OSPF的认证

OSPF路由协议存在两种认证方式,分别是明文认证和密文认证,认证有着两种对象,为链路认证和区域认证,接下来我们仔细来学习一下。

链路认证

链路认证是在两台相邻路由器的相邻接口上进行认证,目的是为了防止链路收到非法路由器传递的信息,保护路由器的信息安全。认证即对路由器的授权,只有在收到带有授权标志的路由器的路由信息时两者才能建立邻居关系,从而进行路由信息的传递。

区域认证

区域认证即在一个ospf区域内进行认证,认证对象为该区域所有的路由器,目的是为了防止该区域接入非法的,未经授权的路由器,保护路由器传递信息的安全。

明文认证

明文认证是一种不安全的认证方式,因为在路由传递过程中秘钥处于被裸露的状态,只要能够截获路由信息就能获得秘钥,不建议使用。

密文认证

密文认证是一种安全的认证方式。因为其使用MD5算法将本地数据+秘钥+随机数生成一个MD5的K值,然后将生成的K值和本地数据+随机数发送给相邻的路由器,在这个过程中并没有发送真实的秘钥。对方路由器在接收到数据后,将本地秘钥+收到的数据+收到的随机数值使用MD5算法进行运算,生成一个K值,如果两个K值相等,则表明认证成功,也收到了对方传来的路由信息。

链路认证下的明文认证
interface f0/0
ip ospf authentication
ip ospf authentication-key cisco
链路认证下的密文认证
interface f0/0
ip ospf authentication message-digest
ip ospf authentication message-digest-key 1 md5 cisco
区域认证下的明文认证
router ospf 1
area 1 authentication
interface f0/0
ip ospf authentication-key cisco

开启区域认证后要在该区域相邻路由器的相邻接口上进行认证

区域认证下的密文认证
router ospf 1
area 1 authentication message-digest
interface f0/0
ip ospf message-digest-key 1 md5 cisco

OFPF解决不规则区域

在OSPF协议中,必须进行区域划分,且区域应该符合星型结构,非骨干区域必须同时工作在骨干区域和非骨干区域,否则该非骨干区域的ABR不能进行区域间路由的共享。
解决方法为使用虚链路,创建tunnel隧道和多进程双向重发布技术。今天主要分析一下利用虚链路解决不规则区域

虚链路

连接远离骨干域的非骨干区域

OSPF 认证相关配置 ospf的认证_数据


虚链路逻辑上虚拟出一根线,将区域0和区域2连接起来,路由器3就可认为是ABR,区域0和区域2之间的路由信息便可以进行共享。路由器2与路由器3为邻居关系,使用单播通信,源目ip地址为两邻居之间最近的接口地址,开销沿途叠加。

沿途如果有区域认证,路由器3应该开启认证,因为其也为ABR

ip ospf 1
area 1 virtual-link 2.2.2.2

过滤

分发列表

分发列表是一种操作路由表显示路由条目的做法,不建议使用,因为其有局限性,本路由器过滤的路由器不会影响下游路由器

router ospf 1
distribute-list in Ethernet 0/0    //在ospf中不能使用out操作,在距离矢量中可以,距离矢量传的是路由表
access-list 1 deny host 10.5.5.5
access-list 1 permit any

filter-list

只针对3类LSA,并且在所有的ABR上都需要做

router ospf 1
area 1 filter-list perfix xx out
ip prefix-list xx seq 5 deny 10.5.5.5/32
ip prefix-list xx seq 15 permit 0.0.0.0/0 le 32

area 1 range 192.168.1.0 not-advertise

通过汇总不通告来过滤明细路由(汇总和明细都不通告),所有的ABR上都需要配置

重发布的过滤

在重发布的时候跟route-map来过滤

default-metric xx    //修改stub默认路由器的开销
area 1 nssa default-information-original

OSPF在广域网中的应用—口字型

1、

OSPF 认证相关配置 ospf的认证_数据_02


结局方法:在路由器1和2上加大cost值

2、

OSPF 认证相关配置 ospf的认证_OSPF 认证相关配置_03


解决方法:在路由器1和2之间加大cost值

在4上做去往5的汇总路由或者在路由器5上做一条去往R1的静态路由

PBR(不推荐)

3、

track 1 ip sla 1   //定义一个track监控,监控的对象是sla探针
ip sla 1   //定义一个lsa探针
icmp-echo 10.1.13.3  //定义一个ping探针
ip lsa schedule 1 life forever start-time now  //设置探针的生效时间
ip route 10.10.1.1 255.255.255.255 10.1.34.3 track 1  //如果track1监控成功那么路由失效,负责无效