OSPF认证（区域认证和接口认证）

作者：兔砸网工-阿毛

1.OSPF认证概述

????OSPF认证分为区域认证与接口认证，当使用区域认证方式时，一个区域中所有的路由器在该区域下的认证模式和密码必须一致，不一致则无法建立OSPF邻居关系；当使用接口认证方式时，相邻的路由器之间需要设置同样认证模式和密码，不一致则无法建立OSPF邻居关系，需要注意的是接口认证方式的优先级要高与区域认证方式，也就是当相邻的路由器同时使用区域认证与接口认证时，如果接口认证不通过，即使区域认证通过也无法建立OSPF邻居关系。

2.实验需求

????????AR1、AR2、AR3都运行OSPF协议，并划分在Area 0中。为了保证整个网络的安全性，在各个路由器上的Area 0上设置区域认证，认证模式为cipher，密码为123456。在AR2与AR3的互联接口上设置接口认证，认证模式均为cipher，AR2的密码为123456，AR3的密码为654321。最终实现AR3无法与AR2建立OSPF邻居关系，但可以与AR1建立OSPF邻居关系。

实验拓扑图如下：

3.实验思路

????????1.各AR路由器配置IP地址。

????????2.各AR路由器使能OSPF进程、配置Area 0并宣告相应接口。

????????3.各AR路由器按规划配置区域认证。

????????4.AR3与AR2按规划在互联接口配置接口认证。

????????5.配置完成后，检查AR3的OSPF邻居关系表是否存在AR1的邻居关系，以及在AR3的OSPF错误信息中查看无法与AR2建立邻居关系的原因。

4.实验步骤

步骤一 各AR路由器配置IP地址（略）

步骤二 各AR路由器使能OSPF进程、配置Area 0并宣告相应接口

AR1使能OSPF进程、配置Area 0并宣告相应接口

[AR1]ospf 1

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255

AR2使能OSPF进程、配置Area 0并宣告相应接口

[AR2]ospf 1

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]network 10.1.23.0?0.0.0.255

AR3使能OSPF进程、配置Area 0并宣告相应接口

[AR3]ospf 1

[AR3-ospf-1]area 0

[AR3-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255

步骤三 各AR路由器按规划配置区域认证

AR1配置区域认证，认证模式为cipher，密码为123456

[AR1]ospf 1

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456

AR2配置区域认证，认证模式为cipher，密码为123456

[AR2]ospf 1

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456

AR3配置区域认证，认证模式为cipher，密码为123456

[AR3]ospf 1

[AR3-ospf-1]area 0

[AR3-ospf-1-area-0.0.0.0]authentication-mode simple cipher 123456

步骤四 AR3与AR2按规划在互联接口配置接口认证

AR2配置接口认证，认证模式为cipher，密码为123456

[AR2]interface GigabitEthernet 0/0/1

[AR2-GigabitEthernet0/0/1]ospf authentication-mode simple cipher 123456

AR3配置接口认证，认证模式为cipher，密码为654321

[AR3]interface GigabitEthernet 0/0/0

[AR3-GigabitEthernet0/0/0]ospf authentication-mode simple cipher 654321

5.实验结果

验证1：AR3的OSPF邻居表中只存在AR1的邻居关系

????????AR3的OSPF邻居表

????????上图可以看到AR3只有AR1一个OSPF邻居。

验证2：AR3的OSPF错误信息中显示无法与AR2建立邻居关系的原因

????????AR3的OSPF错误信息

????????上图可以看出，在AR3与AR2的互联接口的OSPF错误信息中无法在该接口建立OSPF邻居关系的原因为认证失败。

6.配置命令参考

AR1

sysname AR1
interface GigabitEthernet0/0/0
ip address 10.1.12.1 255.255.255.0?
interface GigabitEthernet0/0/1
ip address 10.1.13.1 255.255.255.0?
ospf 1?
area 0.0.0.0?
authentication-mode simple cipher 123456?
network 10.1.12.0 0.0.0.255?
network 10.1.13.0 0.0.0.255

AR2

sysname AR2
interface GigabitEthernet0/0/0
ip address 10.1.12.2 255.255.255.0?
interface GigabitEthernet0/0/1
ip address 10.1.23.2 255.255.255.0?
ospf authentication-mode simple cipher 123456?
ospf 1?
area 0.0.0.0?
authentication-mode simple cipher 123456?
network 10.1.12.0 0.0.0.255?
network 10.1.23.0 0.0.0.255

AR3

sysname AR3
interface GigabitEthernet0/0/0
ip address 10.1.23.3 255.255.255.0?
ospf authentication-mode simple cipher 654321?
interface GigabitEthernet0/0/1
ip address 10.1.13.3 255.255.255.0?
ospf 1?
area 0.0.0.0?
authentication-mode simple cipher 123456?
network 10.1.13.0 0.0.0.255?
network 10.1.23.0 0.0.0.255