一、知识补充

1、基本概述

OSPF区域认证和端口认证是两种不同的认证机制,用于增强OSPF协议的安全性。

  1. OSPF区域认证(OSPF Area Authentication):这种认证机制是基于区域的。在OSPF网络中,每个区域都可以配置一个区域密码(Area Password)。当路由器在某个区域之间进行邻居关系建立时,需要进行区域认证。路由器之间交换的Hello消息中包含了区域密码,并且接收到的密码必须与本地配置的密码一致才能建立邻居关系。区域密码可以确保只有知道密码的合法路由器才能加入该区域。
  2. 端口认证(OSPF Interface Authentication):这种认证机制是基于接口的。在OSPF网络中,每个接口都可以配置一个接口密码(Interface Password)。当路由器通过某个接口与邻居路由器建立邻居关系时,需要进行接口认证。路由器之间交换的Hello消息中包含了接口密码,并且接收到的密码必须与本地配置的密码一致才能建立邻居关系。接口密码可以防止未经授权的设备接入OSPF网络。

这些认证机制提供了一定程度的安全性,可以防止未经授权的路由器或设备加入OSPF网络。通过配置合适的区域密码和接口密码,可以确保只有知道密码的合法设备才能建立OSPF邻居关系,并参与路由信息的交换。这有助于防止恶意攻击、未经授权的路由器加入网络、或者数据篡改等安全问题。

2、ospf支持的三种认证类型

  1. 类型0:不要求认证,当没有该命令启用OSPF认证,OSPF数据包中的认证类型为0
  2. 类型1:为明文认证模式,配置该命令时,没有使用message-digest选项
  3. 类型2:为MD5认证模式,没配置该命令时,使用message-digest选项。一个OSPF区域中所有的路由设备,必须采用同一种认证类型。如果启用了认证,还必须在有连接邻居的接口配置认证口令

二、配置需求及拓扑图

三、配置步骤

基础配置不作描述

1、ospf配置

R1

R1(config)#router ospf 10R1(config-router)#router-id 1.1.1.1Change router-id and update OSPF process! [yes/no]:yR1(config-router)#network 1.1.1.1 0.0.0.0 area 0R1(config-router)#network 192.168.1.0 0.0.0.255 area 0R1(config-router)#exit

R2

R2(config)#router ospf 1R2(config-router)#router-id 2.2.2.2Change router-id and update OSPF process! [yes/no]:yR2(config-router)#network 2.2.2.2 0.0.0.0 area 0R2(config-router)#network 192.168.1.0 0.0.0.255 area 0R2(config-router)#network 192.168.2.0 0.0.0.255 area 0R2(config-router)#exit

R3

R3(config)#router ospf 1R3(config-router)#router-id 3.3.3.3Change router-id and update OSPF process! [yes/no]:yR3(config-router)#network 3.3.3.3 0.0.0.0 area 0R3(config-router)#network 192.168.2.0 0.0.0.255 area 0R3(config-router)#exit

R2查看邻居关系

2、ospf认证

R1

R1(config)#router ospf 1R1(config-router)#area 0 authentication message-digest // 配置区域认证R1(config-router)#exitR1(config)#int g0/1R1(config-if-GigabitEthernet 0/1)#ip ospf authentication message-digest //配置接口认证ernet 0/1)#ip ospf message-digest-key 1 md5 ruijie // 设置MD5认证方式,密钥为ruijieR1(config-if-GigabitEthernet 0/1)#exit

R2

R2(config)#router ospf 1R2(config-router)#area 0 authentication message-digest R2(config-router)#exitR2(config)#int g0/1R2(config-if-GigabitEthernet 0/1)#ip ospf authentication message-digest ernet 0/1)#ip ospf message-digest-key 1 md5 ruijieR2(config-if-GigabitEthernet 0/1)#exitR2(config)#int g0/0R2(config-if-GigabitEthernet 0/0)#ip ospf authentication message-digest R2(config-if-GigabitEthernet 0/0)#ip ospf message-digest-key 1 md5 ruijieR2(config-if-GigabitEthernet 0/0)#exit

R3还没认证,所以会弹出错误信息

R3

R3(config)#router ospf 1R3(config-router)#area 0 authenticationmessage-digest R3(config-router)#R3(config-router)#exitR3(config)#int g0/0R3(config-if-GigabitEthernet 0/0)#ip ospf authentication message-digest R3(config-if-GigabitEthernet 0/0)#ip ospf message-digest-key 1 md5 ruijieR3(config-if-GigabitEthernet 0/0)#exit

R2查看邻居

四、效果验证

连通性测试