1. 认证的作用
OSPF数据包可以通过认证来防止有意或无意地引入有害路由信息影响
认证作用两点:
1.        增加网络安全性(推荐使用MD5)
2.        对OSPF重新配置时,不同口令可以配置在新口令和旧口令的路由器上,防止  
           它们在一个共享的公共广播网络的情况下互相通信
 
2. 认证的种类
OSPF路由方式有三种:0 Null (也就是不认证), 1 (明文认证), 2 (MD5加密校验和)
3. 认证的配置注意事项
如果在一个区域内某处配置了认证,必须在整个区域配置认证
在一个区域里,可以在不同网络链路使用不同口令,邻居路由器之间配置相同的口令,比如:Zhabei与Yangpu之间的口令是steven,在Zhabei与Huangpu之间口令可以是alex
 
实验拓扑:
【原创】OSPF认证
 
 
实验要求
1.        配置各区域OSPF
2.        区域15为NSSA
3.        在Putuo上做适当的路由汇总
4.        在Baoshan上做路由重分配
5.        Putuo与Zhabei之间使用明文认证,口令为steven
6.        Zhabei与Huangpu之间使用MD5认证,口令为alex
 
1.       明文认证
首先在Putuo上配置明文认证
R2-Putuo
interface fa1/1
ip address 10.8.1.2 255.255.255.0
ip ospf authentication-key steven
no shutdown
exit
router ospf 20
area 15 nssa
 area 15 range 10.0.0.0 255.248.0.0
 network 10.0.0.0 0.7.255.255 area 15
 network 10.8.1.0 0.0.0.255 area 0
 network 172.17.1.0 0.0.0.255 area 15
area 0 authentication
 
ip route 10.0.0.0 255.248.0.0 Null0  
在路由器Putuo上启动OSPF明文认证,大约过了15秒,Putuo与Zhabei断开了邻接关系
 
*Sep 16 19:30:27.111: %OSPF-5-ADJCHG: Process 20, Nbr 172.20.1.5 on FastEthernet
1/1 from FULL to DOWN, Neighbor Down: Dead timer expired
在Zhabei上配置明文认证
interface FastEthernet1/1
ip address 10.8.1.1 255.255.255.0
ip ospf authentication-key steven
no shutdown
 
router ospf 30
network 10.8.1.0 0.0.0.255 area 0
network 172.20.1.0 0.0.0.3 area 25
network 172.20.1.4 0.0.0.3 area 25
area 0 authentication
ip route 172.16.0.0 255.255.0.0 null0
 
10秒左右,Zhabei与Putuo恢复了邻接关系
*Sep 16 19:37:14.803: %OSPF-5-ADJCHG: Process 30, Nbr 10.7.0.1 on FastEthernet1/
1 from LOADING to FULL, Loading Done
 
2.       MD5 认证
MD5算法用在类型2 的认证方式中,将OSPF数据包内容与一个口令计算一个散列值,与密钥ID一起发送
有了密钥ID可以让路由器指定多个口令
口令最大长度16字节,密钥ID在1-255之间,一对邻居路由器密钥ID与口令必须相同
 
 
 
在Zhabei 上配置
interface s2/0
ip ospf message-digest-key 5 md5 alex
 
router ospf 30
area 25 authentication message-digest
 
很有意思的现象出现了,当只在连接Yangpu的S2/0上配置了密钥口令,在区域25中启动MD5认证,在Yangpu 和Huangpu上不约而同的出现了与Zhabei邻接关系终止的提示
R4-Yangpu#
*Sep 16 19:52:08.571: %OSPF-5-ADJCHG: Process 40, Nbr 172.20.1.5 on Serial2/0 fr
om FULL to DOWN, Neighbor Down: Dead timer expired
R5-Huangpu#
*Sep 16 19:52:17.643: %OSPF-5-ADJCHG: Process 50, Nbr 172.20.1.5 on Serial2/1 fr
om FULL to DOWN, Neighbor Down: Dead timer expired
 
 
R4-Yangpu(config)#interface s2/0
R4-Yangpu(config-if)#ip ospf message-digest-key 5 md5 alex
R4-Yangpu(config-if)#router ospf 40
R4-Yangpu(config-router)#area 25 authentication message-digest
*Sep 16 19:57:51.447: %OSPF-5-ADJCHG: Process 40, Nbr 172.20.1.5 on Serial2/0 fr
om LOADING to FULL, Loading Done
 
R3 与R4 之间使用MD5 认证通过,现在能否在R3 与R5 之间使用明文?
不可以,在一个区域只能使用一种认证方式,在不同链路之间口令可以不同。
 
来源:( http://blog.sina.com.cn/s/blog_4e0ceb980100ao8v.html ) - 【原创】OSPF认证_stevenromeo_新浪博客