資源描述:
《ospf 認(rèn)證與配置實(shí)現(xiàn)》由會員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1��、OSPF認(rèn)證與配置實(shí)現(xiàn)2012-6-16nOSPF認(rèn)證類型1.Null(即不認(rèn)證)�,認(rèn)證類型為0;2.明文認(rèn)證���,認(rèn)證類型為1���;3.MD5認(rèn)證,認(rèn)證類型為2��。1.Null認(rèn)證類型為0��。即在配置動態(tài)路由OSPF時����,沒有做任何認(rèn)證措施和加密就可以建立鄰接關(guān)系,一般用在實(shí)驗(yàn)或安全性不做要求的網(wǎng)絡(luò)中。對于大型網(wǎng)絡(luò)或安全級別高的網(wǎng)絡(luò)�����,無認(rèn)證時�,對通信設(shè)備的攻擊只要能“竊入”物理鏈路,即可以合法的身份進(jìn)行攻擊���,篡改路由表�����,造成嚴(yán)重后果���。2.明文認(rèn)證也稱簡單明文認(rèn)證���,認(rèn)證類型為1�����。OSPF報文中采用8個字節(jié)的明文認(rèn)證���,在物理線路中傳輸時該口令是可見的,只要監(jiān)聽到該報文��,即可竊取到口令,防
2���、攻擊能力脆弱���。此認(rèn)證方式一般用在安全性要求不高的網(wǎng)絡(luò)中,或者由于條件限制�����,鄰居不支持加密認(rèn)證時才使用�。3.MD5認(rèn)證也稱MD5加密校驗(yàn)和,認(rèn)證類型為2����。MD5認(rèn)證是OSPF中一種加密的身份認(rèn)證機(jī)制。在OSPF報文頭中用于身份驗(yàn)證的域包括:keyID���、MD5加密后認(rèn)證信息長度�、加密序列號�。keyID標(biāo)示了共享密鑰的散列函數(shù),建立鄰居關(guān)系的兩個設(shè)備的keyID必須相同�����,否則不能建立鄰居關(guān)系。MD5算法為單向加密�����,并采用128位加密算法����,所以破解MD5加密報文從理論上來說是非常困難的也是不現(xiàn)實(shí)的。n認(rèn)證的作用?增加網(wǎng)絡(luò)安全性(推薦使用MD5)��。?對OSPF重新配置時�,不同口令可
3、以配置在新口令和舊口令的路由器上����,防止它們在一個共享的公共廣播網(wǎng)絡(luò)的情況下互相通信����。n配置實(shí)現(xiàn)?實(shí)驗(yàn)拓?fù)鋱D:1.無認(rèn)證R1:R1>enR1#conf?tR1(config)#interface?f0/0R1(config-if)#ip?address?192.168.1.1?255.255.255.252R1(config-if)#no?shR1(config)#interfaceloop1R1(config-if)#ip?address1.1.1.1255.255.255.255R1(config-if)#exitR1(config)#router?ospf?1R1(c
4、onfig-router)#router-id?1.1.1.1R1(config-router)#network?192.168.1.0?255.255.255.252?area?0R1(config-router)#exitR2配置略����。R2配置完成后,可以看到鄰居建立成功的提示:查看鄰居:可以看出R1和R2在沒有任何認(rèn)證的情況下已經(jīng)建立了鄰居關(guān)系。開啟debug:可以看出鄰居建立過程且認(rèn)證類型aut:0�����,即無認(rèn)證類型�。1.明文認(rèn)證在以上配置的基礎(chǔ)上配置明文認(rèn)證如下:R1(config)#interface?f0/0R1(config-if)#ip?ospf?authen
5、tication?//啟用認(rèn)證R1(config-if)#ip?ospf?authentication-key?ruijie??//配置密碼(兩邊需一樣)R1(config-if)#exit此時只有R1一方配置了明文認(rèn)證����,R2還未做配置,鄰居關(guān)系失效:繼續(xù)在R2上做相同的明文認(rèn)證信息�,配置略。雙方共同開啟明文認(rèn)證且密碼相同時���,鄰居關(guān)系建立:查看R2接口f0/0信息:可以看到已經(jīng)開啟簡單明文認(rèn)證:Simplepasswordauthenticationenabled����。開啟debug:可以看出認(rèn)證類型為aut:1�����,即簡單明文認(rèn)證����。通過查看配置可以看出��,雖然已經(jīng)添加了認(rèn)證密碼�����,
6����、但卻是明文加密:1.MD5認(rèn)證MD5算法用在類型2?的認(rèn)證方式中���,將OSPF數(shù)據(jù)包內(nèi)容與一個口令計(jì)算一個散列值����,與密鑰ID一起發(fā)送,有了密鑰ID可以讓路由器指定多個口令,口令最大長度16字節(jié)�����,密鑰ID在1-255之間����,一對鄰居路由器密鑰ID與口令必須相同.R1:R1(config)#interface?f0/0R1(config-if)#no?ip?ospf?authenticationR1(config-if)#ip?ospf?message-digest-key?1?md5?ruijie//Key-id為1����,密碼為ruijie的MD5認(rèn)證方式(Key-id與密碼兩邊必
7���、需一樣)R1(config-if)#exitR1(config)#routerospf1R1(config-router)#area0authenticationmessage-digestR2配置略。查看R2接口信息:可以看出為MD5認(rèn)證Messagedigestauthenticationenabled�����,keyid為1��。啟用debug:可以看出認(rèn)證類型為aut:2keyid:1�。n配置總結(jié)?鄰居間認(rèn)證:接口下:配置密碼,開啟認(rèn)證���。?區(qū)域間認(rèn)證:接口下:配置密碼���。路由模式下:開啟認(rèn)證。
