三台路由器都互相直连,为了使整个网络互相通信,需要在所有的路由器上部署路由协议。在所有路由器上部署OSPF协议,且所有路由器都属于骨干区域。
配置完成后,我们使用ping检查各个直连链路之间的连通性
部署单区域的OSPF网络
创建并运行OSPF(1表示进程号,默认为1)
area创建区域 现在要实验的是单区域配置所以使用骨干区域,即区域0
network制动运行OSPF协议的接口和接口的所属区域(匹配所通告的网段)
配置完成后可以使用display ospf interface 检查OSPF接口通告是否正确
R2 R3按照R1的进行相关配置
检查OSPF单区域的配置结果
在路由器上使用display ospf peer 查看ospf邻居状态(这就以R1为例)
其中router-id 查看邻居的路由器标识
Address查看邻居的ospf接口IP地址
State查看目前与该路由器的OSPF邻居状态
Priority查看当前邻居OSPF接口的DR优先级
使用display ip routing-table protocol ospf查看OSPF路由表(这就以R1为例)
在三个路由器上都查看完成后,在pc机上测试与其他pc机的连通性,通信正常,实验完毕。
实验二:配置ospf的认证
OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。OSPF协议支持两种认证方式一区 域认证和链路认证。使用区域认证时,一个区域中所有的路由器在该区域下的认证模式和口令必须-一致: OSPF 链路认证相比于区域认证更加灵活,可专门针对某个邻居设置单独的认证模式和密码。如果同时配置了接口认证和区域认证时,优先使用接口认证建立OSPF邻居。
每种认证方式又分为简单验证模式、MD5验证模式和Key chain验证模式。简单验证模式在数据传递过程中,认证密钥和密钥ID都是明文传输,很容易被截获; MD5 验证模式下的密钥是经过MDS加密传输,相比于简单验证模式更为安全: Key chain验证模式可以同时配置多个密钥,不同密钥可单独设置生效周期等。
按照上面将接口配置完成后,使用ping检查各个直连链路的连通性
在所有的路由器上,搭建ospf(下图以R1为例)
R2注意左右两边有两个区域
。。。。。。。。。其中每台设备上的环回口地址是为了实验中方便测试使用,所以也通告到其所在的区域
都配置完成后测试环回口的连通性:以R1为例
配置Area 1 区域的OSPF明文认证
在R1上OSPF的区域1视图下使用authentication-mode命令指定该区域使用认证模式为simple, 即简单验证模式,配置口令为huaweil, 并配置plain参数。配置plain参数后,可以使得在查看配置文件时,口令均以明文方式显示。如果不设置该参数的话,在查看配置文件时,默认会以密文方式显示口令,即无法查看到所配置的口令原文,这可以使非管理员用户在登录设备后无法查看到口令原文,从而提高安全性。
改为authentication-mode simple huawei1 密码就会以密文显示
用display ospf peer brief 查看邻居信息 可以看到没有R2的信息 说明已经R1与R2的邻居关系中断了。
因为只是在R1上配置了认证,导致R1与R2间的OSPF认证不匹配。
接下来我们在R2上同样方法配置一遍注意口令要一致就可以了:
配置完成后在R2上就可以看到了
配置Area 0区域的密文认证
在R2上配置区域认证,使用验证模式为md3,即MD5验证模式,验证字标识符为1,配置口令为huawei3
在R3 R5 R6 上做同样的配置
.
我们配置完成后可以用display ospf peer brief 查看邻居的状态
配置OSPF链路认证
在上面步骤中,使用了OSPF的区域认证方式配置了OSPF 认证,使用链路认证方式配置可以达到同样的效果。如果采用链路认证的方式,就需要在同一OSPF的链路接口下都配置链路认证的命令,设置验证模式和口令等参数:而采用区域认证的方式时,在同一区域中,仅需在OSPF进程下的相应区域视图下配置一 条命令来设置验证模式和口令即可,大大节省了配置量,所以在同一区域中如果有多台OSPF设备需要配置认证,建议选用区域认证的方式进行配置。
目前已经在OSPF区域中配置了简单模式的区域认证,为了进一步提升R2与R4之间的OSPF网络安全性,网络管理员需要在两台设备之间部署MD5验证模式的OSPF链路认证。
在R2的GE 0/0/1接口下使用ospf authentication-mode命令配置链路认证,配置使用MD5验证模式,验证字标识符为1,口令为huawei5.
在R4上做相同的配置
观察到,邻居关系已经恢复,OSPF链路认证配置完成。
