OSPF
支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。
OSPF
支持两种认证方式:区域认证和链路认证
- 使用区域认证时,一个区域中所有的路由器在该区域下的认证模式和口令必须一致
- 链路认证可专门针对某个邻居设置单独的认证模式和密码。
每种认证方式又分为简单验证模式,MD5
验证模式和Key chain
模式
- 简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,很容易被截获
- MD5验证模式下的密钥是经过
MD5
加密传输,相比于简单验证模式更为安全 - Key chain验证模式可以同时配置多个密钥,不同密钥可单独设置生效周期等
实验目的
- 理解
OSPF
认证的应用场景 - 理解
OSPF
区域认证和链路认证的区别 - 掌握配置
OSPF
区域认证的方法 - 掌握配置
OSPF
链路认证的方法
实验拓扑
实验步骤
-
按照图示配置各端口
IP
地址与掩码,路由器编号即主机号编号;同时为每个路由器设置一个Loopback
环回接口【只要设备运行正常,它将永处于up
状态,不会因为线路中断而被关闭】,方便后续测试R1: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R1 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 10.0.12.1 24 [R1-GigabitEthernet0/0/0]interface LoopBack 0 //进入环回接口0 [R1-LoopBack0]ip address 1.1.1.1 32 //设置环回接口地址与掩码 R2: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R2 [R2]interface g0/0/0 [R2-GigabitEthernet0/0/0]ip address 10.0.12.2 24 [R2-GigabitEthernet0/0/0]interface g0/0/1 [R2-GigabitEthernet0/0/1]ip address 10.0.24.2 24 [R2-GigabitEthernet0/0/1]interface g0/0/2 [R2-GigabitEthernet0/0/2]ip address 10.0.23.2 24 [R2-GigabitEthernet0/0/2]interface loopback0 [R2-LoopBack0]ip address 2.2.2.2 32 R3: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R3 [R3]interface g0/0/2 [R3-GigabitEthernet0/0/2]ip address 10.0.23.3 24 [R3-GigabitEthernet0/0/2]interface g0/0/0 [R3-GigabitEthernet0/0/0]ip address 10.0.35.3 24 [R3-GigabitEthernet0/0/0]interface g0/0/1 [R3-GigabitEthernet0/0/1]ip address 10.0.36.3 24 [R3-GigabitEthernet0/0/1]interface LoopBack 0 [R3-LoopBack0]ip address 3.3.3.3 32 R4: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R4 [R4]interface g0/0/0 [R4-GigabitEthernet0/0/0]ip address 10.0.24.4 24 [R4-GigabitEthernet0/0/0]interface LoopBack 0 [R4-LoopBack0]ip address 4.4.4.4 32 R5: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R5 [R5]interface g0/0/0 [R5-GigabitEthernet0/0/0]ip address 10.0.35.5 24 [R5-GigabitEthernet0/0/0]interface LoopBack 0 [R5-LoopBack0]ip address 5.5.5.5 32 R6: <Huawei>system-view [Huawei]undo info-center enable [Huawei]sysname R6 [R6]interface g0/0/0 [R6-GigabitEthernet0/0/0]ip address 10.0.36.6 24 [R6-GigabitEthernet0/0/0]interface loopback0 [R6-LoopBack0]ip address 6.6.6.6 32
-
按照图示搭建
OSPF
网络,环回接口记得要通告R1: [R1]ospf //进入OSPF模式 [R1-ospf-1]area 1 //创建区域1 [R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 //将此网段通告给同区域的路由器,掩码 写反码形式 [R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0 //通告环回接口 R2: [R2]ospf [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 [R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 [R2-ospf-1-area-0.0.0.1]quit [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 R3: [R3]ospf [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 R4: [R4]ospf [R4-ospf-1]area 1 [R4-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 [R4-ospf-1-area-0.0.0.1]network 4.4.4.4 0.0.0.0 R5: [R5]ospf [R5-ospf-1]area 0 [R5-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255 [R5-ospf-1-area-0.0.0.0]network 5.5.5.5 0.0.0.0 R6: [R6]ospf [R6-ospf-1]area 0 [R6-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 [R6-ospf-1-area-0.0.0.0]network 6.6.6.6 0.0.0.0
配置完成后按理各路由器都相互学习到各自路由,因此环回接口间可以相互
ping
通 -
在
R1
上OSPF
的区域1
视图下使用authentication-mode
命令指定该区域使用认证模式为simple
,即简单验证模式,配置口令为huawei1
,并配置plain
参数,配置区域明文认证R1: [R1]ospf [R1-ospf-1]area 1 //配置认证模式为简单验证模式,口令为huawei1 [R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei1
若忘记配置
plain
参数也不要紧,eNSP
会自动配置。当配置文件里面没有plain
参数时口令会以密文的形式显示 -
查看此时
R1
的OSPF
邻居我们发现原本应该是
R1
邻居的R2
不在R1
的邻居表中,这是为什么呢?原因是目前仅仅在
R1
上配置了认证,导致R1
和R2
间的OSPF
认证不匹配,因此我们还需要在R2
上完成一样的配置,才能使它们成为邻居R2: [R2]ospf [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]authentication-mode simple huawei1
此时我们再次查看
R1
的邻居表同理,我们在
R4
上建立同样的验证模式和口令,再看看R2
的邻居情况 -
接着我们准备在区域
0
配置区域密文认证在
R2
上配置OSPF Area 0
区域认证,使用验证模式为MD5
,即MD5
验证模式,验证字标符为1
,配置口令为huawei3
,同时在区域0
的其他设备做同等配置。R2: [R2]ospf [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3 R3: [R3]ospf [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3 R5: [R5]ospf [R5-ospf-1]area 0 [R5-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3 R6: [R6]ospf [R6-ospf-1]area 0 [R6-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
观察配置后的口令密文情况
观察
R3
的邻居情况 -
在上述步骤中,我们使用了
OSPF
的区域认证方式配置了OSPF
认证,使用链路认证配置方式可以达到同样的效果如果采用链路认证的方式,就需要在同一
OSPF
的链路接口下都配置链路认证的命令,设置验证模式和口令等参数;而采取区域认证的方式时,在同一区域中,仅需在OSPF
进程下的相应区域视图下配置一条命令来设置验证模式和口令即可,大大节省了配置量。所以在同一区域中如果有多台OSPF
设备需要配置认证,建议选用区域认证的方式进行配置如果同时配置了接口认证和区域认证时,会优先使用接口验证建立OSPF邻居
-
为了进一步提示
R2
与R4
之间的OSPF
网络安全性,网络管理员需要在两台设备之间部署MD5
验证模式的OSPF
链路认证。在R2
的g0/0/1
接口下配置使用MD5
验证模式,验证字标识符为1
,口令为huawei5
R2: [R2]interface g0/0/1 //在g0/0/1接口上配置md5验证模式,标识符为1,口令为huawei5 [R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5
接着我们在
R4
上进行同样的配置,看看配置后R2
的邻居状态是否恢复R4: [R4]interface g0/0/0 [R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 huawei5
本实验取自华为公司《HCNA网络技术实验指南》,此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好,强烈推荐!!!