收藏
下载资源 加入VIP免费专享

配置OSPF邻居认证.ppt

上传人:文库蛋蛋多 文档编号:2867957 上传时间:2023-02-27 格式:PPT 页数:83 大小:610KB
返回 下载 相关 举报
配置OSPF邻居认证.ppt_第1页
第1页 / 共83页
配置OSPF邻居认证.ppt_第2页
第2页 / 共83页
配置OSPF邻居认证.ppt_第3页
第3页 / 共83页
配置OSPF邻居认证.ppt_第4页
第4页 / 共83页
配置OSPF邻居认证.ppt_第5页
第5页 / 共83页
点击查看更多>>
资源描述

《配置OSPF邻居认证.ppt》由会员分享,可在线阅读,更多相关《配置OSPF邻居认证.ppt(83页珍藏版)》请在三一办公上搜索。

1、1,6.9 配置OSPF邻居认证,6.9.1操作内容和环境操作内容:本节主要介绍在思科路由器上配置OSPF邻居认证的命令和方法,通过学习,了解并掌握多区域中OSPF路由器之间邻居认证方式:明文认证和MD5算法密文认证。组网环境:Router3是思科CISCO 3725路由器,IOS为c3725-jk9s-mz.123-12a(版本为12.3),Router1和Router2是思科CISCO 2621XM路由器,IOS为c2600-adventerprisek9-mz.123-11.T3(版本为12.3)。PC机3台,DTE-DCE交叉电缆(V35电缆)1对,交叉网线1根(或一台交换机和2根直通

2、网线),console配置电缆3根。Router1以太网口与Router3的以太网口通过交叉网线相连或通过交换机相连,Router1串口与Router3的串口通过V35电缆相连。(图中的Fa0/0代表快速以太网FastEtherent0/0端口)。,2,图6-11 OSPF邻居认证配置拓扑结构图,3,6.9.2 相关知识介绍(基础知识)OSPF协议支持基于接口的OSPF报文认证,认证OSPF相邻路由器的身份,以保证OSPF报文来自经认证的邻居路由器,防止未授权的邻居向自己传递包含虚假路由信息的的OSPF报文OSPF协议支持两种认证方式:在相邻路由器之间明文认证(Simple),或MD5算法密文

3、认证。采用明文认证时,认证密码在链路上以明文方式传送,用数据包嗅探器就可以轻易地捕获OSPF的分组,并解码出没有加密的密码。如果使用密文认证,则路由器只在链路上传送密码的消息摘要或哈希值,而不传送密码本身,只有接收的路由器配置了正确的认证密钥,认证才能通过,4,6.9.2 相关知识介绍(注意要点)当接口采用MD5密文认证时,除了设定认证字(即认证密码),还要指定认证字键值key-id,每个key-id是一个1255之间的整数,与MD5认证字配合使用。在一个接口上,后配置的认证字与key-id将覆盖原有的认证字与key-id。需要缺省情况下,接口不对报文进行认证。在配置对报文进行认证时,其明文认

4、证密码的最大长度为8个字符;MD5认证密码的最大长度为16个字符;key-id为MD5认证方式时的认证字键值,取值范围为1255。同一网段上的相邻路由器的接口配置的报文认证方式、认证密码以及key-id都必须一致,否则认证会失败。,5,6.9.2 相关知识介绍(认证格式)(1)相邻路由器明文认证的设置第一步:在区域中进入认证的路由器上启动区域明文认证。启动区域明文认证的命令格式如下:area area_id authentication 第二步,在接口上输入明文形式的密码 在接口上配置明文认证方式和密码的命令格式如下:ip ospf authentication-key password例:配

5、置区域0内接口Serial0/0 对OSPF 报文采用简单认证,密码为abc123,命令如下:Router(config)#router ospf 1 Router(config-router)#area 0 authentication Router(config-router)#exit Router(config)#interface s0/0 Router(config-if)#ip ospf authentication-key abc123,6,6.9.2 相关知识介绍(认证格式)(2)相邻路由器MD5密文认证的设置第一步:在区域中进入认证的路由器上启动MD5区域认证。启动区域MD

6、5密文认证的命令格式如下:area area_id authentication message-digest在接口上输入MD5认证字(或称为认证密钥)及认证字键值 在接口上配置MD5认证字及认证字键值的命令格式如下:ip ospf message-digest-key keyid md5 key 例:配置区域0内接口Serial0/0 采用MD5密文认证,MD5认证密钥为bbbb,key-id 为178,命令如下:Router(config)#router ospf 1 Router(config-router)#area 0 authentication message-digest Ro

7、uter(config-router)#exit Router(config)#interface s0/0 Router(config-if)#ip ospf message-digest-key 178 md5 bbbb,7,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(1)配置 Router3的FA0/0接口及接口认证方式Router3路由器型号为:思科CISCO 3725,其命令如下Routerenable Router#config terminalEnter configuration commands,one per line.End with CNTL/Z.Router(

8、config)#hostname Router3 Router3(config)#interface fa0/0Router3(config-if)#ip address 10.10.1.2 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#ip ospf authentication-key aaaa Router3(config-if)#exitRouter3(config)#router ospf 1#进入ospf设置状态Router3(config-router)#network 10.10.1.0 0.0.0.

9、255 area 0Router3(config-router)#area 0 authentication#在区域0路由器上启动区域认证Router3(config-router)#end,8,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(2)Router1的FA0/0、S0/0接口配置及接口认证方式:Router1路由器型号为:思科CISCO2621XM,其命令如下 Routerenable Router#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#h

10、ostname Router1 Router1(config)#interface fa0/0 Router1(config-if)#ip address 10.10.1.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#ip ospf authentication-key aaaa Router1(config-if)#interface s0/0 Router1(config-if)#ip address 192.168.1.1 255.255.255.0 Router1(config-if)#no shut

11、down Router1(config-if)#clockrate 64000#连接该端口的电缆若是DTE电缆,则不用配置 Router1(config-if)#ip ospf message-digest-key 178 md5 bbbb,9,Router1(config-if)#exit Router1(config)#router ospf 1#进入ospf设置状态 Router1(config-router)#network 192.168.1.0 0.0.0.255 area 1 Router1(config-router)#network 10.10.1.0 0.0.0.255 a

12、rea 0 Router1(config-router)#area 0 authentication#在区域0路由器上启动区域明文认证 Router1(config-router)#area 1 authentication message-digest#在区域1路由器上启动MD5区域认证 Router1(config-router)#end Router1#,10,6.9.3 操作步骤按拓扑图配置各个端口及认证方式(3)Router2的S0/0接口的配置及认证方式 Router2的型号为:思科CISCO 2621XM路由器,配置命令如下:Routerenable Router#config

13、terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#hostname Router2 Router2(config)#interface s0/0 Router2(config-if)#ip address 192.168.1.2 255.255.255.0 Router2(config-if)#no shut Router2(config-if)#clockrate 64000#连接该端口的电缆若是 DTE电缆,则不用设置 Router2(config-if)#ip ospf me

14、ssage-digest-key 178 md5 bbbb Router2(config-if)#exit Router2(config)#router ospf 1 Router2(config-router)#network 192.168.1.0 0.0.0.255 area 1 Router2(config-router)#area 1 authentication message-digest,11,6.9.3 操作步骤2.测试认证方式的正确性 Router2#ping 10.10.1.1 Type escape sequence to abort.Sending 5,100-byt

15、e ICMP Echos to 10.10.1.1,timeout is 2 seconds:!Success rate is 100 percent(5/5),round-trip min/avg/max=28/28/32 ms从结果看,Router2能ping通Router1,线路是连通的,MD5密文认证通过。再测试其它网段。Router2#ping 192.168.1.1#测试结果是连通的 Router2#ping 10.10.1.2#测试结果是连通的 通过ping命令测试,Router2能ping通Router3,线路是连通的,明文认证也通过,并且OSPF协议工作正常。,12,6.9.

16、3 操作步骤3.查看路由信息,确定其认证方式(1)查看Router2和Router3的路由表,测试认证方式的正确性Router2#show ip route Gateway of last resort is not set 10.0.0.0/24 is subnetted,1 subnets O IA 10.10.1.0 110/65 via 192.168.1.1,00:11:36,Serial0/0 C 192.168.1.0/24 is directly connected,Serial0/0 Router3#show ip route Gateway of last resort i

17、s not set 10.0.0.0/24 is subnetted,1 subnets C 10.10.1.0 is directly connected,FastEthernet0/0 O IA 192.168.1.0/24 110/65 via 10.10.1.1,00:13:08,FastEthernet0/0通过显示的路由表内容可知,Router2和Router3通过OSPF协议,获得了非直连网段路由信息,这说明链路是连通的,邻居认证通过。,13,6.9.3 操作步骤3.查看路由信息,确定其认证方式(1)查看在Router1上查看端口信息,测试认证方式的正确性Router1#show

18、 ip ospf interface FastEthernet0/0 is up,line protocol is up Internet Address 10.10.1.1/24,Area 0 Process ID 1,Router ID 192.168.1.1,Network Type BROADCAST,Cost:1 Transmit Delay is 1 sec,State DR,Priority 1 Designated Router(ID)192.168.1.1,Interface address 10.10.1.1 Backup Designated router(ID)10.1

19、0.1.2,Interface address 10.10.1.2 Timer intervals configured,Hello 10,Dead 40,Wait 40,Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling(LLS)Index 1/2,flood queue length 0 Next 0 x0(0)/0 x0(0)Last flood scan length is 1,maximum is 1 Last flood scan time is 0 msec,

20、maximum is 0 msec,14,Neighbor Count is 1,Adjacent neighbor count is 1 Adjacent with neighbor 10.10.1.2(Backup Designated Router)Suppress hello for 0 neighbor(s)Simple password authentication enabled Serial0/0 is up,line protocol is up Internet Address 192.168.1.1/24,Area 1 Process ID 1,Router ID 192

21、.168.1.1,Network Type POINT_TO_POINT,Cost:64 Transmit Delay is 1 sec,State POINT_TO_POINT,Timer intervals configured,Hello 10,Dead 40,Wait 40,Retransmit 5 oob-resync timeout 40 Hello due in 00:00:07 Supports Link-local Signaling(LLS)Index 1/1,flood queue length 0 Next 0 x0(0)/0 x0(0)Last flood scan

22、length is 1,maximum is 1,15,Last flood scan time is 0 msec,maximum is 0 msec Neighbor Count is 1,Adjacent neighbor count is 1 Adjacent with neighbor 192.168.1.2 Suppress hello for 0 neighbor(s)Message digest authentication enabled Youngest key id is 178由Router1上的端口信息可知:在FastEthernet0/0上明文认证方式已启动,在Se

23、rial0/0上MD5密文认证方式已启动,其最新设置的认证字key-id号为178,这与我们配置相符。在路由器之间进行邻居认证时,认证双方的认证方式与密码必须一致,否则,不能通过认证。下面我们修改认证一方的认证密码,使其与对方不一致,再测试邻居认证情况。,16,6.9.3 操作步骤4.修改S2端口的OSPF认证密码:(1)修改S0/0端口的OSPF认证密码,使其与对端不一致Router2#config terminal Router2(config)#interface s0/0 Router2(config-if)#no ip ospf message-digest-key 178 md5

24、bbbb Router2(config-if)#ip ospf message-digest-key 123 md5 abcd(2)用ping命令测试连通性Router2#ping 10.10.1.1Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:.Success rate is 0 percent(0/5)(不通)在Router2上执行ping 10.10.1.1,则后发现此时链路不通,说明Router2与Router1之间的MD5密文认证方式没有通过。,

25、17,6.9.3 操作步骤4.修改S2端口的OSPF认证密码:(3)查看路由表信息Router2#show ip route Gateway of last resort is not set C 192.168.1.0/24 is directly connected,Serial0/0从路由表信息可知,由于邻居之间认证失败,所以链路不通,OSPF协议无法正确执行,路由表中不含通过OSPF获得的到远端网络的路由信息。由此说明在邻居之间进行身份认证时,必须设置统一的认证密码。,18,6.9.3 操作步骤4.修改S2端口的OSPF认证密码:(4)测试Router1与Router2Router2#

26、ping 192.168.1.1 Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 192.168.1.1,timeout is 2 seconds:!Success rate is 100 percent(5/5),round-trip min/avg/max=28/28/28 ms 这时Router2与Router1之间的链路还是激活的,Router2能ping通Router1。但是Router2与Router1之间不构成邻居关系,因为不能互相通过认证,下面的命令能证实这一点。Router2#show ip osp

27、f neighbor(空白行)显示空白,说明Router2没有邻居。,19,6.9.3 操作步骤5.密码改回:Router2#config terminal Router2(config)#interface s0/0 Router2(config-if)#no ip ospf message-digest-key 123 md5 abcd Router2(config-if)#ip ospf message-digest-key 178 md5 bbbb6.小结OSPF 支持在相邻路由器之间进行明文认证(Simple)或MD5密文认证,同一网段上的路由器接口配置的报文认证方式、认证密码、ke

28、y-id(如果有的话)必须一致。并非不同的区域才可配置不同的认证方式,同一区域的不同网段可用不同的认证方式,因此,把前面配置中Router1和Router2之间的链路由区域1改成区域0也是可以的。,20,附:各路由器最终配置信息:Router1#show runBuilding configuration.Current configuration:1092 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encrypt

29、ion!hostname Router1!boot-start-markerboot-end-marker!no network-clock-participate slot 1 no network-clock-participate wic 0 ip subnet-zero!,21,ip cefip ips po max-events 100no aaa new-modelno ftp-server write-enablevoice-card 1!interface FastEthernet0/0 ip address 10.10.1.1 255.255.255.0 ip ospf au

30、thentication-key aaaa duplex auto speed auto!interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip ospf message-digest-key 178 md5 bbbb clockrate 64000!,22,interface FastEthernet0/1 no ip address shutdown duplex auto speed auto!interface Serial0/1 no ip address shutdown!router ospf 1log-adjace

31、ncy-changes area 0 authentication area 1 authentication message-digest network 10.10.1.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 1!,23,ip classless!no ip http serverno ip http secure-server!control-plane!line con 0line aux 0line vty 0 4!end,24,Router2#show runhostname Router2interface Se

32、rial0/0 ip address 192.168.1.2 255.255.255.0 ip ospf message-digest-key 178 md5 bbbb!router ospf 1 log-adjacency-changes area 1 authentication message-digest network 192.168.1.0 0.0.0.255 area 1,25,Router3#show runhostname Router3interface FastEthernet0/0 ip address 10.10.1.2 255.255.255.0 ip ospf a

33、uthentication-key aaaa!router ospf 1 log-adjacency-changes area 0 authentication network 10.10.1.0 0.0.0.255 area 0,26,6.10 配置OSPF路由聚合,6.10.1操作内容和环境操作内容:本节主要介绍在思科路由器上配置OSPF网段聚合的方法,通过学习,了解多区域中OSPF路由聚合的意义,掌握把多条AS外部路由聚合成一条汇总路由的方法,通过路由聚合,可以减少路由器上路由信息的数量,改善网络性能。组网环境:Router1是思科CISCO 3725路由器,IOS为c3725-jk9s

34、-mz.123-12a(版本为12.3),Router2和Router3是思科CISCO 2621XM路由器,IOS为c2600-adventerprisek9-mz.123-11.T3(版本为12.3)。PC机3台,交叉网线3根,DTE-DCE交叉电缆(V35电缆)2对,console配置电缆3根。路由器以太网端口与PC机相连。图中的Fa0/0代表快速以太网FastEtherent0/0端口。,27,图6-12 OSPF网段聚合配置拓扑结构图,28,6.10.2 相关知识介绍(基础知识)当路由信息在ABR(或ASBR)中进行处理时,如果在ABR(或ASBR)上配置了路由聚合,ABR(或ASB

35、R)只发送一条聚合路由,该聚合路由包含了属于该网段的多个子网段。一个区域可多次配置路由聚合。“area range”命令的用法。该命令只在ABR上使用,ABR检查自身路由表,对每个目的网络地址的类型是网络(而不是路由器)的路由项,以网段为单位生成网络汇总LSA(3类LSA),再向该LSA的目的网络所在区域外的其它区域发送该3类LSA。缺省情况下,OSPF不进行区域内路由聚合。分配非骨干区域的网段时请尽量连续可聚合,否则以后网络扩容时,维护难度会加大很多。,29,6.10.2 相关知识介绍(认证格式)配置OSPF路由聚合命令如下;summary-address ip_address mask_a

36、ddress no summary-address ip_address mask_address 其中:ip-address 和mask_address 为网络IP 地址和掩码,点分十进制格式。例:ASBR用汇总路由40.1.0.0/16代替被覆盖的AS外部网段40.1.1.0/24、40.1.2.0/24、40.1.3.0/24,并以5类LSA的形式把 总路由40.1.0.0/16传播到整个AS内。Router(config-router)#summary-address 40.1.0.0 255.255.0.0 区域内路由汇总,即把多条路由合并成一条。area area-id range

37、 summary-address mask no area area-id range summary-address mask,30,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(1)配置 Router1的Fa0/0、S1/0口:Router1路由器型号为:思科CISCO 3725路由器,其命令如下Routerenable Router#config terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#hostname Router1 Router1(config)#int

38、erfacefa0/0Router1(config-if)#ip address 10.1.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#interface s1/0Router1(config-if)#ip address 20.1.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#clockrate 64000#连接该端口的电缆若是DTE电缆,则不用配置Router1(config-if)#exitRouter1(confi

39、g)#router ospf 1 Router1(config-router)#network 10.1.1.0 0.0.0.255 area 0Router1(config-router)#network 20.1.1.0 0.0.0.255 area 0,31,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(2)Router2的S0/0、S0/1口配置路由器Router2的型号为:思科CISCO 2621X路由器,该路由器是边界路由器,注意其所属OSPF区域的设置。其命令如下:Routerenable Router#config terminal Enter configuratio

40、n commands,one per line.End with CNTL/Z.Router(config)#hostname Router2 Router2(config)#interface s0/0Router2(config-if)#ip address 30.1.1.1 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#clockrate 64000 Router2(config-if)#interface s0/1 Router2(config-if)#ip address 20.1.1.2 255.255.

41、255.0Router2(config-if)#no shutdownRouter2(config-if)#clockrate 64000 Router2(config-if)#exitRouter2(config)#router ospf 1 Router2(config-router)#network 30.1.1.0 0.0.0.255 area 1Router2(config-router)#network 20.1.1.0 0.0.0.255 area 0,32,6.10.3 操作步骤按拓扑图配置各个端口及认证方式(3)Router3的接口配置路由器Router3型号为:思科CISC

42、O2621X型路由器,其命令如下:Routerenable Router#config terminal Router(config)#hostname Router3 Router3(config)#interface fa0/0Router3(config-if)#ip address 40.1.1.1 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#interface fa0/1Router3(config-if)#ip address 40.1.2.1 255.255.255.0Router3(config-i

43、f)#no shutdownRouter3(config-if)#interface s0/0Router3(config-if)#ip address 30.1.1.2 255.255.255.0Router3(config-if)#no shutdownRouter3(config-if)#clockrate 64000 Router3(config-if)#interface Loopback0Router3(config-if)#ip address 40.1.3.1 255.255.255.0Router3(config-if)#exitRouter3(config)#router

44、ospf 1 Router3(config-router)#network 30.1.1.0 0.0.0.255 area 1,33,6.10.3 操作步骤2.测试端口连通性 Router1#ping 20.1.1.2#测试结果是连通的 Router1#ping 30.1.1.1#测试结果是连通的 Router1#ping 30.1.1.2#测试结果是连通的 Router1#ping 40.1.1.1#测试结果不通,因为Router3在 40.1.1.0/24上没有启用OSPF协议,到网段40.1.1.0/24的路由信息 没有在 AS内传播 Router1#ping 40.1.2.1#测试结果

45、不通,原因同上,34,6.10.3 操作步骤3.查看路由信息,确定其认证方式(1)查看Router1的路由表信息Router1#show ip route Gateway of last resort is not set 20.0.0.0/24 is subnetted,1 subnets C 20.1.1.0 is directly connected,Serial1/0 10.0.0.0/24 is subnetted,1 subnets C 10.1.1.0 is directly connected,FastEthernet0/0 30.0.0.0/24 is subnetted,1

46、 subnets O IA 30.1.1.0 110/128 via 20.1.1.2,00:06:18,Serial1/0 从上面显示的信息可知,对于Router1来说,通过OSPF协议学习获得了1条区域外部路由:30.1.1.0,但不包括到40.1.1.0/24、40.1.2.0/24、40.1.3.0/24的路由。,35,6.10.3 操作步骤3.查看路由信息,确定其认证方式(1)查看Router1的路由表信息Router1#show ip ospf database OSPF Router with ID(20.1.1.1)(Process ID 1)Router Link State

47、s(Area 0)Link ID ADV Router Age Seq#Checksum Link count20.1.1.1 20.1.1.1 1394 0 x80000003 0 x0021E7 330.1.1.1 30.1.1.1 659 0 x80000003 0 x00D841 2 Summary Net Link States(Area 0)Link ID ADV Router Age Seq#Checksum 30.1.1.0 30.1.1.1 655 0 x80000001 0 x004972 Router1的OSPF数据库显示,Router1收到了1条区域外部的网络汇总LSA

48、(3类LSA),它们是由ABR(Router2)传入的。因为Router3在40.1.1.0/24、40.1.2.0/24、40.1.3.0/24上没有启用OSPF协议,这些区域1中的网络地址没有传入区域0。,36,6.10.3 操作步骤3.查看路由信息,确定其认证方式(2)查看Router2的OSPF路由信息Router2#show ip route Gateway of last resort is not set 20.0.0.0/24 is subnetted,1 subnets C 20.1.1.0 is directly connected,Serial0/1 10.0.0.0/2

49、4 is subnetted,1 subnets O 10.1.1.0 110/65 via 20.1.1.1,02:19:46,Serial0/1 30.0.0.0/24 is subnetted,1 subnets C 30.1.1.0 is directly connected,Serial0/0从上面显示的信息可知,Router2通过OSPF协议获得了1条路由:10.1.1.0。,37,6.10.3 操作步骤3.查看路由信息,确定其认证方式(2)查看Router2的OSPF路由信息Router2#show ip ospf database OSPF Router with ID(30.

50、1.1.1)(Process ID 1)Router Link States(Area 0)Link ID ADV Router Age Seq#Checksum Link count20.1.1.1 20.1.1.1 1414 0 x80000007 0 x0019EB 330.1.1.1 30.1.1.1 437 0 x80000007 0 x00D045 2 Summary Net Link States(Area 0)Link ID ADV Router Age Seq#Checksum30.1.1.0 30.1.1.1 437 0 x80000005 0 x004176 Router

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号