OSPF 默认路由及认证
1 ospf 下放默认路由
应用场景,对于GW设备,可以对下游设备下放默认路由,使其联动
R2做为网关,配置NAT进行共享上网,R2--R3运行OSPF ,
由R2为R3下放默认路由,
如何产生联动呢?
当R2的上的F0/0接口DOWN掉,那么默认路由也就不在了,
去查看配置,去排错时,也就很方便。
部署
NAT部份不说了,
配置默认路由就一条命令
R2(config-router)#default-information originate
查看,一条O*E开头的条目就过来了,默认路由
假设现在将R2的接口DOWN掉,看看R3的条目还会在吗?
接口故障,导致本地的默认路由也没了
上当然也就不在了
当然,这是有一个前提,R2上必须有默认路由的条目才可以
R2没有默认路由可以下发吗?(其实也是可以的)
强制下发,但这也要分场景使用哦~
在后面加上一个always(总是)
测试一下
将R2上的接口开启,把默认路由删除,
配置always
此时R2上没有默认路由,也是一样可以下发的。
OSPF认证
这玩意的认证和其它的有所区别 ,有点儿多,但万变不离其宗。
认证方式: 明文
密文
认证形式:接口认证
区域认证
如图所示
需求
Area0 : 接口明文认证
Area1 : 接口密文认证
Area 1 Virtual-link : 明文认证
Area2 : 区域明文认证
area2 virtual-link : 密文认证
Area3 : 区域密文认证
接口明文认证
R1(config-router)#inter f0/0
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key 121212
R2(config-router)#inter f0/0
R2(config-if)#ip ospf authentication
R2(config-if)#ip ospf authentication-key 121212
配置完成后邻居会重建,
如果说,在这个过程中,两侧的密码配置不同,是无法重新建立邻居关系的
如何查看呢?
Show run | se key,查看具体的密码
也可以通过debug命令来查看相应的事件
Debug ip ospf events
可以看到,如果密码不同,则会显示mismatch,不匹配的key,
查看,然后修改就可以了,(这个不是认证方式不对哦~)
Area1 : 接口密文认证
R2(config)#inter f0/1
R2(config-if)#ip ospf authentication message-digest //认证方式改变
R2(config-if)#ip ospf message-digest-key 1 md5 232323 //MD5加密方式
R3(config)#inter f0/0
R3(config-if)#ip ospf authentication message-digest
R3(config-if)#ip ospf message-digest-key 1 md5 232323
查看配置
Show run | se ospf 可以看到具体的配置加密形式
另外,show run | se key,可以查看具体的密码
此时问题来了,
1 如果密码不同,肯定还是会提示上面的mismach,不匹配
2 如果一边配置了认证,而另一边没有配置认证呢?怎么看?
还是debug信息
消息中会明确指出,type2,we use type 0
啥意思?
对端使用type2的形式加密,
本端使用type 0,
Type0 无认证
Type 1 明文认证
Type 2 密文认证
Area 1 Virtual-link : 明文认证
R2(config-if)#router ospf 1
R2(config-router)#area 1 virtual-link 3.3.3.3 authentication
R2(config-router)#area 1 virtual-link 3.3.3.3 authentication-key vir
R3(config-if)#router ospf 1
R3(config-router)#area 1 virtual-link 2.2.2.2 authentication
R3(config-router)#area 2 virtual-link 2.2.2.2 authentication-key vir
其实就是换汤不换药嘛,和普通区域比,就是多了一个virtual-link的关键词
Area2 : 区域明文认证
这个区域认证,最后还是要到接口下进行挂接的。
只不过就是认证的命令在区域里打
R3(config-router)#router ospf 1
R3(config-router)#area 2 authentication
R3(config-router)#inter f0/1
R3(config-if)#ip ospf authentication-key 3434
R4(config)#router ospf 1
R4(config-router)#area 2 authentication
R4(config-router)#inter f0/0
R4(config-if)#ip ospf authentication-key 3434
邻居重建,完成
area2 virtual-link : 密文认证
R3(config-if)#router ospf 1
R3(config-router)#area 2 virtual-link 4.4.4.4 authentication message-digest
R3(config-router)#area 2 virtual-link 4.4.4.4 message-digest-key 1 md5 vvvv
R4(config-if)#router ospf 1
R4(config-router)#area 2 virtual-link 3.3.3.3 authentication message-digest
R4(config-router)#area 2 virtual-link 3.3.3.3 message-digest-key 1 md5 vvvv
Area3 : 区域密文认证
R4(config-router)#router ospf 1
R4(config-router)#area 3 authentication message-digest
R4(config-if)#ip ospf message-digest-key 1 md5 454545
R5(config-if)#router ospf 1
R5(config-router)#area 3 authentication message-digest
R5(config-router)#inter f0/0
R5(config-if)#ip ospf message-digest-key 1 md5 454545
OSPF的邻居认证是包含在HELLO包中的,如果认证不通过,邻居是无法建立的,
另外就是认证方式,都是一对一对的,
区域对区域,接口对接品,明文对明文,密文对密文,
谁也不能错,谁也不能乱,
Type0,1,2三种类型的消息分别代表什么意思?
-------------------------------------------
CCIE成长之路 --- 梅利
