IS-IS协议的认证主要包括邻居认证,LSP报文,CSNP,PSNP报文的认证。认证的目的即是为了防止恶意***,蓄意***。

认证的加密方式有两种,一种是明文加密,一种是MD5密文加密;

       至于邻居的认证毋庸赘言,只是简单的认证确认机制; 即两端邻居密文相同,则可建立邻居关系;

不过也有例外,比如A,B两台路由器互联,如果A没有配邻居认证,而B配置了邻居认证,那么在A来说是可以建立B的邻居关系,

而B则见不起邻居关系。为什么呢?  因为在协议实现上,没配置认证的一端是可以接收对端的Hello报文,并不进行密文的比较,可以建立起邻居关系的;

而配置认证的一端,收到hello报文后,必须进行密文的比较,如果两端密文不一致,则直接丢弃; 也就是说自己不配置认证的宽入,配置认证的严入;

打个不太恰当的比喻,没配置认证的就好比是穷苦百姓家的孩子,从小得人真诚,乐于结交朋友,但也容易被人利用和欺骗;配置认证的就好比是官二代,富二代,

人家有资本,认证就像是一种身份,一种他们可以二的资本,你不是和他们一样身世显赫的,他根本不和你做朋友,直接一脚把你踹走,因为他们自我感觉良好,

高高在上;其实,只不过你没得罪更高的官商,得罪了,搞你也是玩,简单的很;md5现在也早被破解了,不是什么不可破解的算法了,只不过真正的Hacker是懒得搞这些没什么实际意义的破解的。

   言归正传,再说CSNP,PSNP,LSP的认证;如果本机配置了认证,自己发出的报文肯定带认证TLV了,这不用说,就想你当上了官,说起话来自然就戴 上了官腔;但是当配上认证后,随之而来的问题,就是之前的LSP该怎么处理呢?当然要清除了,就像刘邦,朱元璋和XXX一样,自己做了老大还不得把之前的 手下都干掉嘛!自己的好说,自己重新生成一次所有的LSP,在新的LSP中添加上认证TLV就结了,可是别人的怎么办呢?当然也要清除掉了,因为你新的 LSP要带上认证TLV嘛?你不说出自己的官职,别人不拿你当棵葱啊!而不是一你个派系的官员,你还不把他踢出团队?当然,你没有好的方法,只有等他们自 生自灭,也就是默认1200s才死掉。根本原因是邻居没有给你发清除的LSP。

      其时,本文的主旨到了,我的想法是,可不可以用一种方法,在我们本地配置认证的时候,尽快将邻居之前残留的你生成的LSP(带的认证信息和现在不一样)清 除掉呢?方法其实是有的,就是当我们本地配置认证的时候,在重新生成本地的LSP时,先将所有的本地LSP生成清除报文,只带上之前的认证TLV,这样当 邻居收到你的清除报文时,发现认证是通过的,(因为你用的是之前的密文嘛),所以就能尽早的清除你之前的LSP了。排除异己,当然越快越好了。

     虽然,实际意义就在于,在配置认证变化时,如果一端没有及时配置相同的认证信息,可以尽早的清除,之前收到的认证LSP报文。显然,实际意义不大,但浅述 一下愚见,只是想说,当觉得有些东西不好,我们可以思考一些好的方法去解决它,即便这种想法没什么太大的实际意义,但不能忘记思考是成长最好的方式。