作者:兔砸网工-阿毛
1.OSPF认证概述
OSPF认证分为区域认证与接口认证,当使用区域认证方式时,一个区域中所有的路由器在该区域下的认证模式和密码必须一致,不一致则无法建立OSPF邻居关系;当使用接口认证方式时,相邻的路由器之间需要设置同样认证模式和密码,不一致则无法建立OSPF邻居关系,需要注意的是接口认证方式的优先级要高与区域认证方式,也就是当相邻的路由器同时使用区域认证与接口认证时,如果接口认证不通过,即使区域认证通过也无法建立OSPF邻居关系。
2.实验需求
AR1、AR2、AR3都运行OSPF协议,并划分在Area 0中。为了保证整个网络的安全性,在各个路由器上的Area 0上设置区域认证,认证模式为cipher,密码为123456。在AR2与AR3的互联接口上设置接口认证,认证模式均为cipher,AR2的密码为123456,AR3的密码为654321。最终实现AR3无法与AR2建立OSPF邻居关系,但可以与AR1建立OSPF邻居关系。
实验拓扑图如下:
3.实验思路
1.各AR路由器配置IP地址。
2.各AR路由器使能OSPF进程、配置Area 0并宣告相应接口。
3.各AR路由器按规划配置区域认证。
4.AR3与AR2按规划在互联接口配置接口认证。
5.配置完成后,检查AR3的OSPF邻居关系表是否存在AR1的邻居关系,以及在AR3的OSPF错误信息中查看无法与AR2建立邻居关系的原因。
4.实验步骤
步骤一 各AR路由器配置IP地址(略)
步骤二 各AR路由器使能OSPF进程、配置Area 0并宣告相应接口
AR1使能OSPF进程、配置Area 0并宣告相应接口
[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255AR2使能OSPF进程、配置Area 0并宣告相应接口
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255AR3使能OSPF进程、配置Area 0并宣告相应接口
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255步骤三 各AR路由器按规划配置区域认证
AR1配置区域认证,认证模式为cipher,密码为123456
[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456AR2配置区域认证,认证模式为cipher,密码为123456
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456AR3配置区域认证,认证模式为cipher,密码为123456
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456步骤四 AR3与AR2按规划在互联接口配置接口认证
AR2配置接口认证,认证模式为cipher,密码为123456
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ospf authentication-mode simple cipher 123456AR3配置接口认证,认证模式为cipher,密码为654321
[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0]ospf authentication-mode simple cipher 6543215.实验结果
验证1:AR3的OSPF邻居表中只存在AR1的邻居关系
AR3的OSPF邻居表
上图可以看到AR3只有AR1一个OSPF邻居。
验证2:AR3的OSPF错误信息中显示无法与AR2建立邻居关系的原因
AR3的OSPF错误信息
上图可以看出,在AR3与AR2的互联接口的OSPF错误信息中无法在该接口建立OSPF邻居关系的原因为认证失败。
6.配置命令参考
AR1
sysname AR1
interface GigabitEthernet0/0/0
ip address 10.1.12.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.1.13.1 255.255.255.0
ospf 1
area 0.0.0.0
authentication-mode simple cipher 123456
network 10.1.12.0 0.0.0.255
network 10.1.13.0 0.0.0.255AR2
sysname AR2
interface GigabitEthernet0/0/0
ip address 10.1.12.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.1.23.2 255.255.255.0
ospf authentication-mode simple cipher 123456
ospf 1
area 0.0.0.0
authentication-mode simple cipher 123456
network 10.1.12.0 0.0.0.255
network 10.1.23.0 0.0.0.255AR3
sysname AR3
interface GigabitEthernet0/0/0
ip address 10.1.23.3 255.255.255.0
ospf authentication-mode simple cipher 654321
interface GigabitEthernet0/0/1
ip address 10.1.13.3 255.255.255.0
ospf 1
area 0.0.0.0
authentication-mode simple cipher 123456
network 10.1.13.0 0.0.0.255
network 10.1.23.0 0.0.0.255