ospf搭建及认证（区域和链路）

Posted 2021-12-23 luyou_xiaobai

拓扑

环境：全网运行ospf协议，

R2路由器的左边端口和R1，R4在a 1 区域宣告，

R2右边包括，R3等全在a 0 区域

R1 和R2的

基础配置，给端口上IP地址

这里为了方便看，给每个路由器添加了一个路由id

第一步：进入ospf编号1，区域1  0，进行ospf的网段宣告

[R1]ospf 1 router-id 1.1.1.1 
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]net 10.0.12.0 0.0.0.255

注意，R2路由器比较特殊，

它在a1区域宣告它所拥有的左边的网段，

它在a0区域宣告它所拥有的右边的网段（

当然全网可以全部在一个区域宣告，我为了验证分开了）

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]a 1
[R2-ospf-1-area-0.0.0.1]net 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]net 10.0.24.0 0.0.0.255
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]net 10.0.23.0 0.0.0.255

[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]a 0 
[R3-ospf-1-area-0.0.0.0]net 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 10.0.35.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 10.0.36.0 0.0.0.255

[R4]ospf 1 router-id 4.4.4.4 
[R4-ospf-1]a 1
[R4-ospf-1-area-0.0.0.1]net 10.0.24.0 0.0.0.255

[R5]ospf 1 router-id 5.5.5.5
[R5-ospf-1]a 0
[R5-ospf-1-area-0.0.0.0]net 10.0.35.0 0.0.0.255

[R6]ospf 1 router-id 6.6.6.6
[R6-ospf-1]a 0
[R6-ospf-1-area-0.0.0.0]net 10.0.36.0 0.0.0.255

到这里所有的网段已经全部被宣告了，查看一下dis ospf peer brief

R5因为一些原因，路由id没有改变，但是不影响实验

可以看到，每台路由器的宣告无误，可以看到所有的路由器id，（ospf宣告结果比较直接，是两两宣告，你宣告我，我宣告你，才会出现在各自的邻居关系中，宣告网段错误，区域错误，IP错误，hello time 不一致都会导致ospf邻居无法建立）这意味着，路由表已经学会了，这些IP，意味着全网通，可以ping一下看看

ospf认证

 ospf的认证有两种，区域认证和链路认证

区域认证就想小区的大门，谁有钥匙谁过，

链路认证就想自家的门，家里的人才有钥匙，也就只有家里人能过，也可以带别人过。

首先，区域认证，在这个拓扑只有两个区域，a1 和a 0，区域认证就是开启区域认证之后在同区域里的每台要用到的路由器添加一个相同认证，如果添加的认证不同会影响邻居关系

使用区域认证时，一个区域中所有的路由器在该区域下的认证模式和口令必须一致;

注意plain，如果在配置认证的时候，加上就是明文，不加就是密文
[R1]ospf 1
[R1-ospf-1]a 1
[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei

display this 一下

这是区别，一个可以看到，一个看不到

现在我们只在R1上配置了明文认证，等待几秒看一下，

R1 的邻居表已经找不到R2了

同样在R2上能看到R4看不到R1，这时候，因为是直连，所以R1可以ping同R2直连的端口，但无法再向外访问

在R2上区域a 1 配置认证
[R2]ospf 1
[R2-ospf-1]a 1    
[R2-ospf-1-area-0.0.0.1]authentication-mode simple plain huawei

 

可以看到，R2的邻居表又有了R1,说明认证无误，其实这个时候，全网又通了，因为，a1里边配置了认证，R2路由器可以和左边通，a0没有认证，所以右边也通，如果a 0要配置认证，不一定要和a1的认证方式和密文相同，只要同区域认证一致即可

链路认证（端口认证）

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei

MD5是一种加密方法，1是验证字符

当R2的g0/0/1口认证之后

邻居关系没有了R4，因为是直连端口，

此时R1可以ping到R3，但ping不到R4，在R4上的g0/0/0口添加认证

[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 huawei

注意，链路认证也是要一致的

可以ping一下看看

 

到此，ospf配置结束

总结一下

OSPf如果同时配置了接口认证和区域认证时，优先使用接口认证建立OSPF 邻居。

认证方式又分为简单验证模式、MD5验证模式和Key chain验证模式。
简单验证模式在数据传递过程中，认证密钥和密钥ID都是明文传输，很容易被截获;
MD5验证模式下的密钥是经过MD5加密传输，相比于简单验证模式更为安全;
Key chain验证模式可以同时配置多个密钥，不同密钥可单独设置生效周期等。

本人就会这么点，自己的理解。