书签分享收藏举报版权申诉 / 83

立即下载加入VIP免费专享

当前位置：首页 > 建筑/施工/环境 > 项目建议 > 配置OSPF邻居认证.ppt

配置OSPF邻居认证.ppt

上传人：文库蛋蛋多

文档编号：2867957

上传时间：2023-02-27

格式：PPT

页数：83

大小：610KB

《配置OSPF邻居认证.ppt》由会员分享，可在线阅读，更多相关《配置OSPF邻居认证.ppt（83页珍藏版）》请在三一办公上搜索。

1、1,6.9 配置OSPF邻居认证,6.9.1操作内容和环境操作内容：本节主要介绍在思科路由器上配置OSPF邻居认证的命令和方法，通过学习，了解并掌握多区域中OSPF路由器之间邻居认证方式：明文认证和MD5算法密文认证。组网环境：Router3是思科CISCO 3725路由器，IOS为c3725-jk9s-mz.123-12a（版本为12.3），Router1和Router2是思科CISCO 2621XM路由器，IOS为c2600-adventerprisek9-mz.123-11.T3（版本为12.3）。PC机3台，DTE-DCE交叉电缆（V35电缆）1对，交叉网线1根(或一台交换机和2根直通

2、网线)，console配置电缆3根。Router1以太网口与Router3的以太网口通过交叉网线相连或通过交换机相连，Router1串口与Router3的串口通过V35电缆相连。(图中的Fa0/0代表快速以太网FastEtherent0/0端口)。,2,图6-11 OSPF邻居认证配置拓扑结构图,3,6.9.2 相关知识介绍(基础知识)OSPF协议支持基于接口的OSPF报文认证，认证OSPF相邻路由器的身份，以保证OSPF报文来自经认证的邻居路由器，防止未授权的邻居向自己传递包含虚假路由信息的的OSPF报文OSPF协议支持两种认证方式：在相邻路由器之间明文认证（Simple），或MD5算法密文

3、认证。采用明文认证时，认证密码在链路上以明文方式传送，用数据包嗅探器就可以轻易地捕获OSPF的分组，并解码出没有加密的密码。如果使用密文认证，则路由器只在链路上传送密码的消息摘要或哈希值，而不传送密码本身，只有接收的路由器配置了正确的认证密钥，认证才能通过,4,6.9.2 相关知识介绍(注意要点)当接口采用MD5密文认证时，除了设定认证字（即认证密码），还要指定认证字键值key-id，每个key-id是一个1255之间的整数，与MD5认证字配合使用。在一个接口上，后配置的认证字与key-id将覆盖原有的认证字与key-id。需要缺省情况下，接口不对报文进行认证。在配置对报文进行认证时，其明文认

4、证密码的最大长度为8个字符；MD5认证密码的最大长度为16个字符；key-id为MD5认证方式时的认证字键值，取值范围为1255。同一网段上的相邻路由器的接口配置的报文认证方式、认证密码以及key-id都必须一致，否则认证会失败。,5,6.9.2 相关知识介绍(认证格式)(1)相邻路由器明文认证的设置第一步：在区域中进入认证的路由器上启动区域明文认证。启动区域明文认证的命令格式如下：area area_id authentication 第二步，在接口上输入明文形式的密码在接口上配置明文认证方式和密码的命令格式如下：ip ospf authentication-key password例：配

5、置区域0内接口Serial0/0 对OSPF 报文采用简单认证，密码为abc123，命令如下：Router(config)#router ospf 1 Router(config-router)#area 0 authentication Router(config-router)#exit Router(config)#interface s0/0 Router(config-if)#ip ospf authentication-key abc123,6,6.9.2 相关知识介绍(认证格式)(2)相邻路由器MD5密文认证的设置第一步：在区域中进入认证的路由器上启动MD5区域认证。启动区域MD

6、5密文认证的命令格式如下：area area_id authentication message-digest在接口上输入MD5认证字（或称为认证密钥）及认证字键值在接口上配置MD5认证字及认证字键值的命令格式如下：ip ospf message-digest-key keyid md5 key 例：配置区域0内接口Serial0/0 采用MD5密文认证，MD5认证密钥为bbbb，key-id 为178，命令如下：Router(config)#router ospf 1 Router(config-router)#area 0 authentication message-digest Ro

7、uter(config-router)#exit Router(config)#interface s0/0 Router(config-if)#ip ospf message-digest-key 178 md5 bbbb,7,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(1)配置 Router3的FA0/0接口及接口认证方式Router3路由器型号为：思科CISCO 3725，其命令如下Routerenable Router#config terminalEnter configuration commands,one per line.End with CNTL/Z.Router(

8、config)#hostname Router3 Router3(config)#interface fa0/0Router3(config-if)#ip address 10.10.1.2 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#ip ospf authentication-key aaaa Router3(config-if)#exitRouter3(config)#router ospf 1#进入ospf设置状态Router3(config-router)#network 10.10.1.0 0.0.0.

9、255 area 0Router3(config-router)#area 0 authentication#在区域0路由器上启动区域认证Router3(config-router)#end,8,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(2)Router1的FA0/0、S0/0接口配置及接口认证方式：Router1路由器型号为：思科CISCO2621XM，其命令如下 Routerenable Router#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#h

10、ostname Router1 Router1(config)#interface fa0/0 Router1(config-if)#ip address 10.10.1.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#ip ospf authentication-key aaaa Router1(config-if)#interface s0/0 Router1(config-if)#ip address 192.168.1.1 255.255.255.0 Router1(config-if)#no shut

11、down Router1(config-if)#clockrate 64000#连接该端口的电缆若是DTE电缆，则不用配置 Router1(config-if)#ip ospf message-digest-key 178 md5 bbbb,9,Router1(config-if)#exit Router1(config)#router ospf 1#进入ospf设置状态 Router1(config-router)#network 192.168.1.0 0.0.0.255 area 1 Router1(config-router)#network 10.10.1.0 0.0.0.255 a

12、rea 0 Router1(config-router)#area 0 authentication#在区域0路由器上启动区域明文认证 Router1(config-router)#area 1 authentication message-digest#在区域1路由器上启动MD5区域认证 Router1(config-router)#end Router1#,10,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(3)Router2的S0/0接口的配置及认证方式 Router2的型号为：思科CISCO 2621XM路由器，配置命令如下：Routerenable Router#config

13、terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#hostname Router2 Router2(config)#interface s0/0 Router2(config-if)#ip address 192.168.1.2 255.255.255.0 Router2(config-if)#no shut Router2(config-if)#clockrate 64000#连接该端口的电缆若是 DTE电缆，则不用设置 Router2(config-if)#ip ospf me

14、ssage-digest-key 178 md5 bbbb Router2(config-if)#exit Router2(config)#router ospf 1 Router2(config-router)#network 192.168.1.0 0.0.0.255 area 1 Router2(config-router)#area 1 authentication message-digest,11,6.9.3 操作步骤2.测试认证方式的正确性 Router2#ping 10.10.1.1 Type escape sequence to abort.Sending 5,100-byt

15、e ICMP Echos to 10.10.1.1,timeout is 2 seconds:!Success rate is 100 percent(5/5),round-trip min/avg/max=28/28/32 ms从结果看，Router2能ping通Router1,线路是连通的，MD5密文认证通过。再测试其它网段。Router2#ping 192.168.1.1#测试结果是连通的 Router2#ping 10.10.1.2#测试结果是连通的通过ping命令测试，Router2能ping通Router3，线路是连通的，明文认证也通过，并且OSPF协议工作正常。,12,6.9.

16、3 操作步骤3.查看路由信息，确定其认证方式(1)查看Router2和Router3的路由表，测试认证方式的正确性Router2#show ip route Gateway of last resort is not set 10.0.0.0/24 is subnetted,1 subnets O IA 10.10.1.0 110/65 via 192.168.1.1,00:11:36,Serial0/0 C 192.168.1.0/24 is directly connected,Serial0/0 Router3#show ip route Gateway of last resort i

17、s not set 10.0.0.0/24 is subnetted,1 subnets C 10.10.1.0 is directly connected,FastEthernet0/0 O IA 192.168.1.0/24 110/65 via 10.10.1.1,00:13:08,FastEthernet0/0通过显示的路由表内容可知，Router2和Router3通过OSPF协议，获得了非直连网段路由信息，这说明链路是连通的,邻居认证通过。,13,6.9.3 操作步骤3.查看路由信息，确定其认证方式(1)查看在Router1上查看端口信息，测试认证方式的正确性Router1#show

18、 ip ospf interface FastEthernet0/0 is up,line protocol is up Internet Address 10.10.1.1/24,Area 0 Process ID 1,Router ID 192.168.1.1,Network Type BROADCAST,Cost:1 Transmit Delay is 1 sec,State DR,Priority 1 Designated Router(ID)192.168.1.1,Interface address 10.10.1.1 Backup Designated router(ID)10.1

19、0.1.2,Interface address 10.10.1.2 Timer intervals configured,Hello 10,Dead 40,Wait 40,Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling(LLS)Index 1/2,flood queue length 0 Next 0 x0(0)/0 x0(0)Last flood scan length is 1,maximum is 1 Last flood scan time is 0 msec,

20、maximum is 0 msec,14,Neighbor Count is 1,Adjacent neighbor count is 1 Adjacent with neighbor 10.10.1.2(Backup Designated Router)Suppress hello for 0 neighbor(s)Simple password authentication enabled Serial0/0 is up,line protocol is up Internet Address 192.168.1.1/24,Area 1 Process ID 1,Router ID 192

21、.168.1.1,Network Type POINT_TO_POINT,Cost:64 Transmit Delay is 1 sec,State POINT_TO_POINT,Timer intervals configured,Hello 10,Dead 40,Wait 40,Retransmit 5 oob-resync timeout 40 Hello due in 00:00:07 Supports Link-local Signaling(LLS)Index 1/1,flood queue length 0 Next 0 x0(0)/0 x0(0)Last flood scan

22、length is 1,maximum is 1,15,Last flood scan time is 0 msec,maximum is 0 msec Neighbor Count is 1,Adjacent neighbor count is 1 Adjacent with neighbor 192.168.1.2 Suppress hello for 0 neighbor(s)Message digest authentication enabled Youngest key id is 178由Router1上的端口信息可知：在FastEthernet0/0上明文认证方式已启动，在Se

23、rial0/0上MD5密文认证方式已启动，其最新设置的认证字key-id号为178，这与我们配置相符。在路由器之间进行邻居认证时，认证双方的认证方式与密码必须一致，否则，不能通过认证。下面我们修改认证一方的认证密码，使其与对方不一致，再测试邻居认证情况。,16,6.9.3 操作步骤4.修改S2端口的OSPF认证密码：(1)修改S0/0端口的OSPF认证密码，使其与对端不一致Router2#config terminal Router2(config)#interface s0/0 Router2(config-if)#no ip ospf message-digest-key 178 md5

24、bbbb Router2(config-if)#ip ospf message-digest-key 123 md5 abcd(2)用ping命令测试连通性Router2#ping 10.10.1.1Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:.Success rate is 0 percent(0/5)（不通）在Router2上执行ping 10.10.1.1，则后发现此时链路不通，说明Router2与Router1之间的MD5密文认证方式没有通过。,

25、17,6.9.3 操作步骤4.修改S2端口的OSPF认证密码：(3)查看路由表信息Router2#show ip route Gateway of last resort is not set C 192.168.1.0/24 is directly connected,Serial0/0从路由表信息可知，由于邻居之间认证失败，所以链路不通，OSPF协议无法正确执行，路由表中不含通过OSPF获得的到远端网络的路由信息。由此说明在邻居之间进行身份认证时，必须设置统一的认证密码。,18,6.9.3 操作步骤4.修改S2端口的OSPF认证密码：(4)测试Router1与Router2Router2#

26、ping 192.168.1.1 Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 192.168.1.1,timeout is 2 seconds:!Success rate is 100 percent(5/5),round-trip min/avg/max=28/28/28 ms 这时Router2与Router1之间的链路还是激活的，Router2能ping通Router1。但是Router2与Router1之间不构成邻居关系，因为不能互相通过认证，下面的命令能证实这一点。Router2#show ip osp

27、f neighbor（空白行）显示空白，说明Router2没有邻居。,19,6.9.3 操作步骤5.密码改回：Router2#config terminal Router2(config)#interface s0/0 Router2(config-if)#no ip ospf message-digest-key 123 md5 abcd Router2(config-if)#ip ospf message-digest-key 178 md5 bbbb6.小结OSPF 支持在相邻路由器之间进行明文认证（Simple）或MD5密文认证，同一网段上的路由器接口配置的报文认证方式、认证密码、ke

28、y-id（如果有的话）必须一致。并非不同的区域才可配置不同的认证方式，同一区域的不同网段可用不同的认证方式，因此，把前面配置中Router1和Router2之间的链路由区域1改成区域0也是可以的。,20,附：各路由器最终配置信息：Router1#show runBuilding configuration.Current configuration:1092 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encrypt

29、ion!hostname Router1!boot-start-markerboot-end-marker!no network-clock-participate slot 1 no network-clock-participate wic 0 ip subnet-zero!,21,ip cefip ips po max-events 100no aaa new-modelno ftp-server write-enablevoice-card 1!interface FastEthernet0/0 ip address 10.10.1.1 255.255.255.0 ip ospf au

30、thentication-key aaaa duplex auto speed auto!interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip ospf message-digest-key 178 md5 bbbb clockrate 64000!,22,interface FastEthernet0/1 no ip address shutdown duplex auto speed auto!interface Serial0/1 no ip address shutdown!router ospf 1log-adjace

31、ncy-changes area 0 authentication area 1 authentication message-digest network 10.10.1.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 1!,23,ip classless!no ip http serverno ip http secure-server!control-plane!line con 0line aux 0line vty 0 4!end,24,Router2#show runhostname Router2interface Se

32、rial0/0 ip address 192.168.1.2 255.255.255.0 ip ospf message-digest-key 178 md5 bbbb!router ospf 1 log-adjacency-changes area 1 authentication message-digest network 192.168.1.0 0.0.0.255 area 1,25,Router3#show runhostname Router3interface FastEthernet0/0 ip address 10.10.1.2 255.255.255.0 ip ospf a

33、uthentication-key aaaa!router ospf 1 log-adjacency-changes area 0 authentication network 10.10.1.0 0.0.0.255 area 0,26,6.10 配置OSPF路由聚合,6.10.1操作内容和环境操作内容：本节主要介绍在思科路由器上配置OSPF网段聚合的方法，通过学习，了解多区域中OSPF路由聚合的意义，掌握把多条AS外部路由聚合成一条汇总路由的方法，通过路由聚合，可以减少路由器上路由信息的数量，改善网络性能。组网环境：Router1是思科CISCO 3725路由器，IOS为c3725-jk9s

34、-mz.123-12a（版本为12.3），Router2和Router3是思科CISCO 2621XM路由器，IOS为c2600-adventerprisek9-mz.123-11.T3（版本为12.3）。PC机3台，交叉网线3根，DTE-DCE交叉电缆（V35电缆）2对，console配置电缆3根。路由器以太网端口与PC机相连。图中的Fa0/0代表快速以太网FastEtherent0/0端口。,27,图6-12 OSPF网段聚合配置拓扑结构图,28,6.10.2 相关知识介绍(基础知识)当路由信息在ABR（或ASBR）中进行处理时，如果在ABR（或ASBR）上配置了路由聚合，ABR（或ASB

35、R）只发送一条聚合路由，该聚合路由包含了属于该网段的多个子网段。一个区域可多次配置路由聚合。“area range”命令的用法。该命令只在ABR上使用，ABR检查自身路由表，对每个目的网络地址的类型是网络（而不是路由器）的路由项，以网段为单位生成网络汇总LSA（3类LSA），再向该LSA的目的网络所在区域外的其它区域发送该3类LSA。缺省情况下，OSPF不进行区域内路由聚合。分配非骨干区域的网段时请尽量连续可聚合，否则以后网络扩容时，维护难度会加大很多。,29,6.10.2 相关知识介绍(认证格式)配置OSPF路由聚合命令如下；summary-address ip_address mask_a

36、ddress no summary-address ip_address mask_address 其中：ip-address 和mask_address 为网络IP 地址和掩码，点分十进制格式。例：ASBR用汇总路由40.1.0.0/16代替被覆盖的AS外部网段40.1.1.0/24、40.1.2.0/24、40.1.3.0/24，并以5类LSA的形式把总路由40.1.0.0/16传播到整个AS内。Router(config-router)#summary-address 40.1.0.0 255.255.0.0 区域内路由汇总，即把多条路由合并成一条。area area-id range

37、 summary-address mask no area area-id range summary-address mask,30,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(1)配置 Router1的Fa0/0、S1/0口：Router1路由器型号为：思科CISCO 3725路由器，其命令如下Routerenable Router#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#hostname Router1 Router1(config)#int

38、erfacefa0/0Router1(config-if)#ip address 10.1.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#interface s1/0Router1(config-if)#ip address 20.1.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#clockrate 64000#连接该端口的电缆若是DTE电缆，则不用配置Router1(config-if)#exitRouter1(confi

39、g)#router ospf 1 Router1(config-router)#network 10.1.1.0 0.0.0.255 area 0Router1(config-router)#network 20.1.1.0 0.0.0.255 area 0,31,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(2)Router2的S0/0、S0/1口配置路由器Router2的型号为：思科CISCO 2621X路由器，该路由器是边界路由器，注意其所属OSPF区域的设置。其命令如下：Routerenable Router#config terminal Enter configuratio

40、n commands,one per line.End with CNTL/Z.Router(config)#hostname Router2 Router2(config)#interface s0/0Router2(config-if)#ip address 30.1.1.1 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#clockrate 64000 Router2(config-if)#interface s0/1 Router2(config-if)#ip address 20.1.1.2 255.255.

41、255.0Router2(config-if)#no shutdownRouter2(config-if)#clockrate 64000 Router2(config-if)#exitRouter2(config)#router ospf 1 Router2(config-router)#network 30.1.1.0 0.0.0.255 area 1Router2(config-router)#network 20.1.1.0 0.0.0.255 area 0,32,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(3)Router3的接口配置路由器Router3型号为：思科CISC

42、O2621X型路由器，其命令如下：Routerenable Router#config terminal Router(config)#hostname Router3 Router3(config)#interface fa0/0Router3(config-if)#ip address 40.1.1.1 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#interface fa0/1Router3(config-if)#ip address 40.1.2.1 255.255.255.0Router3(config-i

43、f)#no shutdownRouter3(config-if)#interface s0/0Router3(config-if)#ip address 30.1.1.2 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#clockrate 64000 Router3(config-if)#interface Loopback0Router3(config-if)#ip address 40.1.3.1 255.255.255.0Router3(config-if)#exitRouter3(config)#router

44、ospf 1 Router3(config-router)#network 30.1.1.0 0.0.0.255 area 1,33,6.10.3 操作步骤2.测试端口连通性 Router1#ping 20.1.1.2#测试结果是连通的 Router1#ping 30.1.1.1#测试结果是连通的 Router1#ping 30.1.1.2#测试结果是连通的 Router1#ping 40.1.1.1#测试结果不通，因为Router3在 40.1.1.0/24上没有启用OSPF协议，到网段40.1.1.0/24的路由信息没有在 AS内传播 Router1#ping 40.1.2.1#测试结果

45、不通，原因同上,34,6.10.3 操作步骤3.查看路由信息，确定其认证方式(1)查看Router1的路由表信息Router1#show ip route Gateway of last resort is not set 20.0.0.0/24 is subnetted,1 subnets C 20.1.1.0 is directly connected,Serial1/0 10.0.0.0/24 is subnetted,1 subnets C 10.1.1.0 is directly connected,FastEthernet0/0 30.0.0.0/24 is subnetted,1

46、 subnets O IA 30.1.1.0 110/128 via 20.1.1.2,00:06:18,Serial1/0 从上面显示的信息可知，对于Router1来说，通过OSPF协议学习获得了1条区域外部路由：30.1.1.0，但不包括到40.1.1.0/24、40.1.2.0/24、40.1.3.0/24的路由。,35,6.10.3 操作步骤3.查看路由信息，确定其认证方式(1)查看Router1的路由表信息Router1#show ip ospf database OSPF Router with ID(20.1.1.1)(Process ID 1)Router Link State

47、s(Area 0)Link ID ADV Router Age Seq#Checksum Link count20.1.1.1 20.1.1.1 1394 0 x80000003 0 x0021E7 330.1.1.1 30.1.1.1 659 0 x80000003 0 x00D841 2 Summary Net Link States(Area 0)Link ID ADV Router Age Seq#Checksum 30.1.1.0 30.1.1.1 655 0 x80000001 0 x004972 Router1的OSPF数据库显示，Router1收到了1条区域外部的网络汇总LSA

48、（3类LSA），它们是由ABR（Router2）传入的。因为Router3在40.1.1.0/24、40.1.2.0/24、40.1.3.0/24上没有启用OSPF协议，这些区域1中的网络地址没有传入区域0。,36,6.10.3 操作步骤3.查看路由信息，确定其认证方式(2)查看Router2的OSPF路由信息Router2#show ip route Gateway of last resort is not set 20.0.0.0/24 is subnetted,1 subnets C 20.1.1.0 is directly connected,Serial0/1 10.0.0.0/2

49、4 is subnetted,1 subnets O 10.1.1.0 110/65 via 20.1.1.1,02:19:46,Serial0/1 30.0.0.0/24 is subnetted,1 subnets C 30.1.1.0 is directly connected,Serial0/0从上面显示的信息可知，Router2通过OSPF协议获得了1条路由：10.1.1.0。,37,6.10.3 操作步骤3.查看路由信息，确定其认证方式(2)查看Router2的OSPF路由信息Router2#show ip ospf database OSPF Router with ID(30.

50、1.1.1)(Process ID 1)Router Link States(Area 0)Link ID ADV Router Age Seq#Checksum Link count20.1.1.1 20.1.1.1 1414 0 x80000007 0 x0019EB 330.1.1.1 30.1.1.1 437 0 x80000007 0 x00D045 2 Summary Net Link States(Area 0)Link ID ADV Router Age Seq#Checksum30.1.1.0 30.1.1.1 437 0 x80000005 0 x004176 Router