OSPF的认证功能介绍
OSPF 认证:
一、身份验证的类型
1、无认证(null):默认情况下,OSPF的身份验证方法,即不对网络交换的路由信息进行身份验证
2、简单密码身份验证:也叫明文身份验证
3、MD5身份验证:MD5密文身份验证
二、身份验证的配置(简单密码身份验证和MD5身份验证)
实验拓扑图:
R1(S0/0)----------(S0/0)R2(s0/1)---------(s0/0)R3(s0/1)
实验配置:
第一步:先定义身份验证的类型(有两种方式)
1、在接口上定义身份验证的方式(下面一条命令是cisco新增的)
①命令:(接口模式下)
ip ospf authencation {null | message-digest | 不接参数}
说明:
message-digest:指定使用MD5身份验证
null:不进行身份验证,可以覆盖给区域配置的简单密码或MD5密码
不接参数:使用简单密码身份验证
②定义简单密码身份验证
interface s0/0
ip ospf authencation
ip ospf authencation-key password (定义一个密码,最长为8个字节)
③定义MD5密码身份验证
interface s0/0
ip ospf authencation message-digest
ip ospf message-digest-key 1 md5 password (定义一个密码,最长为16个字节)
2、在区域上指定身份验证类型(如果没有为接口指定身份验证类型,则它将默认使用区域身份验证方式,默认情况下,区域上的验证方式为null)
①命令:(ospf进程模式下)
area 0 authentication [message-digest]
message-digest:MD5身份验证
不接参数:简单密码身份验证
②简单密码身份验证
router ospf 1
area 0 authentication
interface s0/0
ip ospf authencation-key password
③定义MD5密码身份验证
area 0 authentication message-digest
ip ospf message-digest-key 1 md5 password
第二步:在接口上设置一个密码
1、简单密码身份验证
命令:(接口模式下)
ip ospf authencation-key password (定义一个密码,最长为8个字节)
2、MD5密码身份验证
命令:(接口模式下)
ip ospf message-digest-key key-id md5 password (定义一个密码,最长为16个字节)
key-id:密钥ID,范围1~255
3、关于密钥ID的作用
①通过使用密钥ID来进行不中断的密钥切换,对于要修改OSPF密码而又不想中断通信的管理员来说,很有用
②具体过程
当一个网络上,已经做好了OSPF的MD5身份认证,现在想要更改OSPF的验证密码!这个时候我们只需要在每台路由器的接口上,再重新定义一个密钥(对应着新的密码)!当我们定义好了一个新的密钥以后,路由器之间不会中断通信,而是路由器将发送同一个分组的多个拷贝,每个拷贝使用不同的密钥进行身份验证,当这台路由器检测出所有的邻居都采用了新密钥以后,路由器将停止发送多个拷贝!这个时候都使用的是新密码,而且也没有中断通信
③注意:
当我们成功的定义了新密钥的时候,应该将原来的旧密钥删掉(防止路由器与知道旧密钥的恶意系统通信)
4、关于密码
对于简单密码身份验证,可以在每一个接口都要设置不样的密码,只需要在同一个网络(即同一网段上)的密码一样就可以了,这样他们才可以交换OSPF信息;对于MD5身份验证,在每个接口上,可以为不同的网络指定不同的密码,但在同一个网络中,所有的邻接路由器必须使用相同的密码(密钥ID和密钥一定要相同)
第三步:根据拓扑图具体配置(在接口上定义身份验证类型)
R1(S0/0)----------(S0/0)R2(s0/1)---------(s0/0)R3
1、简单密码身份验证
R1:
interface s0/0
ip ospf authencation
ip ospf authencation-key aaa
R2:
interface s0/0
ip ospf authencation
ip ospf authencation-key aaa
interface s0/1
ip ospf authencation
ip ospf authencation-key bbb
R3:
interface s0/0
ip ospf authencation
ip ospf authencation-key bbb
2、MD5密码身份验证
R1:
interface s0/0
ip ospf authencation message-digest
ip ospf message-digest-key 1 md5 aaa
R2:
interface s0/0
ip ospf authencation message-digest
ip ospf message-digest-key 1 md5 aaa
interface s0/1
ip ospf authencation message-digest
ip ospf message-digest-key 1 md5 bbb
R3:
interface s0/0
ip ospf authencation message-digest
ip ospf message-digest-key 1 md5 bbb
四、其他命令
1、使用debug
命令:
debug ip ospf adj
2、使用show
命令:
show ip ospf neighbor
show ip route
3、取消配置
no ip ospf authencation
4、密码显示
使用下列命令以后,密码的显示和存储将以加密后密文的形式存在
R1(config)#service password-encryption
五、虚拟链路上也可以做认证
1、拓扑图
-area0------------area1-----------------area2---------------
--------R1(S0/0)----------(S0/0)R2(s0/1)---------(s0/0)R3-----
----------ABR------------------虚链路 --------------ABR-------
1.1.1.1 2.2.2.2 3.3.3.3
2、具体配置
①简单密码身份验证
R1:
router ospf 1
area 1 virtual-link 3.3.3.3 authencation
area 1 virtual-link 3.3.3.3 authencation-key 1 cisco
R2:
router ospf 1
area 1 virtual-link 1.1.1.1 authencation
area 1 virtual-link 1.1.1.1 authencation-key 1 cisco
②MD5密码身份验证
R1:
router ospf 1
area 1 virtual-link 3.3.3.3 authencation message-digest
area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 1 aaa
R3:
router ospf 1
area 1 virtual-link 1.1.1.1 authencation message-digest
area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 1 aaa
�n────◆◇"
cp