為了安全的原因,我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能,只有經(jīng)過身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。
在默認(rèn)情況下OSPF不使用區(qū)域驗(yàn)證。通過兩種方法可啟用身份驗(yàn)證功能,純文本身份驗(yàn)證和消息摘要(md5)身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本,它會(huì)被網(wǎng)絡(luò)探測(cè)器確定,所以不安全,不建議使用。而消息摘要(md5)身份驗(yàn)證在傳輸身份驗(yàn)證口令前,要對(duì)口令進(jìn)行加密,所以一般建議使用此種方法進(jìn)行身份驗(yàn)證。
使用身份驗(yàn)證時(shí),區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。為起用身份驗(yàn)證,必須在路由器接口配置模式下,為區(qū)域的每個(gè)路由器接口配置口令。
任務(wù) 命令 指定身份驗(yàn)證 area area-id authentication 使用純文本身份驗(yàn)證ip ospf authentication-key password 使用消息摘要(md5)身份驗(yàn)證 ip ospf message-digest-key keyid md5 key |
以下列舉兩種驗(yàn)證設(shè)置的示例,示例的網(wǎng)絡(luò)分布及地址分配環(huán)境與以上基本配置舉例相同,只是在Router1和Router2的區(qū)域0上使用了身份驗(yàn)證的功能。
例1.使用純文本身份驗(yàn)證
Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 ! interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf authentication-key cisco ! router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authentication ! Router2: interface ethernet 0 ip address 192.1.0.65 255.255.255.192 ! interface serial 0 ip address 192.200.10.6 255.255.255.252 ip ospf authentication-key cisco ! router ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication ! |
Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 ! interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ! router ospf 100 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authentication message-digest ! Router2: interface ethernet 0 ip address 192.1.0.65 255.255.255.192 ! interface serial 0 ip address 192.200.10.6 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ! router ospf 200 network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication message-digest ! |
相關(guān)調(diào)試命令:
debug ip ospf adj debug ip ospf events |
