设为首页   锐捷官网
用其他帐号登录:
查看: 1702|回复: 0

[讨论] 4 OSPF >> 4.4 配置举例 >> 4.4.11 OSPF认证

[复制链接]

72

主题

129

帖子

1670

积分

金牌会员

Rank: 6Rank: 6

积分
1670
发表于 2016-3-24 14:28:09 | 显示全部楼层 |阅读模式
本帖 * 后由 no_on 于 2016-6-30 10:18 编辑

4 OSPF  >>  4.4 配置举例 >> 4.4.11 OSPF认证
拓扑图
下图为一个 OSPF 路由域。网络 192.168.1.0 属于区域 0,网络 192.168.2.0 属于区域 1,网络 192.168.3.0 属于区域 2。由于实际网络结构限制,区域 2 通过虚链接同区域 0 相连。

OSPF认证

OSPF认证

应用需求
a.为了防止设备学到非认证、无效的路由,以及避免通告有效路由到非认证设备,要求在骨干区域(区域 0)配置区域认证,认证方式为 MD5 认证。
b.D 能够学习到 192.168.1.0/24(区域 0)、 192.168.2.0/24(区域 1)网段的路由;同时, B 也能学习到 192.168.3.0/24(区域 2)网段的路由。
配置要点
a.
要配置 OSPF 区域认证,需将同一个区域的所有设备上都配置区域验证模式,且配置的验证模式必须相同。本例要求Area 0 中启用区域认证,即区域 0 中的所有设备( AB)都要配置相同类型的认证。
b.虚链接属于骨干区域。当使用了虚链接链接骨干区域( Area 0)和非骨干区域( Area 2)时,如果骨干区域( Area 0采用了身份认证,那么在虚链接另一端的 ABRC)上也要配置骨干区域的身份认证。
&说明:以下仅列出了同 OSPF 区域认证相关的配置步骤,其他配置请参考配置举例“ OSPF 虚链接”。


配置 A
* 步,在区域 0 上启用 MD5 认证
A(config)#router ospf 1
A(config-router)#area 0 authentication message-digest
A(config-router)#exit
* 步,在接口上配置密码
A(config)#interface gigabitEthernet 0/1
A(config-if-GigabitEthernet 0/1)#ip ospf message-digest-key 1 md5 hello

配置 B
* 步,在区域 0 上启用 MD5 认证
B(config)#router ospf 1
B(config-router)#area 0 authentication message-digest
B(config-router)#exit
* 步,在接口上配置密码
B(config)#interface gigabitEthernet 0/3
B(config-if-GigabitEthernet 0/3)#ip ospf message-digest-key 1

第三步,在虚链接上配置密码
B(config)#router ospf 1
B(config-router)#area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 hello

配置 C
* 步,在区域 0 上启用 MD5 认证
C(config)#router ospf 1
C(config-router)#area 0 authentication message-digest
* 步,在虚链接上配置密钥
C(config)#router ospf 1
C(config-router)#area 1 virtual-link 2.2.2.2 message-digest-key 1 md5 hello

配置验证
* 步,仅在 A B 上配置认证功能,未在 C 上配置认证时,查看设备 OSPF 信息
!查看 B 的虚链路配置信息
B#show ip ospf virtual-links
Virtual Link VLINK0 to router 3.3.3.3 is up
Transit area 0.0.0.1 via interface GigabitEthernet 0/3
Local address 192.168.2.1/32
Remote address 192.168.2.2/32
Transmit Delay is 1 sec, State Point-To-Point,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:09
Adjacency state Down
从以上显示信息可以看出,邻居链路状态为 down
!查看 C 的虚链路配置信息
C#show ip ospf virtual-links
Virtual Link VLINK0 to router 2.2.2.2 is up
Transit area 0.0.0.1 via interface GigabitEthernet 0/3

Local address 192.168.2.2/32
Remote address 192.168.2.1/32
Transmit Delay is 1 sec, State Point-To-Point,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:08
Adjacency state Down
从以上显示信息可以看出,邻居链路状态为 down
!查看 A OSPF 路由信息
A#show ip route ospf
O IA 192.168.2.0/24 [110/2] via 192.168.1.2, 00:10:59, GigabitEthernet 0/1
从以上信息可以看出, A 未能学习到区域 2 的路由。

* 步,在 A B 上配置认证功能,同时在 C 上配置区域 0 的身份认证,查看设备 OSPF 信息
!查看 B 的虚链路配置信息
B#show ip ospf virtual-links
Virtual Link VLINK0 to router 3.3.3.3 is up
Transit area 0.0.0.1 via interface GigabitEthernet 0/3
Local address 192.168.2.1/32
Remote address 192.168.2.2/32
Transmit Delay is 1 sec, State Point-To-Point,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:01
Adjacency state Full
从以上显示信息可以看出,邻居状态为 Full
!查看 C 的虚链路配置信息
C#show ip ospf virtual-links
Virtual Link VLINK0 to router 2.2.2.2 is up
Transit area 0.0.0.1 via interface GigabitEthernet 0/3

Local address 192.168.2.2/32
Remote address 192.168.2.1/32
Transmit Delay is 1 sec, State Point-To-Point,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:00
Adjacency state Full
从以上显示信息可以看出,邻居状态为 Full
!查看 A OSPF 路由信息
A#show ip route ospf
O IA 192.168.2.0/24 [110/2] via 192.168.1.2, 00:21:30, GigabitEthernet 0/1
O IA 192.168.3.0/24 [110/3] via 192.168.1.2, 00:03:18, GigabitEthernet 0/1

从以上信息可以看出, A 成功学习到区域 2 的路由。
第三步,查看 A OSPF 一般信息。
A#show ip ospf
Routing Process "ospf 1" with ID 1.1.1.1
Process uptime is 18 hours 22 minutes
Process bound to VRF default
Conforms to RFC2328, and RFC1583Compatibility flag is enabled
Supports only single TOS(TOS0) routes
Supports opaque LSA
Enable two-way-maintain
Initial SPF schedule delay 1000 msecs
Minimum hold time between two consecutive SPFs 5000 msecs
Maximum wait time between two consecutive SPFs 10000 msecs
Initial LSA throttle delay 0 msecs
Minimum hold time for LSA throttle 5000 msecs
Maximum wait time for LSA throttle 5000 msecs
Lsa Transmit Pacing timer 40 msecs, 10 LS-Upd
Minimum LSA arrival 1000 msecs
Pacing lsa-group: 240 secs
Number of incomming current DD exchange neighbors 0/5
Number of outgoing current DD exchange neighbors 0/5
Number of external LSA 0. Checksum 0x000000
Number of opaque AS LSA 0. Checksum 0x000000
Number of non-default external LSA 0
External LSA database is unlimited.
Number of LSA originated 2
Number of LSA received 244
Log Neighbor Adjency Changes : Enabled
Number of areas attached to this router: 1: 1 normal 0 stub 0 nssa
Area 0 (BACKBONE)
Number of interfaces in this area is 1(1)
Number of fully adjacent neighbors in this area is 1
Area has message digest authentication
SPF algorithm last executed 17:24:38.030 ago
SPF algorithm executed 11 times
Number of LSA 7. Checksum 0x032955
以上信息正确显示区域已开启认证功能。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则