутов ISIS в RIB для любых префиксов, которые P2-XE будет объявлять в ISIS. Однако причина, по которой в вашем случае результат отличается, по моему убеждению, снова заключается в порядке выполнения операций. Я предполагаю, что изначально на всех трех маршрутизаторах аутентификация не была включена, поэтому все три маршрутизатора имели LSP друг друга в LSDB, а также все ожидаемые маршруты ISIS, заполненные в RIB. В какой-то момент вы включили аутентификацию на P1 и P3-XR, теперь P1 и P3-XR будут отбрасывать входящие LSP от PE2-XE из-за отсутствия аутентификации, однако старые/предыдущие LSA PE2-XE не были заражены, они все еще находятся в LSDB P1 и P3-XR, по этой причине вы все еще видите маршруты ISIS в RIB этих маршрутизаторов для префиксов, объявленных PE2-XE; если подождать 20 минут, PE2-XE будет удален, и результат будет ожидаемым, кроме того, если посмотреть в базу данных с помощью
show isis database
, вы увидите, что в столбце
Rcvd
таймер для PE2-XE НЕ равен 1200, что означает, что он будет удален. Спасибо, Кристиан. -
Здравствуйте, Кристиан, Мне не повезло со старыми командами аутентификации IS-IS. Я попробовал реализовать их в существующей топологии, а также в совершенно новой, чтобы понять, в чем дело. Позже я узнал, что маршрутизатор, на котором не реализована аутентификация, будет с удовольствием принимать пакеты IS-IS, независимо от того, есть ли у них пароль или нет, как ты и сказал. Мне удалось добиться успеха, используя новые команды. Я заменил старые на новые, и все работало в соответствии с документацией, возможно, виртуальные маршрутизаторы не поддерживают это должным образом. Я бы подумал, что это связано с порядком операций, но я пробовал как существующую, так и новую топологию, и единственное, что решило проблему, было замена команд на новые. Я был твердо убежден, что это было связано с неправильным старением LSP, но я очистил процесс IS-IS, который должен восстановить соседства и очистить используемые им базы данных, и все по-прежнему работало, несмотря на несоответствие аутентификации. Дэвид
-
Привет, @Mitrixsen
Что вы имеете в виду, поскольку я не читаю документацию, чтобы понять, как должен работать протокол, имеющий RFC: Мне удалось добиться успеха, используя новые команды. Я заменил старые на новые, и все работало в соответствии с документацией, возможно, виртуальные маршрутизаторы не поддерживают это должным образом. Спасибо, Кристиан. -
Здравствуйте, Оригинальный стандарт IS-IS определяет только аутентификацию с использованием открытого текста. RFC 3567 (ныне RFC 5304) определяет новый способ настройки аутентификации вместе с криптографической аутентификацией для IS-IS, в настоящее время использующий хеш MD5. Я заменил старые команды, такие как
area-password
и
domain-password
(которые были определены изначально), на
authentication mode text
и
authentication key-chain
key-chain,
которые являются частью нового способа настройки аутентификации, и эта проблема больше не возникала. Под «в соответствии с документацией» я просто имею в виду тот факт, что маршрутизатор, на котором не настроена аутентификация, по-прежнему будет принимать пакеты от соседа, у которого она включена, но не наоборот. Я скоро запущу лабораторию и добавлю сюда скриншот. Дэвид -
Привет, @Mitrixsen
RFC 5310 также добавляет возможность аутентификации SHA, которая в Cisco настраивается с помощью цепочки ключей и указания алгоритма в цепочке ключей. Таким образом, скорее всего, это была ошибка, связанная со старыми командами настройки аутентификации ISIS, что подтверждает, почему не следует использовать устаревшие методы, которые больше не тестируются в QA и могут привести к сбоям в работе. Спасибо, Кристиан. -
Здравствуйте, Кристиан, Подумав еще раз, скорее всего, все было так, как ты сказал. Я попробовал ту же лабораторную работу, и она работает без каких-либо проблем. Если я специально не совмещаю пароли или настраиваю аутентификацию только на одной стороне, LSP не обмениваются должным образом. Я точно настроил простое соседство без какой-либо аутентификации для LSP. Затем я включил ее, и старые LSP еще не были заражены, поэтому их маршруты все еще были установлены, когда я написал этот пост. Если бы я сделал то же самое с OSPF, этого бы не произошло, поскольку OSPF аутентифицирует все пакеты с помощью одной и той же команды, чего IS-IS не делает. Если бы я не совместил аутентификацию в OSPF, соседство было бы отброшено, а LSA были бы очищены. Не знаю, как вы всегда выясняете, в чем может быть проблема, но спасибо! Мне определенно нужно более внимательно изучить LSPDB. Дэвид
-
Привет, @Mitrixsen
Рад, что вы нашли время, чтобы переделать сценарий и таким образом получить полное понимание, особенно в отношении порядка выполнения операций и ожидаемого или, скажем, неожиданного результата, когда вы не знаете, как это должно работать. Порядок выполнения операций имеет большое значение в реальных сетях, и столкновение с такими сценариями в лаборатории не только подготавливает вас к реальной жизни, но и, что наиболее важно, позволяет вам лучше и глубже понять причины и механизмы. В то время как в IS-IS вы можете иметь аутентификацию только для пакетов HELLO, только для пакетов LSP, для LSP и SNP, а также для LSP, SNP и POI, для всех или ни для одного из них, OSPF является «все или ничего»: либо все пакеты аутентифицируются, либо ни один из пакетов не аутентифицируется. Тем не менее, если вы хотите использовать тот же сценарий в OSPF, начните без аутентификации, выполните обмен LSA, а затем включите аутентификацию только на одной стороне,
LSA по-прежнему будут присутствовать в LSDB всех маршрутизаторов
, они не будут удалены, вам придется ждать, пока они не устареют; однако, поскольку соседство больше не сформировано, дерево SPF не может быть вычислено, поэтому LSA удаленного маршрутизатора не может быть использовано для вычисления лучшего пути префикса. Помните, что LSA Type1 / Type 2 может быть удалено только создателем. Я почти всегда выясняю проблему в таких случаях, потому что знаю ожидаемую функциональность досконально, на уровне RFC и на практическом уровне, поэтому, если результат отличается, это либо ошибка, либо порядок операций. А для зрелых протоколов, таких как IGP, которые не претерпевали серьезных изменений в течение многих лет, ожидается, что результат будет предсказуемым, ошибки редки, даже в виртуальных средах, обычно это порядок операций, связанный с функциональностью протокола. Спасибо, Кристиан. -
Здравствуйте, Дэвид Вы можете использовать hello password для защиты соседних сетей и lsp-password для ограничения обмена LSP. Аутентификация LSP — это отдельная функция, не связанная с паролями соседних сетей/областей. -- https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8000/routing/25xx/configuration/guide/b-routing-cg-cisco8000-25xx/implement-is-is.pdf IS-IS поддерживает аутентификацию приветствий и LSP (через соответствующие TLV), а аутентификация области/домена является опциональной... что означает, что маршрутизаторы без аутентификации LSP все равно будут принимать LSP от соседей!!! С уважением
.ı|ı.ı|ı. Если это помогло, пожалуйста, оцените.ı|ı.ı|ı. -
Здравствуйте
, M02@rt37, Вы правы. Я не пытался обеспечить соседство, а скорее обмен LSP, поэтому я ожидал, что маршрутизаторы не будут устанавливать маршруты. Дэвид
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти