多区域的OSPF实战配置
需求
- 如图配置设备的接口IP地址
- 如图规划OSPF网络的区域
- 要求每个设备的 router-id 都是 x.x.x.x(x是每个路由器的名字)
- 确保不同的PC之间可以互通
拓扑图
配置命令
PC1:
192.168.1.1
255.255.255.0
192.168.1.254
PC2:
192.168.2.1
255.255.255.0
192.168.2.254
R1:
undo terminal monitor
system-view
sysname R1
interface gi0/0/2
ip address 192.168.1.254 24
quit
interface gi0/0/0
ip address 192.168.12.1 24
ospf authentication-mode simple plain hcip
quit
ospf 1 router-id 1.1.1.1
area 12
network 192.168.12.0 0.0.0.255
network 192.168.1.0 0.0.0.255
quit
quit
R2:
undo terminal monitor
system-view
sysname R2
interface gi0/0/1
ip address 192.168.12.2 24
ospf authentication-mode simple plain hcip
quit
interface gi0/0/0
ip address 192.168.23.2 24
quit
ospf 1 router-id 2.2.2.2
area 0
network 192.168.23.0 0.0.0.255
authentication-mode simple plain hcie
quit
area 12
network 192.168.12.0 0.0.0.255
quit
quit
R3:
undo terminal monitor
system-view
sysname R3
interface gi0/0/1
ip address 192.168.23.3 24
quit
interface gi0/0/0
ip address 192.168.34.3 24
quit
ospf 1 router-id 3.3.3.3
area 0
network 192.168.23.0 0.0.0.255
network 192.168.34.0 0.0.0.255
authentication-mode simple plain hcie
quit
quit
R4:
undo terminal monitor
system-view
sysname R4
interface gi0/0/1
ip address 192.168.34.4 24
quit
interface gi0/0/0
ip address 192.168.45.4 24
quit
ospf 1 router-id 4.4.4.4
area 0
network 192.168.45.0 0.0.0.255
network 192.168.34.0 0.0.0.255
authentication-mode simple plain hcie
quit
quit
R5:
undo terminal monitor
system-view
sysname R5
interface gi0/0/1
ip address 192.168.45.5 24
quit
interface gi0/0/0
ip address 192.168.56.5 24
ospf authentication-mode md5 9 HCIP
quit
ospf 1 router-id 5.5.5.5
area 0
network 192.168.45.0 0.0.0.255
authentication-mode simple plain hcie
quit
area 56
network 192.168.56.0 0.0.0.255
quit
quit
R6:
undo terminal monitor
system-view
sysname R6
interface gi0/0/1
ip address 192.168.56.6 24
ospf authentication-mode md5 9 HCIP
quit
interface gi0/0/2
ip address 192.168.2.254 24
quit
ospf 1 router-id 6.6.6.6
area 56
network 192.168.56.0 0.0.0.255
network 192.168.2.0 0.0.0.255
quit
quit
验证
认证
- 链路认证:指的是在接口上配置认证的相关命令
-
开启认证以后,该端口发送OSPF报文时,都需要携带着密码
-
开启认证以后,该端口接收OSPF报文时,都需要检查对方携带的密码,是否和自己相同
-
配置命令:
-
链路认证,仅仅需要在“直接相连的2个OSPF设备之间”的端口上,进行配置。
配置原则是:链路两端的认证命令,保持完全相同,就一定可以认证成功!
比如:在R2和R3之间的链路上,启用链路认证:认证的类型是明文认证,认证的密码是HCIE。
配置命令如下:
R1:
interface gi0/0/0
ospf authentication-mode simple hcip
quit
R2:
interface gi0/0/1
ospf authentication-mode simple hcip
quit
上面配置的“明文认证”,密码在传输过程中,是不加密的。所以非常不安全。
所以,我们建议使用“密文认证”:即密码在传输过程中是加密的,不容易被破解。
比如,我们在R3和R4之间,也是配置链路认证,认证方式是:md5,认证密码是:HCIP
R5:
interface gi0/0/0
ospf authentication-mode md5 9 HCIP
quit
R6:
interface gi0/0/1
ospf authentication-mode md5 9 HCIP
quit
- 区域认证:指的是在区域中配置认证的相关命令
-
配置区域认证以后,那么该设备上,属于这个特定区域的所有链路,就都启用了认证功能。
-
配置命令:
-
例如:在R4的 0 区域中,配置“区域认证”,认证方式为 明文, 认证密码是 HAHA
R4:
ospf 1
area 0
authentication-mode simple plain hcie
quit
一旦配置了这个认证,R4上属于区域 0 的接口(Gi0/0/0和Gi0/0/1)就都启用认证了:
即在这两个端口上发送 OSPF 报文的时候,都加密码;
在这个两个端口上接收 OSPF 报文的时候,都检查密码;
所以结果是:
-R4和R5之间的邻居,断开了;
-R4和R3之间的邻居,挺好;
纠结:此时R4和R3之间,发送的 OSPF 报文,到底是使用明文认证还是密文认证,使用的是HCIP还是hcie
结果是:
区域认证,相比较链路认证而言,节省了很多工作量,少配置了很多命令;
但我们都启用区域认证的情况下,
该区域的所有的OSPF路由器,都要配置相同的区域认证命令。
如果同一个接口上,同时启用了链路认证和区域认证,那么链路认证的优先级更高。
