27 – OSPF 驗證
一. 明文和MD5
在哪裡做密鑰
|
在哪裡啟用
|
|
接口驗證
|
interface
|
interface
|
區域驗證
|
interface
|
process
|
虛擬鏈路驗證
|
process
|
process
|
一. 接口驗證
1. 明文
R1(config)# interface
ethernet 0/0
R1(config-if)# ip ospf
authentication-key cisco
意思是說:我在接口下做了一把明文鑰匙
R1(config-if)# ip ospf
authentication
啟用這把明文鑰匙
R1# show run int eth 0/0
接口驗證是在接口下啟用鑰匙,在接口下啟用。
R2(config)# interface
ethernet 0/0
R2(config-if)# ip ospf
authentication-key cisco R2(config-if)# ip ospf authentication
兩邊的密碼要一樣
2. MD5
R1(config)# interface
ethernet 0/0
R1(config-if)# ip ospf message-digest-key
1 md5 cisco
ip ospf message-digest-key 第幾把 md5 密碼
定義鄰居路由器使用的密鑰ID和密鑰。
鄰居路由器必須配置相同的密鑰ID和密鑰組合。
R1(config-if)# ip ospf
authentication message-digest
啟用這把MD5鑰匙
R1# show run int eth 0/0
下面是創建鑰匙,上面是啟用鑰匙
R2(config)# interface
ethernet 0/0
R2(config-if)# ip ospf message-digest-key
1 md5 ciscoR2(config-if)# ip ospf authentication message-digest
二. 區域驗證
做區域1的驗證
1. MD5
R2(config)# interface
ethernet 0/1
R2(config-if)# ip ospf message-digest-key
1 md5 ciscoR2(config-if)# exit
開啟驗證在進桯下
R2(config)# router ospf 1
R2(config-router)# area 1
authentication message-digest
R3(config)# interface
ethernet 0/0
R3(config-if)# ip ospf message-digest-key
1 md5 cisco
R3(config-if)# exit
R3(config)# router ospf 1R3(config-router)# area 1 authentication message-digest
R3# show run int eth 0/0
在接口下去開起密鑰
R3# show run | se ospf
然後在進程下做開啟驗證
三. 虛擬鏈路驗證 14:30
虛擬鏈路是在R2跟R3之間,首先考慮這個密鑰在哪啟用
R2# show run | se ospf
R2(config)# router ospf 1
R2(config-router)# area 1 virtual-link
33.1.1.1 message-digest-key 1 md5 cisco在進程下開起密鑰
R2(config-router)# area 1 virtual-link 33.1.1.1 authentication message-digest
然後在進程下做開啟驗證
R3(config)# router ospf 1
R3(config-router)# area 1 virtual-link
22.1.1.1 message-digest-key 1 md5 ciscoR3(config-router)# area 1 virtual-link 22.1.1.1 authentication message-digest
R3# show run | se ospf
針對區域0來做驗證,在看看虛擬鏈路會不會有問題 19:00
先把虛擬鏈路建起來
R2(config)# router ospf 1R2(config-router)# area 1 virtual-link 33.1.1.1
R3(config)# router ospf 1
R3(config-router)# area 1 virtual-link
22.1.1.1
R3# show ip ospf neighbor
virtual-link他是沒有Dead Time,因為他的Hello包被抑制掉了,會一直UP狀態。
R3# show ip ospf virtual-links
只要一開始virtual-link建立起來了,他後續是沒有Hello包來維持這個鏈路,除非你重新清一下,讓他在重新建立virtual-link,驗證才會有效執行。
現在要做區域的驗證,之前R1和R2已做了接口驗證,還是可以在做區域驗證。
之前已經開起密鑰,現在只要激活這把鑰匙就好
R1(config)# router ospf 1
R1(config-router)# area 0
authentication message-digest
R2(config)# router ospf 1
R2(config-router)# area 0
authentication message-digest
R2# show run | se ospf
做完區域0的驗證完全不會影響虛擬鏈路,現在要讓虛擬鏈路受影響就要清一下
R1# clear ip ospf process
R2# clear ip ospf process
R3# clear ip ospf process
清完後虛擬鏈路就down下來了,所以虛擬鏈路一定要做驗證。
現在要針對虛擬鏈路來做驗證
R2(config)# router ospf 1
R2(config-router)# area 1 virtual-link
33.1.1.1 message-digest-key 1 md5 ciscoR2(config-router)# area 1 virtual-link 33.1.1.1 authentication message-digest
R3(config)# router ospf 1
R3(config-router)# area 1 virtual-link
22.1.1.1 message-digest-key 1 md5 ciscoR3(config-router)# area 1 virtual-link 22.1.1.1 authentication message-digest
R2# show ip osfp neighbor
這就說明了虛擬鏈路是屬於區域0的,反過來虛擬鏈路做驗證區域0可以不用做驗證。
MD5驗證的排錯
1. 兩端都啟用MD5驗證
2. R1配置Key 1,R2配置Key 2,雙方配置相同的密碼 
OSPF 驗證總結 27:30
1. 接口驗證只跟相應接口所在的鏈路有關係
2. 虛擬鏈路驗證也是一種特殊的接口驗證3. 區域驗證是所有在相應區域裡面的接口驗證
做了區域驗證,就是做了這個區域裡的所有接口驗證
4. 虛擬鏈路屬於區域0
5. 區域0做驗證,虛擬鏈路必須做驗證或者有關虛擬鏈路的路由器做區域0的驗證
6. 虛擬鏈路做驗證,區域0不需要做驗證
有關虛擬鏈路的路由器做區域0的驗證
30:00