احراز هویت در ISIS با دیگر پروتکل های مسیریابی کمی متفاوت و کمی هم عجیب است. در ISIS دو نوع احراز هویت وجود دارد. احراز هویت روی بسته Hello و احراز هویت روی دیگر بسته های ISIS مانند LSP، CSNP و PSNP از همدیگر متفاوت هستند. احراز هویت روی بسته Hello در سطح لینک انجام می گیرد.

با توجه به نوع لینک می توان احراز هویت را برای L1 Hello جدا از L2 Hello انجام داد. به عبارت دیگر در لینک های LAN که L1 Hello جدا از L2 Hello ارسال می گردد، می توان برای هر یک جداگانه احراز هویت انجام دارد اما در لینک های Point-to-Point که فقط یک نوع Hello ارسال می گردد، احراز هویت L1 با L2 یکسان می باشد.

نوع دوم احراز هویت مربوط به دیگر بسته های ISIS است. از آنجایی که روترها حق تغییر بسته های ISIS را ندارند، لذا احراز هویت بسته های ISIS با توجه به L1 و یا L2 بودن بسته ISIS در کلیه روترهای Area و یا حتی دامنه انجام می گیرد. به عبارت دیگر در این نوع احراز هویت که در سطح پروسه ISIS فعال می گردد، چنانچه برای بسته های L1 فعال گردد، همه روترهای Area باید از رمز یکسان استفاده کنند و اگر برای بسته های L2 فعال گردد، در آن صورت همه روترهای ISIS باید از یک رمز یکسان استفاده کنند که به نوعی نقطه ضعف امنیتی نیز محسوب می شود.

بنابراین در ISIS برای احراز هویت همسایگی آن را در سطح لینک فعال می کنید اما برای احراز هویت بسته های ISIS، در سطح پروسه ISIS برای بسته های L1 و یا L2 فعال خواهیم نمود. در جاهایی که L1 و یا L2 بودن در احراز هویت تعیین نگردد، هر دو شامل خواهند شد.

قبل از پرداختن به شیوه پیکربندی احراز هویت در ISIS ذکر چند نکته دیگر نیز ضروری به نظر می رسد. اول آنکه چنانچه احراز هویت بین روترهای همسایه فعال گردد، آنگاه روترهای غیر مجاز قادر به تشکیل همسایگی نخواهند بود. در چنین شرایطی حتی اگر این روترها بسته های ISIS با رمز درست نیز ارسال نمایند، از آنها پذیرفته نخواهد شد. نکته دوم اینکه احراز هویت در پروتکل مشابه OSPF به دو پارامتر key و key id وابسته است اما در ISIS پارامتر key id صرفا محلی است و در احراز هویت هیچ تاثیری ندارد و در هیچ یک از بسته های ISIS منتقل نمی شود.

همانطور که قبلا گفته شد برای پیکربندی احراز هویت بسته های Hello، آن را در سطح لینک فعال می کنیم و باید روترهای همسایه از رمز مشابهی استفاده نمایند.

IOU1(config-if)#isis authentication mode ?

md5   Keyed message digest

  text  Clear text password

!

IOU1(config-if)#isis authentication key-chain CHAIN1 ?

  level-1  ISIS authentication for level-1 PDUs

  level-2  ISIS authentication for level-2 PDUs

  <cr>

 

احراز هویت همسایگی ISIS در سطح لینک

برای پیکربندی احراز هویت دیگر بسته های ISIS، آن را در سطح پروسه ISIS فعال می کنیم. اگر احراز هویت را در سطح L1 فعال کنید، همه روترهای Area باید رمز یکسانی داشته باشند. در صورت فعال کردن احراز هویت در سطح L2 ضروری است تا همه روترهای ISIS رمز یکسانی داشته باشند.

IOU1(config-router)#authentication mode ?

  md5   Keyed message digest

  text  Clear text password

IOU1(config-router)#authentication mode md5 ?

  level-1  ISIS authentication for level-1

  level-2  ISIS authentication for level-2

  <cr>

!

IOU1(config-router)#authentication key-chain CHAIN1 ?

  level-1  ISIS authentication for level-1

  level-2  ISIS authentication for level-2

  <cr>

 

احراز هویت بسته های ISIS غیر از Hello در سطح پروسه ISIS

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید