OSPF 认证与配置实现.docxVIP

OSPF认证与配置实现2012-6-16OSPF认证类型Null（即不认证），认证类型为0；明文认证，认证类型为1；MD5认证，认证类型为2。Null认证类型为0。即在配置动态路由OSPF时，没有做任何认证措施和加密就可以建立邻接关系，一般用在实验或安全性不做要求的网络中。对于大型网络或安全级别高的网络，无认证时，对通信设备的攻击只要能“窃入”物理链路，即可以合法的身份进行攻击，篡改路由表，造成严重后果。明文认证也称简单明文认证，认证类型为1。OSPF报文中采用8个字节的明文认证，在物理线路中传输时该口令是可见的，只要监听到该报文，即可窃取到口令，防攻击能力脆弱。此认证方式一般用在安全性要求不高的网络中，或者由于条件限制，邻居不支持加密认证时才使用。MD5认证也称MD5加密校验和，认证类型为2。MD5认证是OSPF中一种加密的身份认证机制。在OSPF报文头中用于身份验证的域包括：key ID、MD5加密后认证信息长度、加密序列号。key ID标示了共享密钥的散列函数，建立邻居关系的两个设备的key ID必须相同，否则不能建立邻居关系。MD5算法为单向加密，并采用128位加密算法，所以破解MD5加密报文从理论上来说是非常困难的也是不现实的。认证的作用增加网络安全性（推荐使用MD5）。对OSPF重新配置时，不同口令可以配置在新口令和旧口令的路由器上，防止它们在一个共享的公共广播网络的情况下互相通信。配置实现实验拓扑图：无认证R1:R1enR1#conf?tR1(config)#interface?f0/0R1(config-if)#ip?address?192.168.1.1?255.255.255.252R1(config-if)#no?shR1(config)#interface loop1R1(config-if)#ip?address 1.1.1.1 255.255.255.255R1(config-if)#exitR1(config)#router?ospf?1R1(config-router)#router-id?1.1.1.1R1(config-router)#network?192.168.1.0?255.255.255.252?area?0R1(config-router)#exitR2配置略。R2配置完成后，可以看到邻居建立成功的提示：查看邻居：可以看出R1和R2在没有任何认证的情况下已经建立了邻居关系。开启debug：可以看出邻居建立过程且认证类型aut:0，即无认证类型。明文认证在以上配置的基础上配置明文认证如下：R1(config)#interface?f0/0R1(config-if)#ip?ospf?authentication? //启用认证R1(config-if)#ip?ospf?authentication-key?ruijie??//配置密码(两边需一样)R1(config-if)#exit此时只有R1一方配置了明文认证，R2还未做配置，邻居关系失效：继续在R2上做相同的明文认证信息，配置略。双方共同开启明文认证且密码相同时，邻居关系建立：查看R2接口f0/0信息：可以看到已经开启简单明文认证：Simple password authentication enabled。开启debug：可以看出认证类型为aut:1，即简单明文认证。通过查看配置可以看出，虽然已经添加了认证密码，但却是明文加密：MD5认证MD5算法用在类型2?的认证方式中，将OSPF数据包内容与一个口令计算一个散列值，与密钥ID一起发送,有了密钥ID可以让路由器指定多个口令,口令最大长度16字节，密钥ID在1－255之间，一对邻居路由器密钥ID与口令必须相同.R1：R1(config)#interface?f0/0R1(config-if)#no?ip?ospf?authenticationR1(config-if)#ip?ospf?message-digest-key?1?md5?ruijie//Key-id为1，密码为ruijie的MD5认证方式(Key-id与密码两边必需一样)R1(config-if)#exitR1(config)#router ospf 1R1(config-router)#area 0 authentication message-digestR2配置略。查看R2接口信息：可以看出为MD5认证Message digest authentication enabled，key id为1。启用debug：可以看出认证类型为aut:2 keyid:1。配置总结邻居间认证：接口下：配置密码，开启认证。区域间认证：接口下：配置密码。路由模式下：开启认证。