组网要求:
1. AR1、AR2、AR3及AR4运行OSPF;
2. 为保证骨干区域area0的安全性,需在area0开启区域认证,使用MD5的认证方式,密码为123456;
3. AR3与AR4之间开启OSPF接口认证,使用明文的认证方式,密码为123456;
一、eNSP实际操作视频:
二、主要知识点:
OSPF认证OSPF认证是基于网络安全性的要求而实现的一种加密手段,通过在OSPF报文中增加认证字段对报文进行加密。当本地设备接收到远端设备发送过来的OSPF报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
根据报文的种类,认证可以分为以下两类:
区域认证:在OSPF区域视图下配置,对本区域的所有接口下的报文进行认证。
接口认证:在接口视图下配置,对本接口的所有报文进行认证。
根据报文的认证方式,可以分为:
n 空认证:不进行认证。
n 简单认证:这是一种简单的加密方式,将配置的密码直接加入报文中,这种加密方式安全性不高。
n MD5(Message Digest 5)认证:通过将配置的密码进行MD5等加密算法之后再加入报文中,这样提高了密码的安全性。目前支持MD5/HMAC-MD5(Hash Message Authentication Code for Message Digest 5)。为了保证更好的安全性,建议不要使用MD5算法,推荐使用HMAC-SHA256算法。
n Keychain认证:Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。Keychain可以滚动选择认证密钥来增强防攻击性。
n Keychain为OSPF提供了认证保护,Keychain通过动态的更改认证算法和密钥,提高了OSPF的安全性。应用Keychain认证,除了可以对OSPF协议报文进行认证之外,还可以对TCP建立连接的过程进行认证。Keychain的详细描述请参见《NE设备特性描述-安全》中Keychain章节。
n HMAC-SHA256(Hash Message Authentication Code for Secure Hash Algorithm 256)认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性。
说明:
l 在同一网络中的多台设备,当配置的接口认证完全相同,才能建立OSPF邻居。
l 如果多台设备在同一个区域中,必须将区域认证配置成完全相同。
三、IP设置:
AR1:192.168.10.1/24
AR2:192.168.10.2/24,192.168.20.1/24
AR3:192.168.20.2/24,192.168.30.1/24
AR4:192.168.30.2/24
四、AR1的主要配置文件:
#
sysname AR1
#
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
ospf 1
area 0.0.0.0
authentication-mode md5 1 cipher %$%$*r15'VQYG1]{hm9*{4=5yVqy%$%$ //开启area0区域认证,认证方式为MD5,密文,密码是123456
network 192.168.10.0 0.0.0.255
#
return
五、AR2的主要配置文件:
#
sysname AR2
#
interface GigabitEthernet0/0/0
ip address 192.168.10.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.20.1 255.255.255.0
#
ospf 1
area 0.0.0.0
authentication-mode md5 1 cipher %$%${GCH/hWO`Fkd\lJro.RTyW2v%$%$
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
#
return
六、AR3的主要配置文件:
#
sysname AR3
#
interface GigabitEthernet0/0/0
ip address 192.168.20.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.30.1 255.255.255.0
ospf authentication-mode simple cipher %$%$$6:$$1jyw']sko/n6-<Xy`/5%$%$ //启用接口认证,建立邻居关系。这里的simple关键字指的是认证方式为明文,也就是说认证密码会以明文的形式包含在OSPF报文中,这显然是不安全的。因此推荐使用MD5的方式。
#
ospf 1
area 0.0.0.0
authentication-mode md5 1 cipher %$%$(MkI0:-p`2'HXf-Dcw!7y\:$%$%$
network 192.168.20.0 0.0.0.255
area 0.0.0.1
network 192.168.30.0 0.0.0.255
#
return
七、AR4的主要配置文件:
#
sysname AR4
#
interface GigabitEthernet0/0/0
ip address 192.168.30.2 255.255.255.0
ospf authentication-mode simple cipher %$%$EKng;WoKXM:<#%6)OiUWy`=\%$%$
#
ospf 1
area 0.0.0.1
network 192.168.30.0 0.0.0.255
#
return
八、验证配置结果:
1、在AR1上查看OSPF的情况
[AR1]disp ospf bri
OSPF Process 1 with Router ID 192.168.10.1
OSPF Protocol Information
RouterID: 192.168.10.1 Border Router:
Multi-VPN-Instance is not enabled
Global DS-TE Mode: Non-Standard IETF Mode
Graceful-restart capability: disabled
Helper support capability : not configured
Applications Supported: MPLS Traffic-Engineering
Spf-schedule-interval: max 10000ms, start 500ms, hold 1000ms
Default ASE parameters: Metric: 1 Tag: 1 Type: 2
Route Preference: 10
ASE Route Preference: 150
SPF Computation Count: 9
RFC 1583 Compatible
Retransmission limitation is disabled
Area Count: 1 Nssa Area Count: 0
ExChange/Loading Neighbors: 0
Process total up interface count: 1
Process valid up interface count: 1
Area: 0.0.0.0 (MPLS TE not enabled)
Authtype: MD5 Area flag: Normal
SPF scheduled Count: 9
ExChange/Loading Neighbors: 0
Router ID conflict state: Normal
Area interface up count: 1
Interface: 192.168.10.1 (GigabitEthernet0/0/0)
Cost: 1 State: BDR Type: Broadcast MTU: 1500
Priority: 1
Designated Router: 192.168.10.2
Backup Designated Router: 192.168.10.1
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
2、在AR1上查看路由表。
[AR1]disp ip rout
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost Flags NextHop Interface
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0
192.168.20.0/24 OSPF 10 2 D 192.168.10.2 GigabitEthernet
0/0/0
192.168.30.0/24 OSPF 10 3 D 192.168.10.2 GigabitEthernet
0/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。
,