OSPF-verificatie op een virtuele link configureren

Inleiding

Alle gebieden in een autonoom systeem Open Shortest Path First (OSPF) moeten fysiek verbonden zijn met het backbone gebied (gebied 0). In gevallen echter waarin deze fysieke verbinding niet mogelijk is, kunt u een virtuele link gebruiken om verbinding te maken met de backbone door een niet-backbone gebied. U kunt ook virtuele links gebruiken om twee delen van een gepartitioneerde backbone door een niet-backbone gebied te verbinden. U kunt ook OSPF-verificatie op virtuele links inschakelen.

Dit document beschrijft hoe u eenvoudige tekst- en berichtversie 5 (MD5)-verificatie op een virtuele link in een OSPF-netwerk kunt inschakelen. Raadpleeg de voorbeeldconfiguratie voor verificatie in OSPF voor meer informatie over de manier waarop u OSPF-verificatie kunt configureren.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

• Kennis van OSPF-routingprotocol en bijbehorende bewerkingen

• Kennis van OSPF-virtuele links

Voor meer informatie over OSPF-routingprotocol en het concept virtuele links in OSPF-handleiding voor OSPF-ontwerp.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 2500 Series routers

• Cisco IOS® softwarerelease 12.2(27)S

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

N.B.: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te vinden over de opdrachten die in dit document worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Dit document gebruikt deze configuraties:

• Gebiedsverificatie configureren

• MD5-verificatie configureren

Gebiedsverificatie configureren

Onduidelijke tekstverificatie stuurt de wachtwoorden via het netwerk als duidelijke tekst. In deze configuratie heeft router 3.3.3.3 geen interface in gebied 0, maar sluit vrijwel aan op gebied 0. Deze configuratie maakt router 3.3.3.3 een virtuele Area border-router (ABR), zodat u verificatie voor gebied 0 op router 3.3.3.3 mogelijk moet maken. Deze sectie verschaft de opdrachten om onbewerkte tekstverificatie in een virtueel link te configureren.

Opmerking: De authenticatiesleutel die de configuratie gebruikt definieert de toets (het wachtwoord) die direct in de OSPF-header wordt ingevoegd. De toets wordt in de header ingevoegd wanneer de Cisco IOS-software aankomt bij het verzenden van protocolpakketten. U kunt per interface een afzonderlijk wachtwoord aan elk netwerk toewijzen. Alle naburige routers op hetzelfde netwerk moeten hetzelfde wachtwoord hebben om OSPF-informatie te kunnen uitwisselen.

hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf authentication-key cisco

!--- This command configures the authentication key (password) !--- on the interface as "cisco".


interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 !--- on the router.

area 1 virtual-link 3.3.3.3 authentication-key cisco

!--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with plain text authentication enabled.

hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
 area 0 authentication

!--- This command enables plain authentication for area 0 !--- on the router.

 area 1 virtual-link 1.1.1.1 authentication-key cisco

!--- This command creates the virtual link to area 0 via !--- transit area 1 with plain text authentication enabled.

MD5-verificatie configureren

MD5-verificatie biedt betere beveiliging dan gewone tekstverificatie. De beveiliging is beter omdat deze methode het MD5 algoritme gebruikt om een hashwaarde van de inhoud van het OSPF-pakket en een wachtwoord (of sleutel) te berekenen. Deze hashwaarde wordt in het pakje verzonden, samen met een sleutel ID en een niet afnemend volgnummer. De ontvanger, die hetzelfde wachtwoord kent, berekent zijn eigen hashwaarde. Deze sectie verschaft de opdrachten om MD5-verificatie te configureren in een virtueel link-scenario.

hostname r1.1.1.1

interface Loopback0
 ip address 1.1.1.1 255.0.0.0

interface Ethernet0
 ip address 4.0.0.1 255.0.0.0
 ip ospf message-digest-key 1 md5 cisco

!--- This command configures the MD5 authentication key !--- on the interface as "cisco".

interface Serial0
 ip address 5.0.0.1 255.0.0.0
 clockrate 64000
 
!
 
 router ospf 2
 network 4.0.0.0 0.255.255.255 area 0
 network 5.0.0.0 0.255.255.255 area 1
 area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 !--- on the router.

 area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco

!--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with MD5 authentication enabled.

hostname r3.3.3.3

interface Loopback0
 ip address 3.3.3.3 255.0.0.0

interface Ethernet0
 ip address 12.0.0.3 255.0.0.0

interface Serial0
 ip address 6.0.0.3 255.0.0.0
 
!
 
 router ospf 2
 network 12.0.0.0 0.255.255.255 area 2
 network 6.0.0.0 0.255.255.255 area 1
area 0 authentication message-digest

!--- This command enables MD5 authentication for area 0 !--- on the router.

area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 cisco

!--- This command creates the virtual link to area 0 via !--- the transit area 1 with MD5 authentication enabled.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

• ip ospf virtuele links-displays en de parameters en de huidige status van OSPF virtuele links tonen.

• toon ip route-Toont de huidige status van de routingtabel.

Weergave van opdracht geven—configureren van onduidelijke tekstverificatie

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL0 to router 1.1.1.1 is up

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so link-state advertisements (LSAs) are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed)

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Simple password authentication enabled

!--- The type of authentication that is enabled displays. !--- The authentication type is simple password.

r3.3.3.3#

Opmerking: de output toont dat OSPF-hellos zijn onderdrukt. Dit betekent dat, als de virtuele link eenmaal is geopend, er geen hellos worden uitgewisseld. OSPF onderdrukt de hellos omdat het virtuele verbindingen beschouwt als vraagcircuits. Normaal gesproken wordt OSPF elke 10 seconden ingedrukt en verfrist het zijn LSAs elke 30 minuten. Maar zelfs deze hoeveelheid verkeer is ongewenst op de vraagcircuits. Het gebruik van OSPF-opties om circuit te kopen onderdrukt de functies hallo en LSA-verfrissen. Als resultaat hiervan, worden alle veranderingen die u aan de OSPF-authenticatie aanbrengt niet van kracht tot u het OSPF-proces met de duidelijke ip ospf-procesopdracht ontruimt. Een voorbeeld is een verandering van het authenticatietype op de routers.

r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:31:08, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 22:55:44, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0 
r3.3.3.3#

Uitvoer van voorbeeldopdracht tonen—MD5-verificatie configureren

r3.3.3.3# show ip ospf virtual-links

Virtual Link OSPF_VL1 to router 1.1.1.1 is up 

!--- The status of the virtual link displays.

  Run as demand circuit
  DoNotAge LSA allowed

!--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so LSAs are not refreshed (not aged out).

  Transit area 1, via interface Serial0, Cost of using 128
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed) 

!--- The status of the neighbor adjacency displays.

    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Message digest authentication enabled 

!--- The type of authentication that is enabled displays. !--- The authentication type is MD5.

    Youngest key id is 1

r3.3.3.3# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is not set 
C 3.0.0.0/8 is directly connected, Loopback0 
O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:02:41, Serial0 
O 5.0.0.0/8 [110/128] via 6.0.0.2, 00:02:51, Serial0 
C 6.0.0.0/8 is directly connected, Serial0 
C 12.0.0.0/8 is directly connected, Ethernet0

Problemen oplossen

Gebruik dit gedeelte om de configuratie van het probleem op te lossen.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

• debug ip ospf adj-Debugs het proces van de nabijheid van OSPF.

Monteer de uitvoer van de opdracht debug in de tekstverificatie

r3.3.3.3# debug ip ospf adj

23:31:41: OSPF: Interface OSPF_VL0 going Up
23:31:41: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x8000002E
23:31:41: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000031
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x887 opt 0x62 flag 0x7 
 len 32  mtu 0 state INIT
23:31:51: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL0, state 2WAY
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x7 len 32
23:31:51: OSPF: First DBD and we are not SLAVE
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x2 
 len 172  mtu 0 state EXSTART
23:31:51: OSPF: NBR Negotiation Done. We are the MASTER
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x3 len 172
23:31:51: OSPF: Database request to 1.1.1.1
23:31:51: OSPF: sent LS REQ packet to 5.0.0.1, length 12
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x0 len 32  
 mtu 0 state EXCHANGE
23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x1 len 32
23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x0 
 len 32  mtu 0 state EXCHANGE
23:31:51: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL0
23:31:51: OSPF: Synchronized with 1.1.1.1 on OSPF_VL0, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:31:51: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, 
 Loading Done
23:31:52: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002F
23:32:23: OSPF: Dead event ignored for 1.1.1.1 on demand circuit OSPF_VL0
r3.3.3.3#

Monster van de debug van de uitvoer van het bevel—configureren MD5 verificatie

r3.3.3.3# debug ip ospf adj

23:48:06: OSPF: Interface OSPF_VL1 going Up
23:48:06: OSPF: Send with youngest Key 0
23:48:07: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000001
23:48:07: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000033
23:48:07: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x80000030
23:48:14: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL1, state 2WAY
23:48:14: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len32
23:48:14: OSPF: Send with youngest Key 1
23:48:14: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 
 len 32 mtu 0 state EXSTART
23:48:14: OSPF: First DBD and we are not SLAVE
23:48:16: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Retransmitting DBD to 1.1.1.1 on OSPF_VL1 [1]
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 
 mtu 0 state EXSTART
23:48:19: OSPF: First DBD and we are not SLAVE
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x2 
 len 172 mtu 0 state EXSTART
23:48:19: OSPF: NBR Negotiation Done. We are the MASTER
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x3 len 112
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Database request to 1.1.1.1
23:48:19: OSPF: sent LS REQ packet to 5.0.0.1, length 48
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x1 len 32
23:48:19: OSPF: Send with youngest Key 1
23:48:19: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000030
23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x0 len 32 
 mtu 0 state EXCHANGE
23:48:19: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL1
23:48:19: OSPF: Synchronized with 1.1.1.1 on OSPF_VL1, state FULL

!--- This indicates the establishment of neighbor adjacency.

23:48:19: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, 
 Loading Done

Gerelateerde informatie

• OSPF-ondersteuningspagina
• OSPF-ontwerpgids
• OSPF-virtuele link
• Monsterconfiguratie voor verificatie in OSPF
• OSPF-Demand circuit-functie
• Technische ondersteuning en documentatie – Cisco Systems