Аутентификация OSPF
Существует три типа аутентификации OSPF: Null (Тип 0), Simple Text (Тип 1) и MD5 (Тип 2). При Null-аутентификации обмен маршрутной информацией в сети не аутентифицируется. В случае Simple Text аутентификация одинакова для всех маршрутизаторов, использующих OSPF в сети. Для MD5-аутентификации необходимо настроить ключ и идентификатор ключа на каждом маршрутизаторе. Маршрутизатор генерирует дайджест сообщения на основе ключа, идентификатора ключа и пакета OSPF, и добавляет его в пакет OSPF.
Тип аутентификации можно настроить как на уровне интерфейса, так и на уровне area. Кроме того, можно использовать аутентификацию интерфейса и area одновременно. Аутентификация area применяется для всей area, а аутентификация интерфейса — для конкретного интерфейса в area. Если тип аутентификации интерфейса отличается от типа аутентификации area, то тип аутентификации интерфейса имеет приоритет над типом аутентификации area. Если тип аутентификации для интерфейса не указан, используется тип аутентификации area. Описание команд аутентификации содержит подробности о каждом типе аутентификации.
В приведенном ниже примере на SW1 и SW2 настроена аутентификация как на уровне интерфейса, так и на уровне area. Тип аутентификации интерфейса eth1 на SW1 и интерфейса eth0 на SW2 — MD5, и он определяется командой аутентификации area. Однако тип аутентификации интерфейса eth2 на SW1 и интерфейса eth1 на SW2 — текстовый режим, и он определяется командой ip ospf authentication. Эта команда для интерфейса имеет приоритет над командой area authentication.
Топология
Рисунок 4-66: Топология аутентификации OSPF
SW1
#configure terminal | Перейти в режим конфигурации. |
(config)#router ospf 100 | Настроить процесс маршрутизации и указать идентификатор процесса (100). Идентификатор процесса должен быть уникальным положительным числом, идентифицирующим процесс маршрутизации. |
(config-router)#network 10.10.10.0/24 area 0 (config-router)#network 10.10.11.0/24 area 0 | Определить интерфейсы, на которых работает OSPF, и связать идентификатор area (0) с интерфейсом (area 0 указывает магистральную area). |
(config-router)#area 0 authentication message-digest | Включить MD5-аутентификацию для area 0. |
(config-router)#exit | Выйти из режима маршрутизатора и вернуться в режим конфигурации. |
(config)#interface eth1 | Перейти в режим конфигурации интерфейса. |
(config-if)#ip ospf message-digest-key 1 md5 test | Зарегистрировать MD5-ключ test для аутентификации OSPF. Идентификатор ключа — 1. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface eth2 | Перейти в режим конфигурации интерфейса. |
(config-if)#ip ospf authentication | Включить использование текстовой аутентификации для пакетов OSPF на текущем интерфейсе (eth2). |
(config-if)#ip ospf authentication-key test | Указать пароль аутентификации OSPF (test) для соседних маршрутизаторов. |
SW2
#configure terminal | Перейти в режим конфигурации. |
(config)#router ospf 100 | Настроить процесс маршрутизации и указать идентификатор процесса (100). Идентификатор процесса должен быть уникальным положительным числом, идентифицирующим процесс маршрутизации. |
(config-router)#network 10.10.10.0/24 area 0 (config-router)#network 10.10.11.0/24 area 0 | Определить интерфейсы, на которых работает OSPF, и связать идентификатор area (0) с интерфейсом (area 0 указывает магистральную area). |
(config-router)#area 0 authentication message-digest | Включить MD5-аутентификацию для area 0. |
(config-router)#exit | Выйти из режима маршрутизатора и вернуться в режим конфигурации. |
(config)#interface eth2 | Перейти в режим конфигурации интерфейса. |
(config-if)#ip ospf message-digest-key 1 md5 test | Зарегистрировать MD5-ключ test для аутентификации OSPF. Идентификатор ключа — 1. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface eth1 | Перейти в режим конфигурации интерфейса. |
(config-if)#ip ospf authentication | Включить использование текстовой аутентификации для пакетов OSPF на текущем интерфейсе (eth1). |
(config-if)#ip ospf authentication-key test | Указать пароль аутентификации OSPF (test) для соседних маршрутизаторов. |
Проверка
SW1
SW1#sh running-config
!
no service password-encryption
!
hostname SW1
!
logging monitor 7
!
ip vrf management
!
ip domain-lookup
!
ip pim register-rp-reachability
!
interface lo
mtu 65536
ip address 127.0.0.1/8
ipv6 address ::1/128
!
interface eth0
ip address 10.12.26.88/24
!
interface eth1
ip address 10.10.10.10/24
ip ospf message-digest-key 1 md5 0x293da85becc67703
!
interface eth2
ip address 10.10.11.10/24
ip ospf authentication
ip ospf authentication-key 0x293da85becc67703
!
interface eth3
!
interface eth4
!
interface eth5
!
interface eth6
!
interface eth7
!
router ospf 100
area 0.0.0.0
authentication message-digest
network 10.10.9.0/24 area 0.0.0.0
network 10.10.10.0/24 area 0.0.0.0
network 10.10.11.0/24 area 0.0.0.0
network 10.10.12.0/24 area 0.0.0.0
cspf disable-better-protection
!
line con 0
login line vty 0 39
login
!
end
SW1#sh ip ospf neighbor
Total number of full neighbors: 1 OSPF process 100 VRF(default):
Neighbor ID Pri State Dead Time Address Interface Instance ID
10.12.26.89 1 Full/DR 00:00:38 10.10.10.50 eth1 0
SW2
SW2#sh running-config
!
no service password-encryption
!
hostname SW2
!
logging monitor 7
!
ip vrf management
!
ip domain-lookup
!
ip pim register-rp-reachability
!
interface lo
mtu 65536
ip address 127.0.0.1/8
ipv6 address ::1/128
!
interface eth0
ip address 10.12.26.89/24
!
interface eth1
ip address 10.10.11.50/24
ip ospf authentication
ip ospf authentication-key 0x293da85becc67703
!
interface eth2
ip address 10.10.10.50/24
ip ospf message-digest-key 1 md5 0x293da85becc67703
ip ospf cost 100
!
interface eth3
!
interface eth4
!
interface eth5
!
interface eth6
!
router ospf 100
area 0.0.0.0 authentication message-digest
network 10.10.10.0/24 area 0.0.0.0
network 10.10.11.0/24 area 0.0.0.0
cspf disable-better-protection
!
line con 0
login line vty 0 39
login
!
end
SW2#sh ip ospf neighbor
Total number of full neighbors: 1 OSPF process 100 VRF(default):
Neighbor ID Pri State Dead Time Address Interface Instance ID
10.12.26.88 1 Full/Backup 00:00:33 10.10.10.10 eth2 0