OSPF更新机制和认证机制

于 2024-06-15 19:02:19 发布
阅读量1.4k 收藏 42
点赞数 39
分类专栏: 华为数通HCIP 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44142201/article/details/139693909
版权

OSPF更新机制

主打一个:谁产生的,谁负责更新(谁的孩子谁管)

定时更新
默认情况下,产生这条LSA的路由器每隔1800s会更新自身的LSA,此时seq + 1 、 chksum重新计算、Ls age置0。
触发更新
当产生这条LSA的路由器发现这条LSA的状态发生了变化,会产生触发更新的行为,此时seq + 1 ,、chksum 重新计算、 ls age置0。

定时更新于触发更新
如何判断LSA的新旧:

  • seq 越大越新
  • chksum 越大越新
  • ls age = 3600 最新
    ls age 差值 > 900,ls age小的最新
    ls age 差值 < 900,ls age一样

实验用图:
实验用图

在路由器R4上面做参数修改动作,是状态参数更新:
R4路由配置参数更新
更新后参数变化,为使得LSA的状态最新,在状态参数没有变化的情况下,经历1800s后也会定时更新。
默认类型type 2,可在执行路由引入时做开销、类型、tag修改。
更新参数对比
删除静态路由后,在其他路由器上如何也跟着删掉呢?
可以利用3600s的老化时间(seq chksum的参数不变),此时原路由器新产生的这条LSA的ls age变成3600,随后传递到其他路由器上面,在比对完LSA标识参数后,确认为同一条LSA,发现传过来的LSA 的ls age为3600,执行删除操作。
取消引入的路由
参数如下:在seq 不变,chksum 不变的情况下,将ls age设置为3600,告诉其他路由器执行删除操作
ls age参数3600,表示需要删除这条LSA

OSPF认证机制

路由协议的认证:保护协议报文的安全性(LSR LSU LSACK),不对数据加密

数据安全:
数据的机密性,只有通信的双方才能看懂数据,其他任何人都无法了解数据内容
数据的完整性,数据无法被伪造或者被篡改
数据的不可抵赖性,不能否认你做过或者你没做过

路由协议的认证:只实现数据完整性保护

OSPF协议认证方式:
1、区域认证
在属于这个区域的所有接口上启用认证,批量性的接口认证
2、接口认证
仅在该接口上启用认证,单个接口可以连接区域认证中的一个接口,只要认证类型一致
3、接口认证优先于区域认证
支持的认证模式:

  1. null(不认证):即不做认证,auth type 0 auth data 0
  2. simple (明文):只要密码一致,就可以认证通过auth type 1,但,无法实现数据完整性保护,无法防护欺骗攻击和篡改攻击。
  3. MD5以及HMAC-MD5(华为加强版),要求key id 一致(两端的秘钥一样),一致才能认证成功。
  4. 认证的模式两边要一致
  5. ospf authentication-mode null 将接口从区域认证中排除掉,做空认证(只在接口认证下有空认证)
  6. 如果做了area 0 认证,并且存在vlink,那么vlink也要做认证,因为vlink属于area 0 。
区域认证
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]au
[R2-ospf-1-area-0.0.0.0]authentication-mode

接口认证
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 10.1.23.2 255.255.255.0
#
return
[R2-GigabitEthernet0/0/1]ospf au
[R2-GigabitEthernet0/0/1]ospf authentication-mode

接口下明文认证
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 10.1.2312 255.255.255.0
#
[R2-GigabitEthernet0/0/1]ospf au
[R2-GigabitEthernet0/0/1]ospf authentication-mode si
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple 
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple plain huawei
[R2-GigabitEthernet0/0/1]q

接口下明文认证,密码抓包后直接可以看到,安全性低,但是有比没有好,聊胜于无。
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple 
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple cipher huawei #密码是huawei,cipher 密码修饰后显示

只有接口下可以做空认证,目的:将接口从区域认证中排除掉,为了兼容
[R3-GigabitEthernet0/0/0]ospf authentication-mode null\simple\MD5\HMAC-MD5\keychain
区域下面没有空认证
[R2-ospf-1-area-0.0.0.0]authentication-mode simple\md5\hmac-md5\keychain

区域下MD5认证
[R2]ospf 1
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]au
[R2-ospf-1-area-0.0.0.0]authentication-mode md
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 p
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain huawei@123 #这里的key-id是1,两边要一样,plain 密码直接显示
[R2-ospf-1-area-0.0.0.0]

接口下明文认证,密码抓包后直接可以看到,安全性低,但是有比没有好,聊胜于无。
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple 
[R2-GigabitEthernet0/0/1]ospf authentication-mode simple cipher huawei #密码是huawei,cipher 密码修饰后显示

只有接口下可以做空认证,目的:将接口从区域认证中排除掉,为了兼容
[R3-GigabitEthernet0/0/0]ospf authentication-mode null\simple\MD5\HMAC-MD5\keychain
区域下面没有空认证
[R2-ospf-1-area-0.0.0.0]authentication-mode simple\md5\hmac-md5\keychain

MD5认证

MD5算法的特点,数学上是一种哈希函数:

  1. 不可逆,无法通过哈希值,反推出原始数据。
  2. 雪崩效应,原始数据任何的bit被修改,得到的哈希和原始的哈希存在很大区别。
  3. 随机输入,固定输出,无论原始数据大小如何,哈希结果长度一致,MD5为128bit,SHA为160bit

两端的key一致,也就是秘钥一致,hash = data + key
两端秘钥一致

可以区域下面做认证
[R3]ospf1
[R3-ospf-1]dis this
[V200R003C00]
#
ospf 1 router-id 3.3.3.3
import-route static 
areea0.0.0.1
network 10.1.23.3 0.0.0.0
area 0.0.0.2
network 10.1.34.3 0.0.0.0
nssa
auth type 0
#
return 
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]authentication-mode md
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 p
[R3-ospf-1Marea-0.6.0.0Jauthentication-mode ma5 1 plain huaweie123

当然也可以在接口下做认证,接口下先指定协议,然后是认证类型
[R3-ospf-1]int g0/0/0
[R3-GigabitEthernet0/0/0]ospf authentication-mode md
[R3-GigabitEtherneto/0/0]ospf authentication-mode md5 1 p
[R3-GigabitEthernet0/0/0]ospf authentication-mode md5 1 plain huawei@123

说明:如果做了area 0 认证,并且存在vlink,那么vlink也要做认证

R2的配置,area 0 区域认证 MD5
[R2-ospf-1]dis this
[Vz00RO03C001T19
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
 authentication-mode md5 1 plain huawei@123
 network 10.1.23.2 0.0.0
area 0.0.0.1
 network 10.1.12.2 0.0.0,0
#
return
开始做虚链路
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]vlink-peer 1.1.1.1

R1配置,先同R2之间建立vlink
<R1>system-view
[R1]ospf 1
[R1-ospf-1]dis this
[V200R003C00]
#
ospf 1 router-id 1.1.1.1
import-route static
area 0.0.0.1
 network 10.1.12.1 0.0.0.0
 network 172.16.0.0 0.0.255.2553
#
return
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2
[R1-ospf-1-area-0.0.0.1]q
此时,R1和R2之间的虚链路还无法建立成功,处于down状态,原因就是虚链路属于area 0 ,而area 0 做了区域认证,但是虚链路另一端area 1 没有做认证。
第一种方法:非 area0 上建立虚链路的同时,对虚链路做认证
[R1-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2 md5 1 plain huawei@123
[R1-ospf-1-area-0.0.0.1]dis this
[V200R003C00]
#
area 0.0.0.1
 network 10.1.12.1 0.0.0.0
 network 172.16.0.0 0.0.255.255
 vlink-peer 2.2.2.2 md5 1 plain huawei@123
#
return
第二种方法:当然也可以在R1上创建area 0 ,然后做区域认证,此时虚链路两端同一种认证类型
[R1]ospf 1
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain huawei@123
[R1-ospf-1-area-0.0.0.0]dis this
[V200R003C00]
#
area 0.0.0.0
authentication-mode md5 1 plain huawei@123
#
return
第三种方法:在R2上面,把area 0 中的虚链路的接口认证设置为空认证,即把vlink接口从区域认证中排除,此时状态也可以建立
[R1-ospf-1-area-0.0.0.1]vlink-peer 1.1.1.1 authentication-mode null
虚链路虽然属于area 0 ,但是在配置的时候都是在area 1 中的,所以这里是area 1 下面进行空认证。

最后,完成虚链路两端认证,状态建立:
虚链路建立

私がの山山
关注
  • 39
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSPF动态路由协议的路由更新机制简介
03-04
OSPF具有可扩展性的一个原因是它的路由更新机制OSPF使用LSAOSPF节点之中共享路由信息。这些广播信息会在整个区中进行传播但不会超越一个区。因此,区中的每一个路由器都知道本区的拓扑。然而,一个区的拓扑对区外是不可知的。考虑到实际上有四种不同类型的OSPF路由器—区内路由器、区边界路由器、自治系统边界路由器、骨干路由器—很明显每种路由器类型有不同的对等实体集,路由器与这些对等实体交换LSA
ospf报文的更新机制
zljszn的博客
02-14 3195
实验拓补图: 这里的配置信息就不详细的列出来了,在拓补图上都写有详细的配置命令 我们在AR1的接口抓包查看数据包,图中R1是DR,R2是BDR,R3和R4都是DR other,我们在DR中配置一个回环口然后查看链路更新的状态,看抓包图 由于是DR的接口发生了变化,所以首先由DR向所有的ospf路由器发送更新报文,接下来收到的是BDR的确认包,由于R3和R4是DR other,他们只需要向224.0.0.6确认即可,即向DR和BDR确认即可! 224.0.0.5和224.0.0.6的区别如下:
ospf的触发更新(腾讯面试)
weixin_34383618的博客
04-12 1357
OSPF触发更新是说在一个OSPF area中,其中一台路由器的接口down掉或者链路状态信息发生变化,它便会发送组播分组来声明自己的新状态,这个过程称作触发更新。触发更新额过程为:1、路由器发现链路状态发生变化时,便使用组播地址224.0.0.6向OSPF区域中的DR、BDR发送LSU包,LSU包中有LSA更新信息。2、DR使用LSACK包回复发生变化的路由器,并...
ospf触发更新
weixin_34075551的博客
06-09 1641
ospf触发更新: 触发更新是指当在同一个ospf aera中,如果任意路由器当掉,或是链路状态发生了变化,此时发生变化的路由器会发生组播声明自己的新状态,这个过程叫做触发更新。触发更新的过程为: 1、路由器注意到一个链路状态改变了,他会使用组播地址224.0.0.6向ospf dr和bdr发送LSU包,此包中包含LSA更新信息。 2、dr使用Lsack回复发生改...
ospf的工作过程--小白升级
weixin_44034479的博客
04-17 515
使用的数据包: hello,DBD,LSR,LSU,LSAck ospf的状态转换示意图: 以ospf状态机说明ospf的工作过程。 1)down :一开始的状态,什么都么有收到邻居的hello。 2)init :开始发送hello包,最初不知邻居是谁,包中就没有邻居的router-ID,但会带上自己的router-id。当邻居收到hello包,就会回复。hello包只有邻居收得到,所以回复...
OSPF的触发更新过程:
weixin_44809632的博客
09-09 3845
OSPF触发更新是说在一个OSPF area中,其中一台路由器的接口down掉或者链路状态信息发生变化,它便会发送组播分组来声明自己的新状态,这个过程称作触发更新。触发更新的过程为: 1、路由器发现链路状态发生变化时,便使用组播地址224.0.0.6向OSPF区域中的DR、BDR发送LSU包,LSU包中有LSA更新信息。 2、DR使用LSACK包回复发生变化的路由器,并使用组播地址224.0.0.5向其他路由器发送LSU包泛洪,每一个收到泛洪的路由器使用LASCK包回复DR。 3、如果一个路由器被连接
OSPF网路类型详解 OSPF认证 路由控制
09-16
OSPF网路类型详解 OSPF认证 路由...OSPF网路类型、OSPF认证OSPF路由控制是OSPF协议的重要组成部分,它们之间的关系和差异非常重要。了解这些概念可以帮助我们好地理解OSPF协议,并好地应用OSPF协议在实际网络中。
OSPF认证配置.doc
04-28
为了确保 OSPF 路由器之间的通信安全,OSPF 提供了认证机制,以防止非法访问和数据篡改。 OSPF 认证配置是 OSPF 协议的重要组成部分,本文将详细介绍 OSPF 认证配置的类型、配置方法和实现机制。 一、OSPF 认证类型...
ospf认证考试必备复习资料、认证专属
11-11
4. OSPF的五种报文:OSPF协议使用五种类型的报文来维护和建立邻接关系,包括hello报文、数据库描述报文(DD)、链路状态请求报文(LSR)、链路状态更新报文(LSU)以及链路状态确认报文(LSAck)。 5. OSPF的六种...
华为OSPF配置认证.pdf
12-25
4. OSPF Authentication:OSPF认证OSPF协议的安全机制,用于对路由信息进行加密和认证OSPF配置认证的配置步骤: 1. 配置路由器ID:使用router id命令配置路由器的ID号。 2. 配置OSPF Process:使用ospf命令...
华为OSPF配置认证.docx
12-14
为了确保网络的安全性,OSPF提供了多种认证机制来防止非法路由器加入网络,其中包括: - **明文认证**:简单但不安全,因为密码在网络上传输时是以明文形式存在的。 - **MD5加密认证**:安全的选择,使用MD5散列...
OSPF——基本概念5(路由汇总、路由更新与撤销、报文认证
m0_49864110的博客
07-24 3220
配置OSPF认证保证邻居建立的安全,对OSPF的邻居、邻接建立报文进行认证,防止于非法OSPF邻居建立邻居关系。因此2类LSA的的撤销方式有两种,以更新的方式进行撤销或者通过LSA Age进行撤销。1类LSA撤销路由是通过更新的方式来撤销的(更新路由时不携带被撤销的那条路由)一条LSA包含多条路由信息,当删除了一条路由之后,就会通过1类LSA进行撤销。更新LSA时,seq+1,chksum重新计算,lsa age置0。更新LSA时,seq+1,chksum重新计算,lsa age置0。
OSPF(九)OSPF的其他特性:区域间路由汇总、外部路由汇总、OSPF更新认证机制
Skye's Blog
03-19 3038
文章目录前言路由汇总区域间汇总外部路由汇总OSPF更新机制OSPF认证机制 前言 路由汇总 区域间汇总 外部路由汇总 OSPF更新机制 OSPF认证机制
OSPF机制详解
weixin_44917859的博客
11-13 3899
一、OSPF怎么来保证数据/报文传输的可靠性 1、邻居之间建立三次握手 2、重传机制 3、DD报文的隐形确认机制 4、LSR、LSU、LSACK之间的显示确认机制 二、OSPFLSA更新主要依赖于触发更新或者周期更新 那我们如何确定一个唯一的LSA呢? 通过LSA的三元组:TYPE:LSA的类型 LSID:根据LSA的类型变化 ADV :发布这条LSA的路...
OSPF汇总和更新认证
ssslq的博客
01-19 365
OSPF汇总和更新认证
OSPF 触发更新_亮仔_新浪博客
jingquanliang的专栏
10-22 518
http://www.bbfish.net/router/router_7544.html
OSPF(4)-------LSA更新
ejhrkejrk的博客
01-03 1025
ospf
OSPF
m0_66993332的博客
02-20 2747
display ip interface brief 发出数据的出接口地址就是我们的源地址 出接口+下一跳 缺省路由(默认路由);0.0.0.0 0.0.0.0 代表一切未知,路由环路(无休止的传输出去,会出现严重的网络问题) 不能随意使用缺省路由,要防止出环,路由的设定朝向需要相同,指向的路由器需指向运营商。 缺省路由的前提应该是正常路由不能转发数据的时候,才能够使用缺省路由 缺省路由既可用静态也能用动态生成...
OSPF相关认证的特点和作用
最新发布
07-12
OSPF(Open Shortest Path First)是一种用于路由选择的动态路由协议。在 OSPF 中,认证是一种可选的安全机制,用于确保 OSPF 路由器之间的信任和身份验证。以下是 OSPF 认证的特点和作用: 1. 特点: - 通过在 OSPF 报文中添加认证字段,实现对 OSPF 报文的完整性和真实性的验证。 - 支持多种类型的认证,包括简单密码(Plain Text)、MD5 和加密认证。 - 可以为每个 OSPF 接口配置不同的认证类型和密码,提供灵活的安全配置选项。 2. 作用: - 防止恶意攻击:通过认证,可以确保 OSPF 报文来自合法的 OSPF 路由器,防止未经授权的路由器加入 OSPF 网络。 - 防止路由欺骗:认证可以防止网络中的路由器发送虚假的 OSPF 更新信息,从而确保网络中的路由选择是可靠和可信的。 - 提供数据完整性:通过对 OSPF 报文进行认证,可以确保报文在传输过程中未被篡改或修改,保证数据的完整性。 - 增强网络安全性:通过使用密码或加密算法,可以增强 OSPF 网络
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值