OSPF认证的一些有趣地方

     
    关于ospf认证的实验,拓扑如下:
                 
   
    R1的lo0处于area 0(这个倒无所谓),R1和R2间有两条线连接,serial和fastethernet,R3的lo0处于area 2
    正常的认证配置就不写了,讲ospf的书里都有的,推荐卷一呵CCNP学习指南(BSCI)第三版。说点儿以前不知道的
    R1和R2配了area 0的区域认证,所有的接口都没有配接口认证,串口的neighbor关系还在,但快速以太口的neighbor关系会丢失。
    关于上一条需要说明的是,上述情况下,虚链路的neighbor关系可能会丢失,可能还存在。如果存在,重启一下R2或R3的OSPF进程,关系将会丢失。不重启OSPF进程,过一段时间(我等了20多分钟),在R2上会出现一下一个显示:
    OSPF-5-ADJCHG: Process 10, Nbr 3.3.3.3 on OSPF_VL0 from FULL to DOWN, Neighbor Down: Too many retransmissions
    这里邻居关系的丢失是因为虚链路的接口是属于Area 0的,所以配了area 0的认证,不配虚链路认证的话,邻居关系就会丢失。此时,因为R2上有了area 0 authentication的命令,如果show ip ospf virtual-link可以看到,默认的R2上虚链路认证已经enable了。所以只要在R3上启用虚链路认证或area 0认证就可以再次建立虚链路上的邻居关系。
    还有一个比较有意思的地方是,在配区域认证的时候,可以不断的配认证命令,如:
    area 0 authentication authentication-key authentication  message-digest authentication……
    诸如此类的一直下,而此条最后一个将会写入running-config。而且,刚敲下去的命令前面加上no是删除不掉的,真是诡异……
    用明文建立邻居关系时,debug ip ospf adj查看不到密码匹配的显示,不过如果匹配失败倒是会有显示。用md5认证,则既有匹配的显示也有不匹配的显示。
    另外,配完认证后,如果使用了密钥,最好配上service password-encryption的命令。实际工作中有用,做实验就没用了。
   
   

本文出自 “慕枫的部落格~” 博客,谢绝转载!

你可能感兴趣的:(认证,link,virtual,ospf,虚链路)