...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | В режиме конфигурирования интерфейса на маршрутизаторе, который является удаленной стороной SLA-теста, активировать SLA-responder. | esr(config-if-gi)# ip sla responder <TYPE> | <TYPE> – название целевой платформы SLA-agent, может принимать значения:
|
2 | Установить UDP-порт, на котором будет идти прослушивание запросов аутентификации от SLA-agent (если при конфигурировании SLA-теста был указан порт прохождения контрольной фазы, отличный от порта по умолчанию). | ||
2.1 | Конфигурирование UDP-порта для прослушивания запросов аутентификации от Eltex SLA-agent (необязательно). | esr(config)# ip sla responder eltex port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
2.2 | Конфигурирование UDP-порта для прослушивания запросов аутентификации от Cisco SLA-agent (необязательно). | esr(config)# ip sla responder cisco port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
...
Блок кода |
---|
R1(config-sla-test)# enable R1(config)# ip sla schedule all2 start-time now life forever |
...
Блок кода |
---|
R2(config)# interface gigabitethernet 1/0/1 R2(config-if-gi)# ip sla responder eltex R2(config-if-gi)# exit R2(config)# exit R2# commit |
Важно! Порт назначения пакетов аутентификации по умолчанию - 1800, и должен быть открыт на R2. Если прохождение трафика по данному порту запрещено, необходимо изменить настройку портов, воспользовавшись Алгоритмом настройки параметров аутентификации, а также командами из Настройка SLA-Responder.
После активации SLA-responder, тест перейдет в состояние "Успешно".
...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | В режиме конфигурирования SLA-теста, установить тип алгоритма, который будет использоваться при хешировании ключей аутентификации. | esr(config-sla-test)# control-phase authentication algorithm <ALGORITHM> | <ALGORITHM> – алгоритм хеширования, принимает значения [sha-256, hmac-sha-256]. |
2 | Задать ключ, который будет использоваться в процессе прохождения контрольной фазы для аутентификации. Может быть использован один из двух видов ключей аутентификации: ключ-строка, указываемая непосредственно в режиме конфигурирования SLA-теста, и ключ, содержащийся в предварительно сконфигурированной связке ключей (key-chain). | ||
2.1 | При использовании ключ-строки, установить ее непосредственно в режиме конфигурирования SLA-теста. | esr(config-sla-test)# control-phase authentication key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
2.2.1 | При использовании ключа из связки ключей, вернуться в общий режим конфигурирования, а затем создать новую связку ключей. | esr(config)# key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
2.2.2 | В режиме конфигурирования связки ключей создать новый ключ. | esr(config-key-chain)# key <NUM> | <NUM> - номер-идентификатор ключа в связке ключей, может принимать значение [1..255]. |
2.2.3 | Привязать к созданному ключу ключ-строку. | esr(config-key-chain-key)# key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
2.2.4 | Установить период времени, в течение которого данный ключ может использоваться для аутентификации исходящих пакетов (необязательно). | esr(config-keychain-key)# send-lifetime <TIME_B> <DAY_B> <MONTH_B> <YEAR_B> <TIME_E> <DAY_E> <MONTH_E> <YEAR_E> | <TIME_B> – устанавливаемое время начала действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_B> – день месяца начала действия ключа, принимает значения [1..31]; <MONTH_B> – месяц начала использования ключа, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December]; <YEAR_B> – год начала использования ключа, принимает значения [2001..2037]; <TIME_E> – устанавливаемое время окончания действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_E> – день месяца окончания действия ключа, принимает значения [1..31]; <MONTH_E> – месяц окончания действия ключа, принимает значения [January/February/March/April/May/June/July/August/September/October /November/December]; <YEAR_E> – год окончания действия ключа, принимает значения [2001..2037]. |
2.2.5 | Установить период времени, в течение которого данный ключ может использоваться для аутентификации входящих пакетов (необязательно). | esr(config-keychain-key)# accept-lifetime <TIME_B> <DAY_B> <MONTH_B> <YEAR_B> <TIME_E> <DAY_E> <MONTH_E> <YEAR_E> | <TIME_B> – устанавливаемое время начала действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_B> – день месяца начала действия ключа, принимает значения [1..31]; <MONTH_B> – месяц начала использования ключа, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December]; <YEAR_B> – год начала использования ключа, принимает значения [2001..2037]; <TIME_E> – устанавливаемое время окончания действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_E> – день месяца окончания действия ключа, принимает значения [1..31]; <MONTH_E> – месяц окончания действия ключа, принимает значения [January/February/March/April/May/June/July/August/September/October /November/December]; <YEAR_E> – год окончания действия ключа, принимает значения [2001..2037]. |
2.2.6 | Вернуться в общий режим конфигурирования и привязать ранее созданную связку ключей к сервису SLA. | esr(config)# ip sla key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
2.2.7 | Перейти в режим конфигурирования ранее созданного SLA-теста и установить необходимый ключ из связки ключей, указав его номер. | esr(config-sla-test)# control-phase authentication key-id <NUM> | <NUM> - номер-идентификатор ключа в связке ключей, может принимать значение [1..255]. |
3 | Указать порт, на который будут направляться пакеты для аутентификации в ходе контрольной фазы (необязательно). | esr(config-sla-test)# control-phase destination-port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
4 | Указать порт, с которого будут отправляться пакеты для аутентификации в ходе контрольной фазы (необязательно). | esr(config-sla-test)# control-phase source-port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
5 | Установить периодичность попыток повторного прохождения контрольной фазы в случае её неудачи. | esr(config-sla-test)# control-phase retry <TIME> | <TIME> – интервал между попытками, может принимать значение [1..86400] секунд. |
6 | Установить максимальное время ожидания ответного пакета аутентификации от удаленной стороны в ходе контрольной фазы. | esr(config-sla-test)# control-phase timeout <TIME> | <TIME> – время ожидания, может принимать значение [1..86400] секунд. |
Далее необходимо симметрично настроить параметры аутентификации на удаленном марутизаторе (принимающая сторона). | |||
7 | Перейти в режим конфигурирования сервиса SLA-responder. | esr(config)# ip sla responder [ vrf <VRF> ] | <VRF> – имя экземпляра VRF, задаётся строкой длиной до 31 символа. При указании данного параметра, SLA-responder включается в указанном VRF. |
8 | Установить максимальное время ожидания следующего тестового пакета (необязательно). | esr(config-sla-responder)# timeout <TIME> | <TIME> – время ожидания следующего пакета, может принимать значение [1..4294967295] миллисекунд. |
9 | Установить тип алгоритма, который будет использоваться при хешировании ключей аутентификации. | esr(config-sla-responder)# authentication algorithm <ALGORITHM> | <ALGORITHM> – алгоритм хеширования, принимает значения [sha-256, hmac-sha-256]. |
10 | Задать ключ, который будет использоваться для аутентификации приходящих запросов от SLA-agent. Может быть использован один из двух видов ключей аутентификации: ключ-строка, указываемая непосредственно в режиме конфигурирования SLA-responder, и предварительно сконфигурированная связка ключей (key-chain). | ||
10.1 | При использовании ключ-строки, установить ее непосредственно в режиме конфигурирования SLA-responder. | esr(config-sla-responder)# authentication key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
10.2.1 | При использовании связки ключей, необходимо вернуться в общий режим конфигурирования, а затем создать новую связку ключей. Процесс создания повторяет создание связки на тестирующем маршрутизаторе и описан в рамках шагов 2.2.1 - 2.2.5 данного алгоритма. | ||
10.2.2 | Привязать ранее созданную связку ключей к SLA-responder. | esr(config-sla-responder)# authentication key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
Пример конфигурации UDP-теста с аутентификацией по ключ-строке
Задача:
Установить нестандартные порты отправки и получения запросов аутентификации, а для аутентификации использовать ключ-строку. Базовый UDP-тест уже настроен.
Решение:
Конфигурация активного UDP-теста:
Блок кода |
---|
R-sender# show running-config sla
ip sla
ip sla logging error
ip sla logging status
ip sla test 1
udp-jitter 10.0.0.1 20001 source-ip 10.0.0.2 source-port 20002
enable
exit
ip sla schedule 1 life forever start-time now
|
Блок кода |
---|
R-responder# show running-config sla
interface gigabitethernet 1/0/3
ip sla responder eltex
exit
|
Для начала, изменим порты отправки и получения запросов аутентификации (пакетов контрольной фазы). Для аутентификации будем использовать порт отправки 50000 и порт получения 49500. Для этого укажем их в параметрах SLA-теста:
Блок кода |
---|
R-sender# configure
R-sender(config)# ip sla test 1
R-sender(config)# ip sla test 1
R-sender(config-sla-test)# control-phase destination-port 49500
R-sender(config-sla-test)# control-phase source-port 50000
|
Таким образом, при каждом новом запуске SLA-теста, первая пара запрос ответ будет происходить по адресам 10.0.0.2:50000 ↔ 10.0.0.1:49500, а последующий тестовый трафик - 10.0.0.2:20002 ↔ 10.0.0.1:20001.
Здесь же указываем алгоритм для хеширования ключа и сам ключ :
Блок кода |
---|
R-sender(config-sla-test)# control-phase authentication algorithm sha-256
R-sender(config-sla-test)# control-phase authentication key-string ascii-text sla_password
R-sender(config-sla-test)# end
R-sender# commit
|
Далее, необходимо продублировать эти параметры на ответной стороне. Для этого переходим в режим конфигурирования интерфейса, который выступает SLA-Responder, и указать порт прослушивания запросов аутентификации.
Блок кода |
---|
R-responder# configure
R-responder(config)# interface gigabitethernet 1/0/3
R-responder(config-if-gi)# ip sla responder eltex port 49500
R-responder(config-if-gi)# exit
R-responder(config)#
|
После этого необходимо перейти в параметры SLA-Responder и указать там тот же алгоритм хеширования и ключ-пароль:
Блок кода |
---|
R-responder(config)# ip sla responder
R-responder(config-sla-responder)# authentication algorithm sha-256
R-responder(config-sla-responder)# authentication key-string ascii-text sla_password
R-responder(config-sla-responder)# end
R-responder# commit
|
Таким образом конфигурации R-sender и R-responder:
Блок кода |
---|
R-sender# show running-config sla
ip sla
ip sla logging error
ip sla logging status
ip sla test 1
control-phase destination-port 49500
control-phase source-port 50000
control-phase authentication algorithm sha-256
control-phase authentication key-string ascii-text encrypted 8CB5107EA7005AFF2D
udp-jitter 10.0.0.1 20001 source-ip 10.0.0.2 source-port 20002
enable
exit
ip sla schedule 1 life forever start-time now
|
Блок кода |
---|
R-responder# show running-config sla
interface gigabitethernet 1/0/3
ip sla responder eltex port 49500
ip sla responder eltex
exit
ip sla responder
authentication algorithm sha-256
authentication key-string ascii-text encrypted 8CB5107EA7005AFF2D
exit
|
Пример конфигурации UDP-теста с аутентификацией по связке ключей
Задача:
Изменить конфигурацию, приведенную в примере выше, используя при этом связки ключей.
Решение:
После указания портов аутентификации, создадим связку ключей и новый ключ:
Блок кода |
---|
R-sender(config)# key-chain SLA_CHAIN
R-sender(config-key-chain)# key 1
R-sender(config-key-chain-key)# key-string ascii-text sla_password
R-sender(config-key-chain-key)# exit
R-sender(config-key-chain)# exit
R-sender(config)#
|
Привяжем созданную связку к SLA-agent, а ключ из связки привяжем к SLA-тесту:
Блок кода |
---|
R-sender(config)# ip sla key-chain SLA_CHAIN
R-sender(config)# ip sla test 1
R-sender(config-sla-test)# control-phase authentication key-id 1
R-sender(config-sla-test)# end
R-sender# commit
|
Аналогичные действия произведем на R-responder. Создадим связку ключей с необходимым ключом и привяжем связку к SLA-Responder:
Блок кода |
---|
R-responder(config)# key-chain SLA
R-responder(config-key-chain)# key 1
R-responder(config-key-chain-key)# key-string ascii-text sla_password
R-responder(config-key-chain-key)# exit
R-responder(config-key-chain)# exit
R-responder(config)# ip sla responder
R-responder(config-sla-responder)# authentication key-chain SLA
R-responder(config-sla-responder)# end
R-responder# commit |
Таким образом конфигурации R-sender и R-responder:
Блок кода |
---|
R-sender# show running-config
key-chain SLA_CHAIN
key 1
key-string ascii-text encrypted 8FB80252A00E5BE802FA0217
exit
exit
ip sla key-chain SLA_CHAIN
ip sla
ip sla logging error
ip sla logging status
ip sla test 1
control-phase destination-port 49500
control-phase source-port 50000
control-phase authentication algorithm sha-256
control-phase authentication key-id 1
udp-jitter 10.0.0.1 20001 source-ip 10.0.0.2 source-port 20002
enable
exit
ip sla schedule 1 life forever start-time now |
Блок кода |
---|
R-responder# show running-config
key-chain SLA
key 1
key-string ascii-text encrypted 8FB80252A00E5BE802FA0217
exit
exit
interface gigabitethernet 1/0/3
***
ip sla responder eltex port 49500
ip sla responder eltex
exit
ip sla responder
authentication algorithm sha-256
authentication key-chain SLA
exit |
Использование связок ключей даёт возможность комбинировать различные уникальные пароли для аутентификации между SLA-agent и SLA-Responder.