默认情况下,ISIS接口认证通过在ISIS协议数据单元(PDU)中添加认证字段,例如:一个密钥或密码,用于验证发送方的身份。
ISIS接口认证防止未经授权的设备加入到网络中,并确保邻居之间的通信是可信的。它可以有效地防止路由欺骗和其他恶意攻击。
实验拓扑图:
实验基础配置:
r1:
sys
sysname r1
undo info enable
int g0/0/0
ip add 12.1.1.1 16
quit
int g0/0/1
ip add 13.1.1.1 16
quit
int loopb 0
ip add 1.1.1.1 32
quit
isis
network-entity 49.0123.0000.0000.0001.00
is-level level-1
cost-style wide
quit
int g0/0/0
isis enable
quit
int g0/0/1
isis enable
quit
int loopb 0
isis enable
quit
r2:
sys
sysname r2
undo info enable
int g0/0/0
ip add 24.1.1.2 16
quit
int g0/0/1
ip add 12.1.1.2 16
quit
int loopb 0
ip add 2.2.2.2 32
quit
isis
network-entity 49.0123.0000.0000.0002.00
cost-style wide
quit
int g0/0/0
isis enable
quit
int g0/0/1
isis enable
quit
int loopb 0
isis enable
quit
r3:
sys
sysname r3
undo info enable
int g0/0/0
ip add 13.1.1.3 16
quit
int g0/0/1
ip add 35.1.1.3 16
quit
int loopb 0
ip add 3.3.3.3 32
quit
isis
network-entity 49.0123.0000.0000.0003.00
cost-style wide
quit
int g0/0/0
isis enable
quit
int g0/0/1
isis enable
quit
int loopb 0
isis enable
quit
配置r1 -r3完成,在r1查看ISIS 邻居关系
发现r1与r2 和 r3 建立ISIS邻居关系
通过wireshark 抓包软件,对r1 g0/0/0 口进行数据抓包
发现G0/0/0 口没有进行接口认证情况下,邻居关系建立成功,ISIS HELLO报文
在r1 g0/0/0 口配置简单的明文认证,认证密码为huawei123,并且查看ISIS新邻居关系
[r1-GigabitEthernet0/0/0]isis authentication-mode simple huawei123 level-1
发现 r1的邻居关系只有r3,r1 g0/0/0接口与r2 g0/0/1接口认证不成功,导致与r2 ISIS邻居关系建立不成功
在r2 g0/0/1 口配置简单的明文认证,认证密码为huawei123,并且在r1查看ISIS新邻居关系
[r2-GigabitEthernet0/0/1]isis authentication-mode simple huawei123 level-1
发现 r1的邻居关系有r2 和r3,r1 g0/0/0接口与r2 g0/0/1接口认证成功
通过wireshark 抓包软件,对r1 g0/0/0 口和r2g0/0/1进行数据抓包,并查看认证密码
Systemid 0000.0000.0001 为R1路由器,密码为 huawei123
Systemid 0000.0000.0002 为R2路由器,密码为 huawei123
发现通过数据抓包分析,r1 g0/0/0 与 r2 g0/0/1 接口简单明文认证成功
实验完成
