关于OSPF的认证
今天继续在总结OSPF,刚做到认证这一块,遇到了点小问题,来求助。。。拓扑很简单,R1的e0/0连接R2的e0/0,R1的接口下配置了ip ospf authentication message-digest,R2没有配置,这时候因为R2没有配置认证,所以R1和R2的邻居挂掉。R2也配置ip ospf authentication message-digest。R1和R2邻居正常。这样配置是空密码的验证,没问题的。debug ip ospf events也能正常看到hello包的互相交换。
接着在R1的接口下,加一条ip ospf authentication-key 12345678,也就是把密码设成12345678。看R2的debug消息,邻居正常,没有发现挂掉。这里就有几个疑问了:1、ip ospf authentication-key 12345678意思是不是把密码设成12345678,并且是明文的;2、既然R1的密码已经修改为12345678明文,R2的密码为空,两边的密码不一样,hello包里携带的密码不一样,应该建立不起邻居关系啊。原来以为是接口的问题,后来把接口down了再no shut,邻居还是很快起来了。。。不太理解。。。
接口下还有一个命令是ip ospf message-digest-key 1 md5 cisco,这个应该是md5的认证密码吧?这个一配上,邻居很快就down掉了。看R2的debug消息,是不匹配的认证。
接口认证涉及到的三条命令是不是这样理解:
ip ospf authentication message-digest,启用MD5认证?
ip ospf authentication-key 12345678,设置明文密码12345678(明文跟MD5认证有啥关系,可以单独直接用这个来设置明文密码吗?)
ip ospf message-digest-key 1 md5 cisco,将MD5认证的密码设成cisco(是不是必须要有前面第一条的基础上,才能配这个。)
明文密码和MD5认证密码同时配置时,是根据哪个来的?hello包里携带的是哪个的密码,是先配置就优先吗后面的都忽略?
沙发呀??? 明文认证需要使用明文密码,不使用明文密码默认使用空密码。
密文认证需要使用密文密码,不使用密文密码默认使用空密码。
接口下如果只配置密钥,但是不配置认证方式,则OSPF HEADER中不包含任何认证信息,认证类型:null,认证密钥:none
接口下如果同时配置了明文密钥和密文密钥,那么接口发送何种密钥,取决于你接口下的认证方式。
例如:
interface Serial0/0
ip address 12.1.1.1 255.255.255.0
ip ospf authentication message-digest
ip ospf authentication-key cisco
ip ospf message-digest-key 1 md5 cisco
ip ospf 1 area 0
serial restart-delay 0
end
该范例中:接口下同时配置了明文密钥和密文密钥,但是因为接口使用的是密文认证,所以只有密文密钥会被包含在OSPF HEADER中,并发送出去。详细可看附件抓包结果。
明文认证(接口认证):
Router(config-if)#ip ospf authentication
Router(config-if)#ip ospf authentication-key cisco
密文认证(接口认证):
Router(config-if)#ip ospf authentication message-digest
Router(config-if)#ip ospf message-digest-key 1 md5 cisco
前天时候还和andsen 商量,看有没有必要在雏鹰部落上做一期OSPF技术的系列专题,今天LZ就连续问到几个OSPF方面的问题! 感谢3楼的回答,非常感谢task-woniu2- task 发表于 2011-4-15 14:40 static/image/common/back.gif
明文认证需要使用明文密码,不使用明文密码默认使用空密码。
密文认证需要使用密文密码,不使用密文密码默 ...
回答得到位~一般明文密文并存时,以密文为准。
如enable password和enable secret两个密码并存时的情况~
学习以下,Task非常的赞~ 我也来学习一下--。 Jeff. 发表于 2011-4-15 20:55 static/image/common/back.gif
学习以下,Task非常的赞~
Task显露了一下身手了。
支持分享。
Task真棒呀
页:
[1]
2