OSPF认证的一些有趣地方

     

    关于ospf认证的实验，拓扑如下：

                 
   

    R1的lo0处于area 0（这个倒无所谓），R1和R2间有两条线连接，serial和fastethernet，R3的lo0处于area 2

    正常的认证配置就不写了，讲ospf的书里都有的，推荐卷一呵CCNP学习指南（BSCI）第三版。说点儿以前不知道的

    R1和R2配了area 0的区域认证，所有的接口都没有配接口认证，串口的neighbor关系还在，但快速以太口的neighbor关系会丢失。
    关于上一条需要说明的是，上述情况下，虚链路的neighbor关系可能会丢失，可能还存在。如果存在，重启一下R2或R3的OSPF进程，关系将会丢失。不重启OSPF进程，过一段时间（我等了20多分钟），在R2上会出现一下一个显示：
    OSPF-5-ADJCHG: Process 10, Nbr 3.3.3.3 on OSPF_VL0 from FULL to DOWN, Neighbor Down: Too many retransmissions
    这里邻居关系的丢失是因为虚链路的接口是属于Area 0的，所以配了area 0的认证，不配虚链路认证的话，邻居关系就会丢失。此时，因为R2上有了area 0 authentication的命令，如果show ip ospf virtual-link可以看到，默认的R2上虚链路认证已经enable了。所以只要在R3上启用虚链路认证或area 0认证就可以再次建立虚链路上的邻居关系。
    还有一个比较有意思的地方是，在配区域认证的时候，可以不断的配认证命令，如：
    area 0 authentication authentication-key authentication  message-digest authentication……
    诸如此类的一直下，而此条最后一个将会写入running-config。而且，刚敲下去的命令前面加上no是删除不掉的，真是诡异……
    用明文建立邻居关系时，debug ip ospf adj查看不到密码匹配的显示，不过如果匹配失败倒是会有显示。用md5认证，则既有匹配的显示也有不匹配的显示。

    另外，配完认证后，如果使用了密钥，最好配上service password-encryption的命令。实际工作中有用，做实验就没用了。
   
   

本文出自 “慕枫的部落格~” 博客，谢绝转载！