1. 认证概述
为什么要有认证?
防止非法路由器接入企业内网的ospf路由器,保护内网安全
2. 认证方式
认证方式分为接口认证和区域认证,接口认证和区域认证没有本质的区别,接口认证是当区域内链路过多的情况下,接口认证配置较为繁琐,容易出错,此时可以采用区域认证,配置量更少。
3. 认证位置
- 接口认证
- 区域认证
注:如果同时配置了接口认证和区域认证,则接口人证优先于区域认证
4. 认证模式
认证报文携带在hello报文中,通过hello包进行协商,所有认证模式和认证密码两端必须一致,如果认证方式或认证密码协商不一致,会导致邻居关系建立失败
认证模式分为:
- simple 明文认证,密码在传输过程中是明文的,抓包可见
- MD5 密文认证,密码在传输的过程中是加密的,抓包不可见
5. 配置认证:
注意:simple/md5:表示OSPF报文在传输过程中是否加密 邻居两端必须一致
cipher/plain:表示秘钥信息在本地存储是否加密 邻居两端可以不一致
- 接口认证
需求:1) 企业内部运营OSPF多区域
2) 禁止区域0内有非法用户接入
3)AR2与AR3、AR3与AR4接口下配置明文认证、AR4与AR5接口下配置密文认证
拓扑:
配置命令:
接口认证配置:(邻居设备的认证类型、认证密码必须一致,如何不一致邻居会断开)
AR2和AR3之间配置simple 认证模式:
AR2:
interface GigabitEthernet0/0/0
ip address 192.168.23.2 255.255.255.0
ospf authentication-mode simple cipher hcip
AR3:
interface GigabitEthernet0/0/1
ip address 192.168.23.3 255.255.255.0
ospf authentication-mode simple cipher hcip
AR3和AR4之间配置simple 认证模式:
AR3:
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0
ospf authentication-mode simple cipher hcip
AR4:
interface GigabitEthernet0/0/1
ip address 192.168.34.4 255.255.255.0
ospf authentication-mode simple cipher hcip
AR4和AR5之间配置md5 认证模式:
AR4:
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0
ospf authentication-mode md5 1 cipher hcip
AR5:
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0
ospf authentication-mode md5 1 cipher hcip
- 区域认证
需求:1) 企业内部运营OSPF多区域
2) 禁止区域12内有非法用户接入,要求认证密码不可见,本地存储秘钥信息显示加密
拓扑:
配置命令:
实验一:配置区域认证
1)OSPF区域认证配置:
AR2:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
authentication-mode md5 1 cipher hcie
AR1:
ospf 1 router-id 1.1.1.1
area 0.0.0.12
authentication-mode md5 1 cipher hcie
network 192.168.12.0 0.0.0.255
实验二:验证接口认证优先于区域认证:
1)OSPF区域12认证配置:
AR2:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.23.0 0.0.0.255
area 0.0.0.12
authentication-mode md5 1 cipher hcie
AR1:
ospf 1 router-id 1.1.1.1
area 0.0.0.12
authentication-mode md5 1 cipher hcie
network 192.168.12.0 0.0.0.255
区域认证配置成功后,邻居关系正常,现在修改接口认证模式不一致,
如果邻居断开说明接口认证优先于区域认证
2)配置R1的区域12的接口认证模式为明文
interface GigabitEthernet0/0/0
ip address 192.168.12.1 255.255.255.0
ospf authentication-mode simple plain ntd
配置R2的区域12的接口认证模式为密文
interface GigabitEthernet0/0/1
ip address 192.168.12.2 255.255.255.0
ospf authentication-mode md5 1 plain 345
经验证发现,当接口认证不一致时,邻居断开,结论同时配置了接口认证和区域认证,
接口认证优先于区域认证
![[论文分享]TimeMAE:解耦掩码自编码器时间序列的自监督表示](https://img-blog.csdnimg.cn/7817ff7c6fb9426183c8d389d74de7fd.png)
