【原创】Juniper命令学习：no-authentication-check-zmouc-ChinaUnix博客

我的技术之路zmouc.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

zmouc

博客访问： 578715
博文数量： 56
博客积分： 5062
博客等级：大校
技术积分： 773
用户组：普通用户
注册时间： 2008-05-13 06:00

文章分类

全部博文（56）

群晖DSM研究与使（2）
JNCIE-SP（1）
华为技术（1）
Juniper基础（0）
JNCIP-OSPF（0）
JNCIP-ISIS（2）
Juniper（3）
平凡的生活（3）
Windows技术（2）
Fedora9.0安装体（3）
技术生活感悟（11）
网络技术（12）
编程（0）
数据库（0）
服务器架设（7）
Linux（8）
未分配的博文（1）

文章存档

2016年（8）

2012年（1）

2010年（9）

2009年（3）

2008年（35）

我的朋友

相关博文

【原创】Juniper命令学习：no-authentication-check

分类：系统运维

2010-08-03 17:28:29

Junos在ISIS的配置中，有个命令：no-authentication-check，对它做了一些了解，简单地总结一下，方便以后查阅。

1．配置层级如下：

[edit] mm# set logical-routers r4 protocols isis no-authentication-check

2．作用如下：

入方向：

配置了此命令后ISIS对收到的ISIS数据包，如Hello包、LSP报文等仍然按照自己所配置的安全选项（无认证、simple、MD5）进行认证核查，无论该认证核查是否通过，都会接受这些数据包。

出方向：

仍然按照自己所配置的安全选项（无认证、simple、MD5）进行数据包的构造，然后发送出去。也就是说，如果本端配置了md5认证，那么仍然将数据包进行md5加密，然后再发送出去。

3．应用环境

3.1

当怀疑网络中因为认证不匹配而造成邻接关系不正常，或者链路状态数据库不正常时，可以配置该命令，提交之后若恢复正常即可确认是认证配置错误。

3.2

当一个无认证的ISIS自治系统需要添加上认证选项时，需要先在ISIS域的所有路由器上预先配置该命令，这样，对收到认证数据包总会接受，从而不会造成路由中断，更不会造成业务中断。

4．应用实例

两台路由器，R3和R4互联，其中配置如下：

[edit] mm# show logical-routers r3 protocols

isis export [ leak summ ];

reference-bandwidth 5g;

lsp-lifetime 3600;

level 1 wide-metrics-only;

level 2 {

authentication-key "$9$-1bYof5F39p"; ## SECRET-DATA

authentication-type simple;

wide-metrics-only;

}

interface em3.34 {

level 2 {

hello-authentication-key "$9$6Ge0CpBW87Nb2"; ## SECRET-DATA

hello-authentication-type md5;

}

level 1 disable;

}

interface lo0.3 {

level 1 disable;

}

[edit] mm# show logical-routers r4 protocols isis export [ leak summ ]; reference-bandwidth 5g; lsp-lifetime 3600; no-authentication-check; level 1 wide-metrics-only; level 2 { authentication-key "$9$-2bYof5F39p"; ## SECRET-DATA authentication-type md5; wide-metrics-only; } interface em4.43 { level 2 { hello-authentication-key "$9$Ro5crvY2aJDk"; ## SECRET-DATA hello-authentication-type md5; } level 1 disable; } interface lo0.4 { level 1 disable; }

很明显，R3的level 2使用了simple的认证方式，而R4使用了md5认证方式，导致认证不能通过，进一步导致Level 2的链路状态数据库不正常。

[edit] mm# run show isis database level 2 logical-router r3 IS-IS level 2 link-state database: LSP ID Sequence Checksum Lifetime Attributes -r3.00-00 0x5 0xca64 2711 L1 L2 -r5.00-00 0x6 0x5d5 2733 L1 L2 -r5.02-00 0x1 0x2f9d 2709 L1 L2 -r5.03-00 0x1 0x3c8e 2733 L1 L2 [edit] mm# run show isis database level 2 logical-router r4 IS-IS level 2 link-state database: LSP ID Sequence Checksum Lifetime Attributes -r4.00-00 0x6 0x239 2721 L1 L2 -r4.02-00 0x1 0x6bd1 2665 L1 L2 2 LSPs

在R4上配置了no-authentication-check之后，Level 2的链路状态数据库恢复正常：

[edit] mm# run show isis database level 2 logical-router r3 IS-IS level 2 link-state database: LSP ID Sequence Checksum Lifetime Attributes -r3.00-00 0x6 0x240a 3557 L1 L2 -r5.00-00 0x7 0xccd 3555 L1 L2 -r5.02-00 0x2 0x2d9e 3555 L1 L2 -r5.03-00 0x2 0x3a8f 3555 L1 L2 4 LSPs [edit] mm# run show isis database level 2 logical-router r4 IS-IS level 2 link-state database: LSP ID Sequence Checksum Lifetime Attributes -r3.00-00 0x6 0x240a 3544 L1 L2 -r4.00-00 0x7 0x2118 3546 L1 L2 -r4.02-00 0x2 0xa99e 3546 L1 L2 -r5.00-00 0x7 0xccd 3544 L1 L2 -r5.02-00 0x2 0x2d9e 3544 L1 L2 -r5.03-00 0x2 0x3a8f 3544 L1 L2 6 LSPs

通过上面的结果，可以看出：

1． R4的Level 2的链路状态数据库恢复正常，因为它接受所有的Level 2 LSP

2． R3的Level 2的链路状态数据库不正常，因为R4发送的Level 2 LSP仍然进行md5认证，而R3采用simple认证，从而认证不通过。

关于这条命令，就是这些内容。

张蒙

2010/8/3

阅读(1969) | 评论(0) | 转发(0) |

上一篇：【原创】一个ISIS故障分析

下一篇：【原创】关于Redback路由器启动文件的分析

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6