OSPF的认证示例配置

已于 2023-07-04 22:37:30 修改
阅读量5.1k 收藏 37
点赞数 6
文章标签: 网络
于 2023-07-04 22:35:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lehe99/article/details/131524654
版权
本文介绍了OSPF协议支持的报文验证功能,包括区域认证和链路认证,详细阐述了不同验证模式(简单、MD5和Keychain)的安全性和配置方法。实验部分涉及企业网络环境,通过配置区域明文和密文认证以及链路认证,提升OSPF网络的安全性。同时,文章通过示例演示了接口和区域认证的优先级以及如何通过ospfauthentication-mode命令进行验证模式的配置和撤销。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理概述

OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。

OSPF协议支持两种认证方式:区域认证和链路认证。

  1. OSPF区域认证:一个区域中所有的路由器在该区域下的认证模式和口令必须一致;
  2. OSPF链路认证:可专门针对某个邻居设置单独的认证模式和密码,相比于区域认证更加灵活。

如果同时配置了接口认证和区域认证时,优先使用接口认证建立OSPF邻居。

每种认证方式又分为简单验证模式、MD5验证模式和Key chain验证模式。

  1. 简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,很容易被截获;
  2. MD5验证模式下的密钥是经过MD5 加密传输,相比于简单验证模式更为安全;
  3. Key chain 验证模式可以同时配置多个密钥,不同密钥可单独设置生效周期等。

实验内容

        本实验模拟企业网络环境。R2、R5、R6属于公司总部骨干区域路由器,R1为ABR。公司分部路由器R3和R4都属于区域1,但分属不同部门,R3作为市场部门网关,R4作为财务部门网关。网络管理员在区域0和区域1上配置OSPF区域认证,其中区域0开启密文认证,区域1开启明文认证。为进一步提高该OSPF网络安全性,R1和R4上单独设置密钥,配置OSPF链路认证。

配置思路

  1. 在每台路由器上使能OSPF进程;
  2. 根据区域的划分情况,指定各路由器接口的所属区域;
  3. 配置OSPF区域明文认证;
  4. 配置OSPF区域密文认证;
  5. 配置OSPF链路认证。

配置步骤

  • 进入系统视图,然后执行ospf[process-id | router-id router-id]命令以使能OSPF进程,并进入OSPF视图。
  • 进入OSPF视图之后,我们需要根据网络规划来指定运行OSPF协议的接口以及这些接口所在的区域。

        (1)我们需要在 OSPF 视图下执行命令 area area-id,该命令用来创建区域,并进入到区域视图。
       (2)在区域视图下执行 network address wildcard-mask命令,该命令用来指定运行OSPF协议的接口,其中wildcard-mask被称为通配符掩码。

  • OSPF区域明文认证:在 OSPF的区域视图下使用 authentication-mode 命令指定该区域使用认证模式为 simple,即简单验证模式,配置口令为 huawei,并配置 plain参数。

        配置 plain参数后,可以使得在查看配置文件时,口令均以明文方式显示。如果不设置该参数的话,在查看配置文件时,默认会以密文方式显示口令,即无法查看到所配置的口令原文,这可以使非管理员用户在登录设备后无法查看到口令原文,从而提高安全性。


配置 plain参数后,口令huawei以明文方式显示。


未配置 plain参数,口令huawei默认以密文方式显示。

  • OSPF区域密文认证:在 OSPF的区域视图下使用 authentication-mode 命令指定该区域使用认证模式为 MD5,即MD5验证模式,验证字标识符为1,配置口令为 huawei0,密文认证必须保证验证字标识符和口令完全一致认证才能通过。
  • OSPF链路认证:在 接口视图下使用 ospf authentication-mode 命令指定该链路使用认证模式为 MD5,即MD5验证模式,验证字标识符为1,配置口令为 huawei1,链路认证必须保证在同一OSPF链路接口下验证字标识符和口令完全一致认证才能通过。

配置命令

命令功能

ospf authentication-mode  命令用来设置相邻设备之间的验证模式及验证字。

ospf authentication-mode null  命令用来在接口上配置null验证模式。

undo ospf authentication-mode  命令用来删除接口下已设置的验证模式。

缺省情况下,接口不对OSPF报文进行验证。

命令格式

ospf authentication-mode { simple [ plain plain-text | [ cipher ] cipher-text ] | null }

ospf authentication-mode { md5 | hmac-md5 | hmac-sha256 } [ key-id { plain plain-text | [ cipher ] cipher-text } ]

ospf authentication-mode keychain keychain-name

undo ospf authentication-mode

网络拓扑图

代码段

sys
sysname R1
int gi 0/0/0
ip add 10.0.12.1 24
int gi 0/0/1
ip add 10.0.13.1  24
int gi 0/0/2
ip add 10.0.14.1 24
q
ospf 1 rout 1.1.1.1
area 0
net 10.0.12.0 0.0.0.255
authentication-mode md5 1 huawei0
area 1
net 10.0.13.0 0.0.0.255
net 10.0.14.0 0.0.0.255
authentication-mode simple plain huawei

sys
sysname R2
int gi 0/0/0
ip add 10.0.12.2 24
int gi 0/0/1
ip add 10.0.25.1  24
int gi 0/0/2
ip add 10.0.26.1 24
ospf authentication-mode md5 1 huawei1
q
ospf 1 rout 1.1.1.2
area 0
net 10.0.12.0 0.0.0.255
net 10.0.25.0 0.0.0.255
net 10.0.26.0 0.0.0.255
authentication-mode md5 1 huawei0

sys
sysname R3
int gi 0/0/0
ip add 10.0.13.2 24
int gi 0/0/1
ip add 192.168.1.254  24
q
ospf 1 rout 1.1.1.3
area 1
net 10.0.13.0 0.0.0.255
net 192.168.1.0 0.0.0.255
authentication-mode simple plain huawei

sys
sysname R4
int gi 0/0/0
ip add 10.0.14.2 24
ospf authentication-mode md5 1 huawei1
int gi 0/0/1
ip add 192.168.2.254  24
q
ospf 1 rout 1.1.1.4
area 1
net 10.0.14.0 0.0.0.255
net 192.168.2.0 0.0.0.255
authentication-mode simple plain huawei

sys
sysname R5
int gi 0/0/0
ip add 10.0.25.2 24
int gi 0/0/1
ip add 192.168.3.254  24
q
ospf 1 rout 1.1.1.5
area 0
net 10.0.25.0 0.0.0.255
net 192.168.3.0 0.0.0.255
authentication-mode md5 1 huawei0

sys
sysname R6
int gi 0/0/0
ip add 10.0.26.2 24
int gi 0/0/1
ip add 192.168.4.254  24
q
ospf 1 rout 1.1.1.6
area 0
net 10.0.26.0 0.0.0.255
net 192.168.4.0 0.0.0.255
authentication-mode md5 1 huawei0

代码解析

<Huawei>sys
[Huawei]sysname R1
[R1]int gi 0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.0.12.1 24
[R1-GigabitEthernet0/0/0]int gi 0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.0.13.1  24
[R1-GigabitEthernet0/0/1]int gi 0/0/2
[R1-GigabitEthernet0/0/2]ip add 10.0.14.1 24
[R1-GigabitEthernet0/0/2]ospf authentication-mode md5 1 huawei1 //链路认证
[R1-GigabitEthernet0/0/2]q
[R1]ospf 1 rout 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei0 //区域密文认证
[R1-ospf-1-area-0.0.0.0]area 1
[R1-ospf-1-area-0.0.0.1]net 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]net 10.0.14.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei //区域明文认证

        注:R1路由器和其他路由器配置相似,不再赘述。

测试验证

上图说明网络通信正常

        注:在链路认证中,OSPF链路只有其中1个接口配置了链路认证,在同一OSPF链路的路由器是无法建立邻居的。如本示例中,只给R1路由器接GigabitEthernet0/0/2口配置了链路认证,R1与R4间就没了OSPF邻居关系。虽然之前已经配置好区域认证,但是如果同时配置了接口认证和区域认证时,会优先使用接口验证建立OSPF邻居。所以R4在没有配置链路认证之前,R1与R4的邻居关系会因认证不匹配而无法建立。

        R4的Router ID 为1.1.1.4,上图R1的邻居中没有R4。

        给R4有配了置链路认证之后,如下图所示, R1与R4间就建立了OSPF邻居关系。

ospf authentication-mode null  命令用来在接口上配置null验证模式。

undo ospf authentication-mode  命令用来删除接口下已设置的验证模式。

上述两个命令测试验证

R1的 GigabitEthernet0/0/1接口和R3的 GigabitEthernet0/0/0接口上配置了MD5验证的情况下测试ospf authentication-mode null  命令:

        1.在R1的 GigabitEthernet0/0/1接口上配置 ospf authentication-mode null后;

        2.在R3的 GigabitEthernet0/0/0接口上配置 ospf authentication-mode null后。

        在R1的 GigabitEthernet0/0/1接口和R3的 GigabitEthernet0/0/0接口上都配置 ospf authentication-mode null后,R1和R3建立邻居。

R1的 GigabitEthernet0/0/1接口和R3的 GigabitEthernet0/0/0接口上配置了null验证的情况下测试undo ospf authentication-mode:

        1.在R3的 GigabitEthernet0/0/0接口上配置undo ospf authentication-mode后;

        2.在R1的 GigabitEthernet0/0/1接口上配置undo ospf authentication-mode 后;

        在R1的 GigabitEthernet0/0/1接口和R3的 GigabitEthernet0/0/0接口上都配置undo ospf authentication-mode 后,R1和R3建立邻居。

义一
关注
路由器 OSPF 邻居认证配置
小小猪的博客
10-08 2091
实训三十五 路由器 OSPF 邻居认证配置 一、实验目的 1.掌握 OSPF 邻居认证配置 2.理解理解邻居认证的作用 二、应用环境 在企业环境中,需要配置认证来保证 OSPF 路由的安全性 三、实验设备 1.DCR-2655 两台 2.网线 一条 配置要求 六、实验步骤 第一步:路由器接口的配置 路由器 A 的配置: Router-A#config!进入全局模式 Router-A_config#interface loo...
OSPF认证(区域认证和接口认证
weixin_47705578的博客
01-21 6305
华为HCIP-Datacom实验-OSPF认证(区域认证、接口认证
多区域认证配置
最新发布
LONGSS6的博客
04-06 982
总结:S-IS(Intermediate System to Intermediate System)协议是用于自治系统内部的路由协议,其认证机制主要用于保障路由信息交换的安全性,包括‌。‌:同一 Level-1 区域内的所有 IS-IS 设备必须配置相同的 MD5 密钥,否则无法交换路由信息。‌,用于验证同一路由域内设备间交换的 Level-2 路由信息(如 LSP、SNP 报文)的合法性‌。‌:该接口的 IS-IS Level-1 邻居必须配置相同的密码才能建立邻接关系。
学习笔记——动态路由——OSPF认证
灵韵的博客
07-04 3461
进入区域1和区域0,在所有的路由器上进行认证配置。[r1-ospf-1-area-0.0.0.1] authentication-mode md5 1 cipher Huawei //将该路由器R1,所有属于区域1的接口全部进行认证。接口认证方式的优先级要高与区域认证方式,也就是当相邻的路由器同时使用区域认证与接口认证时,如果接口认证不通过,即使区域认证通过也无法建立OSPF邻居关系。两台邻居路由器,通过串口互联,同时对区域启用密文认证,在一台路由的串口启用明文认证,另一台串口不启用任何认证
配置OSPF 身份验证
02-26
配置OSPF 身份验证
配置OSPF认证
weixin_34356555的博客
04-23 218
OSPF认证分为基于区域和基于链路的认证两种,其中基于链路的认证优于基于区域的认证网络拓扑: 一、基于区域的认证配置 A、明文认证: 1、RA的配置如下: Router(config)#hostname RARA(config)#interface Loopback0RA(config-if)#ip address 1....
配置ospf认证
weixin_33845477的博客
12-27 616
配置OSPF认证 实验目的 掌握配置OSPF的明文认证与密文认证 实验步骤 1.R1的预配置: Router> Router>en Router#configt Enter...
配置OSPF认证
weixin_45821358的博客
11-17 4795
配置OSPF认证原理概述二、实验拓扑在这里插入图片描述三、实验内容1.基础配置ip地址 ping 测试'2.配置OSPF及区域认证3.配置接口认证总结与思考 原理概述 OSPF支持验证功能, 只有通过验证的报文,才能够接收,否则不能正常的建立邻居关系。 ospf支持两种认证方式,区域认证以及链路认证,区域认证是所有路由器在该区域下认证模式和口令必须一致。VIP APT的链路认证相比于去认真,更加灵活。所以,在使用认证时优先使用接口认证,建立ospf邻居关系。 每种认证方式又分为简单验证模式,md5验证模
配置OSPF认证-新版(13)
qq_43963745的博客
12-27 1885
​​​​​​​本实验模拟企业网络环境,R3,R5,R6属于公司总部骨干区域路由器,R2为ABR。公司分部路由器R1和R4都属于区域1,但分属不通部门,R1作为市场部门网关,R4作为财务部门网关。网络管理员在区域0和区域1上配置OSPF区域认证。其中区域0开启密文认证,区域1开启明文认证。为进一步提高该OSPF网络安全性,R2和R4上单独设置密钥,配置OSPF链路认证
多区域OSPF认证配置
06-05
通过实践"多区域OSPF认证配置"案例,你可以深入了解OSPF的工作原理,学习如何有效地管理和保护OSPF网络。这个实例将涵盖上述所有概念,并可能提供具体的配置示例和故障排查技巧,帮助你掌握这些关键的网络技能。
华为交换机配置OSPF动态路由.docx
06-05
为了防止恶意攻击,OSPF支持认证功能,可以通过`ospf authentication`命令配置密码,增强网络安全性。 总之,华为交换机上的OSPF配置涉及多个层面,包括进程启动、区域划分、接口配置、VLAN管理以及路由验证等。...
路由ospf配置
05-19
根据提供的文件信息,本文将详细解释“路由OSPF配置”的相关知识点,包括OSPF协议的基本概念、配置步骤以及示例代码解析。 ### OSPF协议概述 OSPF(Open Shortest Path First,开放式最短路径优先)是一种内部网关...
Cisco Packet Tracer动态路由OSPF的简单配置实验
富有知识的小窝
10-28 3499
实验拓扑: 实验目的: 完成PC0与PC3的通信。 实验要求: 1.右侧两台PC所在网段为一个C类网络的子网。 2.所有路由器采用OSPF路由配置。 3.所有PC手动配置IP等配置信息。 实验内容: 1.首先我们先对各个网段进行划分。 我们将一个C类网络192.168.58.0进行子网划分给下方右侧PC所处网段进行分配。 由于避免子网位为全0或者全1的情况,我们取了2个子网位。 规划完成的拓扑图: 2.给所有PC及路由器配置IP等基础配置。 路由器0: Router&.
华三模拟器配置ospf认证
12-27
根据提供的引用内容,以下是华三模拟器配置OSPF认证的步骤: 1. 配置接口IP地址和VLAN: ```shell sys [H3C] interface GigabitEthernet 0/0...请注意,这只是一个示例配置,实际配置可能因网络拓扑和需求而有所不同。
ospf接口认证配置详解
qq_43210022的博客
05-26 2431
实验目的:1.掌握ospf接口认证及区域认证配置方法 实验拓扑: 步骤1:基本配置(接口配置+ospf配置)见http://t.csdn.cn/mugochttp://t.csdn.cn/mugoc步骤2:在R1上启用ospf明文认证 R1(config)#interface f0/0 R1(config-if)#ip ospf authentication R1(config-if)#ip ospf authentication-key 123 ......
华为 “OSPF认证配置
热门推荐
weixin_44551911的博客
09-07 1万+
OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。OSPF协议支持两种认证方式:区域认证和链路认证。使用区域认证时,一个区域中所有的路由器在该区域下的认证模式和口令必须一致;OSPF链路认证相比于区域认证更加灵活,可专门针对某个邻居设置独立的认证模式和密码。如果同时配置了接口认证和区域认证时,优先使用接口认证建立OSPF邻居。 每种认证方式又分为简单验证模式,MD5验证模式和Key chain验证模式。简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,容易被截获;
OSPF认证
heibaikong6的博客
07-29 2407
认证 OSPF安全认证: 2种认证方法:明文,密文 3种认证范围:链路认证,区域认证,虚链路认证 密钥 声明 链路认证 接口 接口 区域认证 接口 进程 虚链路认证 进程 进程 链路认证 (a)明文认证 r11(config)#interface s0/1 r11(config-if)#ip ospf authentication 先开启接口明文认证需求,开...
配置OSPF认证详解
weixin_34008784的博客
12-27 383
由于考试出了关于OSPF身份认证的题,有的同学对OSPF认证不是太熟悉,我就写了这篇文章希望对大家有所帮助。 OSPF认证分为区域认证和接口认证,加密方法分为简单加密和MD5加密。 (下面所讲的都是在网络设备正确安装配置OSPF协议正常运行,网络全互联状态下) (一)首先先讲下接口下的认证: 1.接口下基于明文的认证 R1(config)#inte...
一文搞懂OSPF认证配置
夜半少年的博客
03-10 1046
文章目录OSPF认证—— 提高网络的安全性1、区域认证2、接口认证3、接口、区域认证同时开启 OSPF认证—— 提高网络的安全性 1、区域认证   设备处于该区域下的所有接口都需要进行认证. OSPF配置ospf 1 router-id 1.1.1.1 area 0.0.0.0 authentication-mode simple plain huawei 2、接口认证   只...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值