...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | В режиме конфигурирования SLA-теста, установить тип алгоритма, который будет использоваться при хешировании ключей аутентификации. | esr(config-sla-test)# control-phase authentication algorithm <ALGORITHM> | <ALGORITHM> – алгоритм хеширования, принимает значения [sha-256, hmac-sha-256]. |
| 2 | Задать ключ, который будет использоваться в процессе прохождения контрольной фазы для аутентификации. Может быть использован один из двух видов ключей аутентификации: ключ-строка, указываемая непосредственно в режиме конфигурирования SLA-теста, и ключ, содержащийся в предварительно сконфигурированной связке ключей (key-chain). | ||
| 2.1 | При использовании ключ-строки установить ее непосредственно в режиме конфигурирования SLA-теста. | esr(config-sla-test)# control-phase authentication key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
| 2.2.1 | При использовании ключа из связки ключей вернуться в общий режим конфигурирования, а затем создать новую связку ключей. | esr(config)# key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
| 2.2.2 | В режиме конфигурирования связки ключей создать новый ключ. | esr(config-key-chain)# key <NUM> | <NUM> – номер-идентификатор ключа в связке ключей, может принимать значение [1..255]. |
| 2.2.3 | Привязать к созданному ключу ключ-строку. | esr(config-key-chain-key)# key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
| 2.2.4 | Установить период времени, в течение которого данный ключ может использоваться для аутентификации исходящих пакетов (необязательно). | esr(config-keychain-key)# send-lifetime <TIME_B> <DAY_B> <MONTH_B> <YEAR_B> <TIME_E> <DAY_E> <MONTH_E> <YEAR_E> | <TIME_B> – устанавливаемое время начала действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_B> – день месяца начала действия ключа, принимает значения [1..31]; <MONTH_B> – месяц начала использования ключа, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December]; <YEAR_B> – год начала использования ключа, принимает значения [2001..2037]; <TIME_E> – устанавливаемое время окончания действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_E> – день месяца окончания действия ключа, принимает значения [1..31]; <MONTH_E> – месяц окончания действия ключа, принимает значения [January/February/March/April/May/June/July/August/September/October /November/December]; <YEAR_E> – год окончания действия ключа, принимает значения [2001..2037]. |
| 2.2.5 | Установить период времени, в течение которого данный ключ может использоваться для аутентификации входящих пакетов (необязательно). | esr(config-keychain-key)# accept-lifetime <TIME_B> <DAY_B> <MONTH_B> <YEAR_B> <TIME_E> <DAY_E> <MONTH_E> <YEAR_E> | <TIME_B> – устанавливаемое время начала действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_B> – день месяца начала действия ключа, принимает значения [1..31]; <MONTH_B> – месяц начала использования ключа, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December]; <YEAR_B> – год начала использования ключа, принимает значения [2001..2037]; <TIME_E> – устанавливаемое время окончания действия ключа, задаётся в виде HH:MM:SS, где: HH – часы, принимает значение [0..23]; MM – минуты, принимает значение [0 .. 59]; SS – секунды, принимает значение [0 .. 59]. <DAY_E> – день месяца окончания действия ключа, принимает значения [1..31]; <MONTH_E> – месяц окончания действия ключа, принимает значения [January/February/March/April/May/June/July/August/September/October /November/December]; <YEAR_E> – год окончания действия ключа, принимает значения [2001..2037]. |
| 2.2.6 | Вернуться в общий режим конфигурирования и привязать ранее созданную связку ключей к сервису SLA. | esr(config)# ip sla key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
| 2.2.7 | Перейти в режим конфигурирования ранее созданного SLA-теста и установить необходимый ключ из связки ключей, указав его номер. | esr(config-sla-test)# control-phase authentication key-id <NUM> | <NUM> – номер-идентификатор ключа в связке ключей, может принимать значение [1..255]. |
| 3 | Указать порт, на который будут направляться пакеты для аутентификации в ходе контрольной фазы (необязательно). | esr(config-sla-test)# control-phase destination-port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
| 4 | Указать порт, с которого будут отправляться пакеты для аутентификации в ходе контрольной фазы (необязательно). | esr(config-sla-test)# control-phase source-port <PORT> | <PORT> – номер UDP-порта, может принимать значение [1..65535]. |
| 5 | Установить периодичность попыток повторного прохождения контрольной фазы в случае её неудачи. | esr(config-sla-test)# control-phase retry <TIME> | <TIME> – интервал между попытками, может принимать значение [1..86400] секунд. |
| 6 | Установить максимальное время ожидания ответного пакета аутентификации от удаленной стороны в ходе контрольной фазы. | esr(config-sla-test)# control-phase timeout <TIME> | <TIME> – время ожидания, может принимать значение [1..86400] секунд. |
| Далее необходимо симметрично настроить параметры аутентификации на удаленном маршрутизаторе (принимающая сторона). | |||
| 7 | Перейти в режим конфигурирования сервиса SLA-responder. | esr(config)# ip sla responder [ vrf <VRF> ] | <VRF> – имя экземпляра VRF, задаётся строкой длиной до 31 символа. При указании данного параметра, SLA-responder включается в указанном VRF. |
| 8 | Установить максимальное время ожидания следующего тестового пакета (необязательно). | esr(config-sla-responder)# timeout <TIME> | <TIME> – время ожидания следующего пакета, может принимать значение [1..4294967295] миллисекунд. |
| 9 | Установить тип алгоритма, который будет использоваться при хешировании ключей аутентификации. | esr(config-sla-responder)# authentication algorithm <ALGORITHM> | <ALGORITHM> – алгоритм хеширования, принимает значения [sha-256, hmac-sha-256]. |
| 10 | Задать ключ, который будет использоваться для аутентификации приходящих запросов от SLA-agent. Может быть использован один из двух видов ключей аутентификации: ключ-строка, указываемая непосредственно в режиме конфигурирования SLA-responder, и предварительно сконфигурированная связка ключей (key-chain). | ||
| 10.1 | При использовании ключ-строки установить ее непосредственно в режиме конфигурирования SLA-responder. | esr(config-sla-responder)# authentication key-string ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> } | <CLEAR-TEXT> – строка длиной от 8 до 16 символов; <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...). |
| 10.2.1 | При использовании связки ключей необходимо вернуться в общий режим конфигурирования, а затем создать новую связку ключей. Процесс создания повторяет создание связки на тестирующем маршрутизаторе и описан в рамках шагов 2.2.1 - 2.2.5 данного алгоритма. | ||
| 10.2.2 | Привязать ранее созданную связку ключей к SLA-responder. | esr(config-sla-responder)# authentication key-chain <KEYCHAIN> | <KEYCHAIN> – идентификатор связки ключей, задается строкой длиной до 16 символов. |
| Scroll Pagebreak |
|---|
Пример конфигурации UDP-теста с аутентификацией по ключ-строке
...
- Оба узла (SLA-пробер и ответчик) должны быть синхронизованы по NTP;
- Суммарное отклонение от NTP на обоих узлах не должно превышать значение двухсторонней характеристики;
- Значение односторнней характеристики не дожно быть меньше 0, а также превышать значение двухсторонней характеристики.
Scroll Pagebreak
Только при соблюдении данных критериев можно ожидать корректное вычисление всех характеристик канала передачи данных.
...