多区域的OSPF实战配置

多区域的OSPF实战配置

需求

• 如图配置设备的接口IP地址
• 如图规划OSPF网络的区域
• 要求每个设备的 router-id 都是 x.x.x.x（x是每个路由器的名字）
• 确保不同的PC之间可以互通

拓扑图

配置命令

PC1：
192.168.1.1
255.255.255.0
192.168.1.254

PC2:
192.168.2.1
255.255.255.0
192.168.2.254

R1:
undo terminal monitor
system-view
sysname R1
interface gi0/0/2
ip address 192.168.1.254 24
quit
interface gi0/0/0
ip address 192.168.12.1 24
ospf authentication-mode simple plain hcip
quit
ospf 1 router-id 1.1.1.1
area 12
network 192.168.12.0 0.0.0.255
network 192.168.1.0 0.0.0.255
quit
quit

R2:
undo terminal monitor
system-view
sysname R2
interface gi0/0/1
ip address 192.168.12.2 24
ospf authentication-mode simple plain hcip
quit
interface gi0/0/0
ip address 192.168.23.2 24
quit
ospf 1 router-id 2.2.2.2
area 0 
network 192.168.23.0 0.0.0.255
authentication-mode simple plain hcie
quit
area 12
network 192.168.12.0 0.0.0.255
quit
quit


R3:
undo terminal monitor
system-view
sysname R3
interface gi0/0/1
ip address 192.168.23.3 24
quit
interface gi0/0/0
ip address 192.168.34.3 24
quit
ospf 1 router-id 3.3.3.3
area 0 
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
authentication-mode simple plain hcie
quit
quit


R4:
undo terminal monitor
system-view
sysname R4
interface gi0/0/1
ip address 192.168.34.4 24
quit
interface gi0/0/0
ip address 192.168.45.4 24
quit
ospf 1 router-id 4.4.4.4
area 0 
network 192.168.45.0 0.0.0.255
network 192.168.34.0 0.0.0.255
authentication-mode simple plain hcie
quit
quit


R5:
undo terminal monitor
system-view
sysname R5
interface gi0/0/1
ip address 192.168.45.5 24
quit
interface gi0/0/0
ip address 192.168.56.5 24
ospf authentication-mode md5 9 HCIP
quit
ospf 1 router-id 5.5.5.5
area 0 
network 192.168.45.0 0.0.0.255
authentication-mode simple plain hcie
quit
area 56
network 192.168.56.0 0.0.0.255
quit
quit



R6:
undo terminal monitor
system-view
sysname R6
interface gi0/0/1
ip address 192.168.56.6 24
ospf authentication-mode md5 9 HCIP
quit
interface gi0/0/2
ip address 192.168.2.254 24
quit
ospf 1 router-id 6.6.6.6
area 56
network 192.168.56.0 0.0.0.255
network 192.168.2.0 0.0.0.255
quit
quit

验证

认证

1. 链路认证：指的是在接口上配置认证的相关命令

   • 开启认证以后，该端口发送OSPF报文时，都需要携带着密码

   • 开启认证以后，该端口接收OSPF报文时，都需要检查对方携带的密码，是否和自己相同
     

   • 配置命令：

链路认证，仅仅需要在“直接相连的2个OSPF设备之间”的端口上，进行配置。
配置原则是：链路两端的认证命令，保持完全相同，就一定可以认证成功！
比如：在R2和R3之间的链路上，启用链路认证：认证的类型是明文认证，认证的密码是HCIE。
配置命令如下：
R1:
interface gi0/0/0
ospf authentication-mode simple  hcip
quit 


R2:
interface gi0/0/1
ospf authentication-mode simple hcip
quit 

上面配置的“明文认证”，密码在传输过程中，是不加密的。所以非常不安全。
所以，我们建议使用“密文认证”：即密码在传输过程中是加密的，不容易被破解。

比如，我们在R3和R4之间，也是配置链路认证，认证方式是：md5，认证密码是：HCIP

R5：
interface gi0/0/0
ospf authentication-mode md5 9 HCIP
quit

R6：
interface gi0/0/1
ospf authentication-mode md5 9 HCIP
quit

2. 区域认证：指的是在区域中配置认证的相关命令

   • 配置区域认证以后，那么该设备上，属于这个特定区域的所有链路，就都启用了认证功能。
     

   • 配置命令：

例如：在R4的 0 区域中，配置“区域认证”，认证方式为 明文， 认证密码是 HAHA
R4:
ospf 1 
 area 0 
   authentication-mode simple plain hcie
   quit 
   
一旦配置了这个认证，R4上属于区域 0 的接口(Gi0/0/0和Gi0/0/1)就都启用认证了：
即在这两个端口上发送 OSPF 报文的时候，都加密码；
在这个两个端口上接收 OSPF 报文的时候，都检查密码；

所以结果是：
-R4和R5之间的邻居，断开了；
-R4和R3之间的邻居，挺好；
   纠结：此时R4和R3之间，发送的 OSPF 报文，到底是使用明文认证还是密文认证，使用的是HCIP还是hcie

结果是：   
   区域认证，相比较链路认证而言，节省了很多工作量，少配置了很多命令；
           但我们都启用区域认证的情况下，
           该区域的所有的OSPF路由器，都要配置相同的区域认证命令。
   如果同一个接口上，同时启用了链路认证和区域认证，那么链路认证的优先级更高。