造網
--產品方案
--技術方案
維網
--OSPF
機房巡檢
OSPF認證
路由協議支持的認證類型:
RIPv2->明文/密文
EIGRP->密文
OSPF->明文/密文/null
所有的路由協議配置認證的方式:
1、啓動認證功能;
2、配置密碼(key-chain)
3、調用密碼
OSPF的認證:
鏈路認證(僅僅對某一個或者幾個鏈路)
啓動認證和配置密碼,都是在鏈路上進行的;
區域認證(對整個區域的所有的鏈路)
啓動認證是在 OSPF 進程下,對區域配置的;
密碼,還是配置在具體的鏈路上;
plain text / clear text / simple password ->表示的都是明文認證
明文配置命令:
R1:
interface fas0/0
ip ospf authentication // 啓動明文認證功能;
ip ospf authentication-key cisco // 配置明文認證使用的密碼;
R2:
interface fas0/1
ip ospf authentication // 啓動明文認證功能;
ip ospf authentication-key cisco // 配置明文認證使用的密碼;
驗證和調試命令:
show ip ospf neighbor
debug ip ospf adj // 查看鄰居建立協商的過程;
認證成功必須確保:
1、認證必須同時開啓 -->認證類型不同,一方是0,一方是1;
2、認證類型必須相同
3、認證密碼必須相同(也可以同時爲空)-> mismatch authentication key
密文配置命令:
R1:
interface fas0/0
ip ospf authentication message-digest // 啓動密文認證功能;
ip ospf message-digest-key 10 md5 ccie //配置密文認證使用的密碼;
R2:
interface fas0/1
ip ospf authentication message-digest // 啓動密文認證功能;
ip ospf message-digest-key 10 md5 ccie //配置密文認證使用的密碼;
密文認證成功:
1、認證功能必須開啓;
2、認證類型必須得相同;
3、認證密碼的最新的key-id以及key必須相同;
每次都是嘗試着使用最新的key-id以及對應的密碼
[最後一次配置的叫做最新的]
如果兩邊配置的“最新的key-id”是相同的,則一定
使用最新的key-id對應的密碼進行認證:
如果相同,則認證成功;如果不同,認證失敗;
注意:
區域認證與鏈路認證的區別僅僅在於:啓動認證功能的方式不同;
配置命令-
router ospf 1
area 12 authentication // 對區域12開啓明文認證;
指的是對該設備上的所有屬於
區域12的鏈路,都啓用了明文
認證功能,可以通過命令進行驗證
show ip ospf interface fas0/0
但是此時是沒有密碼的;
接下來,需要我們在屬於區域12的每個鏈路上配置明文密碼;
R1(config)#default interface fas0/0
OSPF特殊區域
特殊之處在於:
區域中沒有外部路由,也就是沒有5類LSA。
-stub area :末節區域
需要在該區域的任何一個路由器上配置命令:
router ospf 1
area 12 stub
末節區域,在該區域中,是沒有5類LSA和4類LSA。
有1類、2類、3類LSA
但是該區域的 ABR 會自動產生一個 3類 LSA 表示的 默認路由;
爲了能夠與外網鏈路互通。
爲了進一步增強該區域的安全性,不受到內網其他區域的影響,
所以我們可以進一步縮小該區域的數據庫的大小-幹掉3類LSA。
-totally stub area : 完全末節區域;
僅僅需要在 stub 區域的 ABR 上實施 -
router ospf 1
area 12 stub no-summary
此時的完全末節區域,僅僅有1類LSA或者1和2類LSA,
還有一個特殊的3類LSA,表示默認路由,是 ABR 自動產生的;
驗證命令:show ip ospf
-NSSA area : not so stub area
在該區域中,不能存在5類LSA,但是可以允許外部路由的出現,
是以7類LSA形式存在。
該區域中包含的是1、2、3、7類 LSA ;
與 stub 區域相比,是沒有自動產生的 OIA 的默認路由;
爲了能夠與 5類 LSA 表示的外部路由網絡進行互通,
所以我們必須手動在 NSSA 區域的 ABR 上面產生一個默認路由,
並且默認是 ON2 的, cost 爲 1;
該區域的 ABR 可以進行 7 類 LSA 向 5 類 LSA 的單向轉換。
並且當 NSSA 區域存在多個 ABR 時,僅有一個可以進行7/5轉換。
配置命令:
需要在該區域的每個路由器上都得進行配置
router ospf 1
area 12 nssa
另外,需要在 ABR 上產生默認路由:
router ospf 1
area 12 nssa default-information-originate
-Totally NSSA : 完全 NSSA 區域。
在該區域中,不允許存在3、4、5 LSA ,
允許的是1、2、7類,以及一個特殊的3類 LSA,表示默認路由。
是由 NSSA 區域的 ABR 自動產生的。
配置命令:
僅僅需要在 NSSA 區域的 ABR 上配置
router ospf 1
area 12 nssa no-summary
R1-R2配置爲區域12;
R2-R3配置爲區域0;
R1上的靜態路由,充分發引入到 區域12
區域12配置爲 NSSA 區域;
確定外部路由在特殊區域中的表現形式
需要確定內部路由、外部路由的表示方式、AD的變化、Metric變化
需要確定OSPF數據庫中 不同類型的 LSA 的表示,以及數據庫的組織形式
R1:
ip route-static 100.1.1.0 255.255.255.0 null 0
ospf 1 router-id 1.1.1.1
import-route static
area 12
network 192.168.12.1 0.0.0.0
network 10.10.1.1 0.0.0.0
nssa
R2:
ospf 1 router-id 2.2.2.2
area 12
network 192.168.12.2 0.0.0.0
network 10.10.2.2 0.0.0.0
nssa
area 0
network 192.168.23.2 0.0.0.0
R3:
ospf 1 router-id 3.3.3.3
area 0
network 192.168.23.3 0.0.0.0
display ospf peer brief // 查看OSPF鄰居;
display ospf lsdb //查看OSPF數據庫
display ip routing-table protocol ospf // 查看OSPF路由表
reset ospf 1 process // 清除 ospf 1 的進程;
李軍
Tel:15135361516
qq:344728662
@:[email protected]