当前位置:   article > 正文

HCIE-RS论述ISIS认证_area-authentication-mode

area-authentication-mode

题目描述

1.ISIS认证类型有哪些?配置Admin@123密钥,不影响AR2和AR3之间ISIS邻居建立你认为应该使用那种认证方式?为什么?
2.AR1和AR2上需要更换密钥为Huawei@123,不影响路由和邻居关系,如何实现平滑过渡?给出解决方案和具体步骤。
3.AR1和AR2通过哪台设备的LSP访问area 49.0002?如果AR3和AR4链路中断,AR1能否通过SPF树感知到?AR1上的默认路由是否还存在?

在这里插入图片描述

一、ISIS认证类型有哪些?配置Admin@123密钥,不影响AR2和AR3之间ISIS邻居建立你认为应该使用那种认证方式?为什么?

(1)ISIS支持接口认证、区域认证和路由域认证,三种认证方式的区别如下:
接口认证:对 level-1和 level-2的hello报文进行认证。
区域认证:对level-1的SNP和LSP报文进行认证。
路由域认证:对level-2的SNP和LSP报文进行认证。
(2)配置Admin@123密钥,不影响AR2和AR3之间ISIS邻居建立,我认为配置区域认证最为合适。
由于接口认证是对hello报文进行认证,会影响到ISIS邻居关系。因此可以将选择范围缩小在区域认证与路由域认证之间。
又因为拓扑中的L1/2设备与L1设备同属一个区域,建立的是L1邻居关系,之后交互level-1的SNP和LSP报文,而区域认证只对level-1的SNP和LSP报文进行认证,路由域认证只对level-2的SNP和LSP报文进行认证,因此在AR2和AR3上使用区域认证和路由域认证主要配置命令如下:

在所有Level-1路由器上配置区域认证
isis 1
is-level level-1
area-authentication-mode simple huawei

在所有Level-2路由器上配置域认证
isis 1
is-level level-2
domain-authentication-mode simple huawe

二、AR1和AR2上需要更换密钥为Huawei@123,不影响路由和邻居关系,如何实现平滑过渡?给出解决方案和具体步骤

(1)配置认证时,先将当前的密码添加SEND ONLY参数使设备在发送报文时携带认证信息。但不对收到的报文做认证审核。具体如下:
interface接口号
isis authenticatiou-mode md5 cipher Admin@123 send-only //针对接口认证进行send-only参数的配置
isis 进程号
area-authentication-mode md5 cipher Admin@123 all-send-only //针对区域认证进行send-only参数的配置

(2)当AR1和AR2认证增加了send-only参数后,再将认证密码改为Huawei@123,并且send-only参数依然保持。此时当配置Admin@123密码的设备与配置了Huawei@123密码的设备交互报文,都只会发携带认证信息,但不会对认证信息进行审核。
interface 接口号
isis authentication-mode md5 Huawei@123 send-only //针对接口认证进行 send-only参数的配置
isis 进程号
area-authenticaton-mode md5 Huawei@123 all-send-only //针对区域认证进行send- only参数的配置

(3)当AR1和AR2密码都改为Huawei@123后,再将send-only参数去掉,从而实现平滑过渡,不影响邻居建立与路由计算。
interface 接口号
isis authentication-mode md5 Huawei@123//针对接口认证进行send-only参数的配置
isis进程号
area-authentication-mode md5 Huawei@123//针对区域认证进行send-only参数的配置

三、AR1和AR2通过哪台设备的LSP访问area 49.0002?如果AR3和AR4链路中断,AR1能否通过SPF树感知到?AR1上的默认路由是否还存在?

(1)AR1和AR2通过AR3产生的缺省路由访问area 49.0002。AR3作为L1/2设备且存在不同区域的L2邻居,会产生一条ATT位置位的LSP,并传递给L1区域的AR1和AR2设备,AR1和AR2设备通过计算这条ATT置1的LSP后产生一条指向AR3的缺省路由。如果AR3配置了路由渗透,将area 49.0002的路由渗透到area 49.0001(默认情况下L1区域的设备不会学习到的L2区域的路由),AR1和AR2同样通过AR3访问area 49.0002。

(2)AR1无法通过SPF树感知到AR3和AR4链路中断。由于AR1为L1区域的设备,只维护L1 LSDB,而AR4为L2区域的设备,只维护L2 LSDB,即AR1和AR4使用不同的SPF树计算拓扑。AR3和AR4链路中断,L2区域设备可以通过SPF树感知到,但对于L1区域设备R1而言,仅可通过PRC算法体现出路由发生变化,如缺省路由或渗透的路由失效,而不会通过SPF树感知到拓扑发生变化。

(3)AR1上的缺省路由不会存在。因为当AR3和AR4之间链路断开,AR3不存在不同区域的L2邻居,导致AR3不会向AR1传递ATT位置1的LSP,AR1也就无法通过计算产生下一跳为AR3的缺省路由。


总结

我们需要注意第二题当中 如果是此时并不清楚AR1和AR2之间使用的是哪种认证方式,故将区域认证和接口认证都写上了,考试时如果标明了AR1-AR2使用的是接口认证,则只写接口认证的内容。反之如果是全局那么要写入接口和区域认证

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/71914
推荐阅读
相关标签
  

闽ICP备14008679号