OSPF认证
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.配置简单密码身份验证 (2)设置认证口令,使用接口配置命令 ip ospf authentication-key password 指定一个密码(密钥),用于对邻接路由器进 行OSPF简单密码身份验证。参数 password是由可通过键盘输入的任何字符 组成的字符串,最长8个字符。
使用该命令指定的密码将被用作“密钥”, Cisco IOS发送路由协议分组时,将其直接 插入到OSPF报头中。在每个接口上可以指 定不同的密码,但同一个网络中的所有邻 接路由器都必须使用相同的密码,这样才 能交换OSPF信息。
删除密钥命令: interface fa0/0 no ip ospf message-digest-key 100
ຫໍສະໝຸດ Baidu
MD5身份验证示例 身份验证示例
验证MD5身份验证 身份验证 验证
规划OSPF身份验证
配置OSPF身份验证之前,网络管理员必须 检查现有的OSPF配置并确定身份验证需求。 OSPF身份验证需求包括身份验证类型(无、 简单密码还是MD5)和密钥(密码)
在路由器上启用OSPF认证分两部分配置, 分别是启动认证方式和设置认证口令。
一.OSPF简单密码身份验证的配置、 验证和故障排除
注意:如果配置OSPF身份验证时没有使用 命令service password-encryption,密钥字 符串将以明文方式存储在路由器的配置中。 如果配置了该命令,密钥字符串将以加密 的方式存储和显示.
show ip ospf neighbor show ip route
排除简单密码身份验证故障
二、MD5身份验证的配置和验证
1.配置OSPF MD5身份验证 要使用OSPF MD5身份验证,需要在每台路由器上 配置密钥ID和密钥。步骤如下: (2)设置认证口令,使用接口配置命令 ip ospf message-digest-key key-id md5 key 给采用OSPF MD5身份验证的路由器指定要使用的 密钥ID和密钥 key-id:取值范围为0~255的标识符 key:由数字和字母组成的密码,最长16个字符
默认情况下,OSPF使用身份验证方法null,即不 对通过网络交换的路由选择信息进行身份验证。 OSPF还支持其他两种身份验证方法:简单密码 身份验证(也叫明文身份验证)和MD5身份验证。 按认证作用的范围分为: 区域范围认证:区域内所有路由器都启用认证功 能 接口范围认证:在任意两个直连接口间启用认证 功能
OSPF认证
配置和验证OSPF身份验证
通过对邻居路由器进行身份验证,可避免路由器 收到伪造的路由更新。通过配置OSPF邻居身份 验证(也叫邻居路由器身份验证或路由身份验证), 可以让路由器根据预先定义的密码参与路由选择。 在路由器上配置邻居路由器身份验证后,路由器 将对收到的每个路由更新分组的信源进行身份验 证,这是通过交换发送路由器和接收路由器都知 道的身份验证密钥(也叫密码)实现的。
1.配置简单密码身份验证 (1) 启动认证方式,使用接口配置命令 ip ospf authentication [message-digest] 指 定身份验证类型 message-digest 可选,指定使用MD5身份 验证
要指定使用简单密码身份验证,可在命令ip ospf authentication 中不指定任何参数。 使 用 该 命 令 前 , 使 用 命 令 ip ospf authentication-key 给接口配置一个密码。 命 令 ip ospf authentication 是 Cisco IOS12.0新增的。为向后兼容,仍支持为区 域指定身份验证方式。
如果没有给接口指定身份验证方式,它将使用给区 域指定的区域验证方式(默认为null) 要为区域指定身份验证方式,可使用路由器配置命 令area area-id authentication [message-digest] area-id 要启用身份验证的区域的标识符 message-digest 可选,在参数area-id指定的区域 中使用MD5身份验证。 如果要使用简单身份验证,可在配置命令area authentication时不指定任何参数
该命令指定的密钥ID和密钥用于生成每个OSPF 分组的消息摘要(也叫散列值),消息摘要被加入 到分组的后面。在每个接口上,可以给不同的网 络指定不同的密码。 通常,在发送分组和对收到的分组进行身份验证 时,每个接口使用一个密钥来生成身份验证信息。 在同一个网络中,所有邻接路由器都必须使用相 同的密码,这样才能交换OSPF信息。换句话说, 在邻居路由器上,同样的密钥ID必须对应于相同 的密钥值。
如果在路由器之间正确地配置了身份验证, 将建立OSPF邻接关系、交换路由更新并将 OSPF路由加入路由表中。 可能导致OSPF身份验证故障的原因如下: OSPF (1)没有在两台路由器上都配置身份验证 (2)两台路由器配置的身份验证类型不同 (3)两台路由器配置的密码不同
命令debug ip ospf obj显示与OSPF邻接相 关的事件,对于排除身份验证故障很有帮 助。
成功的简单密码身份验证示例
简单密码身份验证故障排除示例
简单密码身份验证故障排除示例
(1)如果在R1的一个接口上配置了简单密码身份验 证,但在R2的接口上没有配置,两台路由器将无 法通过该链路建立邻接关系。 各种OSPF身份验证类型的编码如下: OSPF Null:0类 简单密码:1类 MD5:2类 (2)在R1和R2上都配置了简单密码身份验证,但 密码不同。
在虚链路上配置OSPF简单 简单 在虚链路上配置 密码身份验证
二、MD5身份验证的配置和验证
1.配置OSPF MD5身份验证 (1)启动认证方式 使用接口配置命令ip ospf authentication message-digest指定身份验证类型 为区域的身份验证方式指定为MD5命令: area area-id authentication messagedigest