Alle gebieden in een autonoom systeem Open Shortest Path First (OSPF) moeten fysiek verbonden zijn met het backbone gebied (gebied 0). In gevallen echter waarin deze fysieke verbinding niet mogelijk is, kunt u een virtuele link gebruiken om verbinding te maken met de backbone door een niet-backbone gebied. U kunt ook virtuele links gebruiken om twee delen van een gepartitioneerde backbone door een niet-backbone gebied te verbinden. U kunt ook OSPF-verificatie op virtuele links inschakelen.
Dit document beschrijft hoe u eenvoudige tekst- en berichtversie 5 (MD5)-verificatie op een virtuele link in een OSPF-netwerk kunt inschakelen. Raadpleeg de voorbeeldconfiguratie voor verificatie in OSPF voor meer informatie over de manier waarop u OSPF-verificatie kunt configureren.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Kennis van OSPF-routingprotocol en bijbehorende bewerkingen
Kennis van OSPF-virtuele links
Voor meer informatie over OSPF-routingprotocol en het concept virtuele links in OSPF-handleiding voor OSPF-ontwerp.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 2500 Series routers
Cisco IOS® softwarerelease 12.2(27)S
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
N.B.: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te vinden over de opdrachten die in dit document worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt deze configuraties:
Onduidelijke tekstverificatie stuurt de wachtwoorden via het netwerk als duidelijke tekst. In deze configuratie heeft router 3.3.3.3 geen interface in gebied 0, maar sluit vrijwel aan op gebied 0. Deze configuratie maakt router 3.3.3.3 een virtuele Area border-router (ABR), zodat u verificatie voor gebied 0 op router 3.3.3.3 mogelijk moet maken. Deze sectie verschaft de opdrachten om onbewerkte tekstverificatie in een virtueel link te configureren.
Opmerking: De authenticatiesleutel die de configuratie gebruikt definieert de toets (het wachtwoord) die direct in de OSPF-header wordt ingevoegd. De toets wordt in de header ingevoegd wanneer de Cisco IOS-software aankomt bij het verzenden van protocolpakketten. U kunt per interface een afzonderlijk wachtwoord aan elk netwerk toewijzen. Alle naburige routers op hetzelfde netwerk moeten hetzelfde wachtwoord hebben om OSPF-informatie te kunnen uitwisselen.
router 1.1.1.1 |
---|
hostname r1.1.1.1 interface Loopback0 ip address 1.1.1.1 255.0.0.0 interface Ethernet0 ip address 4.0.0.1 255.0.0.0 ip ospf authentication-key cisco !--- This command configures the authentication key (password) !--- on the interface as "cisco". interface Serial0 ip address 5.0.0.1 255.0.0.0 clockrate 64000 ! router ospf 2 network 4.0.0.0 0.255.255.255 area 0 network 5.0.0.0 0.255.255.255 area 1 area 0 authentication !--- This command enables plain authentication for area 0 !--- on the router. area 1 virtual-link 3.3.3.3 authentication-key cisco !--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with plain text authentication enabled. |
router 3.3.3.3 |
---|
hostname r3.3.3.3 interface Loopback0 ip address 3.3.3.3 255.0.0.0 interface Ethernet0 ip address 12.0.0.3 255.0.0.0 interface Serial0 ip address 6.0.0.3 255.0.0.0 ! router ospf 2 network 12.0.0.0 0.255.255.255 area 2 network 6.0.0.0 0.255.255.255 area 1 area 0 authentication !--- This command enables plain authentication for area 0 !--- on the router. area 1 virtual-link 1.1.1.1 authentication-key cisco !--- This command creates the virtual link to area 0 via !--- transit area 1 with plain text authentication enabled. |
MD5-verificatie biedt betere beveiliging dan gewone tekstverificatie. De beveiliging is beter omdat deze methode het MD5 algoritme gebruikt om een hashwaarde van de inhoud van het OSPF-pakket en een wachtwoord (of sleutel) te berekenen. Deze hashwaarde wordt in het pakje verzonden, samen met een sleutel ID en een niet afnemend volgnummer. De ontvanger, die hetzelfde wachtwoord kent, berekent zijn eigen hashwaarde. Deze sectie verschaft de opdrachten om MD5-verificatie te configureren in een virtueel link-scenario.
router 1.1.1.1 |
---|
hostname r1.1.1.1 interface Loopback0 ip address 1.1.1.1 255.0.0.0 interface Ethernet0 ip address 4.0.0.1 255.0.0.0 ip ospf message-digest-key 1 md5 cisco !--- This command configures the MD5 authentication key !--- on the interface as "cisco". interface Serial0 ip address 5.0.0.1 255.0.0.0 clockrate 64000 ! router ospf 2 network 4.0.0.0 0.255.255.255 area 0 network 5.0.0.0 0.255.255.255 area 1 area 0 authentication message-digest !--- This command enables MD5 authentication for area 0 !--- on the router. area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 cisco !--- This command creates the virtual link between Router !--- 1.1.1.1 and Router 3.3.3.3 with MD5 authentication enabled. |
router 3.3.3.3 |
---|
hostname r3.3.3.3 interface Loopback0 ip address 3.3.3.3 255.0.0.0 interface Ethernet0 ip address 12.0.0.3 255.0.0.0 interface Serial0 ip address 6.0.0.3 255.0.0.0 ! router ospf 2 network 12.0.0.0 0.255.255.255 area 2 network 6.0.0.0 0.255.255.255 area 1 area 0 authentication message-digest !--- This command enables MD5 authentication for area 0 !--- on the router. area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 cisco !--- This command creates the virtual link to area 0 via !--- the transit area 1 with MD5 authentication enabled. |
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
ip ospf virtuele links-displays en de parameters en de huidige status van OSPF virtuele links tonen.
toon ip route-Toont de huidige status van de routingtabel.
r3.3.3.3# show ip ospf virtual-links Virtual Link OSPF_VL0 to router 1.1.1.1 is up !--- The status of the virtual link displays. Run as demand circuit DoNotAge LSA allowed !--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so link-state advertisements (LSAs) are not refreshed (not aged out). Transit area 1, via interface Serial0, Cost of using 128 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:01 Adjacency State FULL (Hello suppressed) !--- The status of the neighbor adjacency displays. Index 1/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec Simple password authentication enabled !--- The type of authentication that is enabled displays. !--- The authentication type is simple password. r3.3.3.3#
Opmerking: de output toont dat OSPF-hellos zijn onderdrukt. Dit betekent dat, als de virtuele link eenmaal is geopend, er geen hellos worden uitgewisseld. OSPF onderdrukt de hellos omdat het virtuele verbindingen beschouwt als vraagcircuits. Normaal gesproken wordt OSPF elke 10 seconden ingedrukt en verfrist het zijn LSAs elke 30 minuten. Maar zelfs deze hoeveelheid verkeer is ongewenst op de vraagcircuits. Het gebruik van OSPF-opties om circuit te kopen onderdrukt de functies hallo en LSA-verfrissen. Als resultaat hiervan, worden alle veranderingen die u aan de OSPF-authenticatie aanbrengt niet van kracht tot u het OSPF-proces met de duidelijke ip ospf-procesopdracht ontruimt. Een voorbeeld is een verandering van het authenticatietype op de routers.
r3.3.3.3# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 3.0.0.0/8 is directly connected, Loopback0 O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:31:08, Serial0 O 5.0.0.0/8 [110/128] via 6.0.0.2, 22:55:44, Serial0 C 6.0.0.0/8 is directly connected, Serial0 C 12.0.0.0/8 is directly connected, Ethernet0 r3.3.3.3#
r3.3.3.3# show ip ospf virtual-links Virtual Link OSPF_VL1 to router 1.1.1.1 is up !--- The status of the virtual link displays. Run as demand circuit DoNotAge LSA allowed !--- This specifies that OSPF runs as a demand circuit over virtual links, !--- and so LSAs are not refreshed (not aged out). Transit area 1, via interface Serial0, Cost of using 128 Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:01 Adjacency State FULL (Hello suppressed) !--- The status of the neighbor adjacency displays. Index 1/2, retransmission queue length 0, number of retransmission 0 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 0, maximum is 0 Last retransmission scan time is 0 msec, maximum is 0 msec Message digest authentication enabled !--- The type of authentication that is enabled displays. !--- The authentication type is MD5. Youngest key id is 1
r3.3.3.3# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 3.0.0.0/8 is directly connected, Loopback0 O 4.0.0.0/8 [110/138] via 6.0.0.2, 00:02:41, Serial0 O 5.0.0.0/8 [110/128] via 6.0.0.2, 00:02:51, Serial0 C 6.0.0.0/8 is directly connected, Serial0 C 12.0.0.0/8 is directly connected, Ethernet0
Gebruik dit gedeelte om de configuratie van het probleem op te lossen.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
debug ip ospf adj-Debugs het proces van de nabijheid van OSPF.
r3.3.3.3# debug ip ospf adj 23:31:41: OSPF: Interface OSPF_VL0 going Up 23:31:41: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002E 23:31:41: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x8000002E 23:31:41: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000031 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x887 opt 0x62 flag 0x7 len 32 mtu 0 state INIT 23:31:51: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL0, state 2WAY 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x7 len 32 23:31:51: OSPF: First DBD and we are not SLAVE 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2102 opt 0x62 flag 0x2 len 172 mtu 0 state EXSTART 23:31:51: OSPF: NBR Negotiation Done. We are the MASTER 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x3 len 172 23:31:51: OSPF: Database request to 1.1.1.1 23:31:51: OSPF: sent LS REQ packet to 5.0.0.1, length 12 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2103 opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:31:51: OSPF: Send DBD to 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x1 len 32 23:31:51: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL0 seq 0x2104 opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:31:51: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL0 23:31:51: OSPF: Synchronized with 1.1.1.1 on OSPF_VL0, state FULL !--- This indicates the establishment of neighbor adjacency. 23:31:51: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL0 from LOADING to FULL, Loading Done 23:31:52: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x8000002F 23:32:23: OSPF: Dead event ignored for 1.1.1.1 on demand circuit OSPF_VL0 r3.3.3.3#
r3.3.3.3# debug ip ospf adj 23:48:06: OSPF: Interface OSPF_VL1 going Up 23:48:06: OSPF: Send with youngest Key 0 23:48:07: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000001 23:48:07: OSPF: Build router LSA for area 2, router ID 3.3.3.3, seq 0x80000033 23:48:07: OSPF: Build router LSA for area 1, router ID 3.3.3.3, seq 0x80000030 23:48:14: OSPF: 2 Way Communication to 1.1.1.1 on OSPF_VL1, state 2WAY 23:48:14: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len32 23:48:14: OSPF: Send with youngest Key 1 23:48:14: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 mtu 0 state EXSTART 23:48:14: OSPF: First DBD and we are not SLAVE 23:48:16: OSPF: Send with youngest Key 1 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x7 len 32 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Retransmitting DBD to 1.1.1.1 on OSPF_VL1 [1] 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x3FB opt 0x62 flag 0x7 len 32 mtu 0 state EXSTART 23:48:19: OSPF: First DBD and we are not SLAVE 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EA opt 0x62 flag 0x2 len 172 mtu 0 state EXSTART 23:48:19: OSPF: NBR Negotiation Done. We are the MASTER 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x3 len 112 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Database request to 1.1.1.1 23:48:19: OSPF: sent LS REQ packet to 5.0.0.1, length 48 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EB opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:48:19: OSPF: Send DBD to 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x1 len 32 23:48:19: OSPF: Send with youngest Key 1 23:48:19: OSPF: Build router LSA for area 0, router ID 3.3.3.3, seq 0x80000030 23:48:19: OSPF: Rcv DBD from 1.1.1.1 on OSPF_VL1 seq 0x1EC opt 0x62 flag 0x0 len 32 mtu 0 state EXCHANGE 23:48:19: OSPF: Exchange Done with 1.1.1.1 on OSPF_VL1 23:48:19: OSPF: Synchronized with 1.1.1.1 on OSPF_VL1, state FULL !--- This indicates the establishment of neighbor adjacency. 23:48:19: %OSPF-5-ADJCHG: Process 2, Nbr 1.1.1.1 on OSPF_VL1 from LOADING to FULL, Loading Done
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
15-Aug-2005 |
Eerste vrijgave |