配置OSPF的认证

1:基础知识:

OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。OSPF协议支持两种认证方式——区域认证和链路认证。使用区域认证时,一个区域中所有的路由器在该区域下的认证模式和口令必须一致;OSPF链路认证相比于区域认证更加灵活,可专门针对某个邻居设置单独的认证模式和密码。如果同时配置了接口认证和区域认证时,优先使用接口建立OSPF邻居。

每种认证方式又分为简单验证方式、MD5验证模式和Key chain验证模式。简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,很容易被截获;MD5验证模式下的密钥是经过MD5加密传输,相当于简单验证模式更为安全;Key chain验证模式可以同时配置多个密钥,不同密钥可单独设置生效周期等。

2:实验目的:

理解OSPF认证的应用场景

理解OSPF区域认证和链路认证的区别

掌握配置OSPF区域认证的方法

掌握配置OSPF链路认证的方法

3:话不多说,我们开始实验:

 路由基础之配置OSPF的认证和被动接口的配置_被动接口

我们首先开始做基础配置,配置IP地址及端口;

搭建OSPF网络

AR1:

#
 area 0.0.0.1
  network 1.1.1.1 0.0.0.0 
  network 10.0.12.0 0.0.0.255

AR2:

#
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 10.0.23.0 0.0.0.255 
#
area 0.0.0.1
  network 10.0.12.0 0.0.0.255 
  network 10.0.24.0 0.0.0.255

AR3:

#
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.0.23.0 0.0.0.255
network 10.0.35.0 0.0.0.255
network 10.0.36.0 0.0.0.255

AR4:

#
 area 0.0.0.1
  network 4.4.4.4 0.0.0.0 
  network 10.0.24.0 0.0.0.255

AR5:

#
 area 0.0.0.0 
  network 5.5.5.5 0.0.0.0 
  network 10.0.35.0 0.0.0.255

AR6:

#
 area 0.0.0.0 
  network 6.6.6.6 0.0.0.0 
  network 10.0.36.0 0.0.0.255

配置完毕后,我们查看是否可以ping通;

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_02

测试可以ping通,我们进行下一步;

4:配置公司分部OSPF区域1中配置区域明文认证

在AR1上OSPF的区域1下使用authentication-mode命令指定该区域使用认证模式为simple,即简单验证模式,配置命令为huawei,并配置plain参数;

配置plain参数后,可以使得在查看配置文件时,口令均以明文方式显示。如果不设置参数的话,在查看配置文件时,默认会以密文方式显示口令,即无法查看所配置的口令原文,这可以使非管理员用户在登录设备后无法查看到口令原文,从而提高安全性;

路由基础之配置OSPF的认证和被动接口的配置_OSPF_03

可以观察到,此时以明文方式显示口令。

在AR1上重新配置区域认证命令,并查看配置;

 路由基础之配置OSPF的认证和被动接口的配置_OSPF认证_04

可以观察到,默认情况下,口令以密文形式显示。

配置完成,等待OSPF网络收敛之后,查看AR1和AR2的OSPF邻居;

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_05

可以观察到,现在AR1和AR2邻居关系中断了,原因是目前仅仅在AR1上配置了认证,导致AR1和AR2间的OSPF认证不匹配;

继续配置该区域的另一台设备AR2,必须要保证验证模式一致,口令也一致;

 路由基础之配置OSPF的认证和被动接口的配置_OSPF认证_06

配置完成后,等待一段时间,再次观察两者的关系。

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_07

在AR4上也做相同的配置

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_08

配置完成后,我们查看AR2的OSPF的邻居关系;

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_09

可以观察到,现在区域1中的邻居关系都建立正常;

5:配置ospf area 0区域密文认证

AR2:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF认证_10

AR3:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_11

AR5:

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_12

AR6:

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_13

配置完成后,查看AR3的OSPF邻居关系:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF认证_14

可以观察到,OSPF邻居状态建立正常;

5:配置OSPF链路认证:

在上面两个步骤中,使用了OSPF的区域认证方式配置了OSPF认证,使用链路认证方式配置可以达到同样的效果。如果采用链路认证的方式,就需要在同一OSPF的链路接口下都配置链路认证的命令,设置验证模式和口令等参数;而采用区域认证的方式时,在同一区域中,仅需在OSPF进程下的相应区域视图下配置一条命令来设置验证模式和口令即可,大大节省了配置量,所以在同一区域中如果有多台OSPF设备需要配置认证,建议选用区域认证的方式进行配置。

目前OSPF区域中配置了简单模式的区域认证,为了进一步提升AR2与AR4之间的OSPF网络安全性,网络管理员需要在两台设备之间部署MD5验证模式的OSPF链路认证。

在AR2上的G0/0/1接口下使用ospf authentication-mode 命令配置链路认证,配置使用MD5验证模式,验证字符标识为1,口令为huawei。

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_15

配置完成后,等待一段时间,查看AR2上简要的OSPF邻居信息;

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_16

发现AR2和AR4间OSPF邻居关系已经消失。虽然已经配置好区域认证,但是如果同时配置了接口认证和区域认证时,会优先使用接口验证建立OSPF邻居。所以AR4在没有配置链路认证之前,AR2与AR4的邻居关系会因认证不匹配而无法建立;

同样在AR4上配置链路,注意,验证模式、标识符、口令都需要保持一致。

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_17

配置完成后,等待一段时间,再次查看AR4的OSPF邻居信息;

 路由基础之配置OSPF的认证和被动接口的配置_被动接口_18

可以观察到,邻居关系已经恢复正常。至此,OSPF链路认证配置完成;

实验结束;

OSPF被动接口配置

1:基础知识:

OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。如果要使OSPF路由信息不被某一网络中的路由器获得且使本地路由器不接收网络中其他路由器发布的路由更新信息,即已运行在OSPF协议进程中接口不与本链路上其余路由器建立邻居关系时,可通过配置被动接口来禁止此接口接收和发送OSPF报文。

2:实验目的:

理解OSPF被动接口的应用场景

掌握OSPF被动接口的配置方法

理解OSPF被动接口的作用原理

3:开始实验:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_19

话不多说,配置端口IP及所有的基础配置

4:配置完毕后我们一一检查所有直连网段之间的连通性;

此处我们就不做过多赘述了!

 

5:搭建OSPF网络:

配置基本的OSPF,所有路由器的接口都运行在区域0内:

AR1:

#
 area 0.0.0.0 
  network 10.0.3.0 0.0.0.255 
  network 10.0.13.0 0.0.0.255

AR2:

#
 area 0.0.0.0 
  network 10.0.4.0 0.0.0.255 
  network 10.0.23.0 0.0.0.255

AR3:

#
 area 0.0.0.0 
  network 10.0.13.0 0.0.0.255 
  network 10.0.23.0 0.0.0.255 
  network 10.0.30.0 0.0.0.255

AR4:

#
 area 0.0.0.0 
  network 10.0.1.0 0.0.0.255 
  network 10.0.30.0 0.0.0.255

AR5:

#
 area 0.0.0.0 
  network 10.0.2.0 0.0.0.255 
  network 10.0.30.0 0.0.0.255

配置完成之后,在PC上测试各个网段之间的连通性;

我们以PC3pingPC1为例;

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_20

可以观察到,通信正常建立,其他测试省略。

在PC3上E0/0/1上抓包:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_21

我们发现该PC所在的网关路由器AR1在不停地向这条线路发出OSPF的HELLO报文尝试发现该邻居,而对于PC而言,该报文是毫无用处的,同时也是不安全的。在OSPF的Hello报文中含有很多OSPF网络的重要信息,如果被恶意截取,容易出现安全隐患;

6:配置被动接口;

现在网络管理员通过配置被动接口来优化连接终端的网络,使终端不再收到任何OSPF报文。

在AR1上的OSPF进程中,使用silent-interface命令禁止接收和发送OSPF报文;

[Huawei-ospf-1]silent-interface g0/0/0
[Huawei-ospf-1]dis th
[V200R003C00]
#
ospf 1 
 silent-interface GigabitEthernet0/0/0
 area 0.0.0.0 
  network 10.0.3.0 0.0.0.255 
  network 10.0.13.0 0.0.0.255

配置完成后,我们再次观察抓包结果:

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_22

我们发现不再周期性发送hello报文;

如果AR1上有多个接口需要设置为被动接口,只有G0/0/0接口保持活跃状态,可以通过以下命令简化配置;

[Huawei]ospf 1
[Huawei-ospf-1]un 
[Huawei-ospf-1]undo  s  
[Huawei-ospf-1]undo  si 
[Huawei-ospf-1]undo  silent-interface g0/0/0
[Huawei-ospf-1]si 
[Huawei-ospf-1]silent-interface a 
[Huawei-ospf-1]silent-interface all

这两种方法都可以将G0/0/0接口配置为被动接口,区别在于第一种方法只是单独对某个接口进行被动操作;而第二种是在所有接口配置为被动接口后,再排除不需要配置为被动接口的接口;

同样在其他网关路由器上进行相关配置,使得所有终端不再接收到相关的OSPF报文;

7:验证被动接口:

配置被动接口,该接口会禁止接收和发送OSPF报文,故假使再两台路由器间OSPF链路的接口上也做该配置,会导致OSPF邻居的无法建立;

我们以AR5为例,将其G0/0/0接口配置成被动接口

命令如下:

ospf 1
Silent-interface g0/0/0

配置完成后,查看AR5的OSPF邻居关系状态;

 路由基础之配置OSPF的认证和被动接口的配置_OSPF_23

查看AR5上的OSPF路由条目,可以观察到,所有的OSPF路由条目都丢失。即验证了配置了被动接口后,OSPF报文不再转发,包括建立邻居和维护邻居的HELLO报文;

在上一步骤中,AR4的G0/0/0接口已经被配置了被动接口,那么配置该被动接口上相关网段的路由信息能否正常地被其他邻居路由器收到?

在AR1上查看AR4被动接口G0/0/1上所连网段的路由条目10.0.1.0/24

 路由基础之配置OSPF的认证和被动接口的配置_OSPF认证_24

可以观察到,此时其他邻居路由器仍然可以收到该网段的路由条目;

被动接口特性为只是不再收发任何OSPF协议报文,但是被动接口所在网段的直连路由条目如果已经在OSPF中通告,那么也会被其他的OSPF邻居路由器收到。

在PC1上,测试与PC4之间的连通性;

实验结束; 

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人!