由於考試出了關於OSPF身份認證的題,有的同學對OSPF認證不是太熟悉,我就寫了這篇文章希望對大家有所幫助。
OSPF認證分爲區域認證和接口認證,加密方法分爲簡單加密和MD5加密。
(下面所講的都是在網絡設備正確安裝配置,OSPF協議正常運行,網絡全互聯狀態下)
(一)首先先講下接口下的認證:
1.接口下基於明文的認證
R1(config)#interface serial 1/1
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key free
R1(config-if)#exit
這時候debug會出現以下信息
00:30:33: OSPF: 192.168.1.5 address 192.168.1.2 on Serial1/1 is dead
00:30:33: OSPF: 192.168.1.5 address 192.168.1.2 on Serial1/1 is dead, state DOWN
00:30:33: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.5 on Serial1/1 from FULL to DOWN, Neighbor Down: Dead timer expired
00:30:35: OSPF: Rcv pkt from 192.168.1.2, Serial1/1 : Mismatch Authentication type. Input packet specified type 0, we use type 1
00:54:45: OSPF: Rcv pkt from 192.168.1.2, Serial1/1 : Mismatch Authentication Key - Clear Text
大意爲認證的失敗導致鄰居關係DOWN,明文認證。
這時候就需要在對端接口下啓用相同命令就可以正常建立鄰居關係。
2.接口下基於MD5認證:
R1(config)#interface serial 1/1
R1(config-if)#ip ospf authentication message-digest
R1(config-if)#ip ospf message-digest-key 1 md5 free
命令和上面的明文差不多,第一句是啓用基於MD5的認證,第二句中數字1是key ID,範圍爲1-255。md5後面爲密碼,16位以內字符即可,不過雙方需要一致。
配置完成同樣會出現鄰接關係DOWN掉的提示,依舊在對方配置相同信息即可。
(二)下面講講基於區域的認證。
1.基於區域的明文認證:
R1(config)#router ospf 1
R1(config-router)#area 1 authentication (區域1開啓認證)
R1(config-router)#exit
R1(config)#interface serial 1/1
R1(config-if)#ip ospf authentication-key free(配置認證的明文密碼)
配置完成後會出現下面的提示
01:10:25: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.5 on Serial1/1 from FULL to DOWN, Neighbor Down: Dead timer expired
這時候同樣在對方配上相同信息即可。
2.基於區域的MD5認證:
R1(config)#router ospf 1
R1(config-router)#area 1 authentication message-digest (區域1開啓MD5認證)
R1(config-router)#exit
R1(config)#interface serial 1/1
R1(config-if)#ip ospf message-digest-key 1 md5 free(配置認證的MD5密碼)
然後同樣在對方配置完成即可正常建立鄰居關係。
當然,當你想更換密碼的話,可以用一下命令,
R1(config)#interface serial 1/1
R1(config-if)#ip ospf message-digest-key 2 md5 free2
這樣OSPF在發送數據時會同時使用1和2兩種加密密碼,發送兩份不同數據。當兩端同時配好,2可以正常使用,就可以no掉1了。這樣做不影響正常鄰居關係。
說的很多,其實OSPF的身份認證還是比較簡單的。
本文鏈接地址:http://www.free1990.com/wangluo/13.html