导语:
OSPF认证是基于网络安全性的要求而实现的一种加密手段,通过在OSPF报文中增加认证字段对报文进行加密。当本地设备接收到远端设备发送过来的OSPF报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
拓扑图:
步骤:
1.基本配置:
如拓扑图所示,完成各个物理设备和接口的配置,并测试连通性:
2.搭建OSPF网络:
以R1为例,其他同理;
[R1]ospf
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0
配置完成后,测试环回口的连通性:
3.配置公司分部OSPF明文认证:
[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei
查看密码:
这里就说明了plain的作用,可以使密码以明文的方式展现出来,若不配置plain参数,则密码以密文方式展现出来;
若不添加plain参数,可看到如下:
查看R1的邻居关系:
可以看到,R1和R2的邻居关系已经中断了,应为R1和R2的认证方式不一样,为了保持邻居关系,现在来配置R2:
[R2-ospf-1-area-0.0.0.1]authentication-mode simple huawei
查看R1:
可以看到,R1和R2的邻居关系恢复正常;
同理,在R4上配置相同的认证,再来查看R2的信息:
可以看到,区域1的邻居关系都建立正常。
4.在公司总部配置OSPF密文认证方式:
现在R2的area 0区域配置md5密文方式:
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei
继续在其他骨干路由器上做相同配置,此处省略;
配置完成后,查看R3的邻居状态:
可以看到,邻居状态正常;
5.配置ospf链路认证:
在R2上配置链路认证:
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei
查看R2的ospf邻居信息:
可以看到,R2和R4的邻居状态信息消失了,原因是因为在有区域认证和接口认证均存在的情况下,会优先使用接口认证,因此在R4还未配置链路认证之前,R2和R4的邻居关系不存在;
配置R4为链路认证,方法与R2同理,之后再查看R2的邻居关系信息:
可以看到,邻居关系恢复正常;
至此,OSPF认证实验已经完成!
思考题:
问题:OSPF认证如果采用MD5验证模式,有没办法可以获取到其密钥内容?
解答:没有办法,因为采用MD5验证方式后,OSPF传递的是一个128位的密文的摘要。这样比明文传送口令更加安全。