OSPF協議的驗證

2019-11-04 10:03:59

字體：大中小

來源：轉載

供稿：網友

路由器能夠靠設定密碼來參與路由信息域，通過這種方法就可以驗證OSPF報文。默認情況下，路由器使用空驗證，也就是說通過網絡進行路由信息的交換是不驗證的。OSPF網絡的驗證有兩種方法：簡單的密碼驗證(Simple PassWordAuthentication)和md5驗證（Message Digest Authentication）。

1. 啟動OSPF

在NE80核心路由器上啟用OSPF路由協議包含以下兩步。在全局配置模式下：

1 激活OSPF進程，在特權模式下執行：

router ospf

2 將端口劃分到特定的區域中:

network <network or ip address><mask><area-id>

在Cisco的路由器上激活OSPF協議時還要指定PRocess-id，其是一個路由器上的本地有效地十進制數，不需要同其他路由器上的Process-id 相匹配。通過該process-id，可以在一臺路由器上運行多個OSPF進程。但是不推薦在同一臺路由器上創建多個OSPF進程，因為那樣會使路由器增加額外的開銷。

Network命令是把一個端口分配到某個區域中的一種方法。掩碼是作為一種快捷方式使用，可將同一個區域中的一系列端口列表用一行配置命令就可完成。掩碼包含通配符“0” 和“1”，“0”位表示匹配，“1”位表示不匹配。如：0.0.255.255 表示匹配網絡號的前兩個字節。

Area-id 是端口所屬的區域號，它是0到4294967295之間的一個整數，也可采取與IP地址類似的格式，如0.0.0.100 表示區域號為100.

OSPF協議的驗證（圖一）

RTA#

interface GigabitEthernet5/0/0

ip address 192.213.11.1 255.255.255.0

interface GigabitEthernet5/0/1

ip address 192.213.12.2 255.255.255.0

interface GigabitEthernet5/1/0

ip address 128.213.1.1 255.255.255.0

interface GigabitEthernet5/1/1

No ip address

router ospf 100

network 192.213.0.0 0.0.255.255 area 0.0.0.0

network 128.213.1.1 0.0.0.0 area 23

第一句network命令把E0和E1端口分配到區域0.0.0.0中，第二句network命令將E2分配到區域23中。注重0.0.0.0的掩碼表示匹配所有的IP地址位。假如碰到掩碼問題時，這是一個非常簡便有效的方法來將一個端口分配到某個特定區域中。

2. 簡單的密碼驗證

簡單的密碼驗證答應一個區只配置一個密碼（Password），同一個區中的路由器要想參與路由，他們必須配置同一個密碼。這種方法的缺點是易受攻擊，任何人用線路分析儀都能從網絡上竊取密碼。使用下面的命令啟動密碼驗證：

ip ospf authentication-key <key> （在特定的端口配置模式下設置）area <area-id> authentication （在路由配置模式"(config-router-ospf）"下設置)

例如：

interface GigabitEthernet1/0/0

ip address 10.10.10.10 255.255.255.0

ip ospf authentication-key mypassword

router ospf 10

network 10.10.0.0 0.0.255.255 area 0

area 0 authentication

3. MD5 驗證

MD5 （Message Digest Authentication）是采用加密驗證，每個路由器上都必須配置密碼和密碼ID。路由器使用一種算法，基于OSPF報文、密碼和密碼ID產生一個“Message Digest”，然后加到OSPF報文中。不像簡單密碼驗證，MD5驗證密碼不在網絡上傳輸。每個OSPF報文中還包含有一個序列號以保護網絡不受攻擊。

這種驗證方法可以更改密碼而不中斷網絡業務，這有助于網絡治理員在線更改OSPF驗證密碼。假如一個端口配置了一個新的密碼，路由器將會向網絡發送同一個報文的多個拷貝，每個報文用不同的密碼來驗證。當路由器檢測到所有的鄰居都采納了新的密碼后就會停止發送這種報文的副本。用下面的命令來配置MD5驗證：

ip ospf message-digest-key <keyid> md5 <key> 在特定的端口配置模式下設置

area <area-id> authentication message-digest 在路由配置模式

"(config-router-ospf)"下設置)

例如

interface GigabitEthernet1/0/0

ip address 10.10.10.10 255.255.255.0

ip ospf message-digest-key 10 md5 mypassword

router ospf 10

network 10.10.0.0 0.0.255.255 area 0

area 0 authentication message-digest