OSPF支持报文验证功能,只有通过验证的报文才能接受,否则将不能建立邻居关系。OSPF协议支持两种认证方式-区域认证和链路认证。使用区域认证时,一个区域中的所有路由器在该区域下的认证模式和口令必须一致;OSPF链路认证相比于区域认证更加灵活,可专门对某个邻居设置单独的认证模式和密码。如果同时配置两种认证,优先使用接口认证建立OSPF邻居。
每种认证方式又分为简单验证、MD5验证、key chain验证模式。简单验证模式在数据传输过程中,认证密钥和密钥ID都是明文传输,很容易被截获。MD5验证模式下的密钥经过MD5加密传输,相比于简单验证模式更加安全。key chain验证模式可以配置多个密钥,不同的密钥可以单独设置生效周期。
1、按照图示配置路由器接口地址和loopback环回地址。
2、搭建OSPF网络。注意R2的不同接口需要需要在不同区域,其他配置不罗列了。
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]area 1
[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255
3、area 1区域R1配置简单认证,密码huawei1。plain参数可以使得在查看配置文件时,口令均以明文显示口令。authentication-mode simple huawei1,不加plain在查看配置文件时就会以密文方式显示,更加安全。
4、配置完成后,dis ospf peer brief查看OSPF邻居,发现R1 R2邻居关系中断了,因为仅仅在R1上配置了认证,导致R1 R2间的OSPF认证不匹配。继续配置R2 R4,验证模式一致,口令一致,邻居关系恢复。
5、R2 R3 R5 R6配置area 0区域密文认证。
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
6、链路认证配置。
上面是使用区域配置,链路认证可以达到同样的效果,需要在OSPF的链路接口下都配置链路认证的命令,设置链路验证模式和口令等。
在G0/0/1接口下配置链路认证,发现R2 R4间的OSPF邻居关系已经消失,因为同时配置两种认证,优先使用接口认证建立OSPF邻居。在R4没有配置链路认证外,R2 R4间的OSPF邻居关系不会i建立。
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5
[R4-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5
配置完成后,R4的路由都正常,专门对邻居R1设置单独的认证模式和密码,其余都是区域认证。
网友评论