OSPF虚链路认证

OSPF虚链路配置

在OSPF中虚链路可以两个普通区域相连而不通过骨干区域Area 0 连接。这样容易区域的扩展。

虚链路配置命令

Router3(config)#router ospf 区域号

Router3(config-router)#area 中间夹的区域号virtual-link 对方的Router-ID

1、配置IP

Router1

Loopback口192.168.100.10 f0/0 192.168.10.1

Router2

F0/0 192.168.10.2 f0/1 192.168.20.1

Router3

F0/1 192.168.20.2 f0/0 192.168.30.1

Router4

Loopback口192.168.110.10 f0/0 192.168.30.2

2、配置各路由器的OSPF

Router1配置

Router1(config)#route ospf 1

Router1(config-router)#network 192.168.100.0 0.0.0.255 area 0

Router1(config-router)#network 192.168.10.0 0.0.0.255 area 0

Router2配置

Router2(config)#rout ospf 1

Router2(config-router)#network 192.168.10.0 0.0.0.255 area 0

Router2(config-router)#network 192.168.20.0 0.0.0.255 area 1

OSPF虚链路（virtual-link）配置实例

这个配置将验证一个OSPF虚电路（Virtual-Link）的过程，重点在观察虚链路连接的临时网络与正常区域间路由有何区别。上图中区域4（area 4）没有和area 0直接相连。在R2与R3之间配置了一条虚链路。

// R1 //

int lo0

ip ad 1.1.1.1 255.255.255.0

int e0

ip ad 192.1.1.1 255.255.255.0

router os 1

network 192.1.1.0 0.0.0.255 area 0

// R2 //

int lo0

ip ad 2.2.2.2 255.255.255.0

int e0

ip ad 192.1.1.2 255.255.255.0

int e1

ip ad 193.1.1.2 255.255.255.0

router os 1

network 192.1.1.0 0.0.0.255 area 0

network 193.1.1.0 0.0.0.255 area 1

// R3 //

int lo0

ip ad 3.3.3.3 255.255.255.0

int e1

ip ad 193.1.1.3 255.255.255.0

int e0

ip ad 194.1.1.3 255.255.255.0

router os 1

network 193.1.1.0 0.0.0.255 area 1

network 194.1.1.0 0.0.0.255 area 4

// R4 //

int lo0

OSPF 的四种认证方式

OSPF的四种认证，基于区域的认证两种：简单口令认证，MD5。基于链路的认证有两种：简单口令认证，MD5。

简单介绍一下：

基于区域的简单口令认证：

在R2上的配置如下：

Router(config)#router ospf 100

Router(config-router)#area 0 authentication

Router(config)#int s1/3

Router(config-if)#ip ospf authentication-key tyt

在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，另一方配置完后，邻居关系会重启，再者两边的密码一定要一样，不然不行。

基于区域的MD5认证：

在R2上的配置如下：

Router(config)#router ospf 100

Router(config-router)#area 0 authentication message-digest

Router(config)#int s1/3

Router(config-if)#ip ospf message-digest-key 1 md5 tyt

在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，另一方配置完后，邻居关系会重启，再者两边的密码一定要一样，不然不行。

基于链路的简单口令认证：

在R2上的配置如下：

Router(config)#int s1/3

Router(config-if)#ip ospf authentication

Router(config-if)#ip ospf authentication-key tyt

华为路由器OSPF 虚链接的配置

OSPf 虚链路（虚连接）的配置

3.3.3.1ap ∈ai3・3・3・2

R3

I4.4.4.1

GE 0/0/1 area51 I GEOoo

R44.4.4.2

IoopbackO

1.1.1.1

目的：解决与骨干区域area0非直连区域的路由问题

一、配置个端口地址

Rl:

<Huawei>sy

[Huawei]undoinfo-centerenable

[Huawei]sysnameRl

[Rl]intIO

[Rl-LoopBackO]ipaddl.l.l.l24

[Rl-LoopBackO]intg0∕0∕0

[Rl-GigabitEthernetO∕O∕O]ipadd2.2.2.124

[Rl-GigabitEthernetO∕O∕O]quit

R2:

<Huawei>sy

[Huawei]undoinfo-centerenable

[Huawei]sysnameR2

[R2]intg0∕0∕0

[R2-GigabitEthernet0∕0∕0]ipadd2.2.2.224

[R2-GigabitEthernetO∕O∕O]intgO/O/1

[R2-GigabitEthernetO∕O∕l]ipadd33.3.124

[R2-GigabitEthernetO∕O∕l]quit

R3:

<Huawei>

<Huawei>system-view

[Huawei]undoinfo-centerenable

[Huawei]sysnameR3

[R3]intgO/O/O

实验三十六OSPF虚链路配置

实验名称

OSPF 虚链路配置。

实验目的

实现不能与骨干网直连的OSPF区域与骨干网络交互信息。

实现功能

构建OSPF多个区域连在骨干网络上。

实验设备

锐捷R1726路由器3台，网线3根，V35线缆2对，计算机2台。

背景描述

原来公司总部和销售公司分处在两个不同的地方，已经通过OSPF协议建立了网络互连，但现在由于公司规模的发展，在第三地建立了产品的研发中心，此中心需要联到公司的网络中，且骨干网络已经没有接口，只有把该区域连接到与骨干直连的非骨干区域上。

1.对

no shutdown

exit

2.对Router1进行基本配置：

configure terminal

hostname R1

interface fa1/0

ip address

no shutdown

interface S1/2

ip address

no shutdown

exit

3.对Router2进行基本配置：

configure terminal

hostname R2

interface fa1/0

ip address

no shutdown

interface S1/3

ip address

no shutdown

interface loopback 0

ip address

exit

4.对R1配置路由协议OSPF:

Configure terminal

Router OSPF（开启OSPF路由协议）

Network area 0（设置网络区域）

Network area 1（设置网络区域）

End

5.对R0配置路由协议OSPF:

Configure terminal

实验5 OSPF虚连接和验证配置

实验任务一：虚连接的配置

步骤一：建立物理连接

步骤二：IP地址配置

步骤三：配置OSPF协议

在RTA上启用OSPF协议，并在G0/0和Loopback0接口上使能OSPF，将它们加入OSPF 的Area0。在RTB上启用OSPF协议，并在G0/0、G0/1和Loopback0接口上使能OSPF，将G0/0加入OSPF的Area0，将G0/1、Loopback0加入OSPF的Area1。在RTC上启用OSPF协议，并在G0/0、G0/1和Loopback0接口上使能OSPF，将G0/1、Loopback0加入OSPF的Area1，将G0/0加入OSPF的Area2。在RTD上启用OSPF协议，并在G0/0和Loopback0接口上使能OSPF，将它们加入OSPF的Area2。

请在下面填入配置RTA的命令：

[RTA]ospf 1

[RTA-ospf-1]area 0

[RTA-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[RTA-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255

请在下面填入配置RTB的命令：

[RTB]ospf 1

[RTB-ospf-1]area 0

[RTB-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255

[RTB-ospf-1-area-0.0.0.0]area 1

[RTB-ospf-1-area-0.0.0.1]network 2.2.2.2 0.0.0.0

OSPF验证问题

今天一个朋友问我OSPF验证的问题，说OSPF的接口加密，区域加密和虚链路加密不清楚。

这里我就先简单的解答一下接着用实验验证结论。

的接口加密。。

1.OSPF的接口加密

是指在运行OSPF网络中,两个路由器直连接口的验证。相当于本地的一种验证，跟其它接口没有关系，只是定位到具体的两个接口之间。但是如果接口上起了验证,就不需要在区域中配置验证了。

2.OSPF的区域加密

是指在运行OSPF网络中，配置了区域加密,那么想加入该区域的设备必须启用区域加密。区域加密的所有的密钥和加密方式必须是统一的。

3.虚链路加密

虚链路加密。。

虚链路加密是区域加密的一种应用，可以看做是从外部接入到区域中需要进行的一种验证身份的方式。如果区域上已经建立了验证,链路这端就不需要进行验证。

实验拓扑

1.先配置OSPF路由。然后在一端启用加密，另一端不启用加密。观察效果配置OSPF~

R1

R1(config)#router ospf 100

R1(config-router)#router-id 1.1.1.1

R1(config-router)#net 1.1.1.1 0.0.0.0 area 0

R1(config-router)#net 192.168.10.1 0.0.0.0 area 1

R2

R2(config)#router ospf 100

R2(config-router)#router-id 2.2.2.2

R2(config-router)#net 2.2.2.2 0.0.0.0 area 1

R2(config-router)#net 192.168.10.2 0.0.0.0 area 1

OSPF虚链路（Virtual Link）原理

因为OSPF采用了区域化的设计，并且区域也采用了Hub-Spoke的架构，所有区域中定义出一个核心，然后其它部分都与核心相连，OSPF的区域0就是所有区域的核心，称为BackBone 区域（骨干区域），而其它Normal 区域（常规区域）应该直接和骨干区域相连，常规区域只能和骨干区域交换LSA，常规区域与常规区域之间即使直连也无法互换LSA。但在某些情况下，某些常规区域无法与骨干区域直连，这时便无法得到其它区域的路由，因此，设计了将骨干区域的范围通过虚拟的方法进行扩展到相邻常规区域的位置，因而让不能直接与骨干区域相连的区域，最终可以与骨干区域直连，这种对骨干虚拟的扩展和拉伸就是OSPF虚链路（Virtual Link）能实现的；因为某些常规区域不能与骨干区域直连而只能与其它常规区域直连，所以OSPF虚链路（Virtual Link）通过将相邻的常规区域虚拟为骨干区域，从而让那些不能与骨干区域直连的常规区域也能获得其它OSPF区域的路由。与骨干区域相邻的常规区域被扩展后，该区域被称为Transit Area，理论上Transit Area不应该为末节区域；在扩展后，原本为常规区域的Transit Area，将变成骨干区域，所以路由将从Inter-Area Route转变为Intra-Area Route，路由表示形式也将从O IA改变为O的形式；在进行OSPF虚链路扩展时，是将Transit Area中与骨干区域直连的ABR和连接另一个常规区域的ABR相连，连接这两个ABR时，使用双方的Router-ID来连接。

OSPF虚链路实验研究

一．实验目的

理解OSPF虚链路原理及何时需要使用虚链路

掌握OSPF虚链路配置方法(1)使用虚链路将区域连接到骨干区域的配置方法；(2)使用虚链路将不连续的区域0连接起来的配置方法

二、实验拓扑图

使用虚链路将区域连接到骨干区域的拓扑图

使用虚链路将不连续的区域0连接起来的拓扑图

三、实验步骤及要求

(一)使用虚链路将区域连接到骨干区域

1.R2、R3、R4配置OSPF

R2(config)#router ospf 1

R2(config-router)#network 172.16.255.4 0.0.0.3 area 2

R2(config-router)#exit

R2的f0/1接口先不要宣称network

R3(config)#router ospf 1

R3(config-router)#network 172.16.255.4 0.0.0.3 area 2

R3(config-router)#network 172.16.255.8 0.0.0.3 area 0

R4(config)#router ospf 1

R4(config-router)#network 172.16.255.8 0.0.0.3 area 0

R4(config-router)#network 172.16.16.0 0.0.0.255 area 1

2.查看R2的路由表

R2#show ip route

172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks

OSPF 的四种认证方式

OSPF的四种认证，基于区域的认证两种：简单口令认证，MD5。基于链路的认证有两种：简单口令认证，MD5。

简单介绍一下：

基于区域的简单口令认证：

在R2上的配置如下：

Router(config)#router ospf 100

Router(config-router)#area 0 authentication

Router(config)#int s1/3

Router(config-if)#ip ospf authentication-key tyt

在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，另一方配置完后，邻居关系会重启，再者两边的密码一定要一样，不然不行。

基于区域的MD5认证：

在R2上的配置如下：

Router(config)#router ospf 100

Router(config-router)#area 0 authentication message-digest

Router(config)#int s1/3

Router(config-if)#ip ospf message-digest-key 1 md5 tyt

在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，另一方配置完后，邻居关系会重启，再者两边的密码一定要一样，不然不行。

基于链路的简单口令认证：

在R2上的配置如下：

Router(config)#int s1/3

Router(config-if)#ip ospf authentication

Router(config-if)#ip ospf authentication-key tyt

实验十五OSPF虚链路配置

试验目的：

掌握OSPF虚链路的原理和配置

背景描述：

你是一名高级技术支持工程师，你的朋友向你请教网络拓展的问题，朋友的公司采用OSPF路由协议把网络互联起来，由于业务的增长，最近又加了一个区域，由于骨干网络已经没有接口，被迫把该区域连接到与骨干直连的非骨干区域上，由于急于使用，请教你一个暂时解决和骨干通信的办法，请你给予支持。下图，area2没有与area0直连。

技术支持：

OSPF采用由两层组成的分层结构，这要求所有的区域都与主干区域（区域0）直接相连。但是，当某个OSPF区域与OSPF主干区域（区域0）之间没有直接连接时，便会导致LSDB不一致以及该区域中的网络无法到达区域0。采用虚链路在该区域与主干区域之间建立起逻辑的连接，便可解决LSDB不一致以及该区域中的网络无法到达区域0的问题。

试验设备：

RG-RSR20 四台、网线若干

试验拓扑图：

实验步骤及要求：

1、配置各台路由器用户名和接口IP地址，并且使用ping命令确认各路由器的直连口的互通性。

2、在所有路由器上启动OSPF路由协议，把相应的网段放到相应区域里面。以R1为例

R1(config-if)#router osp 100

R1(config-router)#router-id 1.1.1.1

Change router-id and update OSPF process! [yes/no]:yes

R1(config-router)#network 12.1.1.0 0.0.0.255 a 0

R1(config-router)#

OSPF虚链路的原理和配置

一、原理概述

通常情况下，一个OSPF网路的每个非骨干区域都必须与骨干区域通过ABR路由器直接连接，非骨干区域之间的通信都需要通过骨干区域进行中转。但是在现实中，可能会因为各种限制条件，导致非骨干区域和骨干区域无法相连接，在这种情况下，可以使用OSPF虚链路（Virtual Link）来实现非骨干区域和骨干区域在逻辑上的直接相连。

OSPF协议还要求骨干区域是必须唯一且连续，然而，由于发生故障等原因，骨干区域可能出现被分割的情况。此时，同样可以使用虚链路来实现物理上被分割的骨干区域能够逻辑上相连。

虚链路在网络中会穿越其他区域，因此可能会带来安全隐患，所以通常都会对虚链路进行认证功能的配置。虚链路认证其实是OSPF接口认证的一种，支持MD5、HMAC-MD5、明文以及Keychain等特性。

二、案例实验

实验拓扑图1所示，实验编址如表1所示。本实验模拟一个企业网络场景，全网运行OSPF，路由器R1、R2为公司总部路由器，R3是新建公司的接入路由器，R4为分公司下面的分支机构的接入路由器。由于网络升级尚未完成，所以目前的区域划分是：R1与R2之间链路位于区域0，R3与R1、R3与R2之间的链路位于区域1，R3与R4之间的链路位于区域2.网络需求：使用虚链路技术，使得分支机构所属的区域2可以访问总部网络，且优先使用路径R4→R3→R1，并且R4→R3→R2路径作为备份。同时总部路由器R1和R2之间的通信需要采用R1→R3→R2路径作为冗余备份。另外为了网络安全，对于使用的虚链路进行认证功能的配置。