OSPF通过对邻居身份进行验证可以避免接收到伪造的路由更新。与RIP认证类似,OSPF也有明文认证和MD5认证两种方式,默认情况下没有启用验证功能。与RIP不同的是OSPF开启认证的方式有两种:一种是接口上开启验证;另一种是在区域中开启验证。如果区域认证方式和接口认证方式都配置了,则以接口认证方式为准。
1.明文身份认证
如图10-17所示配置IP地址,OSPF的配置如下。
图10-17 OSPF邻居身份认证
路由器A上配置OSPF:
路由器B上配置OSPF:
因为默认情况下OSPF没有启用验证功能,此时在两个路由器上的特权配置模式下使用“show ip ospf neighbor”都可以看到已经建立起来的邻居关系。下面的指令在区域0中开启明文认证,开启后经过一个Hello报文周期,认证失败,邻居关系消失。每过一个Hello周期都会弹出认证类型不匹配的提示。
路由器A这边开启了认证后,需要路由器B同样开启认证,并且配置相同的密码后才能认证成功。下面的指令开启路由器B的区域认证,并且在接口模式配置认证密码。
路由器A的配置:
路由器B的配置:
当路由器A和路由器B上都配置了认证之后,邻居关系就再次建立起来了。如果不想对整个区域验证,而是针对某条链路进行验证,可以在接口模式打开认证,下面的指令取消区域认证,在接口上启动认证。
路由器A的配置:(www.xing528.com)
路由器B的配置:
由于已经在接口上配置了认证密码,所以当认证方式从区域认证调整为接口认证后,两台路由器之间认证通过,可以建立邻居关系。
配置的密码因为是明文,在使用“show run”等指令时能够直观看到,全局配置模式启用“service password-encryption”功能后,将以加密的形式显示。
2.MD5身份认证
OSPF的MD5验证允许在接口上配置多个密码,从而可以方便、安全地改变密码。使用的指令格式为“ip ospf message-digest-key key-id md5 key”其中“key-id”是一个取值为1~255的标识符(ID),“key”是由数字和字母组成的密码,最长16个字符。链路两端的ID与密码需要都相同才能认证成功,以下是验证过程。
取消路由器A上的明文认证:
开启路由器A上的区域MD5认证或者接口MD5认证,两者同开,接口上的认证优先。
取消路由器B上的明文认证:
上面的配置过程说明不论是ID还是密码,链路两端必须全部相同才能认证成功。设置ID的目的是能够完成不中断密码更换。一方需要更换密码时可以保留原密码和ID,增加一个新的ID和密码,然后通知另外一段增加新的ID和密码,最后双方删除旧ID和密码,这个过程不会出现中断现象。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
