机房巡检
OSPF认证
路由协议支持的认证类型:
RIPv2->明文/密文
EIGRP->密文
OSPF->明文/密文/null
所有的路由协议配置认证的方式:
1、启动认证功能;
2、配置密码(key-chain)
3、调用密码
OSPF的认证:
链路认证(仅仅对某一个或者几个链路)
启动认证和配置密码,都是在链路上进行的;
区域认证(对整个区域的所有的链路)
启动认证是在 OSPF 进程下,对区域配置的;
密码,还是配置在具体的链路上;
plain text / clear text / simple password ->表示的都是明文认证
明文配置命令:
R1:
interface fas0/0
ip ospf authentication // 启动明文认证功能;
ip ospf authentication-key cisco // 配置明文认证使用的密码;
R2:
interface fas0/1
ip ospf authentication // 启动明文认证功能;
ip ospf authentication-key cisco // 配置明文认证使用的密码;
验证和调试命令:
show ip ospf neighbor
debug ip ospf adj // 查看邻居建立协商的过程;
认证成功必须确保:
1、认证必须同时开启 -->认证类型不同,一方是0,一方是1;
2、认证类型必须相同
3、认证密码必须相同(也可以同时为空)-> mismatch authentication key
密文配置命令:
R1:
interface fas0/0
ip ospf authentication message-digest // 启动密文认证功能;
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码;
R2:
interface fas0/1
ip ospf authentication message-digest // 启动密文认证功能;
ip ospf message-digest-key 10 md5 ccie //配置密文认证使用的密码;
密文认证成功:
1、认证功能必须开启;
2、认证类型必须得相同;
3、认证密码的最新的key-id以及key必须相同;
每次都是尝试着使用最新的key-id以及对应的密码
[最后一次配置的叫做最新的]
如果两边配置的“最新的key-id”是相同的,则一定
使用最新的key-id对应的密码进行认证:
如果相同,则认证成功;如果不同,认证失败;
注意:
区域认证与链路认证的区别仅仅在于:启动认证功能的方式不同;
配置命令-
router ospf 1
area 12 authentication // 对区域12开启明文认证;
指的是对该设备上的所有属于
区域12的链路,都启用了明文
认证功能,可以通过命令进行验证
show ip ospf interface fas0/0
但是此时是没有密码的;
接下来,需要我们在属于区域12的每个链路上配置明文密码;
R1(config)#default interface fas0/0
OSPF特殊区域
特殊之处在于:
区域中没有外部路由,也就是没有5类LSA。
-stub area :末节区域
需要在该区域的任何一个路由器上配置命令:
router ospf 1
area 12 stub
末节区域,在该区域中,是没有5类LSA和4类LSA。
有1类、2类、3类LSA
但是该区域的 ABR 会自动产生一个 3类 LSA 表示的 默认路由;
为了能够与外网链路互通。
为了进一步增强该区域的安全性,不受到内网其他区域的影响,
所以我们可以进一步缩小该区域的数据库的大小-干掉3类LSA。
-totally stub area : 完全末节区域;
仅仅需要在 stub 区域的 ABR 上实施 -
router ospf 1
area 12 stub no-summary
此时的完全末节区域,仅仅有1类LSA或者1和2类LSA,
还有一个特殊的3类LSA,表示默认路由,是 ABR 自动产生的;
验证命令:show ip ospf
-NSSA area : not so stub area
在该区域中,不能存在5类LSA,但是可以允许外部路由的出现,
是以7类LSA形式存在。
该区域中包含的是1、2、3、7类 LSA ;
与 stub 区域相比,是没有自动产生的 OIA 的默认路由;
为了能够与 5类 LSA 表示的外部路由网络进行互通,
所以我们必须手动在 NSSA 区域的 ABR 上面产生一个默认路由,
并且默认是 ON2 的, cost 为 1;
该区域的 ABR 可以进行 7 类 LSA 向 5 类 LSA 的单向转换。
并且当 NSSA 区域存在多个 ABR 时,仅有一个可以进行7/5转换。
配置命令:
需要在该区域的每个路由器上都得进行配置
router ospf 1
area 12 nssa
另外,需要在 ABR 上产生默认路由:
router ospf 1
area 12 nssa default-information-originate
-Totally NSSA : 完全 NSSA 区域。
在该区域中,不允许存在3、4、5 LSA ,
允许的是1、2、7类,以及一个特殊的3类 LSA,表示默认路由。
是由 NSSA 区域的 ABR 自动产生的。
配置命令:
仅仅需要在 NSSA 区域的 ABR 上配置
router ospf 1
area 12 nssa no-summary
R1-R2配置为区域12;
R2-R3配置为区域0;
R1上的静态路由,充分发引入到 区域12
区域12配置为 NSSA 区域;
确定外部路由在特殊区域中的表现形式
需要确定内部路由、外部路由的表示方式、AD的变化、Metric变化
需要确定OSPF数据库中 不同类型的 LSA 的表示,以及数据库的组织形式
R1:
ip route-static 100.1.1.0 255.255.255.0 null 0
ospf 1 router-id 1.1.1.1
import-route static
area 12
network 192.168.12.1 0.0.0.0
network 10.10.1.1 0.0.0.0
nssa
R2:
ospf 1 router-id 2.2.2.2
area 12
network 192.168.12.2 0.0.0.0
network 10.10.2.2 0.0.0.0
nssa
area 0
network 192.168.23.2 0.0.0.0
R3:
ospf 1 router-id 3.3.3.3
area 0
network 192.168.23.3 0.0.0.0
display ospf peer brief // 查看OSPF邻居;
display ospf lsdb //查看OSPF数据库
display ip routing-table protocol ospf // 查看OSPF路由表
reset ospf 1 process // 清除 ospf 1 的进程;