网工小白升级打怪篇(九)动态路由协议ospf的认证

简介: 网工小白升级打怪篇(九)动态路由协议ospf的认证

■ 简介:

OSPF协议支持两种认证方式一区域认证和链路认证。使用区域认证时,一个区域中所有的路由器在该区域下的认证模式和口令必须一致; OSPF 链路认证相比于区域认证更加灵活,可专门针对某个邻居设置单独的认证模式和密码。如果同时配置了接口认证和区域认证时,优先使用接口认证建立OSPF邻居。

每种认证方式又分为简单验证模式、MD5验证模式和Key chain验证模式。简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,很容易被截获; MD5验证模式下的密钥是经过MD5加密传输,相比于简单验证模式更为安全; Key chain验证模式可以同时配置多个密钥,不同密钥可单独设置生效周期等。


640.jpg


■ 实施步骤


一、Cisco 设备实施步骤


1.实验拓扑  

640.png

2.基础配置设置IP:

R1:

Router>en
Router#conf t
Router(config)#host R1
R1(config)#int e0/0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int lo 0
R1(config-if)#ip add 1.1.1.1 255.255.255.255

640.png


R2:

Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int e0/0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int e0/1
R2(config-if)#ip add 24.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int e0/2
R2(config-if)#ip add 13.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int lo 0
R2(config-if)#ip add 2.2.2.2 255.255.255.255

640.png

R3:

Router>en
Router#conf t
Router(config)#hostname R3
R3(config)#int e0/2
R3(config-if)#ip add 13.1.1.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int e0/0
R3(config-if)#ip add 35.1.1.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int e0/1
R3(config-if)#ip add 36.1.1.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int lo 0
R3(config-if)#ip add 3.3.3.3 255.255.255.255

640.png

R4:

Router>en
Router#conf t
Router(config)#hostname R4
R4(config)#int e0/0
R4(config-if)#ip add 24.1.1.4 255.255.255.0
R4(config-if)#no shut
R4(config-if)#int lo 0
R4(config-if)#ip add 4.4.4.4 255.255.255.255

640.png


R5:

Router>en
Router#conf t
Router(config)#hostname R5
R5(config)#int e0/0
R5(config-if)#ip add 35.1.1.5 255.255.255.0
R5(config-if)#no shut
R5(config-if)#int lo 0
R5(config-if)#ip add 5.5.5.5 255.255.255.255

640.png

R6:

Router>en
Router#conf t
Router(config)#hostname R6
R6(config)#int e0/0
R6(config-if)#ip add 36.1.1.6 255.255.255.0
R6(config-if)#no shut
R6(config-if)#int lo 0
R6(config-if)#ip add 6.6.6.6 255.255.255.255

640.png


3.ospf多区域配置:

R1:

R1(config)#router ospf 1  
R1(config-router)#router-id 1.1.1.1
R1(config-router)#net 1.1.1.1 0.0.0.0
R1(config-router)#net 1.1.1.1 0.0.0.0 area 1
R1(config-router)#net 12.1.1.0 0.0.0.255 area 1

640.png

R2:

R2(config)#router ospf 1
R2(config-router)#router-id  2.2.2.2
R2(config-router)#net 12.1.1.0 0.0.0.255 area 1
R2(config-router)#net 2.2.2.2 0.0.0.0 area 1
R2(config-router)#net 24.1.1.0 0.0.0.255 area 1
R2(config-router)#net 13.1.1.0 0.0.0.255 area 0

640.png

R3:

R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#net 35.1.1.0 0.0.0.255 area 0
R3(config-router)#net 36.1.1.0 0.0.0.255 area 0
R3(config-router)#net 3.3.3.3 0.0.0.0 area 0
R3(config-router)#net 13.1.1.0 0.0.0.255 area 0

640.png

R4:

R4(config)#router ospf 1
R4(config-router)#router-id 4.4.4.4
R4(config-router)#net 4.4.4.4 0.0.0.0 area 1
R4(config-router)#net 24.1.1.0 0.0.0.255 area 1


640.png

R5:

R5(config)#router ospf 1
R5(config-router)#router-id 5.5.5.5
R5(config-router)#net 5.5.5.5 0.0.0.0 area 0
R5(config-router)#net 35.1.1.0 0.0.0.255 area 0

640.png

R6:

R6(config)#router ospf 1
R6(config-router)#router-id 6.6.6.6
R6(config-router)#net 6.6.6.6 0.0.0.0 area 0
R6(config-router)#net 36.1.1.0 0.0.0.255 area 0

640.png


其中每台设备上的环回口地址是为了后续实验中方便测试使用,所以需要通告到其所在区域。


配置完成后测试各设备上环回口的连通性。

640.png

可以正常通信,其他环回口的测试省略。

640.jpg



4.配置OSPF区域明文认证 :


OSPF区域1中配置区域明文认证。在R1上OSPF的区域1开启明文认证,key是需要在接口下单独设置的,本质上也是链路认证。

router ospf 1
R1(config-router)#area 1 authentication 
R1(config-router)#int e0/0
R1(config-if)#ip ospf authentication-key  cisco

配置完成,等待OSPF网络收敛之后,查看R1与R2的OSPF邻居

640.png

可以观察到,现在R1与R2邻居关系中断了,原因是目前仅仅在R1上配置了认证,导致R1和R2间的OSPF认证不匹配。

继续配置该区域的R2,必须要保证验证模式一致,口令也一致。

R2(config)#router ospf 1
R2(config-router)#area 1 authentication
R2(config-router)#int e0/0
R2(config-if)#ip ospf authentication-key  cisco
R2(config-router)#int e0/1
R2(config-if)#ip ospf authentication-key  cisco

640.png

配置完成后,等待一段时间,再次观察两者的邻居关系。可以观察到,现在R1与R2的邻居关系状态恢复正常。

同理在R4上也做相同配置。

R4(config)#router ospf 1
R4(config-router)#area 1 authentication
R4(config)#int e0/0
R4(config-if)#ip ospf authentication-key cisco

配置完成后,在R2上查看OSPF邻居关系。

可以观察到,现在区域1中的邻居关系都建立正常。

640.png

640.jpg


5.配置OSPF区域密文认证:

OSPF区域0中配置区域密文认证。

在R2上配置OSPFArea0区域认证使用验证模式为md5,验证字标识符为1,口令为cisco

R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest
R2(config-if)#int e0/2
R2(config-if)#ip ospf  message-digest-key 1 md5 cisco

继续在其他骨干路由器上做相同配置。注意,密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

R3:
R3(config)#router ospf 1
R3(config-router)#area 0 authentication message-digest
R3(config-router)#int e0/0
R3(config-if)#ip ospf  message-digest-key 1 md5 cisco
R3(config-if)#int e0/1
R3(config-if)#ip ospf  message-digest-key 1 md5 cisco
R3(config-if)#int e0/2
R3(config-if)#ip ospf  message-digest-key 1 md5 cisco
R5:
R5(config)#router ospf 1
R5(config-router)#area 0 authentication message-digest
R5(config-router)#int e0/0
R5(config-if)#ip ospf  message-digest-key 1 md5 cisco
R6:
R6(config)#router ospf 1
R6(config-router)#area 0 authentication message-digest
R6(config-router)#int e0/0
R6(config-if)#ip ospf  message-digest-key 1 md5 cisco

配置完成后,查看R3的OSPF邻居状态。

640.png

可以观察到,OSPF邻居状态建立正常,其他设备上的查看过程省略。

640.jpg


6.配置OSPF链路认证:


相比区域认证,使用链路认证方式配置可以达到同样的效果。如果采用链路认证的方式,就需要在同一OSPF的链路接口下都配置链路认证的命令,设置验证模式和口令等参数;而采用区域认证的方式时,在同一区域中,仅需在OSPF进程下的相应区域视图下配置一条命令来设置验证模式和口令即可,大大节省了配置量,所以在同一区域中如果有多台OSPF设备需要配置认证,建议选用区域认证的方式进行配置。


为了进一步提升R2与R4之间的OSPF网络安全性,需要在两台设备之间部署MD5验证模式的OSPF链路认证。配置链路认证,配置使用MD5验证模式,验证字标识符为1,口令为cisco。

R2(config)#int e0/1
R2(config-if)#ip ospf authentication message-digest
R2(config-if)#ip ospf message-digest-key 1 md5 cisco

配置完成后,等待一段时间,查看R2.上的简要OSPF邻居信息。

640.png

发现R2与R4间的OSPF邻居关系已经消失。虽然已经配置好区域认证,但是如果同时配置了接口认证和区域认证时,会优先使用接口验证建立OSPF邻居。所以R4在没有配置链路认证之前,R2与R4的邻居关系会因认证不匹配而无法建立。

同样在R4上配置链路,注意,验证模式、标识符、口令都需要保持一致。

R4(config)#int e0/0
R4(config-if)#ip ospf authentication message-digest
R4(config-if)#ip ospf message-digest-key 1 md5 cisco

配置完成后,等待一段时间,再次查看R4的OSPF邻居信息。

640.png

可以观察到,邻居关系已经恢复正常。至此,OSPF链路认证配置完成。



二、华为设备实施步骤


1.实验拓扑:

640.png

基础ip已经配置好了这里就不演示了


2.ospf基础配置:

R1:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]net 1.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.1]net 12.1.1.0 0.0.0.255
R2:
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]net 23.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]net 12.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]net 24.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]net 2.2.2.2 0.0.0.0
R3:
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]net 35.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 36.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]net 23.1.1.0 0.0.0.255
R4:
[R4]ospf 1
[R4-ospf-1]area 1
[R4-ospf-1-area-0.0.0.1]net 4.4.4.4 0.0.0.0
[R4-ospf-1-area-0.0.0.1]net 24.1.1.0 0.0.0.255
R5:
[R5]ospf 1
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]net 5.5.5.5 0.0.0.0
[R5-ospf-1-area-0.0.0.0]net 35.1.1.0 0.0.0.255
R6:
[R6]ospf 1
[R6-ospf-1]area 0
[R6-ospf-1-area-0.0.0.0]net 6.6.6.6 0.0.0.0
[R6-ospf-1-area-0.0.0.0]net 36.1.1.0 0.0.0.255


640.jpg


3.配置OSPF区域明文认证 :


OSPF区域1中配置区域明文认证。在R1上OSPF的区域1开启明文认证,

模式为simple,即简单验证模式,配置口令为huawei,并配置plain参数。

配置plain参数后,可以使得在查看配置文件时,口令均以明文方式显示。如果不设置该参数的话,在查看配置文件时,默认会以密文方式显示口令,即无法查看到所配置的口令原文,这可以使非管理员用户在登录设备后无法查看到口令原文,从而提高安全性。

[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei

配置完成,等待OSPF网络收敛之后,查看R1与R2的OSPF邻居

640.png

可以观察到,现在R1与R2邻居关系中断了,原因是目前仅仅在R1上配置了认证,导致R1和R2间的OSPF认证不匹配。

继续配置该区域的R2,必须要保证验证模式一致,口令也一致。

R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei

640.png

配置完成后,等待一段时间,再次观察两者的邻居关系。可以观察到,现在R1与R2的邻居关系状态恢复正常。


同理在R4上也做相同配置。

[R4]ospf 1
[R4-ospf-1]area 1
[R4-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei

配置完成后,在R2上查看OSPF邻居关系。

可以观察到,现在区域1中的邻居关系都建立正常。

640.png

640.jpg


4.配置OSPF区域密文认证:


OSPF区域0中配置区域密文认证

在R2上配置OSPFArea0区域认证,使用验证模式为md5,即MD5验证模式,验证字标识符为1,配置口令为huawei。

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]authentication-mode md5  1  huawei

继续在其他骨干路由器上做相同配置。注意,密文认证必须保证验证字标识符和口令完全一致认证才可以通过。

R3:
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]authentication-mode md5  1  huawei
R5:
[R5]ospf 1
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]authentication-mode md5  1  huawei
R6:
[R6]ospf 1
[R6-ospf-1]area 0
[R6-ospf-1-area-0.0.0.0]authentication-mode md5  1  huawei

配置完成后,查看R3的OSPF邻居状态。

640.png

可以观察到,OSPF邻居状态建立正常,其他设备上的查看过程省略。

640.jpg


5.配置OSPF链路认证:


为了进一步提升R2与R4之间的OSPF网络安全性,需要在两台设备之间部署MD5验证模式的OSPF链路认证。配置链路认证,配置使用MD5验证模式,验证字标识符为1,口令为huawei。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5  1 huawei

配置完成后,等待一段时间,查看R2.上的简要OSPF邻居信息。

640.png

发现R2与R4间的OSPF邻居关系已经消失。虽然已经配置好区域认证,但是如果同时配置了接口认证和区域认证时,会优先使用接口验证建立OSPF邻居。所以R4在没有配置链路认证之前,R2与R4的邻居关系会因认证不匹配而无法建立。

同样在R4上配置链路,注意,验证模式、标识符、口令都需要保持一致。

[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ospf authentication-mode md5  1 huawei

配置完成后,等待一段时间,再次查看R4的OSPF邻居信息。


640.png

可以观察到,邻居关系已经恢复正常。至此,OSPF链路认证配置完成。


640.png

相关文章
|
1月前
|
安全 网络协议 网络安全
|
3月前
|
运维 网络协议 算法
记住这20个路由器知识点,网工运维都用得到!
记住这20个路由器知识点,网工运维都用得到!
|
3月前
|
安全 网络虚拟化
VLAN这6个常见问题,是个网工都遇到过!
VLAN这6个常见问题,是个网工都遇到过!
128 0
|
6月前
|
网络协议 数据库 数据安全/隐私保护
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(7)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(7)
823 2
|
6月前
|
网络协议 数据库 网络架构
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(2)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(2)
395 0
|
6月前
|
网络协议 算法 数据库
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(5)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(5)
874 0
|
6月前
|
网络协议 算法 数据库
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(1)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(1)
405 0
|
6月前
|
网络协议 数据库 vr&ar
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(3)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(3)
350 0
|
6月前
|
网络协议 算法 数据库
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(4)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(4)
350 0
|
6月前
|
负载均衡 网络协议 数据库
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(6)
【华为数通HCIP | 网络工程师】821-IGP高频题、易错题之OSPF(6)
710 0