华为实验18-OSPF区域认证

实验原理

OSPF支持报文验证功能,只有同各国验证的报文才能接受,否则不能建立正常的邻居关系.OSPF支持两种认证方式,-区域认证和链路认证.
区域认证:一个区域内所有的路由器在该区域下的认证模式和口令必须一致.
OSPF链路认证:相比于区域认证更加灵活,可针对某个邻居设置单独的认证模式和密码.如果同时配置了接口认证和区域认证的时候,优先使用接口认证建立OSPF邻居关系.
每种认证方式又分为简单验证模式,MD5验证模式,和key chain验证模式.简单验证模式在数据传输过程中,认证密码和密钥ID都是明文传输,MD5加密传输,key chain验证模式下同时配置多个密钥,不同密钥可单独设置生效周期.

实验目的

理解OSPF的认证场景
理解OSPF区域认证和链路认证的区别
掌握配置OSPF区域认证的方法
掌握配置OSPF链路认证的方法．

实验拓扑

实验步骤

1，在区域1上配置ospf区域明文认证

[R5]ospf 1
[R5-ospf-1]area 1
[R5-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei1
#plain就是用明文的方式显示口令
[R5-ospf-1-area-0.0.0.1]display this
[V200R003C00]
#
 area 0.0.0.1 
  authentication-mode simple plain huawei1 
  network 10.0.1.0 0.0.0.255 
  network 10.0.15.0 0.0.0.255 
  network 10.0.35.0 0.0.0.255 
#
return

可以看到，此时用明文的方式显示口令，plain就是用明文的方式显示口令。去掉plain重新认证。

[R5-ospf-1-area-0.0.0.1]authentication-mode simple plain *****
[R5-ospf-1-area-0.0.0.1]authentication-mode simple huawei1
[R5-ospf-1-area-0.0.0.1]display this
[V200R003C00]
#
 area 0.0.0.1 
  authentication-mode simple cipher %$%$uh(3CsF[9!pm`e<*d|t,AzAR%$%$ 
  network 10.0.1.0 0.0.0.255 
  network 10.0.15.0 0.0.0.255 
  network 10.0.35.0 0.0.0.255 
#
return

此时显示为密文。配置完成后，等待ospf收敛之后，查看R1与R5的ospf邻居,发现邻居关系断掉了,原因是仅仅在R1上做了认证,导致R和R2之间的认证不匹配。

接下来在R1上配置，口令一致

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]authentication-mode simple huawei1

再次查看两者的关系，发现恢复了邻居关系

同样在R3上也做一样的配置
配置之前：

配置之后：

2 在骨干区域配置MD5密文认证
使用验证模式md5，验证字符标识符为1，配置口令为huawei3

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]auth	
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

继续在其他骨干区域进行配置，必须保证验证字符标识符，口令完全一致才可以通过
配置完成后，查看R1和R3的邻居状态

[R1]ospf 1
[R1-ospf-1]area 0	
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

[R2]ospf 1
[R2-ospf-1]area 0	
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

[R3]ospf 1
[R3-ospf-1]area 0	
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

[R4]ospf 1
[R4-ospf-1]area 0	
[R4-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

R2的邻居状态

R1的

R3的邻居

R4的邻居

3、配置链路状态认证
为了提升R3 和R5之间的链路安全性，需要在两台设备之间配置MD验证模式，验证字符为１，口令为huawei5

[R5]int g0/0/1
[R5-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei3

之前的邻居关系

之后的邻居关系：

发现邻居关系已经消失，这时候，需要在此接口的对端接口配置相同的认证

[R3]int g0/0/2
[R3-GigabitEthernet0/0/2]ospf authentication-mode md5 1 huawei3