Alle Bereiche in einem autonomen OSPF-System (Open Shortest Path First) müssen physisch mit dem Backbone-Bereich (Bereich 0) verbunden sein. Wenn diese physische Verbindung jedoch nicht möglich ist, können Sie eine virtuelle Verbindung verwenden, um über einen Non-Backbone-Bereich eine Verbindung zum Backbone herzustellen. Sie können auch virtuelle Links verwenden, um zwei Teile eines partitionierten Backbones über einen Non-Backbone-Bereich zu verbinden. Sie können die OSPF-Authentifizierung auch für virtuelle Verbindungen aktivieren.
In diesem Dokument wird beschrieben, wie die MD5-Authentifizierung (Nur-Text und Message Digest 5) auf einer virtuellen Verbindung in einem OSPF-Netzwerk aktiviert wird. Weitere Informationen zur Konfiguration der OSPF-Authentifizierung finden Sie unter Beispielkonfiguration für die Authentifizierung in OSPF.
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
Kenntnis des OSPF-Routing-Protokolls und seiner Vorgänge
Kenntnisse des Konzepts für virtuelle OSPF-Verbindungen
Weitere Informationen zum OSPF-Routing-Protokoll und zum Konzept virtueller Verbindungen in OSPF finden Sie im OSPF-Designleitfaden.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco Router der Serie 2500
Cisco IOS® Softwareversion 12.2(27)
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In diesem Dokument werden folgende Konfigurationen verwendet:
Bei der Nur-Text-Authentifizierung werden die Kennwörter als Klartext über das Netzwerk gesendet. In dieser Konfiguration hat Router 3.3.3.3 keine Schnittstelle im Bereich 0, sondern eine virtuelle Verbindung mit Bereich 0. Diese Konfiguration macht Router 3.3.3.3 zu einem virtuellen Area Border Router (ABR). Sie müssen daher die Authentifizierung für Bereich 0 auf Router 3.3.3.3 aktivieren. Dieser Abschnitt enthält die Befehle zum Konfigurieren der Klartext-Authentifizierung in einem Szenario mit virtueller Verbindung.
Hinweis: Der von der Konfiguration verwendete Authentifizierungsschlüssel definiert den Schlüssel (das Kennwort), der direkt in den OSPF-Header eingefügt wird. Der Schlüssel wird in den Header eingefügt, wenn die Cisco IOS Software Routing-Protokoll-Pakete generiert. Sie können jedem Netzwerk pro Schnittstelle ein separates Kennwort zuweisen. Alle benachbarten Router im gleichen Netzwerk müssen über dasselbe Kennwort verfügen, um OSPF-Informationen austauschen zu können.
Router 1.1.1.1 |
---|
hostname r1.1.1.1 interface Loopback0 ip address 1.1.1.1 255.0.0.0 interface Ethernet0 ip address 4.0.0.1 255.0.0.0 ip ospf authentication-key cisco !--- This command configures the authentication key (password) !--- on the interface as "cisco". interface Serial0 ip address 5.0.0.1 255.0.0.0 clockrate 64000 ! router ospf 2 network 4.0.0.0 0.255.255.255 area 0 network 5.0.0.0 0.255.255.255 area 1 area 0 authentication !--- This command enables plain authentication for area 0 !--- on the router. area 1 virtual-link 3.3.3.3 authentication-key cisco !--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with plain text authentication enabled. |
Router 3.3.3.3 |
---|
hostname r3.3.3.3 interface Loopback0 ip address 3.3.3.3 255.0.0.0 interface Ethernet0 ip address 12.0.0.3 255.0.0.0 interface Serial0 ip address 6.0.0.3 255.0.0.0 ! router ospf 2 network 12.0.0.0 0.255.255.255 area 2 network 6.0.0.0 0.255.255.255 area 1 area 0 authentication !--- This command enables plain authentication for area 0 !--- on the router. area 1 virtual-link 1.1.1.1 authentication-key cisco !--- This command creates the virtual link to area 0 via !--- transit area 1 with plain text authentication enabled. |
MD5-Authentifizierung bietet mehr Sicherheit als die reine Textauthentifizierung. Die Sicherheit ist besser, da bei dieser Methode der MD5-Algorithmus zur Berechnung eines Hashwerts aus dem Inhalt des OSPF-Pakets und eines Kennworts (oder Schlüssels) verwendet wird. Dieser Hashwert wird zusammen mit einer Schlüssel-ID und einer nicht abnehmenden Sequenznummer im Paket übertragen. Der Empfänger, der dasselbe Kennwort kennt, berechnet seinen eigenen Hashwert. Dieser Abschnitt enthält die Befehle zum Konfigurieren der MD5-Authentifizierung in einem Szenario mit virtueller Verbindung.
Router 1.1.1.1 |
---|
hostname r1.1.1.1 interface Loopback0 ip address 1.1.1.1 255.0.0.0 interface Ethernet0 ip address 4.0.0.1 255.0.0.0 ip ospf message-digest-key 1 md5 cisco !--- This command configures the MD5 authentication key !--- on the interface as "cisco". interface Serial0 ip address 5.0.0.1 255.0.0.0 clockrate 64000 ! router ospf 2 network 4.0.0.0 0.255.255.255 area 0 network 5.0.0.0 0.255.255.255 area 1 area 0 authentication message-digest !--- This command enables MD5 authentication for area 0 !--- on the router. area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco !--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with MD5 authentication enabled. |
Router 3.3.3.3 |
---|
hostname r3.3.3.3 interface Loopback0 ip address 3.3.3.3 255.0.0.0 interface Ethernet0 ip address 12.0.0.3 255.0.0.0 interface Serial0 ip address 6.0.0.3 255.0.0.0 ! router ospf 2 network 12.0.0.0 0.255.255.255 area 2 network 6.0.0.0 0.255.255.255 area 1 area 0 authentication message-digest !--- This command enables MD5 authentication for area 0 !--- on the router. area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 cisco !--- This command creates the virtual link to area 0 via !--- the transit area 1 with MD5 authentication enabled. |
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
show ip ospf virtual-links: Zeigt Parameter und den aktuellen Status der virtuellen OSPF-Verbindungen an.
show ip route: Zeigt den aktuellen Status der Routing-Tabelle an.
r3.3.3.3# show ip ospf virtual-links Virtual Link OSPF_VL0 to router 1.1.1.1 is up !--- The status of the virtual link displays. Run as demand circuit DoNotAge LSA allowed !--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so link-state advertisements (LSAs) are not refreshed (not aged out). Transit area 1, via interface Serial0, Cost of using 128 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:01 Adjacency State FULL (Hello suppressed) !--- The status of the neighbor adjacency displays. Index 1/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Simple password authentication enabled !--- The type of authentication that is enabled displays. !--- The authentication type is simple password. r3.3.3.3#
Hinweis: Die Ausgabe zeigt, dass OSPF-Hellos unterdrückt werden. Das bedeutet, dass nach dem Herstellen der virtuellen Verbindung keine Hellos mehr ausgetauscht werden. OSPF unterdrückt die Hellos, da virtuelle Verbindungen als Nachfragemissionen betrachtet werden. OSPF sendet normalerweise alle 10 Sekunden Hellos und aktualisiert seine LSAs alle 30 Minuten. Aber selbst diese Menge an Datenverkehr ist bei Bedarf nicht wünschenswert. Durch die Verwendung von OSPF-Optionen für die Nachfragespeicherung werden Hello- und LSA-Aktualisierungsfunktionen unterdrückt. Daher werden alle Änderungen an der OSPF-Authentifizierung erst wirksam, wenn Sie den OSPF-Prozess mit dem Befehl clear ip ospf process löschen. Ein Beispiel ist eine Änderung des Authentifizierungstyps auf den Routern.
r3.3.3.3# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 3.0.0.0/8 is directly connected, Loopback0 O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:31:08, Serial0 O 5.0.0.0/8 [110/128] via 6.0.0.2, 22:55:44, Serial0 C 6.0.0.0/8 is directly connected, Serial0 C 12.0.0.0/8 is directly connected, Ethernet0 r3.3.3.3#
r3.3.3.3# show ip ospf virtual-links Virtual Link OSPF_VL1 to router 1.1.1.1 is up !--- The status of the virtual link displays. Run as demand circuit DoNotAge LSA allowed !--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so LSAs are not refreshed (not aged out). Transit area 1, via interface Serial0, Cost of using 128 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:01 Adjacency State FULL (Hello suppressed) !--- The status of the neighbor adjacency displays. Index 1/2, retransmission queue length 0, number of retransmission 0 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 0, maximum is 0 Last retransmission scan time is 0 msec, maximum is 0 msec Message digest authentication enabled !--- The type of authentication that is enabled displays. !--- The authentication type is MD5. Youngest key id is 1
r3.3.3.3# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 3.0.0.0/8 is directly connected, Loopback0 O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:02:41, Serial0 O 5.0.0.0/8 [110/128] via 6.0.0.2, 00:02:51, Serial0 C 6.0.0.0/8 is directly connected, Serial0 C 12.0.0.0/8 is directly connected, Ethernet0
In diesem Abschnitt finden Sie eine Fehlerbehebung für Ihre Konfiguration.
Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.
debug ip ospf adj: Debuggt den OSPF-Prozess zum Einrichten von Nachbarbeziehungen.
r3.3.3.3# debug ip ospf adj 23:31:41: OSPF: Interface OSPF_VL0 going Up 23:31:41: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002E 23:31:41: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x8000002E 23:31:41: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000031 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x887 opt 0x62 flag 0x7 len 32 mtu 0 state INIT 23:31:51: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL0, state 2WAY 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x7 len 32 23:31:51: OSPF: First DBD and we are not SLAVE 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x2 len 172 mtu 0 state EXSTART 23:31:51: OSPF: NBR Negotiation Done. We are the MASTER 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x3 len 172 23:31:51: OSPF: Database request to 1.1.1.1 23:31:51: OSPF: sent LS REQ packet to 5.0.0.1, length 12 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x1 len 32 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:31:51: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL0 23:31:51: OSPF: Synchronized with 1.1.1.1 on OSPF_VL0, state FULL !--- This indicates the establishment of neighbor adjacency. 23:31:51: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, Loading Done 23:31:52: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002F 23:32:23: OSPF: Dead event ignored for 1.1.1.1 on demand circuit OSPF_VL0 r3.3.3.3#
r3.3.3.3# debug ip ospf adj 23:48:06: OSPF: Interface OSPF_VL1 going Up 23:48:06: OSPF: Send with youngest Key 0 23:48:07: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000001 23:48:07: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000033 23:48:07: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x80000030 23:48:14: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL1, state 2WAY 23:48:14: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len32 23:48:14: OSPF: Send with youngest Key 1 23:48:14: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 mtu 0 state EXSTART 23:48:14: OSPF: First DBD and we are not SLAVE 23:48:16: OSPF: Send with youngest Key 1 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len 32 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Retransmitting DBD to 1.1.1.1 on OSPF_VL1 [1] 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 mtu 0 state EXSTART 23:48:19: OSPF: First DBD and we are not SLAVE 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x2 len 172 mtu 0 state EXSTART 23:48:19: OSPF: NBR Negotiation Done. We are the MASTER 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x3 len 112 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Database request to 1.1.1.1 23:48:19: OSPF: sent LS REQ packet to 5.0.0.1, length 48 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x1 len 32 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000030 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:48:19: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL1 23:48:19: OSPF: Synchronized with 1.1.1.1 on OSPF_VL1, state FULL !--- This indicates the establishment of neighbor adjacency. 23:48:19: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, Loading Done
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
15-Aug-2005 |
Erstveröffentlichung |