- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-keychain配置
本章節下載: 07-keychain配置 (195.84 KB)
keychain是加密規則(key)的集合,用來為應用程序提供動態認證功能。keychain在不中斷業務的前提下,通過定期更改用於認證的密鑰和算法來提升網絡數據傳輸的安全性。
一個keychain中的不同key可配置各自的認證密鑰、認證算法和生命周期。key由認證密鑰、認證算法和生命周期三部分組成。一個keychain中不同key的認證密鑰、認證算法和生命周期可以不同。當係統時間處於key的生命周期內時,應用程序可以利用它對發送和接收的報文進行校驗。當keychain內各個key的生命周期具有連續性時,隨著係統時間的推移,各個key能夠依次生效,從而實現動態地更改應用程序使用的認證算法和認證密鑰。
keychain支持絕對時間模式,該模式的keychain中,key的生命周期是UTC(Coordinated Universal Time,國際協調時間)絕對時間,不受係統的時區和夏令時的影響。
配置時需要注意以下幾點:
· 同一個keychain內的各個key使用send-lifetime utc指定的生命周期不可重疊,以確保在同一時刻,應用程序隻使用一個key對發送的報文進行校驗。
· 認證雙方在同一時間內所使用的key的認證算法和認證密鑰必須一致。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建keychain,並進入keychain視圖 |
keychain keychain-name [ mode absolute ] |
缺省情況下,不存在keychain |
|
(可選)配置TCP增強認證選項中的類型值 |
tcp-kind kind-value |
缺省情況下,TCP增強認證選項中的類型值為254 當使用TCP作為傳輸層協議與友商設備互通時,本端和對端的類型值必須一致。如果不一致,則需要在本端配置本命令 |
|
(可選)配置TCP認證算法對應的算法ID |
tcp-algorithm-id { hmac-md5 | md5 } algorithm-id |
缺省情況下,MD5認證算法的算法ID是3,HMAC-MD5認證算法的算法ID是5 當使用TCP作為傳輸層協議與友商設備互通時,本端和對端的類型值必須一致。如果不一致,則需要在本端配置本命令 |
|
(可選)為keychain中的key延長其在報文接收時的生命周期 |
accept-tolerance { value | infinite } |
缺省情況下,沒有為keychain中的key延長其在報文接收時的生命周期 |
|
創建一個key,並進入key視圖 |
key key-id |
缺省情況下,不存在key |
|
配置認證算法 |
authentication-algorithm { hmac-md5 | hmac-sha-256 | md5 } |
缺省情況下,未配置key的認證算法 |
|
配置認證密鑰 |
key-string { cipher | plain } string |
缺省情況下,未配置key的認證密鑰 |
|
配置用來校驗發送報文時key的UTC模式的生命周期 |
send-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date } |
缺省情況下,未配置用來校驗發送報文時key的生命周期 |
|
配置用來校驗接收報文時key的UTC模式的生命周期 |
accept-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date } |
缺省情況下,未配置用來校驗接收報文時key的生命周期 |
|
(可選)為keychain指定缺省發送key |
default-send-key |
缺省情況下,keychain中不存在缺省發送key |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後keychain的運行情況,通過查看顯示信息驗證配置的效果。
表1-2 keychain顯示和維護
|
操作 |
命令 |
|
顯示keychain信息 |
display keychain [ name keychain-name [ key key-id ] ] |
Switch A和Switch B之間建立OSPF鄰居,使用keychain認證方式對發送和接收的報文進行校驗。具體要求為:Switch A和Switch B的keychain中創建key 1和key 2,key 1的生命周期結束後,自動切換成key 2來對報文進行校驗。
圖1-1 keychain配置組網圖
(1) 配置Switch A
# 配置接口的IP地址(略)。
# 配置OSPF基本功能。
<SwitchA> system-view
[SwitchA] ospf 1 router-id 1.1.1.1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 192.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# 配置名稱為abc的keychain,並指定其工作於絕對時間模式。
[SwitchA] keychain abc mode absolute
# 在keychain abc中創建key 1和key 2,並配置其認證算法、認證密鑰和生命周期。
[SwitchA-keychain-abc] key 1
[SwitchA-keychain-abc-key-1] authentication-algorithm md5
[SwitchA-keychain-abc-key-1] key-string plain 123456
[SwitchA-keychain-abc-key-1] send-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchA-keychain-abc-key-1] accept-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchA-keychain-abc-key-1] quit
[SwitchA-keychain-abc] key 2
[SwitchA-keychain-abc-key-2] authentication-algorithm hmac-md5
[SwitchA-keychain-abc-key-2] key-string plain pwd123
[SwitchA-keychain-abc-key-2] send-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchA-keychain-abc-key-2] accept-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchA-keychain-abc-key-2] quit
[SwitchA-keychain-abc] quit
# 配置接口Vlan-interface 100使用keychain驗證模式。
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ospf authentication-mode keychain abc
[SwitchA-Vlan-interface100] quit
(2) 配置Switch B
# 配置接口的IP地址(略)。
# 配置OSPF基本功能。
[SwitchB] ospf 1 router-id 2.2.2.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# 配置名稱為abc的keychain,並指定其工作於絕對時間模式。
[SwitchB] keychain abc mode absolute
# 在keychain abc中創建key 1和key2,並配置其認證算法、認證密鑰和生命周期。
[SwitchB-keychain-abc] key 1
[SwitchB-keychain-abc-key-1] authentication-algorithm md5
[SwitchB-keychain-abc-key-1] key-string plain 123456
[SwitchB-keychain-abc-key-1] send-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchB-keychain-abc-key-1] accept-lifetime utc 10:00:00 2015/02/06 to 11:00:00 2015/02/06
[SwitchB-keychain-abc-key-1] quit
[SwitchB-keychain-abc] key 2
[SwitchB-keychain-abc-key-2] authentication-algorithm hmac-md5
[SwitchB-keychain-abc-key-2] key-string plain pwd123
[SwitchB-keychain-abc-key-2] send-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchB-keychain-abc-key-2] accept-lifetime utc 11:00:00 2015/02/06 to 12:00:00 2015/02/06
[SwitchB-keychain-abc-key-2] quit
[SwitchB-keychain-abc] quit
# 配置接口Vlan-interface 100使用keychain驗證模式。
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ospf authentication-mode keychain abc
[SwitchB-Vlan-interface100] quit
(1) 當係統時間處於2015/02/06的10:00:00到11:00:00時,通過查看以下信息來確認keychain的運行狀態。
# 查看Switch A的keychain信息,發現key 1為有效key。
[SwitchA] display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
MD5 : 3
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$dYTC8QeOKJkwFwP2k/rWL+1p6uMTw3MqNg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Active
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Active
Key ID : 2
Key string : $c$3$7TSPbUxoP1ytOqkdcJ3K3x0BnXEWl4mOEw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Inactive
# 查看Switch B的keychain信息,發現key 1為有效key。
[SwitchB]display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
MD5 : 3
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$/G/Shnh6heXWprlSQy/XDmftHa2JZJBSgg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Active
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Active
Key ID : 2
Key string : $c$3$t4qHAw1hpZYN0JKIEpXPcMFMVT81u0hiOw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Inactive
(2) 當係統時間處於2015/02/06的11:00:00到12:00:00時,通過查看以下信息來確認keychain的運行狀態。
# 查看Switch A的keychain信息,發現key 2為有效key。
[SwitchA]display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
MD5 : 3
Default send key ID : None
Active send key ID : 2
Active accept key IDs: 2
Key ID : 1
Key string : $c$3$dYTC8QeOKJkwFwP2k/rWL+1p6uMTw3MqNg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Inactive
Key ID : 2
Key string : $c$3$7TSPbUxoP1ytOqkdcJ3K3x0BnXEWl4mOEw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Active
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Active
# 查看Switch B的keychain信息,發現key 2為有效key。
[SwitchB]display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
MD5 : 3
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1
Key ID : 1
Key string : $c$3$/G/Shnh6heXWprlSQy/XDmftHa2JZJBSgg==
Algorithm : md5
Send lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Send status : Inactive
Accept lifetime : 10:00:00 2015/02/06 to 11:00:00 2015/02/06
Accept status : Inactive
Key ID : 2
Key string : $c$3$t4qHAw1hpZYN0JKIEpXPcMFMVT81u0hiOw==
Algorithm : hmac-md5
Send lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Send status : Active
Accept lifetime : 11:00:00 2015/02/06 to 12:00:00 2015/02/06
Accept status : Active
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
