Konfigurieren der OSPF-Authentifizierung auf einer virtuellen Verbindung

Einführung

Alle Bereiche in einem autonomen OSPF-System (Open Shortest Path First) müssen physisch mit dem Backbone-Bereich (Bereich 0) verbunden sein. Wenn diese physische Verbindung jedoch nicht möglich ist, können Sie eine virtuelle Verbindung verwenden, um über einen Non-Backbone-Bereich eine Verbindung zum Backbone herzustellen. Sie können auch virtuelle Links verwenden, um zwei Teile eines partitionierten Backbones über einen Non-Backbone-Bereich zu verbinden. Sie können die OSPF-Authentifizierung auch für virtuelle Verbindungen aktivieren.

In diesem Dokument wird beschrieben, wie die MD5-Authentifizierung (Nur-Text und Message Digest 5) auf einer virtuellen Verbindung in einem OSPF-Netzwerk aktiviert wird. Weitere Informationen zur Konfiguration der OSPF-Authentifizierung finden Sie unter Beispielkonfiguration für die Authentifizierung in OSPF.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

• Kenntnis des OSPF-Routing-Protokolls und seiner Vorgänge

• Kenntnisse des Konzepts für virtuelle OSPF-Verbindungen

Weitere Informationen zum OSPF-Routing-Protokoll und zum Konzept virtueller Verbindungen in OSPF finden Sie im OSPF-Designleitfaden.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Cisco Router der Serie 2500

• Cisco IOS® Softwareversion 12.2(27)

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

• Plain Text-Authentifizierung konfigurieren

• MD5-Authentifizierung konfigurieren

Plain Text-Authentifizierung konfigurieren

Bei der Nur-Text-Authentifizierung werden die Kennwörter als Klartext über das Netzwerk gesendet. In dieser Konfiguration hat Router 3.3.3.3 keine Schnittstelle im Bereich 0, sondern eine virtuelle Verbindung mit Bereich 0. Diese Konfiguration macht Router 3.3.3.3 zu einem virtuellen Area Border Router (ABR). Sie müssen daher die Authentifizierung für Bereich 0 auf Router 3.3.3.3 aktivieren. Dieser Abschnitt enthält die Befehle zum Konfigurieren der Klartext-Authentifizierung in einem Szenario mit virtueller Verbindung.

Hinweis: Der von der Konfiguration verwendete Authentifizierungsschlüssel definiert den Schlüssel (das Kennwort), der direkt in den OSPF-Header eingefügt wird. Der Schlüssel wird in den Header eingefügt, wenn die Cisco IOS Software Routing-Protokoll-Pakete generiert. Sie können jedem Netzwerk pro Schnittstelle ein separates Kennwort zuweisen. Alle benachbarten Router im gleichen Netzwerk müssen über dasselbe Kennwort verfügen, um OSPF-Informationen austauschen zu können.

hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf authentication-key cisco

!--- This command configures the authentication key (password) !--- on the interface as "cisco".


interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 !--- on the router.

area 1 virtual-link 3.3.3.3 authentication-key cisco

!--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with plain text authentication enabled.

hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 !--- on the router.

 area 1 virtual-link 1.1.1.1 authentication-key cisco

!--- This command creates the virtual link to area 0 via !--- transit area 1 with plain text authentication enabled.

MD5-Authentifizierung konfigurieren

MD5-Authentifizierung bietet mehr Sicherheit als die reine Textauthentifizierung. Die Sicherheit ist besser, da bei dieser Methode der MD5-Algorithmus zur Berechnung eines Hashwerts aus dem Inhalt des OSPF-Pakets und eines Kennworts (oder Schlüssels) verwendet wird. Dieser Hashwert wird zusammen mit einer Schlüssel-ID und einer nicht abnehmenden Sequenznummer im Paket übertragen. Der Empfänger, der dasselbe Kennwort kennt, berechnet seinen eigenen Hashwert. Dieser Abschnitt enthält die Befehle zum Konfigurieren der MD5-Authentifizierung in einem Szenario mit virtueller Verbindung.

hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf message-digest-key 1 md5 cisco

!--- This command configures the MD5 authentication key !--- on the interface as "cisco".

interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 !--- on the router.

 area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco

!--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with MD5 authentication enabled.

hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 !--- on the router.

area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 cisco

!--- This command creates the virtual link to area 0 via !--- the transit area 1 with MD5 authentication enabled.

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

• show ip ospf virtual-links: Zeigt Parameter und den aktuellen Status der virtuellen OSPF-Verbindungen an.

• show ip route: Zeigt den aktuellen Status der Routing-Tabelle an.

Beispiel für die Ausgabe eines Befehls: Konfigurieren der Standardtextauthentifizierung

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL0 to router 1.1.1.1 is up

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so link-state advertisements (LSAs) are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed)

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Simple password authentication enabled

!--- The type of authentication that is enabled displays. !--- The authentication type is simple password.

r3.3.3.3#

Hinweis: Die Ausgabe zeigt, dass OSPF-Hellos unterdrückt werden. Das bedeutet, dass nach dem Herstellen der virtuellen Verbindung keine Hellos mehr ausgetauscht werden. OSPF unterdrückt die Hellos, da virtuelle Verbindungen als Nachfragemissionen betrachtet werden. OSPF sendet normalerweise alle 10 Sekunden Hellos und aktualisiert seine LSAs alle 30 Minuten. Aber selbst diese Menge an Datenverkehr ist bei Bedarf nicht wünschenswert. Durch die Verwendung von OSPF-Optionen für die Nachfragespeicherung werden Hello- und LSA-Aktualisierungsfunktionen unterdrückt. Daher werden alle Änderungen an der OSPF-Authentifizierung erst wirksam, wenn Sie den OSPF-Prozess mit dem Befehl clear ip ospf process löschen. Ein Beispiel ist eine Änderung des Authentifizierungstyps auf den Routern.

r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:31:08, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 22:55:44, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0 
r3.3.3.3#

Beispiel für show Command Output: MD5-Authentifizierung konfigurieren

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL1 to router 1.1.1.1 is up 

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so LSAs are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed) 

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Message digest authentication enabled 

!--- The type of authentication that is enabled displays. !--- The authentication type is MD5.

    Youngest key id is 1

r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:02:41, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 00:02:51, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0

Fehlerbehebung

In diesem Abschnitt finden Sie eine Fehlerbehebung für Ihre Konfiguration.

Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.

• debug ip ospf adj: Debuggt den OSPF-Prozess zum Einrichten von Nachbarbeziehungen.

Beispiel für die Ausgabe eines Befehls debuggen - Konfigurieren der Nur-Text-Authentifizierung

r3.3.3.3# debug ip ospf adj

23:31:41: OSPF: Interface OSPF_VL0 going Up
23:31:41: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000031
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x887 opt 0x62 flag 0x7 
 len 32  mtu 0 state INIT
23:31:51: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL0, state 2WAY
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x7 len 32
23:31:51: OSPF: First DBD and we are not SLAVE
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x2 
 len 172  mtu 0 state EXSTART
23:31:51: OSPF: NBR Negotiation Done. We are the MASTER
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x3 len 172
23:31:51: OSPF: Database request to 1.1.1.1
23:31:51: OSPF: sent LS REQ packet to 5.0.0.1, length 12
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x0 len 32  
 mtu 0 state EXCHANGE
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x1 len 32
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x0 
 len 32  mtu 0 state EXCHANGE
23:31:51: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL0
23:31:51: OSPF: Synchronized with 1.1.1.1 on OSPF_VL0, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:31:51: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, 
 Loading Done
23:31:52: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002F
23:32:23: OSPF: Dead event ignored for 1.1.1.1 on demand circuit OSPF_VL0
r3.3.3.3#

Beispiel für die Ausgabe eines Befehls debuggen: Konfigurieren der MD5-Authentifizierung

r3.3.3.3# debug ip ospf adj

23:48:06: OSPF: Interface OSPF_VL1 going Up
23:48:06: OSPF: Send with youngest Key 0
23:48:07: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000001
23:48:07: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000033
23:48:07: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x80000030
23:48:14: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL1, state 2WAY
23:48:14: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len32
23:48:14: OSPF: Send with youngest Key 1
23:48:14: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 
 len 32 mtu 0 state EXSTART
23:48:14: OSPF: First DBD and we are not SLAVE
23:48:16: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Retransmitting DBD to 1.1.1.1 on OSPF_VL1 [1]
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 
 mtu 0 state EXSTART
23:48:19: OSPF: First DBD and we are not SLAVE
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x2 
 len 172 mtu 0 state EXSTART
23:48:19: OSPF: NBR Negotiation Done. We are the MASTER
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x3 len 112
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Database request to 1.1.1.1
23:48:19: OSPF: sent LS REQ packet to 5.0.0.1, length 48
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x1 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000030
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL1
23:48:19: OSPF: Synchronized with 1.1.1.1 on OSPF_VL1, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:48:19: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, 
 Loading Done

Zugehörige Informationen

• OSPF-Support-Seite
• OSPF-Designleitfaden
• Virtuelle OSPF-Verbindung
• Beispielkonfiguration für die Authentifizierung in OSPF
• OSPF Demand Circuit-Funktion
• Technischer Support und Dokumentation - Cisco Systems