Протокол IP : Протокол OSPF

Пример конфигурации для аутентификации по протоколу OSPF

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе приведены примеры конфигурации для аутентификации OSPF, которая предоставляет гибкость при аутентификации соседей OSPF. Можно включить аутентификацию в OSPF для защищенного обмена информацией об обновлениях маршрутов. Аутентификация OSPF может быть отключена (null) либо может выполняться в простом режиме или режиме MD5. Метод аутентификации «ни один» (none) означает, что никакая аутентификация для OSPF не используется. Он выбирается по умолчанию. С простой аутентификацией пароль передается по сети открытым текстом. С аутентификацией MD5 пароль не передается по сети. MD5 — это алгоритм свертки сообщения, описанный в RFC 1321. MD5 считается наиболее защищенным режимом аутентификации OSPF. При настройке аутентификации необходимо для всей области указать один и тот же тип аутентификации. Начиная с Cisco Выпуск ПО IOS� 12.0 (8), аутентификация поддерживается на поинтерфейсной основе. Это также упоминается в RFC 2328 (Приложение D). leavingcisco.comЭта опция добавлена в идентификаторе ошибки Cisco CSCdk33792 (только зарегистрированные клиенты).

Предварительные условия

Требования

Читатели данной документации должны быть знакомы с базовыми понятиями протокола маршрутизации OSPF. Обратитесь к Открытому Кратчайшему пути Первую документацию для получения информации на протоколе маршрутизации OSPF.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.

  • Маршрутизаторы Cisco 2503

  • Программное обеспечение Cisco IOS версии 12.2 (27)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Это три различных типа аутентификации, поддерживаемой OSPF.

  • Нулевая аутентификация—Также называется "Тип 0" и означает, что в заголовок пакета не включается информация об аутентификации. Это значение по умолчанию.

  • Открытая проверка подлинности вЂ" Также называется Тип 1 и использует простые текстовые пароли.

  • Аутентификация MD5 — Это также называют Типом 2, и это использует зашифрованные пароли MD5.

Не нужно устанавливать аутентификацию. Однако если она установлена, все узловые маршрутизаторы в одном сегменте должны использовать одни и те же пароль и метод аутентификации. Примеры в данном документе демонстрируют конфигурации для аутентификации с нешифрованным паролем и аутентификации MD5.

Настройка

В данном разделе содержится информация о настройке функций, описанных в этом документе.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для обнаружения дополнительных сведений о командах используемыми в этом документе.

Схема сети

В этом документе использованы параметры данной сети.

http://www.cisco.com/c/dam/en/us/support/docs/ip/open-shortest-path-first-ospf/13697-25a.gif

Настройки для аутентификации нешифрованного текста

Когда устройства в области не могут поддержать более безопасную Аутентификацию MD5, аутентификация с нешифрованным паролем используется. Аутентификация с нешифрованным паролем оставляет объединенную сеть уязвимой перед сниффер-атакой, в которой пакеты перехватываются анализатором протокола, и пароль может быть прочтен. Однако полезно при выполнении изменения настроек OSPF, а не для безопасности. Например, отдельные пароли могут использоваться на старых и новых маршрутизаторах OSPF, подключенных в общую сеть широковещания, чтобы предотвратить их общение друг с другом. Нешифрованные пароли для аутентификации не должны быть одинаковыми в области, но они должны быть одинаковыми между соседями.

R2-2503
interface Loopback0
  ip address 70.70.70.70 255.255.255.255
 !
 interface Serial0
  ip address 192.16.64.2 255.255.255.0
  ip ospf authentication-key c1$c0  

!--- The Key value is set as "c1$c0 ".
!--- It is the password that is sent across the network.

    clockrate 64000
  !
 router ospf 10
  log-adjacency-changes
  network 70.0.0.0 0.255.255.255 area 0
  network 192.16.64.0 0.0.0.255 area 0
  
  area 0 authentication

!--- Plain text authentication is enabled for 
!--- all interfaces in Area 0.

R1-2503
interface Loopback0
 ip address 172.16.10.36 255.255.255.240
!
interface Serial0
 ip address 192.16.64.1 255.255.255.0
 ip ospf authentication-key c1$c0  

!--- The Key value is set as "c1$c0 ".
!--- It is the password that is sent across the network.

!
router ospf 10
 network 172.16.0.0 0.0.255.255 area 0
 network 192.16.64.0 0.0.0.255 area 0
 area 0 authentication 

!--- Plain text authentication is enabled 
!--- for all interfaces in Area 0.

Примечание:  Команда area authentication в конфигурации включает аутентификацию для всех интерфейсов маршрутизатора в определенной области. Можно также использовать команду ip ospf authentication под интерфейсом для настройки аутентификации с нешифрованным паролем для интерфейса. Эту команду можно использовать, если для области, которой принадлежит интерфейс, настроен другой метод аутентификации, или если он вообще отсутствует. Это отвергает метод аутентификации, настроенный для области. Это полезно, если требуется, чтобы различные интерфейсы, принадлежащие той же области, использовали разные методы аутентификации.

Настройки для проверки подлинности MD5

Аутентификация MD5 предоставляет более высокую безопасность, чем аутентификация с нешифрованным паролем. Этот метод использует алгоритм MD5 для расчета значения хэша на основе содержимого пакета OSPF и пароля (или ключа). Данное значение хэширования передается в пакете вместе с идентификатором ключа и неубывающим порядковым номером. Получатель, знающий тот же пароль, вычисляет собственное значение хеширования. Если ничто в изменениях сообщения, значение хеш-функции получателя должно совпасть со значением хеш-функции отправителя, который передан с сообщением.

Ключевой ID позволяет маршрутизатору представлять множественные пароли в виде таблицы. Это делает перенос пароля проще и более безопасным. Например, для миграции от одного пароля до другого настройте пароль в соответствии с другим ключевым ID и удалите первый ключ. Порядковый номер предотвращает атаки с повторением пакетов, в которых пакеты OSPF перехватываются, модифицируются и ретранслируются к маршрутизатору. Как и в случае проверки обычного текста, пароли проверки MD5 не должны быть одинаковыми по всей области. Однако пароли должны быть одинаковыми между соседями.

Примечание: Cisco рекомендует настроить команду шифрования служебного пароля на всех маршрутизаторах. Это заставляет маршрутизатор шифровать пароли в любом показе файла конфигурации и принимает меры против пароля, изучаемого путем наблюдения текстовой копии конфигурации маршрутизатора.

R2-2503
interface Loopback0
  ip address 70.70.70.70 255.255.255.255
 !
 interface Serial0
  ip address 192.16.64.2 255.255.255.0
  ip ospf message-digest-key 1 md5 c1$c0   

!--- Message digest key with ID "1" and 
!--- Key value (password) is set as "c1$c0 ".

  clockrate 64000
 !
 router ospf 10
  network 192.16.64.0 0.0.0.255 area 0
  network 70.0.0.0 0.255.255.255 area 0
 area 0 authentication message-digest -->

!--- MD5 authentication is enabled for 
!--- all interfaces in Area 0.

R1-2503
interface Loopback0
 ip address 172.16.10.36 255.255.255.240
!
interface Serial0
 ip address 192.16.64.1 255.255.255.0
 ip ospf message-digest-key 1 md5 c1$c0   

!--- Message digest key with ID "1" and 
!--- Key (password) value is set as "c1$c0 ".

!
router ospf 10
 network 172.16.0.0 0.0.255.255 area 0
 network 192.16.64.0 0.0.0.255 area 0
 area 0 authentication message-digest 

!--- MD5 authentication is enabled for 
!--- all interfaces in Area 0.

Примечание:  Команда area authentication message-digest в этой конфигурации включает аутентификацию для всех интерфейсов маршрутизаторов в определенной области. Можно также использовать команду message-digest ip ospf authentication под интерфейсом для настройки Аутентификации MD5 для определенного интерфейса. Эту команду можно использовать, если для области, которой принадлежит интерфейс, настроен другой метод аутентификации, или если он вообще отсутствует. Это отвергает метод аутентификации, настроенный для области. Это полезно, если требуется, чтобы различные интерфейсы, принадлежащие той же области, использовали разные методы аутентификации.

Проверка.

Эти разделы предоставляют сведения, можно использовать, чтобы подтвердить, что конфигурации работают должным образом.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Проверьте открытую проверку подлинности

Используйте команду show ip ospf interface для просмотра типа проверки подлинности, настроенного для интерфейса, как показано в выходных данных ниже. Здесь, интерфейс Serial 0 настроен для Аутентификации с нешифрованным паролем.

R1-2503# show ip ospf interface serial0
Serial0 is up, line protocol is up
  Internet Address 192.16.64.1/24, Area 0
  Process ID 10, Router ID 172.16.10.36, Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:04
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 0, Adjacent neighbor count is 0
  Suppress hello for 0 neighbor(s)
  Simple password authentication enabled

Команда show ip ospf neighbor отображает таблицу соседей, которая состоит из сведений о соседе, как показано в выходных данных ниже.

R1-2503# show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
70.70.70.70       1   FULL/  -        00:00:31    192.16.64.2     Serial0

Команда show ip route отображает таблицу маршрутизации, как показано в выходных данных ниже.

R1-2503# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     70.0.0.0/32 is subnetted, 1 subnets
O       70.70.70.70 [110/65] via 192.16.64.2, 00:03:28, Serial0
     172.16.0.0/28 is subnetted, 1 subnets
C       172.16.10.32 is directly connected, Loopback0
C    192.16.64.0/24 is directly connected, Serial0

Проверка аутентификации MD5

Используйте команду show ip ospf interface для просмотра типа проверки подлинности, настроенного для интерфейса, как показано в выходных данных ниже. Здесь интерфейс Serial 0 настроен для аутентификации MD-5 с идентификатором ключа "1".

R1-2503# show ip ospf interface serial0
Serial0 is up, line protocol is up
  Internet Address 192.16.64.1/24, Area 0
  Process ID 10, Router ID  172.16.10.36 , Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:05
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 70.70.70.70
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
    Youngest key id is 1

Команда show ip ospf neighbor отображает таблицу соседей, которая состоит из сведений о соседе, как показано в выходных данных ниже.

R1-2503# show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
70.70.70.70       1   FULL/  -        00:00:34    192.16.64.2     Serial0
R1-2503#

Команда show ip route отображает таблицу маршрутизации, как показано в выходных данных ниже.

R1-2503# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     70.0.0.0/32 is subnetted, 1 subnets
O       70.70.70.70 [110/65] via 192.16.64.2, 00:01:23, Serial0
     172.16.0.0/28 is subnetted, 1 subnets
C       172.16.10.32 is directly connected, Loopback0
C    192.16.64.0/24 is directly connected, Serial0

Устранение неполадок

Эти разделы предоставляют сведения, можно использовать для устранения проблем конфигураций. Выполните команду debug ip ospf adj для получения процесса проверки подлинности. Эта команда отладки должна быть выполнена, прежде чем отношения соседей установлены.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Диагностика проверки подлинности обычного текста

Когда аутентификация с нешифрованным паролем успешна, deb IP выходные данные прил ospf для R1-2503 показывают.

R1-2503# debug ip ospf adj
00:50:57: %LINK-3-UPDOWN: Interface Serial0, changed state to down
00:50:57: OSPF: Interface Serial0 going Down
00:50:57: OSPF: 172.16.10.36 address 192.16.64.1 on Serial0 is dead, 
  state DOWN
00:50:57: OSPF: 70.70.70.70 address 192.16.64.2 on Serial0 is dead, 
  state DOWN
00:50:57: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from 
  FULL to DOWN, Neighbor Down: Interface down or detached
00:50:58: OSPF: Build router LSA for area 0, router ID 172.16.10.36, 
  seq 0x80000009
00:50:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, 
  changed state to down
00:51:03: %LINK-3-UPDOWN: Interface Serial0, changed state to up
00:51:03: OSPF: Interface Serial0 going Up
00:51:04: OSPF: Build router LSA for area 0, router ID 172.16.10.36, 
  seq 0x8000000A
00:51:04: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, 
  changed state to up
00:51:13: OSPF: 2 Way Communication to 70.70.70.70 on Serial0, 
  state 2WAY
00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2486 opt 0x42 
  flag 0x7 len 32
00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x19A4 opt 0x42 
  flag 0x7 len 32 mtu 1500 state EXSTART
00:51:13: OSPF: First DBD and we are not SLAVE
00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2486 opt 0x42 
  flag 0x2 len 72 mtu 1500 state EXSTART
00:51:13: OSPF: NBR Negotiation Done. We are the MASTER
00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2487 opt 0x42 
  flag 0x3 len 72
00:51:13: OSPF: Database request to 70.70.70.70
00:51:13: OSPF: sent LS REQ packet to 192.16.64.2, length 12
00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2487 opt 0x42 
  flag 0x0 len 32 mtu 1500 state EXCHANGE
00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2488 opt 0x42 
  flag 0x1 len 32
00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2488 opt 0x42 
  flag 0x0 len 32 mtu 1500 state EXCHANGE
00:51:13: OSPF: Exchange Done with 70.70.70.70 on Serial0
00:51:13: OSPF: Synchronized with 70.70.70.70 on Serial0, state FULL              

!--- Indicates the neighbor adjacency is established.

00:51:13: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from LOADING 
  to FULL, Loading Done
00:51:14: OSPF: Build router LSA for area 0, router ID 172.16.10.36, 
  seq 0x8000000B
R1-2503#

Когда существует несоответствие в типе аутентификации, настроенной на маршрутизаторах, это - выходные данные команды debug ip ospf adj. Эти выходные данные показывают, что использование Маршрутизатора R1-2503 вводит 1 аутентификацию, тогда как маршрутизатор R2-2503 настроен для типа 0 аутентификаций. Это означает, что Маршрутизатор R1-2503 настроен для аутентификации с нешифрованным паролем (Тип 1), тогда как Маршрутизатор R2-2503 настроен для фиктивной проверки подлинности (Тип 0).

R1-2503# debug ip ospf adj
00:51:23: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch 
Authentication type.

!--- Input packet specified type 0, you use type 1.

Когда существует несоответствие в ключе проверки подлинности (пароль) значения, это - выходные данные команды debug ip ospf adj. В этом случае оба маршрутизатора настроены для аутентификации с нешифрованным паролем (Тип 1), но существует несоответствие в ключе (пароль) значения.

R1-2503# debug ip ospf adj
00:51:33: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch 
Authentication Key - Clear Text

Устранение неполадок аутентификации MD5

Когда Аутентификация MD5 успешна, это - выходные данные команды debug ip ospf adj для R1-2503.

R1-2503# debug ip ospf adj
00:59:03: OSPF: Send with youngest Key 1

00:59:13: OSPF: Send with youngest Key 1
00:59:17: %LINK-3-UPDOWN: Interface Serial0, changed state to down
00:59:17: OSPF: Interface Serial0 going Down
00:59:17: OSPF: 172.16.10.36 address 192.16.64.1 on Serial0 is dead, 
  state DOWN
00:59:17: OSPF: 70.70.70.70 address 192.16.64.2 on Serial0 is dead, 
  state DOWN
00:59:17: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from 
  FULL to DOWN, Neighbor Down: Interface down or detached
00:59:17: OSPF: Build router LSA for area 0, router ID 172.16.10.36,
  seq 0x8000000E
00:59:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, 
  changed state to down
00:59:32: %LINK-3-UPDOWN: Interface Serial0, changed state to up
00:59:32: OSPF: Interface Serial0 going Up
00:59:32: OSPF: Send with youngest Key 1
00:59:33: OSPF: Build router LSA for area 0, router ID 172.16.10.36,
  seq 0x8000000F
00:59:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
  changed state to up

00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: 2 Way Communication to 70.70.70.70 on Serial0, 
  state 2WAY

!--- Both neighbors configured for Message 
!--- digest authentication with Key ID "1". 

00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2125 opt 0x42 
  flag 0x7len 32
00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x11F3 opt 0x42 
  flag 0x7 len 32 mtu 1500 state EXSTART
00:59:42: OSPF: First DBD and we are not SLAVE
00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2125 opt 0x42 
  flag 0x2 len 72 mtu 1500 state EXSTART
00:59:42: OSPF: NBR Negotiation Done. We are the MASTER
00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2126 opt 0x42 
  flag 0x3 len 72
00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: Database request to 70.70.70.70
00:59:42: OSPF: sent LS REQ packet to 192.16.64.2, length 12
00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2126 opt 0x42 
  flag 0x0 len 32 mtu 1500 state EXCHANGE
00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2127 opt 0x42 
  flag 0x1len 32
00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: Send with youngest Key 1
00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2127 opt 0x42 
  flag 0x0 len 32 mtu 1500 state EXCHANGE
00:59:42: OSPF: Exchange Done with 70.70.70.70 on Serial0
00:59:42: OSPF: Synchronized with 70.70.70.70 on Serial0, state FULL
00:59:42: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from 
  LOADING to FULL, Loading Done
00:59:43: OSPF: Build router LSA for area 0, router ID 172.16.10.36, 
  seq 0x80000010
00:59:43: OSPF: Send with youngest Key 1
00:59:45: OSPF: Send with youngest Key 1
R1-2503#

Когда существует несоответствие в типе аутентификации, настроенной на маршрутизаторах, это - выходные данные команды debug ip ospf adj. Эти выходные данные показывают, что использование маршрутизатора R1-2503 вводит 2 (MD5) аутентификация, тогда как использование Маршрутизатора R2-2503 вводит 1 аутентификацию (аутентификация с нешифрованным паролем).

R1-2503# debug ip ospf adj
00:59:33: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch 
Authentication type.

!--- Input packet specified type 1, you use type 2.

Это - выходные данные команды debug ip ospf adj, когда существует несоответствие в ключевых ID, которые используются для аутентификации. Эти выходные данные показывают, что маршрутизатор R1-2503 использует Аутентификацию MD5 с Ключевым ID 1, тогда как Маршрутизатор R2-2503 использует Аутентификацию MD5 с Ключевым ID 2.

R1-2503# debug ip ospf adj
00:59:33: OSPF: Send with youngest Key 1
00:59:43: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch 
Authentication Key - No message digest key 2 on interface

Когда и Ключевой 1 и Ключевые 2 для Аутентификации MD5 настроены как часть миграции, эти выходные данные команды debug ip ospf adj для R1-2503 показывают.

R1-2503# debug ip ospf adj

00:59:43: OSPF: Send with youngest Key 1
00:59:53: OSPF: Send with youngest Key 2

!--- Informs that this router is also configured 
!--- for Key 2 and both routers now use Key 2. 

01:00:53: OSPF: 2 Way Communication to 70.70.70.70 
on Serial0, state 2WAY
R1-2503#

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13697