Tweet
Một trong những điểm mấu chốt để giúp cấu hình xác thực OSPF trở nên đơn giản là ta nhớ rằng tác vụ này khác đáng kể so vớI RIPv2 và EIGRP, mặc dù một vài khái niệm là rất giống nhau. Các luật cơ bản để cấu hình xác thực OSPF là như sau:
- Có ba kiểu xác thực: kiểu 0 (không xác thực), kiểu 1 (dạng text) và kiểu 2 (MD5).
- Xác thực được bật trên từng cổng dùng lệnh ip ospf authentication.
- Mặc định là kiểu 0 (nghĩa là không xác thực).
- Kiểu mặc định có thể được định nghĩa là bằng câu lệnh area authentication trong router ospf.
- Các khóa được cấu hình ở mức cổng.
- Nhiều khóa cho phép trên một cổng, nếu được cấu hình.
Bảng dưới đây liệt kê ba kiểu cấu hình của OSPF cùng với các lệnh để bật từng kiểu và các lệnh để định nghĩa khóa xác thực. Chú ý rằng ba kiểu xác thực có thể được thấy trong các thông điệp được tạo ra bởi lệnh debug ip ospf adjacency.
Kiểu---Ý nghĩa-----Bật lên trong chế độ cổng----Cấu hình khóa xác thực
0-----Không-------Ip ospf authentication null -
1----Clear text-----Ip ospf authentication------Ip ospf authentication-key key-value
2----MD5---------Ip ospf authentication message-digest ----Ip ospf message-disgest-key key-number md5 key-value
Ví dụ dưới đây sẽ mô tả cấu hình xác thực trên R1 và R2. Chú ý rằng S1 và S2 đã được tắt trong ví dụ này nhưng nó sẽ cần cấu hình giống như R1 và R2. Trong ví dụ này, cả R1 và R2 dùng cổng F0/0 của nó vì vậy cấu hình xác thực sẽ giống nhau. Như vậy, ví dụ chỉ hiển thị cấu hình của R1.
Hai lệnh ip ospf là giống nhau trên R1 và R2. Lệnh đầu tiên bật xác thực kiểu 1 và lệnh còn lại định nghĩa khóa dạng text.
interface FastEthernet0/0
ip ospf authentication
ip ospf authentication-key key-t1
Quan hệ láng giềng được hình thành, chứng tỏ rằng xác thực đã hoạt động.
R1# show ip ospf neighbor fa 0/0
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/BDR 00:00:37 10.1.1.2 FastEthernet0/0
Kế tiếp, từng kiểu xác thực của OSPF có thể nhận ra trong dòng cuối của lệnh show ip ospf interface.
R1# show ip ospf int fa 0/0
! Lines omitted for brevity
Simple password authentication enabled
Cả R1 và R2 thay đổI sang dùng xác thực kiểu 2. Chú ý rằng khóa phải được định nghĩa bằng lệnh ip ospf message-digest-key. Không thể dùng key chains.
interface FastEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 key-t2
! Below, the command confirms type 2 (MD5) authentication, key number 1.
R1# show ip ospf int fa 0/0 | begin auth
! Lines omitted for brevity
Message digest authentication enabled
Youngest key id is 1
- Có ba kiểu xác thực: kiểu 0 (không xác thực), kiểu 1 (dạng text) và kiểu 2 (MD5).
- Xác thực được bật trên từng cổng dùng lệnh ip ospf authentication.
- Mặc định là kiểu 0 (nghĩa là không xác thực).
- Kiểu mặc định có thể được định nghĩa là bằng câu lệnh area authentication trong router ospf.
- Các khóa được cấu hình ở mức cổng.
- Nhiều khóa cho phép trên một cổng, nếu được cấu hình.
Bảng dưới đây liệt kê ba kiểu cấu hình của OSPF cùng với các lệnh để bật từng kiểu và các lệnh để định nghĩa khóa xác thực. Chú ý rằng ba kiểu xác thực có thể được thấy trong các thông điệp được tạo ra bởi lệnh debug ip ospf adjacency.
Kiểu---Ý nghĩa-----Bật lên trong chế độ cổng----Cấu hình khóa xác thực
0-----Không-------Ip ospf authentication null -
1----Clear text-----Ip ospf authentication------Ip ospf authentication-key key-value
2----MD5---------Ip ospf authentication message-digest ----Ip ospf message-disgest-key key-number md5 key-value
Ví dụ dưới đây sẽ mô tả cấu hình xác thực trên R1 và R2. Chú ý rằng S1 và S2 đã được tắt trong ví dụ này nhưng nó sẽ cần cấu hình giống như R1 và R2. Trong ví dụ này, cả R1 và R2 dùng cổng F0/0 của nó vì vậy cấu hình xác thực sẽ giống nhau. Như vậy, ví dụ chỉ hiển thị cấu hình của R1.
Hai lệnh ip ospf là giống nhau trên R1 và R2. Lệnh đầu tiên bật xác thực kiểu 1 và lệnh còn lại định nghĩa khóa dạng text.
interface FastEthernet0/0
ip ospf authentication
ip ospf authentication-key key-t1
Quan hệ láng giềng được hình thành, chứng tỏ rằng xác thực đã hoạt động.
R1# show ip ospf neighbor fa 0/0
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/BDR 00:00:37 10.1.1.2 FastEthernet0/0
Kế tiếp, từng kiểu xác thực của OSPF có thể nhận ra trong dòng cuối của lệnh show ip ospf interface.
R1# show ip ospf int fa 0/0
! Lines omitted for brevity
Simple password authentication enabled
Cả R1 và R2 thay đổI sang dùng xác thực kiểu 2. Chú ý rằng khóa phải được định nghĩa bằng lệnh ip ospf message-digest-key. Không thể dùng key chains.
interface FastEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 key-t2
! Below, the command confirms type 2 (MD5) authentication, key number 1.
R1# show ip ospf int fa 0/0 | begin auth
! Lines omitted for brevity
Message digest authentication enabled
Youngest key id is 1
Comment