1. ?認(rèn)證概述

? ?為什么要有認(rèn)證？

? ? 防止非法路由器接入企業(yè)內(nèi)網(wǎng)的ospf路由器，保護(hù)內(nèi)網(wǎng)安全

2. ?認(rèn)證方式

? ? ?認(rèn)證方式分為接口認(rèn)證和區(qū)域認(rèn)證，接口認(rèn)證和區(qū)域認(rèn)證沒有本質(zhì)的區(qū)別，接口認(rèn)證是當(dāng)區(qū)域內(nèi)鏈路過多的情況下，接口認(rèn)證配置較為繁瑣，容易出錯，此時可以采用區(qū)域認(rèn)證，配置量更少。

3. ?認(rèn)證位置
? - 接口認(rèn)證
? - 區(qū)域認(rèn)證

? 注：如果同時配置了接口認(rèn)證和區(qū)域認(rèn)證，則接口人證優(yōu)先于區(qū)域認(rèn)證

4. 認(rèn)證模式

? ? ?認(rèn)證報文攜帶在hello報文中，通過hello包進(jìn)行協(xié)商，所有認(rèn)證模式和認(rèn)證密碼兩端必須一致，如果認(rèn)證方式或認(rèn)證密碼協(xié)商不一致，會導(dǎo)致鄰居關(guān)系建立失敗

? 認(rèn)證模式分為：

? - simple ?明文認(rèn)證，密碼在傳輸過程中是明文的，抓包可見
? - MD5 ? 密文認(rèn)證，密碼在傳輸?shù)倪^程中是加密的，抓包不可見

5.? 配置認(rèn)證： ??

注意：simple/md5：表示OSPF報文在傳輸過程中是否加密 ? ? ? ? ? ? ?鄰居兩端必須一致

? ? ? ? ? ?cipher/plain：表示秘鑰信息在本地存儲是否加密 ? ? ? ? ? ? ? ? ? ? 鄰居兩端可以不一致

- 接口認(rèn)證

?需求：1) 企業(yè)內(nèi)部運營OSPF多區(qū)域

? ? ? ? ? ? 2) 禁止區(qū)域0內(nèi)有非法用戶接入

? ? ? ? ? ? 3）AR2與AR3、AR3與AR4接口下配置明文認(rèn)證、AR4與AR5接口下配置密文認(rèn)證

? ? 拓?fù)?#xff1a;

?配置命令：
接口認(rèn)證配置：（鄰居設(shè)備的認(rèn)證類型、認(rèn)證密碼必須一致，如何不一致鄰居會斷開）
AR2和AR3之間配置simple 認(rèn)證模式：
AR2:
interface GigabitEthernet0/0/0
? ip address 192.168.23.2 255.255.255.0?
? ospf authentication-mode simple cipher hcip
??
AR3:?
interface GigabitEthernet0/0/1
? ip address 192.168.23.3 255.255.255.0?
? ospf authentication-mode simple cipher hcip?
??

AR3和AR4之間配置simple 認(rèn)證模式：
AR3:?
interface GigabitEthernet0/0/0
ip address 192.168.34.3 255.255.255.0?
ospf authentication-mode simple cipher hcip?
??
AR4:
interface GigabitEthernet0/0/1

ip address 192.168.34.4 255.255.255.0?
ospf authentication-mode simple cipher hcip ?
??
AR4和AR5之間配置md5 認(rèn)證模式：
AR4:
interface GigabitEthernet0/0/0
ip address 192.168.45.4 255.255.255.0?
ospf authentication-mode md5 1 cipher hcip

AR5:
interface GigabitEthernet0/0/1
ip address 192.168.45.5 255.255.255.0?
ospf authentication-mode md5 1 cipher hcip
?

- 區(qū)域認(rèn)證

?需求：1) 企業(yè)內(nèi)部運營OSPF多區(qū)域

? ? ? ? ? ? 2) 禁止區(qū)域12內(nèi)有非法用戶接入，要求認(rèn)證密碼不可見，本地存儲秘鑰信息顯示加密

?拓?fù)?#xff1a;

?配置命令：
實驗一：配置區(qū)域認(rèn)證
1）OSPF區(qū)域認(rèn)證配置：
AR2:
ospf 1 router-id 2.2.2.2?
?area 0.0.0.0?
?network 192.168.23.0 0.0.0.255?
??
?area 0.0.0.12?
?authentication-mode md5 1 cipher hcie
??
AR1:
ospf 1 router-id 1.1.1.1
?area 0.0.0.12?
?authentication-mode md5 1 cipher hcie
?network 192.168.12.0 0.0.0.255

實驗二：驗證接口認(rèn)證優(yōu)先于區(qū)域認(rèn)證：

1）OSPF區(qū)域12認(rèn)證配置：
AR2:
ospf 1 router-id 2.2.2.2?
?area 0.0.0.0?
?network 192.168.23.0 0.0.0.255?
??
?area 0.0.0.12?
?authentication-mode md5 1 cipher hcie
??
AR1:
ospf 1 router-id 1.1.1.1
?area 0.0.0.12?
?authentication-mode md5 1 cipher hcie
? network 192.168.12.0 0.0.0.255
??
?區(qū)域認(rèn)證配置成功后，鄰居關(guān)系正常，現(xiàn)在修改接口認(rèn)證模式不一致，
?如果鄰居斷開說明接口認(rèn)證優(yōu)先于區(qū)域認(rèn)證
?
2）配置R1的區(qū)域12的接口認(rèn)證模式為明文
interface GigabitEthernet0/0/0
? ip address 192.168.12.1 255.255.255.0?
? ospf authentication-mode simple plain ntd
??
配置R2的區(qū)域12的接口認(rèn)證模式為密文
interface GigabitEthernet0/0/1
? ip address 192.168.12.2 255.255.255.0?
? ospf authentication-mode md5 1 plain 345
??
? 經(jīng)驗證發(fā)現(xiàn)，當(dāng)接口認(rèn)證不一致時，鄰居斷開，結(jié)論同時配置了接口認(rèn)證和區(qū)域認(rèn)證，
? 接口認(rèn)證優(yōu)先于區(qū)域認(rèn)證