机房巡检

OSPF认证

路由协议支持的认证类型:
RIPv2->明文/密文
EIGRP->密文
OSPF->明文/密文/null

所有的路由协议配置认证的方式:
1、启动认证功能;
2、配置密码(key-chain)
3、调用密码

OSPF的认证:
链路认证(仅仅对某一个或者几个链路)
启动认证和配置密码,都是在链路上进行的;
区域认证(对整个区域的所有的链路)
启动认证是在 OSPF 进程下,对区域配置的;
密码,还是配置在具体的链路上;

plain text / clear text / simple password ->表示的都是明文认证
明文配置命令:
R1:
interface fas0/0 
ip ospf authentication // 启动明文认证功能;
ip ospf authentication-key cisco // 配置明文认证使用的密码;

R2:
interface fas0/1 
ip ospf authentication // 启动明文认证功能;
ip ospf authentication-key cisco // 配置明文认证使用的密码;

验证和调试命令:
show ip ospf neighbor 
debug ip ospf adj // 查看邻居建立协商的过程;

认证成功必须确保:
1、认证必须同时开启 -->认证类型不同,一方是0,一方是1;
2、认证类型必须相同 
3、认证密码必须相同(也可以同时为空)-> mismatch authentication key

密文配置命令:
R1:
interface fas0/0 
ip ospf authentication message-digest // 启动密文认证功能;
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码;

R2:
interface fas0/1 
ip ospf authentication message-digest // 启动密文认证功能;
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码;
密文认证成功:
1、认证功能必须开启;
2、认证类型必须得相同;
3、认证密码的最新的key-id以及key必须相同;
每次都是尝试着使用最新的key-id以及对应的密码
[最后一次配置的叫做最新的]
如果两边配置的“最新的key-id”是相同的,则一定
使用最新的key-id对应的密码进行认证:
如果相同,则认证成功;如果不同,认证失败;

注意:

区域认证与链路认证的区别仅仅在于:启动认证功能的方式不同;
配置命令- 
  router ospf 1
      area 12 authentication  // 对区域12开启明文认证;
                                 指的是对该设备上的所有属于
                                 区域12的链路,都启用了明文
                                 认证功能,可以通过命令进行验证
                                  show ip ospf interface fas0/0 
                                  但是此时是没有密码的;
接下来,需要我们在属于区域12的每个链路上配置明文密码;                                      

R1(config)#default interface fas0/0


OSPF特殊区域
特殊之处在于:
区域中没有外部路由,也就是没有5类LSA。
-stub area :末节区域
需要在该区域的任何一个路由器上配置命令:
router ospf 1
area 12 stub 
末节区域,在该区域中,是没有5类LSA和4类LSA。
有1类、2类、3类LSA
但是该区域的 ABR 会自动产生一个 3类 LSA 表示的 默认路由;
为了能够与外网链路互通。

为了进一步增强该区域的安全性,不受到内网其他区域的影响,
所以我们可以进一步缩小该区域的数据库的大小-干掉3类LSA。

-totally stub area : 完全末节区域;
    仅仅需要在 stub 区域的 ABR 上实施 - 
       router ospf 1 
          area 12  stub  no-summary 
    此时的完全末节区域,仅仅有1类LSA或者12类LSA,
    还有一个特殊的3类LSA,表示默认路由,是 ABR 自动产生的;        

验证命令:show ip ospf 

-NSSA area : not so stub area 
     在该区域中,不能存在5类LSA,但是可以允许外部路由的出现,
     是以7类LSA形式存在。
     该区域中包含的是1237类 LSA ;
     与 stub 区域相比,是没有自动产生的 OIA 的默认路由;
     为了能够与 5类 LSA 表示的外部路由网络进行互通,
     所以我们必须手动在 NSSA 区域的 ABR 上面产生一个默认路由,
     并且默认是 ON2 的, cost 为 1;
     该区域的 ABR 可以进行 7 类 LSA 向 5 类 LSA 的单向转换。
     并且当 NSSA 区域存在多个 ABR 时,仅有一个可以进行7/5转换。

     配置命令: 
          需要在该区域的每个路由器上都得进行配置 
              router ospf 1
                  area 12 nssa 

          另外,需要在 ABR 上产生默认路由:
              router ospf 1
                   area 12 nssa  default-information-originate

-Totally NSSA : 完全 NSSA 区域。
     在该区域中,不允许存在345 LSA ,
     允许的是127类,以及一个特殊的3类 LSA,表示默认路由。
     是由 NSSA 区域的 ABR 自动产生的。
        配置命令:
           仅仅需要在 NSSA 区域的 ABR 上配置 
               router ospf 1
                  area 12 nssa no-summary 

R1-R2配置为区域12;
R2-R3配置为区域0;
R1上的静态路由,充分发引入到 区域12
区域12配置为 NSSA 区域;
确定外部路由在特殊区域中的表现形式
需要确定内部路由、外部路由的表示方式、AD的变化、Metric变化
需要确定OSPF数据库中 不同类型的 LSA 的表示,以及数据库的组织形式

R1:
ip route-static 100.1.1.0 255.255.255.0 null 0 
ospf 1 router-id 1.1.1.1
import-route static 
area 12 
network 192.168.12.1 0.0.0.0
network 10.10.1.1 0.0.0.0
nssa 
R2:
ospf 1 router-id 2.2.2.2
area 12 
network 192.168.12.2 0.0.0.0
network 10.10.2.2 0.0.0.0 
nssa 
area 0
network 192.168.23.2 0.0.0.0 
R3:
ospf 1 router-id 3.3.3.3 
area 0
network 192.168.23.3 0.0.0.0

display ospf peer  brief // 查看OSPF邻居;
display ospf lsdb //查看OSPF数据库
display ip routing-table protocol ospf // 查看OSPF路由表
reset  ospf 1 process // 清除 ospf 1 的进程;