学习笔记——动态路由——OSPF(认证)

十二、OSPF邻居认证

1、OSPF邻居认证概述

链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。

OSPF认证分为区域认证与接口认证,当

使用区域认证方式时,一个区域中所有的路由器在该区域下的认证模式和密码必须一致,不一致则无法建立OSPF邻居关系;

使用接口认证方式时,相邻的路由器之间需要设置同样认证模式和密码,不一致则无法建立OSPF邻居关系,

注意:接口认证方式的优先级要高与区域认证方式,也就是当相邻的路由器同时使用区域认证与接口认证时,如果接口认证不通过,即使区域认证通过也无法建立OSPF邻居关系。

2、OSPF基础

为了安全的原因,可以在相同OSPF区域的路由器上启用身份验证的功能只有经过身份验证的同一区域的路由器才能互相通告路由信息在默认情况下OSPF不使用区域验证

通过两种方法可启用身份验证功能:纯文本身份验证、消息摘要(md5)身份验证。

1)纯文本身份验证传送的身份验证口令为纯文本,它会被网络探测器确定,所以不安全,不建议使用。

2)消息摘要(md5)身份验证在传输身份验证口令前,要对口令进行加密,所以一般建议使用此种方法进行身份验证。

使用身份验证时区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证,必须在路由器接口配置模式下,为区域的每个路由器接口配置口令。

1.接口和区域启用不同类型的认证,则接口强

例如,两台邻居路由器,通过串口互联,同时对区域启用密文认证,在一台路由的串口启用明文认证,另一台串口不启用任何认证。则邻居关系无法建立!

2.接口和区域起用相同类型的认证,则区域强

例如,区域启用密文认证,一端接口起也用密文认证,另一端任何认证都不起,邻居关系能建立!

(1)OSPF认证

OSPF认证:在直连的邻居或邻接之间,配置身份核实秘钥来保障邻居、邻接间数据沟通的安全性。

    OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。

OSPF认证在OSPF header包头格式中认证的类型:

1.null --type=0      2.明文 —type=1      3.密文 --type=2

3、OSPF协议认证方式

接口认证优于区域认证。

OSPF认证总结:

接口认证只跟相应的接口做;

虚链路认证也是一种特殊的接口认证;

区域认证是所在相应区域的接口认证;

虚链路属于区域0;

区域0认证,虚链路必须做认证或者有段虚链路的路由器做区域0的认证;

虚链路做认证。区域0不需要做认证。

(1)接口认证(Interface Authentication)

这是对每一个OSPF接口进行验证的基本级别。当接口启用认证时,只有那些配置了正确的密码或共享密钥的邻居路由器才能与其建立邻接关系。

接口认证主要用于防止未授权的设备接入网络并且对于每个接口都是独立设置的

接口认证只跟相应的接口做,如果同时配置了接口认证和区域认证时,优先使用接口建立OSPF邻居

(2)区域认证(Area Authentication)

在OSPF中,认证可以扩展到更高级别的区域(Area)。如果区域被设置为使用认证,那么所有进出该区域的路由信息都会经过验证。这意味着即使两个路由器之间没有直接连接,只要它们都位于同一个区域且区域被认证,它们之间的通信也会受到保护。

一个区域中所有的路由器在该区域下的认证模式和口令必须一致

区域认证是所在相应区域的接口认证;

区域0认证,虚链路必须做认证或者有段虚链路的路由器做区域0的认证;

(3)虚链路认证

是在OSPF设计中用于连接不同物理区域的一种逻辑连接,常用于构建大型网络的连通性。虚链路认证是对这些逻辑连接进行验证,确保只有配置了正确密钥的虚链路才能正常工作,从而维护网络的整体安全性。

相比于区域认证更加灵活,可专门针对某个邻居设置单独的认证模式和密码。

虚链路认证是一种特殊的接口认证虚链路属于区域0虚链路做认证,区域0不需要做认证

4、OSPF认证模式

OSPF认证的三种常见方式:明文认证、MD5认证、SHA-HMAC身份验证。

无认证(null):默认情况下,OSPF的身份验证方法,即不对网络交换的路由信息进行身份验证

简单密码身份验证:也叫明文身份验证

MD5身份验证:MD5密文身份验证

(1)明文认证

明文认证是最简单的一种OSPF认证方式。在明文认证中,OSPF消息中的认证字段以明文形式传输。这意味着任何能够截获OSPF消息的人都可以读取认证字段中的信息。

明文认证的设置相对简单,只需要在OSPF配置中指定认证密码即可。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode simple  # 配置明文认证

[Huawei-ospf-1-area-0.0.0.0] authentication-key <password>  # 设置认证密码

请注意,上述命令中的<password>是用于明文认证的密码。

明文认证的安全性很低。攻击者可以轻易获取认证信息,并对网络进行恶意操作。因此,明文认证在实际应用中并不常见,除非在非关键的测试环境中使用。

(2)MD5认证

MD5认证是一种在OSPF中常用的认证方式。使用MD5(Message Digest Algorithm 5)算法对OSPF消息进行哈希运算,生成一个固定长度的哈希值。发送方和接收方都知道预共享的密钥,将其用于计算和验证哈希值。只有在接收方计算出的哈希值与接收到的哈希值匹配时,消息才被接受

MD5认证提供了更高的安全性,因为攻击者无法轻易地获取到预共享密钥。它在OSPF网络中广泛使用,并提供了基本的安全保护。然而,MD5算法已经被认为是不安全的,因为它容易受到碰撞攻击。因此,随着时间的推移,MD5认证的使用逐渐减少,被更强大的认证机制如SHA-HMAC取代。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode md5  # 配置MD5认证

[Huawei-ospf-1-area-0.0.0.0] authentication-key 7 <password>  # 设置认证密码

请注意,上述命令中的<password>是用于MD5认证的预共享密钥。

(3)SHA-HMAC身份验证

SHA-HMAC(Secure Hash Algorithm-Hash-based Message Authentication Code)是一种基于哈希算法的消息认证码。它使用SHA算法对消息和密钥进行哈希运算,生成一个固定长度的认证码。发送方将认证码添加到OSPF消息中,接收方使用相同的密钥和算法进行计算和验证。

SHA-HMAC身份验证提供了更高的安全性,相较于MD5认证,它具有更强的抗碰撞能力和更长的认证码。SHA算法被广泛认可为安全可靠的哈希算法,并且在许多安全协议和算法中使用。SHA-HMAC是目前推荐使用的OSPF认证机制之一。

<Huawei> enable  # 进入特权模式

<Huawei> configure terminal  # 进入全局配置模式

<Huawei> ospf 1  # 进入OSPF进程

[Huawei-ospf-1] area 0  # 进入区域0配置

[Huawei-ospf-1-area-0.0.0.0] authentication-mode hmac-sha256  # 配置SHA-HMAC身份验证

[Huawei-ospf-1-area-0.0.0.0] authentication-key-id 1  # 设置密钥ID

[Huawei-ospf-1-area-0.0.0.0] authentication-key hmac-sha256 <password>  # 设置密钥

请注意,上述命令中的<password>是用于SHA-HMAC身份验证的密钥。

5、配置

(1)接口认证

1)明文认证:

[huawei] interface GigabitEthernet0/0/1

[r6-GigabitEthernet0/0/1] ip address 24.1.1.4 255.255.255.0

[r6-GigabitEthernet0/0/1] ospf authentication-mode simple cipher huawei

2)密文认证:

[huawei] interface GigabitEthernet0/0/1

[r6-GigabitEthernet0/0/1] ospf authentication-mode md5 1 cipher Huawei  //在直连连接的接口上配置,两端的模式、编号、秘钥必须完全一样

配置OSPF验证

[RTA]router id 1.1.1.1

[RTA]ospf

[RTA-ospf-1]area 1

[RTA-ospf-1-area-0.0.0.1]network 1.1.1.10.0.0.0

[RTA-ospf-1-area-0.0.0.1]network 10.1.1.00.0.0.3

[RTA]interface Ethernet 0/0

[RTA-Ethernet0/0]ospf authentication-mode simple plain huawei

[RTA-Ethernet0/0]quit

(2)区域认证

如果区域认证,该区域下的接口都要认证

1)明文认证:

[r1] ospf 1 router-id 22.1.1.1

[r1-ospf-1] area 0.0.0.1

[r1-ospf-1-area-0.0.0.1] authentication-mode simple cipher huawei

2)密文认证:

[r1] ospf 1 router-id 22.1.1.1

[r1-ospf-1] area 0.0.0.1

[r1-ospf-1-area-0.0.0.1] authentication-mode md5 1 cipher Huawei  //将该路由器R1,所有属于区域1的接口全部进行认证

注意:如果区域0认证,存在虚链路时,虚链路也要进行认证

(3)虚链路认证

[r10-ospf-1-area-0.0.0.4]vlink-peer 9.9.9.9 md5 1 cipher 123456

(4)OSPF认证完整实验

1、基本IP地址配置

R1配置:                                     R4配置:

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 12.1.1.1 255.255.255.0                            ip address 24.1.1.1 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 1.1.1.1 255.255.255.255                           ip address 4.4.4.4 255.255.255.255

R5配置:                                     R6配置

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 35.1.1.5 255.255.255.0                            ip address 36.1.1.6 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 5.5.5.5 255.255.255.255                           ip address 6.6.6.6 255.255.255.255

R2配置:                                     R3配置

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ip address 12.1.1.2 255.255.255.0                            ip address 23.1.1.3 255.255.255.0

interface GigabitEthernet0/0/1                               interface GigabitEthernet0/0/1

ip address 23.1.1.2 255.255.255.0                            ip address 35.1.1.3 255.255.255.0

interface GigabitEthernet0/0/2                               interface GigabitEthernet0/0/2

ip address 24.1.1.2 255.255.255.0                            ip address 36.1.1.3 255.255.255.0

interface LoopBack0                                          interface LoopBack0

ip address 2.2.2.2 255.255.255.255                           ip address 3.3.3.3 255.255.255.255

2、区域配置区域宣告

R1配置:                                     R4配置:

ospf 1 router-id 1.1.1.1                                     ospf 1 router-id 4.4.4.4

area 0.0.0.1                                                 area 0.0.0.1

network 1.1.1.1 0.0.0.0                                      network 4.4.4.4 0.0.0.0

network 12.1.1.0 0.0.0.255                                   network 24.1.1.0 0.0.0.255

R5配置:                                     R6配置:

ospf 1 router-id 5.5.5.5                                     ospf 1 router-id 6.6.6.6

area 0.0.0.0                                                 area 0.0.0.0

network 5.5.5.5 0.0.0.0                                      network 6.6.6.6 0.0.0.0

network 35.1.1.0 0.0.0.255                                   network 36.1.1.0 0.0.0.255

R2配置:                                     R3配置

ospf 1 router-id 2.2.2.2                                     ospf 1 router-id 3.3.3.3

area 0.0.0.0                                                 area 0.0.0.0

network 2.2.2.2 0.0.0.0                                      network 3.3.3.3 0.0.0.0

network 23.1.1.0 0.0.0.255                                   network 23.1.1.0 0.0.0.255

area 0.0.0.1                                                 network 35.1.1.0 0.0.0.255

network 12.1.1.0 0.0.0.255                                   network 36.1.1.0 0.0.0.255

network 24.1.1.0 0.0.0.255

3、测试路由之间互通性、区域互通性

   

4、区域认证配置

在区域0和区域1内所有路由器未配置区域认证,查看邻居状态(下左图)  

  

进入区域1和区域0,在所有的路由器上进行认证的配置。R1\R2\R3\R4\R5\R6略。全部配完区域认证后,邻居状态与未配之前是一样的(上左图)。如果只配了部分认证,(上右图)邻居建立不完整。

Ospf 1                      Arer 1                          

ospf authentication-mode simple cipher huawei

5、接口认证配置

R1配置:                                     R2配置:

R1、R2未配置接口认证,查看邻居状态(下左图)

 

R1配置:                                     R2配置:

interface GigabitEthernet0/0/0                    R1配置认证,R2未配置接口认证,查看邻居状态(上右图),不能建立邻居。

ospf authentication-mode simple cipher huawei

R1配置:                                     R2配置:

interface GigabitEthernet0/0/0                               interface GigabitEthernet0/0/0

ospf authentication-mode simple cipher Huawei                ospf authentication-mode simple cipher huawei

R1、R2全部配置接口认证,查看邻居状态(下图),可以重新建立邻居。


整个华为数通学习笔记系列中,本人是以网络视频与网络文章的方式自学的,并按自己理解的方式总结了学习笔记,某些笔记段落中可能有部分文字或图片与网络中有雷同,并非抄袭。完处于学习态度,觉得这段文字更通俗易懂,融入了自己的学习笔记中。如有相关文字涉及到某个人的版权利益,可以直接联系我,我会把相关文字删除。【VX:czlingyun    暗号:CSDN】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/39187.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于Vue框架实现的记事本

<!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>懒人记事本</title><style>body {fo…

深度网络现代实践 - 深度前馈网络之反向传播和其他的微分算法篇

序言 反向传播&#xff08;Backpropagation&#xff0c;简称backprop&#xff09;是神经网络训练过程中最关键的技术之一&#xff0c;尤其在多层神经网络中广泛应用。它是一种与优化方法&#xff08;如梯度下降法&#xff09;结合使用的算法&#xff0c;用于计算网络中各参数的…

如何计算弧线弹道的落地位置

1&#xff09;如何计算弧线弹道的落地位置 2&#xff09;Unity 2021 IL2CPP下使用Protobuf-net序列化报异常 3&#xff09;编译问题&#xff0c;用Mono可以&#xff0c;但用IL2CPP就报错 4&#xff09;Wwise的Bank在安卓上LoadBank之后&#xff0c;播放没有声音 这是第393篇UWA…

02 数据加工层 如何搭建用户与内容的标准规范体系

你好&#xff0c;我是周大壮。 01 讲我们提到了个性化流量分发体系的四个阶段&#xff0c;并着重讲解了数据采集阶段的内容。那么&#xff0c;这一讲我们主要围绕数据加工阶段的内容进行详细讲解。 在课程开始之前&#xff0c;我们先举一个场景进行说明。 近年来&#xff0c…

静态方法与实例方法的区别

静态方法与实例方法的区别 1、静态方法&#xff08;Static Methods&#xff09;1.1 调用方式1.2 访问权限 2、实例方法&#xff08;Instance Methods&#xff09;2.1 调用方式2.2 访问权限 3、总结 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏不迷路&#x1…

【C++】解决 C++ 语言报错:Invalid Array Index

文章目录 引言 无效数组索引&#xff08;Invalid Array Index&#xff09;是 C 编程中常见且危险的错误之一。当程序试图使用不合法的索引访问数组时&#xff0c;就会发生无效数组索引错误。这种错误不仅会导致程序崩溃&#xff0c;还可能引发不可预测的行为和安全漏洞。本文将…

【PB案例学习笔记】-28制作一个右键菜单

写在前面 这是PB案例学习笔记系列文章的第28篇&#xff0c;该系列文章适合具有一定PB基础的读者。 通过一个个由浅入深的编程实战案例学习&#xff0c;提高编程技巧&#xff0c;以保证小伙伴们能应付公司的各种开发需求。 文章中设计到的源码&#xff0c;小凡都上传到了gite…

任天堂称未来第一方游戏不会使用生成式AI

虽然EA、育碧、暴雪、Embracer等西方游戏厂商都大力支持生成式AI技术&#xff0c;但日本老牌游戏公司任天堂并不会追随这一步伐。任天堂已经确认该公司未来的第一方游戏不会使用生成式AI技术。 在公司最近的投资人问答会上&#xff0c;任天堂描绘了公司未来游戏愿景。在谈到AI技…

LeetCode——第 404 场周赛

周赛 三角形的最大高度 给你两个整数 red 和 blue&#xff0c;分别表示红色球和蓝色球的数量。你需要使用这些球来组成一个三角形&#xff0c;满足第 1 行有 1 个球&#xff0c;第 2 行有 2 个球&#xff0c;第 3 行有 3 个球&#xff0c;依此类推。 每一行的球必须是 相同 …

Go语言--自定义函数

定义格式 函数构成代码执行的逻辑结构。在 Go语言中&#xff0c;兩数的基本组成为:关键字 func、函数名、参数列表、返回值、所数体和返回语句。 函数定义说明: func:函数由关键字func开始声明FuncName:函数名称&#xff0c;根据约定&#xff0c;数名首字母小写即为private…

浅谈 Linux 中的 core dump 分析方法

文章目录 一、什么是 core dump二、发生 core dump 的原因1. 空指针或非法指针引起 core dump2. 数组越界或指针越界引起的 core dump3. 数据竞争导致 core dump4. 代码不规范 三、core dump 分析方法1. 启用 core dump2. 触发 core dump2-1. 因空指针解引用而崩溃2-2. 通过 SI…

图形编辑器基于Paper.js教程06:鼠标画圆与椭圆

绘制椭圆与圆形&#xff1a;利用Paper.js进行交互式图形设计 在Web应用中实现交互式图形绘制功能&#xff0c;对于提高用户体验至关重要&#xff0c;尤其是在设计和艺术相关的应用中。Paper.js是一款强大的JavaScript库&#xff0c;专门用于处理矢量图形&#xff0c;它提供了一…

智能语音门锁:置入NV170D语音芯片ic 打造便捷生活新体验

一、智能门锁语音芯片开发背景 随着科技的飞速发展&#xff0c;传统门锁的局限性日益凸显&#xff0c;无法满足现代人对高效、安全生活的需求。在这样的时代背景下&#xff0c;智能门锁应运而生&#xff0c;它不仅继承了传统门锁的基本功能&#xff0c;更通过融入先进的科技元素…

商标的近似分辩,商标起名称时注意!

曾有过网友发来商标名称&#xff0c;普推知商标老杨说有近似&#xff0c;然后网友起过新名称还是存有近似&#xff0c;或者加字&#xff0c;后面加的通用词&#xff0c;与先有商标名称也是近似。 “良信健康”这个名称健康是行业通用词&#xff0c;加成健康后变成四个字&#x…

HTTP协议深入

1.了解web和网络基础 有客户端和服务端双方参与交互 客户端发送请求:request 服务端根据请求给出响应:response 请求通过URL来指定要获取都得资源 响应内容可以是HTML网页&#xff0c;或者用json表示的数据或者其他二进制文件内容 Web使用一种名为HTTP的协议作为规范&…

AI与大模型工程师证书研修班报名啦!

人工智能大模型是指拥有超大规模参数&#xff08;通常在十亿个以上&#xff09;、超强计算资源的机器学习模型&#xff0c;能够处理海量数据&#xff0c;完成各种复杂任务&#xff0c;如自然语言处理、图像识别等。计算机硬件性能不断提升&#xff0c;深度学习算法快速优化&…

ESP32CAM物联网教学03

ESP32CAM物联网教学03 物联网小车 小智突发奇想&#xff1a;要是我在点灯物联APP中多增加几个按钮&#xff0c;控制小车的行驶方向&#xff0c;不就可以做成遥控小车了吗&#xff1f; 点灯物联控制小车的行驶方向 我们可以重新编辑点灯物联APP中的设备控件界面&#xff0c;如…

开关电源中强制连续FCCM模式与轻载高效PSM,PFM模式优缺点对比笔记

文章目录 前言一、连续FCCM模式优点&#xff1a;缺点&#xff1a; 二,轻载高效PSM&#xff0c;PFM优点&#xff1a;缺点: 总结 前言 今天我们来学习下开关电源中&#xff0c;强制连续FCCM模式与轻载高效PSM&#xff0c;PFM模式优缺点对比 一、连续FCCM模式 优点&#xff1a; …

mac中如何恢复因为破解脚本导致的IDEA无法启动的问题

问题 为了在mac中安装免费的2024版idea&#xff0c;导致下载了一个脚本&#xff0c;使用这个脚本后&#xff0c;但是发现idea还没有破解&#xff0c;相反导致idea无法启动&#xff0c;每次点击&#xff0c;都会弹出“cannot start IDE…” 问题排查 在访达中点击mac的应用程…

docker -run hello-world超时

主要原因就是尝试拉取库的时候没有从阿里云镜像里拉&#xff0c;所以设置一下就好了 这里使用的是ubuntu系统&#xff08;命令行下逐行敲就行了&#xff09; sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json <<-EOF {"registry-mirrors": [&quo…