adminmd5(ISIS 認證 論述題)

問題1：ISIS基于報文種類的認證方式有哪些? R2和R3之間可以用哪種認證方式? (4分)

解答：

ISIS 的認證可以根據報文種類和認證方式來進行分類

1、根據報文的種類，可以分為以下三類:

接口認證：是指運行 ISIS 協議的接口以指定方式和密碼對 Level-1 和 Level-2 的 Hello 報文進行認證。

區域認證：是指運行 ISIS 的區域以指定方式和密碼對 Level-1 的 SNP 和 LSP 報文進行認證。

路由域認證：是指運行 ISIS 的路由域以指定方式和密碼對 Level-2 的 SNP 和 LSP 報文進行認證。

2、 根據報文的認證方式，可以分為以下三類。

明文認證：一種簡單的認證方式，將配置的密碼直接加入報文中，這種認證方式安全性不夠。

MD5 認證：通過將配置的密碼進行 MD5 算法之后再加入報文中，這樣提高了密碼的安全性。

Keychain 認證：通過配置隨時間變化的密碼鏈表進一步提升網絡的安全性。

因為 R2 和 R3 是 level-1 的鄰居關系，如果要對 Hello 報文做認證，那么使用接口認證，如果要對SNP 和 LSP 做認證，那么使用區域認證。

問題2：ISIS設備之間都使用接口認證，配置認證密碼為Huawei@123，現在要改為Admin@123，怎么實現更換密碼并保證業務的連續性?寫出具體步驟(3分)

解答：

1、配置認證時，先在當前的密碼后添加 send-only 參數，使設備在發送報文時攜帶認證信息，但不對收到的報文做認證審核。

配置命令如下：

interface (接口號)

isis authentication-mode md5 cipher Huawei@123 send-only

2、當全網設備認證都添加了 send-only 參數后，再將密碼改為 Admin@123，并且 send-only 參數依然保持。此時當配置 Huawei@123 密碼的設備與配置了 Admin@123 密碼的設備交互報文，都只會攜帶認證信息，但不會對認證信息進行審核。

配置命令如下：

interface (接口號)

isis authentication-mode md5 cipher Admin@123 send-only

3、當所有密碼都改為 Admin@123 后，再將 send-only 參數去除。從而實現平滑過渡，不影響鄰居與路由計算。

配置命令如下：

interface (接口號)

isis authentication-mode md5 cipher Admin@123

問題3：R1和R2分別通過使用哪個對象的Isp到達49.0002的路由，R3和R4之 間鏈路斷開，R1是否可以以自身spf感知到鏈路情況，R1和R2上是否存在默認路由? (3分)

解答：

R1 和 R2 通過 R3 的 LSP 中 ATT 置位計算出默認路由，R3 和 R4 之間的鏈路斷開之后，R1 無法通過自身根據 SPF 算法感知到鏈路的情況，原因是 R3 和 R4 之間形成的是 level-2 的鄰居關系，而R1 和 R2 作為 leve-1 的設備，只有 level-1 區域對應的 Isdb，而不存在 level-2 區域的Isdb，因為R3 和 R4 的鏈路斷開造成的是 level-2 的 Isdb 發生了變化，所以 R1 和 R2 無法通過 SPF 算法感知鏈路情況。當 R3 和 R4 鏈路斷了以后，那么 R3 的 LSP 不滿足 ATT 置位條件，所以 R1 和 R2 無法計算出默認路由。