深入OSPF之論 認證關系
OSPF可以對接口、區域、虛鏈路進行認證。接口認證要求在兩個路由器之間必須配置相同的認證口令;區域認證指所有屬于該區域的接口都要啟用認證,因為OSPF以接口做為區域分界,區域認證接口與鄰接路由器建立鄰居要有相同的認證方式與口令,在同一區域中不同網絡類型可以有不同的認證方式不同的口令。配置區域認證的接口可以與配置接口認證的接口互相認證,使用MD5認證口令ID要相同。OSPF認證方式分為NULL認證,協議字段類型0、明文密碼認證,協議字段類型1、MD5加密效驗認證,協議字段類型2。
接口認證配置
明文認證
Wildlee(config-if)# ip ospf authentication
Wildlee(config-if)# ip ospf authentication-key passpord
MD5認證
wildlee(config-if)#ip ospf authentication message-digest
wildlee(config-if)#ip ospf message-digest-key key-id md5 password
區域認證配置
明文認證
wildlee(config-router)#area area-id authentication
Wildlee(config-if)# ip ospf authentication-key passpord
MD5認證
wildlee(config-router)#area area-id authentication message-digest
wildlee(config-if)#ip ospf message-digest-key key-id md5 password
MD5認證密鑰更換
MD5認證方式可以保證認證有效的情況下更換口令。基于MD5的認證可以在接口下配置多個口令,路由器在此接口鏈路上發送多個不同密鑰ID的 HELLO認證報文,當鄰接的兩個路由器之間可以通過多個口令互相認證的時候,使可以去掉其中的一個口令認證,實現口令更改。基于OSPF的MD5認證根據其OSPF數據包內容和口令計算一個哈希值,接收該報文的路由器將OSPF數據包內容與自身配置口令也進行哈希計算,通過比較HASH值實現認證。 OSPF類型2的認證其報文密鑰ID字段可以讓路由器設置多個口令,每個密鑰ID代表一個口令。序列號字段可以防止報文重放攻擊。
原文博客:http://www.wildlee.org/2012_01_2137.html
