OSPF区域详解和3种认证
OSPF的4种特殊区域
1.Stub:过滤LSA4/5,将LS4/5的路由通过LSA3自动下放默认路由,Seed cost=1
注意点:Stub区域所有路由器都要配置成Stub
配置命令在OSPF进程中:area [area ID] stub
2.totally stubby:过滤LSA3/4/5,在ABR上配置
配置命令在OSPF进程中:area [area ID] stub no-summary
3.not-so-stubby:过滤LSA4/5,可以在此区域中出现ASBR,在此区域中,将直接相连的其它AS的路由转换为LSA7,在连接其它OSPF区域的ABR上将LSA7转换为LSA5。远端AS不转换,直接过滤掉(连接其它OSPF区域的ABR上不自动下放默认路由)
配置命令在OSPF进程中:
area [area ID] nssa(配置为nssa区域)
area [area ID] nssa default-information-originate(下发默认路由)
tips:
只要产生LSA5的路由器都是ASBR(ASBR定义)
4.totally-nssa:在not-so-stubby基础上过滤LSA3/4/5,自动下放默认路由
配置命令在OSPF进程中:
area [area ID] nssa no-summary
补充命令
area [area ID] nssa no-redistribution default-information-originate
总结no-summary的2个特性,过滤掉外部的LSA3并产生一条内部LSA3的默认路由
OSPF不规则区域互联的3种解决方法
1.ospf多进程的双向重分布
在ABR上启用多个OSPF进程,在每个进程中重分布其它进程的OSPF路由信息
2.Tunnel
在ABR上建立Tunnel口,在Tunnel上配置IP地址
基本配置方法:
tunnel source [接口IP地址]
tunnel destination [接口IP地址]
在tunnel口中配置一条IP地址
将tunnel口的IP地址在OSPF中宣告
3.Virtual Links 虚链路
area [需要穿越的area ID] virtual-link [对方RID]
OSPF认证
2种认证方法:明文,密文
3种认证范围:链路认证,区域认证,虚链路认证
具体配置方法(注意看Router后面跟的是接口还是OSPF进程)
link认证方法
明文认证
Router(config-if)#ip ospf authentication-key cisco声明明文密钥
Router(config-if)#ip ospf authentication 声明明文认证
密文认证
Router(config-if)#ip ospf message-digest-key 1 md5 cisco 启用密文密钥
Router(config-if)#ip ospf authentication message-digest 声明密文认证
area认证方法
明文认证
Router(config-if)#ip ospf authentication-key cisco启用明文密钥
Router(config-router)#area 1 authentication声明明文认证
密文认证
Router(config-if)#ip ospf message-digest-key 1 md5 cisco 启用密文密钥
Router(config-router)#area 1 authentication message-digest声明密文认证
V-L认证方法
明文认证
Router(config-router)#area 2 virtual-link 3.3.3.3 authentication-key cisco 启用明文密钥
Router(config-router)#area 2 virtual-link 3.3.3.3 authentication声明明文认证
密文认证
Router(config-router)#area 2 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco
Router(config-router)# area 2 virtual-link 3.3.3.3 authentication message-digest
2个另外的知识点
负载均衡
只支持等价负载均衡
默认4条,最大6条
被动接口:不收发OSPF报文,减少线路带宽
Router(config-router)#passive-interface s0/1
OSPF邻居明文认证配置 【实验名称】 OSPF 邻居明文认证配置 【实验目的】 掌握OSPF 的邻居明文认证配置。 【背景描述】 你是一名高级技术支持工程师,某企业的网络整个的网络环境是ospf。为了安全起见,新加入的路由器要通过认证,请你给予支持。 【实现功能】 完成OSPF区域新成员加入的安全认证。 【实验拓扑】 【实验设备】 R2624路由器(2台)、V35DCE(1根)、V35DTE(1根) 【实验步骤】
第一步:基本配置 Red-Giant>en Red-Giant#conf t Red-Giant(config)#hostname R1 !更改路由器主机名 R1(config)#int s0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 !为接口配置地址 R1(config-if)#clock rate 64000 ! 设置时钟速率在DTE端不用设置 R1(config-if)#no sh R1(config)#iint loo 0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 ! 配置loopback接口,保证路由更新的稳定Red-Giant>en Red-Giant#conf t Red-Giant(config)#hostname R2 R2(config)#int s0 R2(config-if)#ip add 192.168.12.2 255.255.255.0 R2(config-if)#no sh R2(config)#int loo 0 R2(config-if)#ip add 2.2.2.2 255.255.255.0 ! 配置loopback接口,保证路由更新的稳定 验证测试:ping R2#ping 192.168.12.1 Sending 5, 100-byte ICMP Echoes to 192.168.12.1, timeout is 2 seconds: !!!!! 第二步:启动OSPF路由协议 R1(config)#router os 1 R1(config-router)#net 192.168.12.0 0.0.0.255 area 0 R1(config-router)# net 1.1.1.0 0 0.0.0.255 area 2 R1(config-router)#end R2(config)#router os 1 R2(config-router)#net 192.168.12.0 0.0.0.255 area 0 R2(config-router)#net 2.2.2. 0 0.0.0.255 area 1 R2(config-router)#end 验证测试:R1# sh ip os nei (以R1为例) Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 1 FULL/ - 00:00:37 192.168.12.2 Serial0 第三步:配置OSPF验证 R1(config)#router os 1 R1(config-router)# area 0 authentication !配置区域间明文验证 R1(config)#int s0 R1(config-if)# ip os authentication-key star !配置验证密码 R2(config)#router os 1
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议::AS内部路由(本质区别),采用链路状态路由选路技术 开放式最短路径优先协议是一种为IP网络开发的内部网关路由选择协议其由三个子协议组成hello协议,交换协议,扩散协议,其中hello协议负责检查链路是否可用并完成指定路由 器和备份路由器;交换协议完成“主”,“从”路由器的选择和交换各自的路由数据库信息,扩散协议负责完成各路由器中路由数据库的同步维护 不同厂商管理距离不同,思科OSPF的协议管理距离(AD)是110,华为OSPF的协议管理距离是10。 OSPF 采用链路状态路由选择技术,开放最短路径优先算法 路由器互相发送直接相连的链路信息和它拥有的到其它路由器的链路信息。每个 OSPF 路由器维护相同自治系统拓扑结构的数据库。从这个数据库里,构造出最短路径树来计算出 路由表。当拓扑结构发生变化时, OSPF 能迅速重新计算出路径,而只产生少量的路由协议流量。 此外,所有 OSPF 路由选择协议的交换都是经过身份验证的。 主要优点 收敛速度快;没有跳数限制; 支持服务类型选路 提供负载均衡和身份认证 适用环境 规模庞大、环境复杂的互联网 OSPF协议的优点: OSPF能够在自己的链路状态数据库内表示整个网络,这极大地减少了收敛时间,并且支持大型异构网络的互联,提供了一个异构网络间通过同一种协议交换网络信息的途径,并且不容易 出现错误的路由信息。 OSPF支持通往相同目的的多重路径。 OSPF使用路由标签区分不同的外部路由。 OSPF支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息;并且可以对不同的区域定义不同的验证方式,从而提高了网络的安全性。 OSPF支持费用相同的多条链路上的负载均衡。 OSPF是一个非族类路由协议,路由信息不受跳数的限制,减少了因分级路由带来的子网分离问题。 OSPF支持VLSM和非族类路由查表,有利于网络地址的有效管理 OSPF使用AREA对网络进行分层,减少了协议对CPU处理时间 BGP(边界网关协议):AS外部路由,采用距离向量路由选择 BGP是唯一一个用来处理像因特网大小的网络协议,也是唯一能够妥善处理好不相关路由域间的多路连接协议。BGPv4是一种外部的路由协议。可认为是一种高级的距离向量路由协议
OSPF区域详解和3种认证 OSPF的4种特殊区域 1.Stub:过滤LSA4/5,将LS4/5的路由通过LSA3自动下放默认路由,Seed cost=1 注意点:Stub区域所有路由器都要配置成Stub 配置命令在OSPF进程中:area [area ID] stub 2.totally stubby:过滤LSA3/4/5,在ABR上配置 配置命令在OSPF进程中:area [area ID] stub no-summary 3.not-so-stubby:过滤LSA4/5,可以在此区域中出现ASBR,在此区域中,将直接相连的其它AS的路由转换为LSA7,在连接其它OSPF区域的ABR上将LSA7转换为LSA5。远端AS不转换,直接过滤掉(连接其它OSPF区域的ABR上不自动下放默认路由) 配置命令在OSPF进程中: area [area ID] nssa(配置为nssa区域) area [area ID] nssa default-information-originate(下发默认路由) tips: 只要产生LSA5的路由器都是ASBR(ASBR定义) 4.totally-nssa:在not-so-stubby基础上过滤LSA3/4/5,自动下放默认路由 配置命令在OSPF进程中: area [area ID] nssa no-summary 补充命令 area [area ID] nssa no-redistribution default-information-originate 总结no-summary的2个特性,过滤掉外部的LSA3并产生一条内部LSA3的默认路由 OSPF不规则区域互联的3种解决方法 1.ospf多进程的双向重分布 在ABR上启用多个OSPF进程,在每个进程中重分布其它进程的OSPF路由信息 2.Tunnel 在ABR上建立Tunnel口,在Tunnel上配置IP地址 基本配置方法: tunnel source [接口IP地址] tunnel destination [接口IP地址] 在tunnel口中配置一条IP地址 将tunnel口的IP地址在OSPF中宣告 3.Virtual Links 虚链路 area [需要穿越的area ID] virtual-link [对方RID]
OSPF 配置 Router ospf 进程号 Redistribute 其它路由协议 Network 端口网络反掩码area 区域号 Area 区域号range 网络号掩码 Area 区域号default-cost 花销值 Ip ospf priority number Ip ospf cost 花销值
Show ip ospf database 使用身份验证 为了安全的原因,我们可以在相同OSPF区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息。 在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能,纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本,它会被网络探测器确定,所以不安全,不建议使用。而消息摘要(md5)身份验证在传输身份验证口令前,要对口令进行加密,所以一般建议使用此种方法进行身份验证。 使用身份验证时,区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证,必须在路由器接口配置模式下,为区域的每个路由器接口配置口令。 任务命令 指定身份验证area area-id authentication 使用纯文本身份验证ip ospf authentication-key password 使用消息摘要(md5)身份验证ip ospf message-digest-key keyid md5 key 以下列举两种验证设置的示例,示例的网络分布及地址分配环境与以上基本配置举例相同,只是在Router1和Router2的区域0上使用了身份验证的功能。: 例1.使用纯文本身份验证 Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192
什么是OSPF? OSPF的全称叫Open Shortest Path First,开放最短路径优先。Open的意思就是这个协议是公开性的,OSPF是由IETF标准组织制定的一种基于链路状态内部网关协议。(Shortest Path First)最短路径优先指的是路由选择过程中的一个算法,如果学过动态路由协议基础,就会知道OSPF是一种典型的IGP,是描述路由信息运行在同一个自制系统内部的动态路由协议。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 OSPF的八大特点介绍 前文已经说明了OSPF路由协议是一种链路状态的路由协议,为了更好地说明OSPF 路由协议的基本特征,我们将OSPF路由协议与距离矢量路由协议RIP(Routing Information Protocol)作一比较,归纳为如下几点: 1、RIP路由协议中用于表示目的网络远近的参数为跳(HOP),也即到达目的网络所要经过的路由器个数。 在RIP路由协议中,该参数被限制为最大15,对于OSPF路由协议,路由表中表示目的网络的参数为Cost,该参数为一虚拟值,与网络中链路的带宽等相关,也就是说OSPF
路由信息不受物理跳数的限制。因此,OSPF适合应用于大型网络中,支持几百台的路由器,甚至如果规划的合理支持到1000台以上的路由器也是没有问题的。 2、RIP路由协议不支持变长子网屏蔽码(VLSM),这被认为是RIP路由协议不适用于大型网络的又一重要原因。 而产生VLSM的原因就是由于IP地址的匮乏。不支持VLSM极大的限制的网络的规划和IP地址分配的不合理。现在我们划分IP地址的时候通常掩码都是随意的,就是因为协议支持VLSM。 3、RIP路由协议路由收敛较慢。 路由收敛快慢是衡量路由协议的一个关键指标。RIP路由协议周期性地将整个路由表作为路由信息广播至网络中,该广播周期为30秒。在一个较为大型的网络中,RIP协议会产生很大的广播信息,占用较多的网络带宽资源;并且由于RIP协议30秒的广播周期,影响了RIP路由协议的收敛,甚至出现不收敛的现象。而OSPF是一种链路状态的路由协议,当网络比较稳定时,网络中的路由信息是比较少的,并且其广播也不是周期性的,因此OSPF 路由协议在大型网络中也能够较快地收敛。 4、在RIP协议中,网络是一个平面的概念,并无区域及边界等的定义。 在OSPF路由协议中,一个网络,或者说是一个路由域可以划分为很多个区域area,每一个区域通过OSPF边界路由器相连,区域间可以通过路由总结(Summary)来减少路由信息,减小路由表,提高路由器的运算速度。
1、设置SW1为VTP的服务器端,SW2和SW3为VTP的客户端。分成4个VLAN,VLAN号为1-4,2-4名称依次为xinxi 、zhihui、zuoye。Vtp的域名为ccnp,密码为cisco。 2、配置生成树,模式为PVST+。指定SW1为VLAN1-VLAN4的根桥,指定SW2为VLAN1和VLAN3的备份根桥,SW3为VLAN2和VLAN4的备份根桥。 3、在SW1和SW2之间配置二层链路聚合 路由器的其他参数参照拓扑图 5、按照逻辑拓扑所示配置OSPF,实现全网贯通。各PC要ping通其他PC。在area 2进行链路认证,明文,密码为cisco. 6、配置SW2只允许PC9和PC3 telnet。密码为cisco。 7、配置SW2和SW3端口安全,只允许如图所示的PC连接到网络,如果违规则关闭端口。8要求各PC接入到各自交换机后,交换机端口立即启动。 R1: //设置环回地址 Router(config)#int l0 Router(config-if)#ip ad 1.1.1.1 255.255.255.0
//配置端口地址和时钟 Router(config)#int f0/0 Router(config-if)#ip ad 192.168.4.254 255.255.255.0 Router(config-if)#no shut Router(config-if)#int s0/1/0 Router(config-if)#ip ad 23.1.1.2 % Incomplete command. Router(config-if)#ip ad 23.1.1.2 255.255.255.0 Router(config-if)#no shut //启用OSPF路由 Router(config-if)#router os 1 Router(config-router)#router-id 1.1.1.1 Router(config-router)#net 192.168.4.0 0.0.0.255 a 3 Router(config-router)#net 23.1.1.2 0.0.0.255 a 2 //设置虚链路把area 3根area 0连接起来Router(config-router)#a 2 virtual-link 2.2.2.2 Router(config-router)#exit R2: //设置环回地址 Router(config)#int l0 Router(config-if)#ip ad 2.2.2.2 255.255.255.0 //配置端口地址和时钟 Router(config)#int s0/1/00 Router(config-if)#int s0/0/0 Router(config-if)#ip ad 23.1.1.1 255.255.255.0 Router(config-if)#clock rate 64000 Router(config-if)#no shut Router(config-if)#int s0/1/0 Router(config-if)#ip ad 12.1.1.2 255.255.255.0 Router(config-if)#no shut //启用OSPF路由 Router(config-if)#router os 1 Router(config-router)#router-id 2.2.2.2 Router(config-router)#net 12.1.1.2 0.0.0.255 a 0 Router(config-router)#net 23.1.1.1 0.0.0.255 a 2 //设置虚链路把area 3根area 0连接起来Router(config-router)#a 2 virtual-link 1.1.1.1 Router(config-router)#exit R3: //设置端口地址和串口时钟 Router(config)#int s0/1/0 Router(config-if)#ip ad 12.1.1.1 255.255.255.0
实验三综合试验1 【实验目的】 点到点多区域OSPF的安全认证和vritual-link(虚链路)的作用及配置 【实验背景】 非主区域必须和主区域(area 0)直接相连才能与其它区域通信。如果不直接相连,则须使用virtual-link实现于其它区域通信,设备端口和区域若分别加上安全验证ip ospf authentication-key password 和area area-id authentication后,安全验证的端口将不与无验证的端口通信。 【实验任务】 1、根据建议的地址配置个设备 2、建立ospf路由,并划分区域 3、测试区域0和区域1是否能够通讯,测试区域0和区域2是否能够通讯 4、通过建立虚链路的方法,实现区域0和区域2能够正常通讯 5、完成实验报告。 路由器分别命名为R1和R2、R4,路由器之间通过串口采用V35 DCE/DTE电缆连接,DCE端连接到R1(R1762)上。 【实验设备】 锐捷RG-S3760交换机1台,锐捷RG-S2126交换机1台;锐捷STAR-R2632路由器1台,锐捷STAR-R1762路由器2台。 【实验拓扑】: 【实验环境】: 设备地址分配如下: S2: F0/12 1.0.0.1 S2: F0/24 1.0.0.2 R2: F1/0 1.0.0.3 PC6 1.0.0.100 R2:F1/1 192.168.1.1 PC2 192.168.1.100 R2:s1/2 2.0.0.1 R1:s1/2 2.0.0.2 R1: F1/1 192.168.2.1 PC1 192.168.2.100 R1:s2/0 3.0.0.1 R4:s1/2 3.0.0.2 R4:F1/1 192.168.3.1 PC4 192.168.3.100 R4: F1/0 4.0.0.3 PC4 4.0.0.100(网关4.0.0.1) S4: F0/12 4.0.0.1 S4: F0/24 4.0.0.2 [试验配置] 步骤1. 根据给定地址配置R1和R2,并建立OSPF路由,划分区域R2632-1#conf t !进入全局配置模式 R2632-1(config)#hostname r1 !命名路由器 r1 (config)#interface s1/2 !进入s1/2接口模式,并配置ip地址 r1 (config-if)#ip address 2.0.0.2 255.255.255.0 r1 (config-if)#clock rate 64000 r1 (config-if)#no sh !开启端口 r1 (config-if)#exit !退回到上一级的操作模式 r1 (config)#interface s2/0 r1 (config-if)#ip address 3.0.0.1 255.255.255.0 r1 (config-if)#clock rate 64000 r1 (config-if)#no sh r1 (config-if)#exit r1 (config)#interface f1/1 r1 (config-if)#ip address 192.168.2.1 255.255.255.0 r1 (config-if)#no sh r1 (config-if)#exit r1 (config)#router ospf !开启OSPF路由协议进程 r1 (config-router)#network 2.0.0.0 0.0.0.255 area 1 !申请直连网段信息,并分配区域号 r1 (config-router)#network 3.0.0.0 0.0.0.255 area 2 r1 (config-router)#network 192.168.2.0 0.0.0.255 area 1 r1 (config-router)#exit R2配置 R1762-1#conf t R1762-1(config)#hostname r2 r2 (config)#interface s1/2 r2 (config-if)#ip address 2.0.0.1 255.255.255.0 r2 (config-if)#no sh r2 (config-if)#exit r2 (config)#interface f1/0 r2 (config-if)#ip address 1.0.0.3 255.255.255.0 r2 (config-if)#no sh
OSPF网络类型:根据路由器所连接的物理网络不同,OSPF将网络划分为四种类型:广播多路访问型(Broadcast multiAccess)、非广播多路访问型(None Broadcast MultiAccess,NBMA)、点到点型(Point-to-Point)、点到多点型(Point-to-MultiPoint)。 广播多路访问型网络如:Ethernet、Token Ring、FDDI。NBMA型网络如:Frame Relay、X.25、SMDS。Point-to-Point型网络如:PPP、HDLC。 designated router(DR):多路访问网络中为避免router 间建立完全相邻关系而引起大量开销,OSPF在区域中选举一个DR,每个router都与之建立完全相邻关系.router用Hello信息选举一个DR.在广播型网络里Hello信息使用多播地址224.0.0.5周期性广播,并发现邻居.在非广播型多路访问网络中,DR负责向其他router逐一发送Hello信息 backup designated router(BDR):多路访问网络中DR的备用router,BDR从拥有adjacency关系的router接收路由更新,但是不会转发LSA更新 OSPF areas:连续的网络和router的分组.在相同区域的router共享相同的area ID.因为1个router1次可以成为1个以上的区域的成员, area ID和接口产生关联,这就允许了某些接口可以属于区域1,而其他的属于区域0.在相同的区域的router拥有相同的拓扑表.当你配置OSPF的时候,记住必须要有个区域0,而且这个一般配置在连接到骨干的那个router上.区域扮演着层次话网络的角色 boradcast(multi-access):广播型(多路访问)网络.比如以太网,允许多个设备连接,访问相同的网络;而且提供广播的能力.在这样的网络中必须要有1个DR和BDR nonbroadcast multi-access(NBMA):这类网络类型有帧中继(Frame Relay),X.25和异步传输模式(Asynchronous Transfer Mode,A TM),这类网络允许多路访问,但是不提供广播能力 point-to-point:点对点网络.一个物理上的串行电路连接或者是逻辑上的,不需要DR和BDR,邻居是自动发现的 point-to-multipoint:点对多点网络.不需要DR和BDR 2>frame-relay上运行电到多点非广播,需要所有接口在同一子网,并在所有参与的接口下运行ip ospf network point-to-multipoint nonb frame map ip 后不用br Frame-relay上运行ospf的类型: 1>NON-BROADCAST 2>BROADCAST 3>POINT-TO-MULTIPOINT:需要所有接口在同一子网,并在所有参与的接口下运行ip ospf network point-to-multipoint,不选DR frame map ip后要br 4>POINT-TO-MULTIPOINT NONBROADCAST:需要所有接口在同一子网,并在所有参与的接口下运行ip ospf network point-to-multipoint nonb frame map ip 后不用br 不选DR(没有DR) 5>POINT-TO-POINT -------------------以上为我的复习笔记---------------------------------------------------再附送你一个ospf的链路类型-------------------------- OSPF 链路类型: 1. Point-to-point 和Broadcast 可以建立邻居关系,但是路由学不到. 2. Point-to-point 和Nbma 也可以建立邻居关系,但是路由学不到. 3. Point-to-point 和point-to-multipoint 可以建立邻居关系,可以学到路由, 前提是两边的hello-interval 和dead-interval 必须手工设置相同,可以学到路由,原因是因为两者都不选举DR. 4.Nbma 和Broadcast 可以建立邻居关系,可以学到路由,前提是两边的hello-interval 和dead-interval 必须手工设置相同,可以学到路由.因为两者都选举DR.
实验十三OSPF邻居加密认证配置 试验目的: 掌握OSPF的邻居加密认证配置 背景描述: 你是一名高级技术支持工程师,某企业的网络整个的网络环境是ospf。为了安全起见,新加入的路由器要通过认证,请你给予支持。 试验设备: RG-RSR20 二台、网线若干 试验拓扑图: 实验步骤及要求: 1、配置各台路由器用户名和接口IP地址,并且使用ping命令确认各路由器的直连口的互通性。具体配置请参考试验十二 2、在R1上启动OSPF路由协议 R1(config)#router ospf 100 R1(config-router)#area 0 authentication message-digest R1(config-router)#inter f0/0 R1(config-if)#ip osp message-digest-key 1 md5 ruijie R1(config-if)#end
R1# *Apr 10 20:09:23: %OSPFV2-5-NBRCHG: OSPF[100] Nbr[2.2.2.2-FastEthernet 0/0] Full to Down, InactivityTimer 3、在R2上启动OSPF路由协议 R2(config)#router ospf 100 R2(config-router)#area 0 authentication message-digest R2(config-router)#inter f0/1 R2(config-if)#ip osp message-digest-key 1 md5 ruijie R2(config-if)#end R2# *Apr 10 20:11:08: %OSPFV2-5-NBRCHG: OSPF[100] Nbr[1.1.1.1-FastEthernet 0/1] Loading to Full, LoadingDone 4、验证测试:(以R1为例) R1#sho ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default Gateway of last resort is no set C 1.1.1.0/24 is directly connected, Loopback 0 C 1.1.1.1/32 is local host. O 2.2.2.2/32 [110/1] via 12.1.1.2, 00:00:04, FastEthernet 0/0 C 12.1.1.0/24 is directly connected, FastEthernet 0/0 C 12.1.1.1/32 is local host. R1#show ip ospf neighbor OSPF process 100, 1 Neighbors, 1 is Full: Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 1 Full/BDR 00:00:37 12.1.1.2 FastEthernet 0/0 R1#show ip osp Routing Process "ospf 100" with ID 1.1.1.1 Process uptime is 1 hour 23 minutes Process bound to VRF default Conforms to RFC2328, and RFC1583Compatibility flag is enabled Supports only single TOS(TOS0) routes Supports opaque LSA SPF schedule delay 5 secs, Hold time between two SPFs 10 secs LsaGroupPacing: 240 secs Number of incomming current DD exchange neighbors 0/5 Number of outgoing current DD exchange neighbors 0/5 Number of external LSA 0. Checksum 0x000000 Number of opaque AS LSA 0. Checksum 0x000000
OSPF验证问题 今天一个朋友问我OSPF验证的问题,说OSPF的接口加密,区域加密和虚链路加密不清楚。 这里我就先简单的解答一下接着用实验验证结论。 的接口加密。。 1.OSPF的接口加密 是指在运行OSPF网络中,两个路由器直连接口的验证。相当于本地的一种验证,跟其它接口没有关系,只是定位到具体的两个接口之间。但是如果接口上起了验证,就不需要在区域中配置验证了。 2.OSPF的区域加密 是指在运行OSPF网络中,配置了区域加密,那么想加入该区域的设备必须启用区域加密。区域加密的所有的密钥和加密方式必须是统一的。
3.虚链路加密 虚链路加密。。 虚链路加密是区域加密的一种应用,可以看做是从外部接入到区域中需要进行的一种验证身份的方式。如果区域上已经建立了验证,链路这端就不需要进行验证。 实验拓扑
1.先配置OSPF路由。然后在一端启用加密,另一端不启用加密。观察效果配置OSPF~ R1 R1(config)#router ospf 100 R1(config-router)#router-id 1.1.1.1 R1(config-router)#net 1.1.1.1 0.0.0.0 area 0 R1(config-router)#net 192.168.10.1 0.0.0.0 area 1 R2 R2(config)#router ospf 100 R2(config-router)#router-id 2.2.2.2 R2(config-router)#net 2.2.2.2 0.0.0.0 area 1 R2(config-router)#net 192.168.10.2 0.0.0.0 area 1
关于ospf 的一些问题 1 ospf 有什么特性,为什么说是适合大型网络。 OSPF 适合大型网络的原因是收敛速度比较快。同时基于链路状态算 法,协议自身无环,克服了DV 算法的环路和慢收敛问题。其余的一些特性如无类路由、采用组播地址等等使得它更适合大型网络。 回答二::主要是有了区域的概念,这样通过区域将网络分割成不同 的路由域,将网络的复杂性变小。通过层次化的网络减少了网络之间的通信量。支持更高的等价负载均衡。安全md5 认证在网络更换密码时不会断流。 2 ospf 的邻居是如何形成的 相互在对方的HELLO 报文中发现了自己的router id 即可形成邻居 关系。 回答二::共享一条链路,并且能成功的协议主要的参数就能形成邻 居关系。严格协议的参数为:区域id,认证信息,网络掩码,helllo-interval hello-ddeadinterval.及可选择参数。 3 LSA 是什么意思,它描述了那些信息。 LSA 链路状态通告,描述了一台路由器自己知道的所有链路状态的信 息,包括自身的,也包括从区域内其他路由器学习到的。 回答二::LSA 描述的是所有的链路,接口,路由器的邻居和链路信息。 04 spf 算法树是怎么样理解的。ospf 的路由表是从那里得到的。 当一个区域内所有的路由器LSDB 都一致的时候,每路由器以自己为 根生成自己的SPF 树,再从SPF 树中推导出路由表。 回答二::ospf 的路由表是由spf 算法树中构建的。当LSDB 在一个区域完全相同,稳定时,以自身为根,算出到达每条链路的最佳路径。注意,是最佳,而不是最短。这个图就是spf 算法树. 07 除了ospf 以外,lookback 还有那些重要的作用。 除了可以作为动态路由协议的路由器ID 外,还可以作为无编址接口 的借用地址,还可以作为一些路由器功能模块的源地址,譬如作为RADIUS 的源地址等,这样便于管理。同样即使某一个物理接口DOWN 掉了,也不会影响访问。 08 ospf 中hello 包有那些信息,各起什么作用。通过那条命令来修 改hello 参数。两台路由器的hello 参数不一样,会产生什么样的后果。 Hello 包起形成邻居关系时协商各个工作参数的作用,同时还通过 hello 保持邻居关系的激活.。如果OSPF 的hello 参数不一样,则无法形成邻居关系。CISCO 可通过命令ip ospfhello-interval 来修改。 回答二::主要的信息有,始发路由器的id,区域id,地址掩码,认证类型与认证信息,有效时间与无效时间间隔,路由器的优先级与dr bdr,有效邻居路由器id. 选择DR 的目的是为了减少泛洪的规模。
OSPFv3协议的特点及部署考虑 在网络部署中,动态路由协议是重要的组成部分,良好的路由设计,是保证网络可靠、稳定运行的基础。为了适应IPv6协议栈的变化,OSPFv3协议在保留OSPFv2优点的基础上进行了更新,增强了OSPF协议的功能,提高了可扩展性。本文描述了OSPFv3协议相比OSPFv2的变化,以及在部署时需要考虑的一些因素。 OSPFv3与OSPFv2协议的比较 OSPF是一种链路状态路由协议。它具有标准开放、收敛迅速、无环路、便于层级化设计等众多优点。IPv4网络中广泛使用的OSPFv2协议由于在报文内容、运行机制等方面与IPv4地址联系得过于紧密,大大制约了它的可扩展性和适应性。在IPv6环境中,为了使OSPF 更好的应用,同时保留原有的众多优点,因此,在OSPFv2的基础上作了多方面的修改后产生了OSPFv3协议。 OSPFv3相比OSPFv2作出的改进可以分为几个方面来描述。 1.OSPFv3独立于网络协议 1)OSPFv3基于链路运行 OSPFv2协议是基于子网运行的,邻居之间形成邻接关系的必要条件之一就是两端的IP 地址属于同一网段而且掩码相同。而OSPFv3协议基于链路运行,与具体的IPv6地址、前缀分离开,即使同一链路上的不同节点具有不同网段的IPv6地址时,协议也可以正常运行。 2)编址性语义的取消 在OSPFv2中,协议分组和LSA中的许多字段都是来自于网络上的某个IP地址、掩码或某个IP子网号。报文的数据内容决定了OSPFv2的多种机制必须基于IPv4来进行,包括邻居路由器标识、邻居建立等等。 在OSPFv3中取消了这些编址性语义,而只保留协议运行必须的核心内容。比如,Router-LSA和Network-LSA中不再包含网络地址,而只用于传递拓扑信息;LSA的Link State ID依然保留32位长度的IPv4地址格式,但只是一个编号,不再包含地址信息;邻居路由器,包括DR和BDR,都是用Router ID来标识。这些保证了OSPFv3协议能够独立于网络协议运行。 3)链路本地地址的使用 OSPFv2协议要求,每一个运行OSPF的接口都必须有一个全局的IPv4地址,即使是在网络中仅仅用于传输转发的中间节点也必须如此,协议的运行和路由的计算都依赖于这个地
OSPF 的四种认证方式 OSPF的四种认证,基于区域的认证两种:简单口令认证,MD5。基于链路的认证有两种:简单口令认证,MD5。 简单介绍一下: 基于区域的简单口令认证: 在R2上的配置如下: Router(config)#router ospf 100 Router(config-router)#area 0 authentication Router(config)#int s1/3 Router(config-if)#ip ospf authentication-key tyt 在R3上的配置也是一样的,当你配置完一方时,邻居关系会断掉,另一方配置完后,邻居关系会重启,再者两边的密码一定要一样,不然不行。 基于区域的MD5认证: 在R2上的配置如下: Router(config)#router ospf 100 Router(config-router)#area 0 authentication message-digest Router(config)#int s1/3 Router(config-if)#ip ospf message-digest-key 1 md5 tyt 在R3上的配置也是一样的,当你配置完一方时,邻居关系会断掉,另一方配置完后,邻居关系会重启,再者两边的密码一定要一样,不然不行。 基于链路的简单口令认证: 在R2上的配置如下: Router(config)#int s1/3 Router(config-if)#ip ospf authentication Router(config-if)#ip ospf authentication-key tyt 这个很简单,在R3上的配置也是这样的 基于链路的MD5认证的配置: 在R2上的配置如下: Router(config)#int s1/3 Router(config-if)#ip ospf authentication message-digest Router(config-if)#ip ospf message-digest-key 1 md5 tyt 其实在认证配置方面很简单! 因为文档太小的话,文库会不认上传,所以在后面加些无关紧要的东西,可以删掉!
OSPF安全认证 (三种认证方式+简单实例) OSPF安全认证 2种认证方法:明文,密文 3种认证范围:链路认证,区域认证,虚链路认证 1.链路认证 (A)明文认证 (1)设置密钥,进接口: ip ospf authentication-key password (2)指定身份验证方式,进接口: ip ospf authentication (B)密文MD5认证 (1)设置要使用的密钥ID和密钥,进接口: ip ospf message-digest-key key-id md5 password (2)指定身份验证方式,进接口: ip ospf authentication message-digest
2.区域认证 (A)明文认证 (1)设置密钥,进接口: ip ospf authentication-key password (2) 指定身份验证方式,进进程: area area-id authentication (B)密文MD5认证 (1)设置要使用的密钥ID和密钥,进接口: ip ospf message-digest-key key-id md5 password (2)指定身份验证方式,进进程: area area-id authentication message-digest 3.虚链路认证 (A)明文认证 (1)设置虚链路及密钥,进进程做: area area-id virtual-link router-id authentication-key passwork (2)声明虚链路验证方式,进进程做: area area-id virtual-link router-id authentication (B)密文MD5认证 (1) 设置虚链路及密钥,进进程做: area area-id virtual-link router-id message-digest-key key-id md5 password (2) 声明虚链路验证方式,进进程做: area area-id virtual-link router-id authentication message-digest [注意]:虚链路必须与认证一起做;若先做虚链路,再认证,则认证无效。
OSPF实验5:OSPF认证完整总结 实验等级:Expert 实验拓扑: 实验说明: OSPF的认证有2种类型(确切说是3种),其中type0表示无认证,type1表示明文认证,type2表示MD5认证。明文认证发送密码进行认证,而MD5认证发送的是报文摘要。有关MD5的详细信息,可以参阅RFC1321. OSPF的认证可以在链路上进行,也可以在整个区域内进行认证。另外虚链路同样也可以进行认证。 实验基本配置: R1: interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! 在线代理|网页代理|代理网页|https://www.doczj.com/doc/3f11847217.html,
interface FastEthernet0/0 ip address 21.1.1.1 255.255.255.0 duplex half ! router ospf 10 router-id 1.1.1.1 log-adjacency-changes network 10.1.1.0 0.0.0.255 area 0 network 21.1.1.0 0.0.0.255 area 0 R2: interface Loopback0 ip address 2.2.2.2 255.255.255.0 ! interface FastEthernet0/0 ip address 21.1.1.2 255.255.255.0 duplex half ! interface Serial1/0 ip address 10.1.1.2 255.255.255.0 serial restart-delay 0 ! interface Serial1/1 ip address 11.1.1.1 255.255.255.0 serial restart-delay 0 ! router ospf 10 router-id 2.2.2.2 log-adjacency-changes area 1 virtual-link 3.3.3.3 network 10.1.1.0 0.0.0.255 area 0 network 11.1.1.0 0.0.0.255 area 1 network 21.1.1.0 0.0.0.255 area 0 R3: interface Loopback0 ip address 3.3.3.3 255.255.255.0 ! interface Serial1/0 ip address 11.1.1.2 255.255.255.0 serial restart-delay 0 ! router ospf 10 在线代理|网页代理|代理网页|https://www.doczj.com/doc/3f11847217.html,