關於ospf認證的實驗,拓撲如下:
R1的lo0處於area 0(這個倒無所謂),R1和R2間有兩條線連接,serial和fastethernet,R3的lo0處於area 2
正常的認證配置就不寫了,講ospf的書裏都有的,推薦卷一呵CCNP學習指南(BSCI)第三版。說點兒以前不知道的
R1和R2配了area 0的區域認證,所有的接口都沒有配接口認證,串口的neighbor關係還在,但快速以太口的neighbor關係會丟失。
關於上一條需要說明的是,上述情況下,虛鏈路的neighbor關係可能會丟失,可能還存在。如果存在,重啓一下R2或R3的OSPF進程,關係將會丟失。不重啓OSPF進程,過一段時間(我等了20多分鐘),在R2上會出現一下一個顯示:
OSPF-5-ADJCHG: Process 10, Nbr 3.3.3.3 on OSPF_VL0 from FULL to DOWN, Neighbor Down: Too many retransmissions
這裏鄰居關係的丟失是因爲虛鏈路的接口是屬於Area 0的,所以配了area 0的認證,不配虛鏈路認證的話,鄰居關係就會丟失。此時,因爲R2上有了area 0 authentication的命令,如果show ip ospf virtual-link可以看到,默認的R2上虛鏈路認證已經enable了。所以只要在R3上啓用虛鏈路認證或area 0認證就可以再次建立虛鏈路上的鄰居關係。
還有一個比較有意思的地方是,在配區域認證的時候,可以不斷的配認證命令,如:
area 0 authentication authentication-key authentication message-digest authentication……
諸如此類的一直下,而此條最後一個將會寫入running-config。而且,剛敲下去的命令前面加上no是刪除不掉的,真是詭異……
用明文建立鄰居關係時,debug ip ospf adj查看不到密碼匹配的顯示,不過如果匹配失敗倒是會有顯示。用md5認證,則既有匹配的顯示也有不匹配的顯示。
關於上一條需要說明的是,上述情況下,虛鏈路的neighbor關係可能會丟失,可能還存在。如果存在,重啓一下R2或R3的OSPF進程,關係將會丟失。不重啓OSPF進程,過一段時間(我等了20多分鐘),在R2上會出現一下一個顯示:
OSPF-5-ADJCHG: Process 10, Nbr 3.3.3.3 on OSPF_VL0 from FULL to DOWN, Neighbor Down: Too many retransmissions
這裏鄰居關係的丟失是因爲虛鏈路的接口是屬於Area 0的,所以配了area 0的認證,不配虛鏈路認證的話,鄰居關係就會丟失。此時,因爲R2上有了area 0 authentication的命令,如果show ip ospf virtual-link可以看到,默認的R2上虛鏈路認證已經enable了。所以只要在R3上啓用虛鏈路認證或area 0認證就可以再次建立虛鏈路上的鄰居關係。
還有一個比較有意思的地方是,在配區域認證的時候,可以不斷的配認證命令,如:
area 0 authentication authentication-key authentication message-digest authentication……
諸如此類的一直下,而此條最後一個將會寫入running-config。而且,剛敲下去的命令前面加上no是刪除不掉的,真是詭異……
用明文建立鄰居關係時,debug ip ospf adj查看不到密碼匹配的顯示,不過如果匹配失敗倒是會有顯示。用md5認證,則既有匹配的顯示也有不匹配的顯示。
另外,配完認證後,如果使用了密鑰,最好配上service password-encryption的命令。實際工作中有用,做實驗就沒用了。