配置OSPF的认证-新版（13）

    

目录

整体拓扑

操作步骤

1.基本配置

1.1 配置R1的IP

1.2 配置R2的IP

1.3 配置R3的IP

1.4 配置R4的IP

1.5 配置R5的IP

1.6 配置R6的IP

1.7 检测R2与R1连通性

1.8 检测R2与R4连通性

1.9 检测R2与R3连通性

1.10 检测R3与R5连通性

1.11 检测R3与R6连通性

2. 搭建OSPF网络

2.1 配置R1的OSPF多区域

2.2 配置R2的OSPF多区域

2.3 配置R3的OSPF多区域

2.4 配置R4的OSPF多区域

2.5 配置R5的OSPF多区域

2.6 配置R6的OSPF多区域

2.7 测试R1与R6环回口的连通性。

3.OSPF区域明文认证

3.1配置R1区域认证

3.2 重新配置R1区域认证

3.3 查看R1与R2的OSPF邻居

3.4 配置R2区域认证

3.5 查看R1与R2的OSPF邻居

3.6 配置R4区域认证

4.配置公司总部OSPF区域密文认证

4.1 配置R2区域认证

4.2 配置R3区域认证

4.3 配置R5区域认证

4.4 配置R6区域认证

4.5 查看R3的OSPF邻居

5.配置OSPF链路认证

5.1 配置R2接口认证

5.2 验证邻居关系

5.3 配置R4接口认证

5.4 验证邻居关系

6.保存数据

6.1保存R1数据

6.2保存R2数据

6.3保存R3数据

6.4保存R4数据

6.5保存R5数据

6.6保存R6数据

---

本实验模拟企业网络环境，R3，R5，R6属于公司总部骨干区域路由器，R2为ABR。公司分部路由器R1和R4都属于区域1，但分属不通部门，R1作为市场部门网关，R4作为财务部门网关。网络管理员在区域0和区域1上配置OSPF区域认证。其中区域0开启密文认证，区域1开启明文认证。为进一步提高该OSPF网络安全性，R2和R4上单独设置密钥，配置OSPF链路认证。

整体拓扑

操作步骤

1.基本配置

根据实验编址表进行相应的基本配置。

1.1 配置R1的IP

根据实验编址表配置路由器R1的接口IP地址。
system-view
[Huawei]sysname R1
[R1]interface Loopback 0
[R1-loopback0]ip address 1.1.1.1 32
[R1-loopback0]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.0.12.1 24
[R1-GigabitEthernet0/0/0]quit

​​​​​​​system-view
sysname R1
interface Loopback 0
ip address 1.1.1.1 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.12.1 24
quit

1.2 配置R2的IP

根据实验编址表配置路由器R2的接口IP地址。
system-view
[Huawei]sysname R2
[R2]interface Loopback 0
[R2-loopback0]ip address 2.2.2.2 32
[R2-loopback0]quit
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.0.12.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.0.24.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2]ip address 10.0.23.2 24
[R2-GigabitEthernet0/0/2]quit

​​​​​​​system-view
sysname R2
interface Loopback 0
ip address 2.2.2.2 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.12.2 24
quit
interface GigabitEthernet0/0/1
ip address 10.0.24.2 24
quit
interface GigabitEthernet0/0/2
ip address 10.0.23.2 24
quit

1.3 配置R3的IP

根据实验编址表配置路由器R3的接口IP地址。
system-view
[Huawei]sysname R3
[R3]interface Loopback 0
[R3-loopback0]ip address 3.3.3.3 32
[R3-loopback0]quit
[R3]interface GigabitEthernet0/0/0
[R3-GigabitEthernet0/0/0]ip address 10.0.35.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 10.0.36.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface GigabitEthernet0/0/2
[R3-GigabitEthernet0/0/2]ip address 10.0.23.3 24
[R3-GigabitEthernet0/0/2]quit

​​​​​​​system-view
sysname R3
interface Loopback 0
ip address 3.3.3.3 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.35.3 24
quit
interface GigabitEthernet0/0/1
ip address 10.0.36.3 24
quit
interface GigabitEthernet0/0/2
ip address 10.0.23.3 24
quit

1.4 配置R4的IP

根据实验编址表配置路由器R4的接口IP地址，掩码长度为24。
system-view
[Huawei]sysname R4
[R4]interface Loopback 0
[R4-loopback0]ip address 4.4.4.4 32
[R4-loopback0]quit
[R4]interface GigabitEthernet0/0/0
[R4-GigabitEthernet0/0/0]ip address 10.0.24.4 24
[R4-GigabitEthernet0/0/0]quit

system-view
sysname R4
interface Loopback 0
ip address 4.4.4.4 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.24.4 24
quit

1.5 配置R5的IP

根据实验编址表配置路由器R5的接口IP地址。
system-view
[Huawei]sysname R5
[R5]interface Loopback 0
[R5-loopback0]ip address 5.5.5.5 32
[R5-loopback0]quit
[R5]interface GigabitEthernet0/0/0
[R5-GigabitEthernet0/0/0]ip address 10.0.35.5 24
[R5-GigabitEthernet0/0/0]quit

system-view
sysname R5
interface Loopback 0
ip address 5.5.5.5 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.35.5 24
quit

1.6 配置R6的IP

根据实验编址表配置路由器R6的接口IP地址。
system-view
[Huawei]sysname R6
[R6]interface Loopback 0
[R6-loopback0]ip address 6.6.6.6 32
[R6-loopback0]quit
[R6]interface GigabitEthernet0/0/0
[R6-GigabitEthernet0/0/0]ip address 10.0.36.6 24
[R6-GigabitEthernet0/0/0]quit

​​​​​​​system-view
sysname R6
interface Loopback 0
ip address 6.6.6.6 32
quit
interface GigabitEthernet0/0/0
ip address 10.0.36.6 24
quit

1.7 检测R2与R1连通性

使用ping命令检测R2直连链路的连通性。
ping 10.0.12.1

ping 10.0.12.1

1.8 检测R2与R4连通性

使用ping命令检测R2直连链路的连通性。
ping 10.0.24.4

ping 10.0.24.4

1.9 检测R2与R3连通性

使用ping命令检测R2直连链路的连通性。
ping 10.0.23.3

ping 10.0.23.3

1.10 检测R3与R5连通性

使用ping命令检测R3直连链路的连通性。
ping 10.0.35.5

ping 10.0.35.5

1.11 检测R3与R6连通性

使用ping命令检测R3直连链路的连通性。
ping 10.0.36.6

ping 10.0.36.6

2. 搭建OSPF网络

2.1 配置R1的OSPF多区域

在R1路由器上进行相关OSPF多区域配置。
system-view
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

system-view
ospf 1
area 1
network 10.0.12.0 0.0.0.255
network 1.1.1.1 0.0.0.0

2.2 配置R2的OSPF多区域

在R2路由器上进行相关OSPF多区域配置。
system-view
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

system-view
ospf 1
area 0
network 10.0.23.0 0.0.0.255
network 2.2.2.2 0.0.0.0
area 1
network 10.0.12.0 0.0.0.255
network 10.0.24.0 0.0.0.255

2.3 配置R3的OSPF多区域

在R3路由器上进行相关OSPF多区域配置。
system-view
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

system-view
ospf 1
area 0
network 10.0.23.0 0.0.0.255
network 10.0.35.0 0.0.0.255
network 10.0.36.0 0.0.0.255
network 3.3.3.3 0.0.0.0

2.4 配置R4的OSPF多区域

在R4路由器上进行相关OSPF多区域配置。
system-view
[R4]ospf 1
[R4-ospf-1]area 1
[R4-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255
[R4-ospf-1-area-0.0.0.1]network 4.4.4.4 0.0.0.0
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

​​​​​​​system-view
ospf 1
area 1
network 10.0.24.0 0.0.0.255
network 4.4.4.4 0.0.0.0

2.5 配置R5的OSPF多区域

在R5路由器上进行相关OSPF多区域配置。
system-view
[R5]ospf 1
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]network 5.5.5.5 0.0.0.0
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

​​​​​​​system-view
ospf 1
area 0
network 10.0.35.0 0.0.0.255
network 5.5.5.5 0.0.0.0

2.6 配置R6的OSPF多区域

在R6路由器上进行相关OSPF多区域配置。
system-view
[R6]ospf 1
[R6-ospf-1]area 0
[R6-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255
[R6-ospf-1-area-0.0.0.0]network 6.6.6.6 0.0.0.0
其中设备上的环回口地址是为了后续实验中方便测试使用，所以需要通告到其所在区域。

​​​​​​​system-view
ospf 1
area 0
network 10.0.36.0 0.0.0.255
network 6.6.6.6 0.0.0.0

2.7 测试R1与R6环回口的连通性。

配置完成后测试R1与R6设备上环回口的连通性。
ping 6.6.6.6

ping 6.6.6.6

3.OSPF区域明文认证

网络管理员在公司分部的OSPF区域1中配置区域明文认证。
在R1上OSPF的区域1视图下使用命令authentication-mode指定该区域使用认证模式为simple，即简单验证模式，配置口令为huawei1，并配置plain参数。
配置plain参数后，可以使得在查看配置文件时，口令均已明文方式显示。如果不设置该参数的话，在查看配置文件时，默认会以密文方式显示口令，即无法查看到所配置的口令原文，这可以使非管理员用户在登录设备后无法查看到口令原文，从而提高安全性。

3.1配置R1区域认证

在路由器R1上做配置，并配置plain参数。
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei1
[R1-ospf-1-area-0.0.0.1]display this
可以观察到，此时以明文方式显示口令。

​​​​​​​ospf 1
area 1
authentication-mode simple plain huawei1
display this

3.2 重新配置R1区域认证

在R1上重新配置区域认证命令，不配置plain参数，并查看配置。
[R1-ospf-1-area-0.0.0.1]authentication-mode simple huawei1
[R1-ospf-1-area-0.0.0.1]display this
可以观察到，默认情况下，口令以密文形式显示。

​​​​​​​authentication-mode simple huawei1
display this

3.3 查看R1与R2的OSPF邻居

配置完成，等待OSPF网络收敛之后，查看R1与R2的OSPF邻居。
display ospf peer brief
可以观察到，现在R1与R2邻居关系中断了，原因是目前仅仅在R1上配置了认证，导致R1和R2间的OSPF认证不匹配

​​​​​​​return
display ospf peer brief

3.4 配置R2区域认证

配置该区域的另一台设备R2，必须要保证验证模式一致，口令也一致。
[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]authentication-mode simple huawei1

​​​​​​​ospf 1
area 1
authentication-mode simple huawei1

3.5 查看R1与R2的OSPF邻居

配置完成后，等待一段时间，再次观察两者的邻居关系。
display ospf peer brief
可以观察到，现在R1与R2的邻居关系状态恢复正常。

display ospf peer brief

3.6 配置R4区域认证

在R4上做OSPF区域认证配置。
[R4]ospf 1
[R4-ospf-1]area 1
[R4-ospf-1-area-0.0.0.1]authentication-mode simple huawei1

​​​​​​​ospf 1
area 1
authentication-mode simple huawei1

3.7 查看R2的OSPF邻居

配置完成后，在R2上查看OSPF邻居关系。
[R2]display ospf peer brief
可以观察到，现在区域1中的邻居关系都建立正常。

display ospf peer brief

4.配置公司总部OSPF区域密文认证

根据设计，网络管理员在公司总部OSPF区域0中配置区域密文认证。

4.1 配置R2区域认证

在R2上配置OSPF Area 0区域认证，使用验证模式为md5，即MD5验证模式，验证字标识符为1，配置口令为huawei3。
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
注意，密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

​​​​​​​ospf 1
area 0
authentication-mode md5 1 huawei3

4.2 配置R3区域认证

在R3上配置OSPF Area 0区域认证，使用验证模式为md5，即MD5验证模式，验证字标识符为1，配置口令为huawei3。
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
注意，密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

​​​​​​​ospf 1
area 0
authentication-mode md5 1 huawei3

4.3 配置R5区域认证

在R5上配置OSPF Area 0区域认证，使用验证模式为md5，即MD5验证模式，验证字标识符为1，配置口令为huawei3。
[R5]ospf 1
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
注意，密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

​​​​​​​ospf 1
area 0
authentication-mode md5 1 huawei3

4.4 配置R6区域认证

在R6上配置OSPF Area 0区域认证，使用验证模式为md5，即MD5验证模式，验证字标识符为1，配置口令为huawei3。
[R6]ospf 1
[R6-ospf-1]area 0
[R6-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3
注意，密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

​​​​​​​ospf 1
area 0
authentication-mode md5 1 huawei3

4.5 查看R3的OSPF邻居

区域认证配置完成后，查看R3的OSPF邻居状态。
display ospf peer brief
可以观察到，OSPF邻居状态建立正常。

display ospf peer brief

5.配置OSPF链路认证

在上面两个步骤中，使用了OSPF的区域认证方式配置了OSPF认证，使用链路认证方式配置可以达到同样的效果。如果采用链路认证的方式，就需要在同一OSPF的链路接口下都配置链路认证的命令，设置验证模式和口令等参数，而采用区域认证的方式时，在同一区域中，仅需在OSPF进程下的相应区域视图下配置一条命令来设置验证模式和口令即可，大大节省了配置量，所以在同一区域中如果有多台OSPF设备需要配置认证，建议选用区域认证的方式进行配置。
目前公司分部的OSPF区域中配置了简单模式的区域认证，为了进一步提升R2与R4之间的OSPF网络安全性，网络管理员需要在两台设备之间部署MD5验证模式的OSPF链路认证。

5.1 配置R2接口认证

在R2的GE 0/0/1接口下使用命令ospf authentication-mode配置链路认证，配置使用MD5验证模式，验证字标识符为1，口令为huawei5。
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5

​​​​​​​interface GigabitEthernet 0/0/1
ospf authentication-mode md5 1 huawei5

5.2 验证邻居关系

配置完成后，等待一段时间，查看R2上的简要OSPF邻居信息。
[R2]display ospf peer brief
发现R2与R4间的OSPF邻居关系已经消失。虽然已经配置好区域认证，但是如果同时配置了接口认证和区域认证时，会优先使用接口验证建立OSPF邻居。所以R4在没有配置链路认证之前，R2与R4的邻居关系会因认证不匹配而无法建立。

​​​​​​​return
system-view
display ospf peer brief

5.3 配置R4接口认证

在R4的GE 0/0/0接口下使用命令ospf authentication-mode配置链路认证，配置使用MD5验证模式，验证字标识符为1，口令为huawei5。
[R4]interface GigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 huawei5

​​​​​​​return
system-view
interface GigabitEthernet 0/0/0
ospf authentication-mode md5 1 huawei5

5.4 验证邻居关系

配置完成后，等待一段时间，再次查看R4的OSPF邻居信息。
display ospf peer brief
可以观察到，邻居关系已经恢复正常。至此，OSPF链路认证配置完成。

​​​​​​​return
display ospf peer brief

6.保存数据

6.1保存R1数据

在R1上保存数据。
save

save

6.2保存R2数据

在R2上保存数据。
save

save

6.3保存R3数据

在R3上保存数据。
save

save

6.4保存R4数据

在R4上保存数据。
save

save

6.5保存R5数据

在R5上保存数据。
save

save

6.6保存R6数据

在R6上保存数据。
save

save

思考

OSPF认证如果采用MD5验证模式，有没办法可以获取到其密钥内容？