学习笔记——动态路由——OSPF(认证)

news2024/11/15 2:09:40

十二、OSPF邻居认证

1、OSPF邻居认证概述

链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。

OSPF认证分为区域认证与接口认证,当

使用区域认证方式时,一个区域中所有的路由器在该区域下的认证模式和密码必须一致,不一致则无法建立OSPF邻居关系;

使用接口认证方式时,相邻的路由器之间需要设置同样认证模式和密码,不一致则无法建立OSPF邻居关系,

注意:接口认证方式的优先级要高与区域认证方式,也就是当相邻的路由器同时使用区域认证与接口认证时,如果接口认证不通过,即使区域认证通过也无法建立OSPF邻居关系。

2、OSPF基础

为了安全的原因,可以在相同OSPF区域的路由器上启用身份验证的功能只有经过身份验证的同一区域的路由器才能互相通告路由信息在默认情况下OSPF不使用区域验证

通过两种方法可启用身份验证功能:纯文本身份验证、消息摘要(md5)身份验证。

1)纯文本身份验证传送的身份验证口令为纯文本,它会被网络探测器确定,所以不安全,不建议使用。

2)消息摘要(md5)身份验证在传输身份验证口令前,要对口令进行加密,所以一般建议使用此种方法进行身份验证。

使用身份验证时区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证,必须在路由器接口配置模式下,为区域的每个路由器接口配置口令。

1.接口和区域启用不同类型的认证,则接口强

例如,两台邻居路由器,通过串口互联,同时对区域启用密文认证,在一台路由的串口启用明文认证,另一台串口不启用任何认证。则邻居关系无法建立!

2.接口和区域起用相同类型的认证,则区域强

例如,区域启用密文认证,一端接口起也用密文认证,另一端任何认证都不起,邻居关系能建立!

(1)OSPF认证

OSPF认证:在直连的邻居或邻接之间,配置身份核实秘钥来保障邻居、邻接间数据沟通的安全性。

    OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。

OSPF认证在OSPF header包头格式中认证的类型:

1.null --type=0      2.明文 —type=1      3.密文 --type=2

3、OSPF协议认证方式

接口认证优于区域认证。

OSPF认证总结:

接口认证只跟相应的接口做;

虚链路认证也是一种特殊的接口认证;

区域认证是所在相应区域的接口认证;

虚链路属于区域0;

区域0认证,虚链路必须做认证或者有段虚链路的路由器做区域0的认证;

虚链路做认证。区域0不需要做认证。

(1)接口认证(Interface Authentication)

这是对每一个OSPF接口进行验证的基本级别。当接口启用认证时,只有那些配置了正确的密码或共享密钥的邻居路由器才能与其建立邻接关系。

接口认证主要用于防止未授权的设备接入网络并且对于每个接口都是独立设置的

接口认证只跟相应的接口做,如果同时配置了接口认证和区域认证时,优先使用接口建立OSPF邻居

(2)区域认证(Area Authentication)

在OSPF中,认证可以扩展到更高级别的区域(Area)。如果区域被设置为使用认证,那么所有进出该区域的路由信息都会经过验证。这意味着即使两个路由器之间没有直接连接,只要它们都位于同一个区域且区域被认证,它们之间的通信也会受到保护。

一个区域中所有的路由器在该区域下的认证模式和口令必须一致

区域认证是所在相应区域的接口认证;

区域0认证,虚链路必须做认证或者有段虚链路的路由器做区域0的认证;

(3)虚链路认证

是在OSPF设计中用于连接不同物理区域的一种逻辑连接,常用于构建大型网络的连通性。虚链路认证是对这些逻辑连接进行验证,确保只有配置了正确密钥的虚链路才能正常工作,从而维护网络的整体安全性。

相比于区域认证更加灵活,可专门针对某个邻居设置单独的认证模式和密码。

虚链路认证是一种特殊的接口认证虚链路属于区域0虚链路做认证,区域0不需要做认证

4、OSPF认证模式

OSPF认证的三种常见方式:明文认证、MD5认证、SHA-HMAC身份验证。

无认证(null):默认情况下,OSPF的身份验证方法,即不对网络交换的路由信息进行身份验证

简单密码身份验证:也叫明文身份验证

MD5身份验证:MD5密文身份验证

(1)明文认证

明文认证是最简单的一种OSPF认证方式。在明文认证中,OSPF消息中的认证字段以明文形式传输。这意味着任何能够截获OSPF消息的人都可以读取认证字段中的信息。

明文认证的设置相对简单,只需要在OSPF配置中指定认证密码即可。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode simple  # 配置明文认证

[Huawei-ospf-1-area-0.0.0.0] authentication-key <password>  # 设置认证密码

请注意,上述命令中的<password>是用于明文认证的密码。

明文认证的安全性很低。攻击者可以轻易获取认证信息,并对网络进行恶意操作。因此,明文认证在实际应用中并不常见,除非在非关键的测试环境中使用。

(2)MD5认证

MD5认证是一种在OSPF中常用的认证方式。使用MD5(Message Digest Algorithm 5)算法对OSPF消息进行哈希运算,生成一个固定长度的哈希值。发送方和接收方都知道预共享的密钥,将其用于计算和验证哈希值。只有在接收方计算出的哈希值与接收到的哈希值匹配时,消息才被接受

MD5认证提供了更高的安全性,因为攻击者无法轻易地获取到预共享密钥。它在OSPF网络中广泛使用,并提供了基本的安全保护。然而,MD5算法已经被认为是不安全的,因为它容易受到碰撞攻击。因此,随着时间的推移,MD5认证的使用逐渐减少,被更强大的认证机制如SHA-HMAC取代。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode md5  # 配置MD5认证

[Huawei-ospf-1-area-0.0.0.0] authentication-key 7 <password>  # 设置认证密码

请注意,上述命令中的<password>是用于MD5认证的预共享密钥。

(3)SHA-HMAC身份验证

SHA-HMAC(Secure Hash Algorithm-Hash-based Message Authentication Code)是一种基于哈希算法的消息认证码。它使用SHA算法对消息和密钥进行哈希运算,生成一个固定长度的认证码。发送方将认证码添加到OSPF消息中,接收方使用相同的密钥和算法进行计算和验证。

SHA-HMAC身份验证提供了更高的安全性,相较于MD5认证,它具有更强的抗碰撞能力和更长的认证码。SHA算法被广泛认可为安全可靠的哈希算法,并且在许多安全协议和算法中使用。SHA-HMAC是目前推荐使用的OSPF认证机制之一。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode hmac-sha256  # 配置SHA-HMAC身份验证

[Huawei-ospf-1-area-0.0.0.0] authentication-key-id 1  # 设置密钥ID

[Huawei-ospf-1-area-0.0.0.0] authentication-key hmac-sha256 <password>  # 设置密钥

请注意,上述命令中的<password>是用于SHA-HMAC身份验证的密钥。

5、配置

(1)接口认证

1)明文认证:

[huawei] interface GigabitEthernet0/0/1

[r6-GigabitEthernet0/0/1] ip address 24.1.1.4 255.255.255.0

[r6-GigabitEthernet0/0/1] ospf authentication-mode simple cipher huawei

2)密文认证:

[huawei] interface GigabitEthernet0/0/1

[r6-GigabitEthernet0/0/1] ospf authentication-mode md5 1 cipher Huawei  //在直连连接的接口上配置,两端的模式、编号、秘钥必须完全一样

配置OSPF验证

[RTA]router id 1.1.1.1

[RTA]ospf

[RTA-ospf-1]area 1

[RTA-ospf-1-area-0.0.0.1]network 1.1.1.10.0.0.0

[RTA-ospf-1-area-0.0.0.1]network 10.1.1.00.0.0.3

[RTA]interface Ethernet 0/0

[RTA-Ethernet0/0]ospf authentication-mode simple plain huawei

[RTA-Ethernet0/0]quit

(2)区域认证

如果区域认证,该区域下的接口都要认证

1)明文认证:

[r1] ospf 1 router-id 22.1.1.1

[r1-ospf-1] area 0.0.0.1

[r1-ospf-1-area-0.0.0.1] authentication-mode simple cipher huawei

2)密文认证:

[r1] ospf 1 router-id 22.1.1.1

[r1-ospf-1] area 0.0.0.1

[r1-ospf-1-area-0.0.0.1] authentication-mode md5 1 cipher Huawei  //将该路由器R1,所有属于区域1的接口全部进行认证

注意:如果区域0认证,存在虚链路时,虚链路也要进行认证

(3)虚链路认证

[r10-ospf-1-area-0.0.0.4]vlink-peer 9.9.9.9 md5 1 cipher 123456

(4)OSPF认证完整实验

1、基本IP地址配置

R1配置:                                     R4配置:

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 12.1.1.1 255.255.255.0                            ip address 24.1.1.1 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 1.1.1.1 255.255.255.255                           ip address 4.4.4.4 255.255.255.255

R5配置:                                     R6配置

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 35.1.1.5 255.255.255.0                            ip address 36.1.1.6 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 5.5.5.5 255.255.255.255                           ip address 6.6.6.6 255.255.255.255

R2配置:                                     R3配置

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 12.1.1.2 255.255.255.0                            ip address 23.1.1.3 255.255.255.0

interface GigabitEthernet0/0/1                               interface GigabitEthernet0/0/1

ip address 23.1.1.2 255.255.255.0                            ip address 35.1.1.3 255.255.255.0

interface GigabitEthernet0/0/2                               interface GigabitEthernet0/0/2

ip address 24.1.1.2 255.255.255.0                            ip address 36.1.1.3 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 2.2.2.2 255.255.255.255                           ip address 3.3.3.3 255.255.255.255

2、区域配置区域宣告

R1配置:                                     R4配置:

ospf 1 router-id 1.1.1.1                                     ospf 1 router-id 4.4.4.4

area 0.0.0.1                                                 area 0.0.0.1

network 1.1.1.1 0.0.0.0                                      network 4.4.4.4 0.0.0.0

network 12.1.1.0 0.0.0.255                                   network 24.1.1.0 0.0.0.255

R5配置:                                     R6配置:

ospf 1 router-id 5.5.5.5                                     ospf 1 router-id 6.6.6.6

area 0.0.0.0                                                 area 0.0.0.0

network 5.5.5.5 0.0.0.0                                      network 6.6.6.6 0.0.0.0

network 35.1.1.0 0.0.0.255                                   network 36.1.1.0 0.0.0.255

R2配置:                                     R3配置

ospf 1 router-id 2.2.2.2                                     ospf 1 router-id 3.3.3.3

area 0.0.0.0                                                 area 0.0.0.0

network 2.2.2.2 0.0.0.0                                      network 3.3.3.3 0.0.0.0

network 23.1.1.0 0.0.0.255                                   network 23.1.1.0 0.0.0.255

area 0.0.0.1                                                 network 35.1.1.0 0.0.0.255

network 12.1.1.0 0.0.0.255                                   network 36.1.1.0 0.0.0.255

network 24.1.1.0 0.0.0.255

3、测试路由之间互通性、区域互通性

   

4、区域认证配置

在区域0和区域1内所有路由器未配置区域认证,查看邻居状态(下左图)  

  

进入区域1和区域0,在所有的路由器上进行认证的配置。R1\R2\R3\R4\R5\R6略。全部配完区域认证后,邻居状态与未配之前是一样的(上左图)。如果只配了部分认证,(上右图)邻居建立不完整。

Ospf 1                      Arer 1                          

ospf authentication-mode simple cipher huawei

5、接口认证配置

R1配置:                                     R2配置:

R1、R2未配置接口认证,查看邻居状态(下左图)

 

R1配置:                                     R2配置:

interface GigabitEthernet0/0/0                    R1配置认证,R2未配置接口认证,查看邻居状态(上右图),不能建立邻居。

ospf authentication-mode simple cipher huawei

R1配置:                                     R2配置:

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ospf authentication-mode simple cipher Huawei                ospf authentication-mode simple cipher huawei

R1、R2全部配置接口认证,查看邻居状态(下图),可以重新建立邻居。


整个华为数通学习笔记系列中,本人是以网络视频与网络文章的方式自学的,并按自己理解的方式总结了学习笔记,某些笔记段落中可能有部分文字或图片与网络中有雷同,并非抄袭。完处于学习态度,觉得这段文字更通俗易懂,融入了自己的学习笔记中。如有相关文字涉及到某个人的版权利益,可以直接联系我,我会把相关文字删除。【VX:czlingyun    暗号:CSDN】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1908157.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue3自自定义插件注册全局事件

一. 首先在components中定义自定义组件 二. 然后在components下建立一个index.ts文件 index.ts中的代码如下 // 引入项目中全部的全局组件 import SvgIcon from ./SvgIcon/index.vue import pagination from ./pagination/index.vue // 全局对象 const allGloablComponen…

一文清晰了解HTML——简单实例

想要仿照该页面编写HTML代码&#xff1a; 在vscode中输入&#xff01;自动生成默认模板&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevic…

vite工程化开发配置---持续更新

vite支持tsx开发 根据之前写的文章vue3vitetseslintprettierstylelinthuskylint-stagedcommitlintcommitizencz-git里面tsconfig配置了jsx相关选项&#xff0c;但是想要vite能够识别我们还需要配置一下 安装vitejs/plugin-vue-jsx pnpm i -D vitejs/plugin-vue-jsxvite.confi…

Linux系统编程——线程控制

目录 一&#xff0c;关于线程控制 二&#xff0c;线程创建 2.1 pthread_create函数 2.2 ps命令查看线程信息 三&#xff0c;线程等待 3.1 pthread_join函数 3.2 创建多个线程 3.3 pthread_join第二个参数 四&#xff0c;线程终止 4.1 关于线程终止 4.2 pthread_exit…

为什么KV Cache只需缓存K矩阵和V矩阵,无需缓存Q矩阵?

大家都知道大模型是通过语言序列预测下一个词的概率。假定{ x 1 x_1 x1​&#xff0c; x 2 x_2 x2​&#xff0c; x 3 x_3 x3​&#xff0c;…&#xff0c; x n − 1 x_{n-1} xn−1​}为已知序列&#xff0c;其中 x 1 x_1 x1​&#xff0c; x 2 x_2 x2​&#xff0c; x 3 x_3 x…

MathType7.4.6.8最新免费下载,数学表达神器来袭!

大家好啊&#xff0c;我是爱分享的小能手&#xff01;今天要给大家安利一款神奇的工具——MathType7.4免费版本。这不仅仅是一个简单的数学公式编辑器&#xff0c;而是你学术写作和数学研究的强大助手&#xff0c;简直是数学爱好者的“瑞士军刀”&#xff01; MathType最新mac…

前端面试题17(js快速检索方法详解)

在前端JavaScript中&#xff0c;快速检索数据通常涉及到数组或对象的搜索。这里我会介绍几种常见的快速检索方法&#xff0c;并提供相应的代码示例。 1. 数组的find和findIndex方法 find: 返回数组中满足条件的第一个元素的值。findIndex: 返回数组中满足条件的第一个元素的索…

ASAN排查程序中内存问题使用总结

简介 谷歌有一系列Sanitizer工具&#xff0c;可用于排查程序中内存相关的问题。常用的Sanitizer工具包括&#xff1a; Address Sanitizer&#xff08;ASan&#xff09;&#xff1a;用于检测内存使用错误。Leak Sanitizer&#xff08;LSan&#xff09;&#xff1a;用于检测内存…

2-28 基于matlab提取出频域和时域信号的29个特征

基于matlab提取出频域和时域信号的29个特征&#xff0c;主运行文件feature_extraction&#xff0c;fre_statistical_compute和time_statistical_compute分别提取频域和时域的特征&#xff0c;生成的29个特征保存在生成的feature矩阵中。程序已调通&#xff0c;可直接运行。 2-2…

mp4视频太大怎么压缩不影响画质,mp4文件太大怎么变小且清晰度高

在数字化时代&#xff0c;我们常常面临视频文件过大的问题。尤其是mp4格式的视频&#xff0c;文件大小往往令人望而却步。那么&#xff0c;如何在不影响画质的前提下&#xff0c;有效地压缩mp4视频呢&#xff1f;本文将为您揭秘几种简单实用的压缩技巧。 在分享和存储视频时&am…

入门 Vue Router

Vue Router Vue Router插件做了什么&#xff1f; 全局注册 RouterView 和 RouterLink 组件。添加全局 $router 和 $route 属性。启用 useRouter() 和 useRoute() 组合式函数。触发路由器解析初始路由。 标签介绍 RouterView 加载指定页面 <RouterLink to"/home"…

OpenAI Gym Atari on Windows

题意&#xff1a;在Windows系统上使用OpenAI Gym的Atari环境 问题背景&#xff1a; Im having issues installing OpenAI Gym Atari environment on Windows 10. I have successfully installed and used OpenAI Gym already on the same system. It keeps tripping up when t…

Java 静态变量、静态代码块、普通代码块、构造方法的执行顺序

今天碰到这个问题&#xff0c;看了课程以及资料&#xff0c;做出解答。这是我自己绘制的图&#xff0c;按从上到下&#xff0c;从左到右的顺序执行。如有问题请联系我修正。 要点&#xff1a; 1、执行顺序分为两步&#xff0c;类加载和初始化阶段。 2、因为静态变量和静态代码块…

如何使用Selenium处理Cookie,今天彻底学会了!_selenium获取cookies(1)

02、session介绍 session是另一种记录客户状态的机制&#xff0c;不同的是cookie保存在客户端浏览器中&#xff0c;而session保存在服务器上。客户端浏览器访问服务器的时候&#xff0c;服务器把客户端信息以某种形式记录在服务器上。存储在服务器的数据会更加的安全&#xff…

常见的认证方式

认证机制是一种用户确定用户身份或者权限的安全措施&#xff0c;比如用来验证某个用户是否有权限访问一个资源&#xff0c;如果认证通过&#xff0c;用户就可以成功访问&#xff0c;反之则会访问失败 常见的认证方式有四种&#xff0c;分别是 Basic、Digest、OAuth 和 Bearer …

【分布式系统】Filebeat+Kafka+ELK 的服务部署

目录 一.实验准备 二.配置部署 Filebeat 三.配置Logstash 四.验证 一.实验准备 结合之前的博客中的实验 主机名ip地址主要软件es01192.168.80.101ElasticSearches02192.168.80.102ElasticSearches03192.168.80.103ElasticSearch、Kibananginx01192.168.80.104nginx、Logs…

影视灯方案 H5228升降压恒流芯片 48V60V80V100V共阳0.01%深度调光无频闪

H5228 升降压恒流芯片是一款为 LED 照明应用设计的驱动解决方案&#xff0c;具有宽电压输入范围、高精度的恒流控制和多样的调光功能&#xff0c;适用于智能照明、摄影灯照明以及补光灯照明等领域。以下是对其特点和应用的详细分析&#xff1a; 产品特点 拓扑结构支持&#xf…

【2024华为HCIP831 | 高级网络工程师之路】刷题日记(BGP)

个人名片:🪪 🐼作者简介:一名大三在校生,喜欢AI编程🎋 🐻‍❄️个人主页🥇:落798. 🐼个人WeChat:hmmwx53 🕊️系列专栏:🖼️ 零基础学Java——小白入门必备🔥重识C语言——复习回顾🔥计算机网络体系———深度详讲HCIP数通工程师-刷题与实战🔥🔥

深度解析移动硬盘“函数不正确”错误及高效恢复策略

在数据密集型的社会中&#xff0c;移动硬盘作为移动存储的重要载体&#xff0c;承载着无数用户的个人信息、工作资料及珍贵回忆。然而&#xff0c;当遭遇“函数不正确”的错误时&#xff0c;这些宝贵的数据仿佛被一层无形的屏障所阻隔&#xff0c;让人束手无策。本文将深入探讨…

初学SpringMVC之执行原理

Spring MVC 是基于 Java 实现 MVC 的轻量级 Web 框架 导入 jar 包 pom.xml 文件导入依赖&#xff1a; <dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.13.2</version></dependency><dep…