1.4－动态路由协议OSPF⑧

OSPF认证（保证寻路协议级别的网络安全）

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

按照参与认证的成员，进行分类：

1：链路认证（参与认证的成员：一条链路两端的路由器）

（只能确保两路由设备之间的链路是安全的）

链路：两个路由器之间的物理链路。

2：区域认证（参与认证的成员：这个区域中的所有路由器）

（能够确保整个OSPF区域的所有路由器的安全性）

3：虚链路认证（Virtual Link)（参与认证的成员：OSPF VL两端的ABR路由器）

（能保证跨越多个路由器的，Virtual Link的连接安全性）

按照认证的加密方式，进行分类：

1.明文认证

2.密文认证

OSPF 认证的基本步骤：

    

Step1：在接口配置密码

Step2：在OSPF进程（区域认证）启用认证。

     或：在接口（链路认证）启用认证。

1-1：链路的明文认证

（int S 1)ip ospf authentication-key cisco1(配置认证密码)

（int S 1)ip ospf authentication（启动明文认证）

1-2：链路的密文认证

（int S 1)ip ospf message-digest-key 1 md5 cisco1(配置认证密码）

（int S 1)ip ospf authentication message-digest（启动链路的密文认证）

service password-encryption（在show running-config中以密文的方式显示密码）

2-1：区域的明文认证（Area0举例）

对于区域认证：

凡是Area0的路由器，都必需参与认证，如果不参与认证/认证不成功，将无法交换OSPF路由信息。

(int s 0)ip ospf authentication-key cisco2

(router ospf 110)area 0 authentication

如果两台路由都没有在接口上打上密码,而且启用了区域或链路的认证,则也可以正常地建立起邻居.

存在问题：

Area123中的OSPF VL，在R3无需获知Area0的区域认证密码的情况下，

仅配置“area 0 authentication”就可以成功连接进入Area0

Area0中的路由器，没有Area35的路由

原因是：R1-R3之间的VL，出现中断，

R3相当于是Area0的路由器，但是没有参加Area0的区域认证。

解决方法：在建立VL的R3上，只要宣告：

R3#

router ospf 110

area 0 authentication

即使R3没有配置密码，也可以成功与BackBone进行认证。

又带来了VL的安全问题。

2-2：区域的密文认证

(int s 0)ip ospf message-digest-key 3 md5 cisco2

(router ospf 110)area 0 authentication message-digest

(明文认证对应明文的密码!!!密文认证对应密文的密码!!!)

3:key ID 两端的key ID不一样,即使密码一样也会认证失败!!所以,key ID和密码要两端都一样!!

存在问题：

同：区域的明文认证

解决VL安全性的办法：单独进行基于VL的认证。

在ABR（VL的两端）R2/R3上进行

3-1:VL的明文认证

(router ospf 110)area 123 virtual-link 100.0.0.3 authentication

(router ospf 110)area 123 virtual-link 100.0.0.3  authentication-key cisco3

                        对方的ROUTER-ID

3-2:VL的密文认证

(router ospf 110)area 123 virtual-link 100.0.0.3 authentication message-digest

(router ospf 110)area 123 virtual-link 100.0.0.3 message-digest-key 1 md5 cisco3

查看验证类型：

R1#

00:18:30:    OSPF:  Rcv pkt from 192.168.10.65, FastEthernet0/1 : Mismatch Authentication type. Input packet specified type 1, we use type 0

type0:不验证，默认状态

type1:明文验证

type2:密文验证

IS-IS

特征：

1：协议操作起来，比OSPF要简单

2：扩展性比OSPF要好，易于扩展

3：对IPv6有很好的支持

4：能够同时支持IP网络，和CLNS网络（OSI网络）（集成的IS-IS）

5：十分稳定，使用与OSPF相同的算法：SPF算法。

（稳定／收敛较快／对CPU／内存／链路利用率，都有很好的效率）

6：IS-IS是链路状态路由协议（LS），使用LSP来描述路由信息。

                            （相当于OSPF的LSA）

7:支持两种级别的路由：

    Level0：路由器（IS）与终端系统（ES）之间；

    Level1:The route of local area (system ID)：域内路由；

    Level2:The route between areas (Area ID)：  域间路由；

    Level3：两个IS-IS间。

8：IS-IS的3种路由器

8－1：L1 Router：路由器只有本区域的路由，相当于OSPF的非骨干路由器或内部路由器：

   

8－2：L2 Router：拥有区域间路由，相当于OSPF骨干路由器：

   

8－3：L1&L2 Router：既有域间路由也有域内路由，相当与OSPF的ABR骨干路由器:

   

9:IS-IS目前存在的一些缺陷：

9－1：ISIS的度量值取值范围较小：

      使用6Bits描述一个接口优劣，（0-63），Cisco默认10，而不分接口实际带宽使用10Bits描述一条路由    的优劣（0-1023）；

9－2：目前，ISIS只支持以下四种变量，用于描述路由的优劣：

    Default，Delay，expense，error；但目前Cisco只支持Default这一种！

10：OSPF VS ISIS

相同点：

都使用相同的SPF算法：

导致路由的计算，更新，传播，决策，收敛都非常类似。

不同点：

OSPF：

有一个BackBone区域，所有的普通区域都必需连接到Backbone区，

每一条链路都完整的属于一个区域，

对应的连接每个区域的ABR，是分属于不同的区域；

OSPF通过LSA进行路由的描述和传播，支持多达几十种LSA

OSPF可以通过带宽的反比来描述接口的优劣。

有较多的厂商对OSPF提供很好、全面的支持；

IS－IS：

凡是L2链路的路由和链路都是ISIS的骨干区，

每个路由都属于同一个区域，

ISIS通过链路来区分区域而不是通过路由区分区域；

ISIS通过L1/L2的LSP来描述和传播路由，

ISIS不论是哪种接口，其默认Metric是10，

而能够全面支持ISIS的厂商不多。

    

11：NSAP（Network Service Access Point）：

是OSI/CLNS网络中的地址（CLNP协议），相当与IP地址。

Area-ID：1-13字节可变长；

System-ID：6字节，定长；

NSEL：此网络节点，所能提供的服务类型的标识位；

如果NSEL等于0，表示此节点是一个路由器；此地址可简写为NET地址。

可以称为网络实体标识地址NET（Network Entity Title）；

    

12：在CLNS网络中：

每个网络节点／设备，都只有一个NSAP地址，

而不像IP网络中，每个接口都有一个IP地址

13：在CLNS网络中：

区域号如果为49,表示私有网络。

LAB1.使用IS-IS协议构建集成的IP网络：

    

    

Step1.规划IS-IS区域，规划每个路由器的NET（network entity title）/网络实体标识。

NET：-------|-----------|------- (16进制)

    Area-ID， System-ID， NSEL

   1-13byte，  6byte,     1byte(路由器固定是00)

router isis

net 49.0014.0000.0000.0002.00

    area id |system id    |NSEL

Step2.配置IP地址：

Step3.在接口中激活IS-IS的运行,为IP 网络进行路由（让IS-IS为这个接口所在的网段进行路由）

int s0

ip router isis

Step4.察看IS-IS的邻居建立：

show clns

R4#show clns

Global CLNS Information:

  2 Interfaces Enabled for CLNS

  NET: 49.0014.0000.0000.0004.00

  Configuration Timer: 60, Default Holding Timer: 300, Packet Lifetime 64

  ERPDU's requested on locally generated packets

  Running IS-IS in IP-only mode (CLNS forwarding not allowed)

show clns protocol

show clns neighbors

show clns interface

show clns route

show clns database

show clns topology

show ip route

Step5.控制接口的IS-IS的Level类型（默认是L1L2）

int s0

isis circuit-type level-2/Level-1

来自为知笔记(Wiz)