Протокол IP : Протокол OSPF

Конфигурирование аутентификации алгоритма первоочередного открытия кратчайших маршрутов (OSPF) в виртуальном канале связи

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Все области в автономной системе OSPF должны физически соединяться с магистральной областью (областью 0). Однако в случаях, где такое физическое соединение невозможно, допускается использовать виртуальное соединение между магистральной и немагистральной областями. Можно также использовать виртуальные соединения для соединения двух частей разделенного магистрального канала через немагистральную зону. Кроме того, можно включить проверку подлинности OSPF на виртуальных соединениях.

Этот документ описывает, как включить открытый текст и аутентификацию алгоритма представления сообщения в краткой форме 5 (MD5) на виртуальном соединении в сети OSPF. См. Пример конфигурации для проверки подлинности по протоколу OSPF для получения дополнительной информации о том, как настроить проверку подлинности OSPF.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

  • Знание протокола маршрутизации OSPF и его операций

  • Знание понятия виртуальных каналов OSPF

Для получения дополнительной информации о протоколе маршрутизации OSPF и понятии виртуальных соединений в OSPF, обратитесь к Руководству по проектированию OSPF.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизаторы Cisco серии 2500

  • Cisco выпуск ПО IOS� 12.2 (27)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/8313/27-a.gif

Конфигурации

Эти конфигурации используются в данном документе:

Настройте аутентификацию с нешифрованным паролем

Аутентификация с нешифрованным паролем передает пароли через сеть как открытый текст. В этой конфигурации маршрутизатор 3.3.3.3 не имеет никакого интерфейса в области 0, но соединяется фактически с областью 0. Эта конфигурация делает маршрутизатор 3.3.3.3 пограничным маршрутизатором виртуальной области (ABR), таким образом, необходимо включить аутентификацию зоны 0 на маршрутизаторе 3.3.3.3. Этот раздел предоставляет команды для настройки аутентификации с нешифрованным паролем в сценарии виртуального соединения.

Примечание: Ключ проверки подлинности, что использование конфигурации определяет ключ (пароль), который вставлен непосредственно в заголовок OSPF. Когда программное обеспечение Cisco IOS инициирует пакеты протокола маршрутизации, ключ вставлен в заголовок. Можно назначить отдельный пароль на каждую сеть на поинтерфейсной основе. Все соседние маршрутизаторы в той же сети должны иметь тот же пароль для обмена Информацией от протокола OSPF.

Маршрутизатор 1.1.1.1
hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf authentication-key cisco

!--- This command configures the authentication key (password)
!--- on the interface as "cisco".


interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 
!--- on the router.

area 1 virtual-link 3.3.3.3 authentication-key cisco

!--- This command creates the virtual link between Router 
!--- 1.1.1.1 and Router 3.3.3.3 with plain text authentication enabled.

Маршрутизатор 3.3.3.3
hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 
!--- on the router.

 area 1 virtual-link 1.1.1.1 authentication-key cisco

!--- This command creates the virtual link to area 0 via 
!--- transit area 1 with plain text authentication enabled.

Настройте аутентификацию MD5

Аутентификация MD5 предоставляет лучшую безопасность, чем аутентификация с нешифрованным паролем. Безопасность лучше, потому что этот метод использует алгоритм MD5 для вычислений значения хеш-функции из содержания пакета OSPF и пароля (или ключ). Данное значение хэширования передается в пакете вместе с идентификатором ключа и неубывающим порядковым номером. Получатель, знающий тот же пароль, вычисляет собственное значение хеширования. Этот раздел предоставляет команды для настройки Аутентификации MD5 в сценарии виртуального соединения.

Маршрутизатор 1.1.1.1
hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf message-digest-key 1 md5 cisco

!--- This command configures the MD5 authentication key
!--- on the interface as "cisco".

interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 
!--- on the router.

 area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco

!--- This command creates the virtual link between Router 
!--- 1.1.1.1 and Router 3.3.3.3 with MD5 authentication enabled.

Маршрутизатор 3.3.3.3
hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 
!--- on the router.

area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 cisco

!--- This command creates the virtual link to area 0 via 
!--- the transit area 1 with MD5 authentication enabled.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show ip ospf virtual-links — Параметры Показов и текущее состояние виртуальных каналов OSPF.

  • show ip route – отображение текущего состояния таблицы маршрутизации.

Выходные данные эталонной команды вывода — Настраивают Аутентификацию с нешифрованным паролем

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL0 to router 1.1.1.1 is up

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links,
!--- and so link-state advertisements (LSAs) are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed)

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Simple password authentication enabled

!--- The type of authentication that is enabled displays.
!--- The authentication type is simple password.

r3.3.3.3#

Примечание: Выходные данные показывают, что подавлены hellos OSPF. Это означает, что, как только виртуальное соединение подключено, не обмениваются никакими hellos. OSPF подавляет hellos, потому что это полагает, что виртуальные соединения каналы требования. Обычно, OSPF передает hellos каждые 10 секунд и обновляет его LSA каждые 30 минут. Однако в каналах по требованию даже такой объем трафика нежелателен. Использование опций circuit требования OSPF подавляет привет и функции обновления LSA. В результате любые изменения, которые вы вносите в проверку подлинности OSPF, не вступают в силу, пока вы не очищаете процесс OSPF с командой clear ip ospf process. Примером является изменение типа проверки подлинности на маршрутизаторах.

r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:31:08, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 22:55:44, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0 
r3.3.3.3#

Выходные данные эталонной команды вывода — Настраивают Аутентификацию MD5

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL1 to router 1.1.1.1 is up 

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links,
!--- and so LSAs are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed) 

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Message digest authentication enabled 

!--- The type of authentication that is enabled displays.
!--- The authentication type is MD5.

    Youngest key id is 1
r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:02:41, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 00:02:51, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug ip ospf adj — Отлаживает Процесс определения смежности соседних узлов OSPF.

Выходные данные эталонной команды отладки — Настраивают Аутентификацию с нешифрованным паролем

r3.3.3.3# debug ip ospf adj

23:31:41: OSPF: Interface OSPF_VL0 going Up
23:31:41: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000031
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x887 opt 0x62 flag 0x7 
 len 32  mtu 0 state INIT
23:31:51: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL0, state 2WAY
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x7 len 32
23:31:51: OSPF: First DBD and we are not SLAVE
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x2 
 len 172  mtu 0 state EXSTART
23:31:51: OSPF: NBR Negotiation Done. We are the MASTER
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x3 len 172
23:31:51: OSPF: Database request to 1.1.1.1
23:31:51: OSPF: sent LS REQ packet to 5.0.0.1, length 12
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x0 len 32  
 mtu 0 state EXCHANGE
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x1 len 32
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x0 
 len 32  mtu 0 state EXCHANGE
23:31:51: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL0
23:31:51: OSPF: Synchronized with 1.1.1.1 on OSPF_VL0, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:31:51: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, 
 Loading Done
23:31:52: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002F
23:32:23: OSPF: Dead event ignored for 1.1.1.1 on demand circuit OSPF_VL0
r3.3.3.3#

Выходные данные эталонной команды отладки — Настраивают Аутентификацию MD5

r3.3.3.3# debug ip ospf adj

23:48:06: OSPF: Interface OSPF_VL1 going Up
23:48:06: OSPF: Send with youngest Key 0
23:48:07: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000001
23:48:07: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000033
23:48:07: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x80000030
23:48:14: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL1, state 2WAY
23:48:14: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len32
23:48:14: OSPF: Send with youngest Key 1
23:48:14: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 
 len 32 mtu 0 state EXSTART
23:48:14: OSPF: First DBD and we are not SLAVE
23:48:16: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Retransmitting DBD to 1.1.1.1 on OSPF_VL1 [1]
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 
 mtu 0 state EXSTART
23:48:19: OSPF: First DBD and we are not SLAVE
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x2 
 len 172 mtu 0 state EXSTART
23:48:19: OSPF: NBR Negotiation Done. We are the MASTER
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x3 len 112
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Database request to 1.1.1.1
23:48:19: OSPF: sent LS REQ packet to 5.0.0.1, length 48
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x1 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000030
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL1
23:48:19: OSPF: Synchronized with 1.1.1.1 on OSPF_VL1, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:48:19: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, 
 Loading Done

Дополнительные сведения


Document ID: 8313