OSPF认证(保证寻路协议级别的网络安全)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
按照参与认证的成员,进行分类:
1:链路认证(参与认证的成员:一条链路两端的路由器)
(只能确保两路由设备之间的链路是安全的)
链路:两个路由器之间的物理链路。
2:区域认证(参与认证的成员:这个区域中的所有路由器)
(能够确保整个OSPF区域的所有路由器的安全性)
3:虚链路认证(Virtual Link)(参与认证的成员:OSPF VL两端的ABR路由器)
(能保证跨越多个路由器的,Virtual Link的连接安全性)
按照认证的加密方式,进行分类:
1.明文认证
2.密文认证
OSPF 认证的基本步骤:
Step1:在接口配置密码
Step2:在OSPF进程(区域认证)启用认证。
或:在接口(链路认证)启用认证。
1-1:链路的明文认证
(int S 1)ip ospf authentication-key cisco1(配置认证密码)
(int S 1)ip ospf authentication(启动明文认证)
1-2:链路的密文认证
(int S 1)ip ospf message-digest-key 1 md5 cisco1(配置认证密码)
(int S 1)ip ospf authentication message-digest(启动链路的密文认证)
service password-encryption(在show running-config中以密文的方式显示密码)
2-1:区域的明文认证(Area0举例)
对于区域认证:
凡是Area0的路由器,都必需参与认证,如果不参与认证/认证不成功,将无法交换OSPF路由信息。
(int s 0)ip ospf authentication-key cisco2
(router ospf 110)area 0 authentication
如果两台路由都没有在接口上打上密码,而且启用了区域或链路的认证,则也可以正常地建立起邻居.
存在问题:
Area123中的OSPF VL,在R3无需获知Area0的区域认证密码的情况下,
仅配置“area 0 authentication”就可以成功连接进入Area0
Area0中的路由器,没有Area35的路由
原因是:R1-R3之间的VL,出现中断,
R3相当于是Area0的路由器,但是没有参加Area0的区域认证。
解决方法:在建立VL的R3上,只要宣告:
R3#
router ospf 110
area 0 authentication
即使R3没有配置密码,也可以成功与BackBone进行认证。
又带来了VL的安全问题。
2-2:区域的密文认证
(int s 0)ip ospf message-digest-key 3 md5 cisco2
(router ospf 110)area 0 authentication message-digest
(明文认证对应明文的密码!!!密文认证对应密文的密码!!!)
3:key ID 两端的key ID不一样,即使密码一样也会认证失败!!所以,key ID和密码要两端都一样!!
存在问题:
同:区域的明文认证
解决VL安全性的办法:单独进行基于VL的认证。
在ABR(VL的两端)R2/R3上进行
3-1:VL的明文认证
(router ospf 110)area 123 virtual-link 100.0.0.3 authentication
(router ospf 110)area 123 virtual-link 100.0.0.3 authentication-key cisco3
对方的ROUTER-ID
3-2:VL的密文认证
(router ospf 110)area 123 virtual-link 100.0.0.3 authentication message-digest
(router ospf 110)area 123 virtual-link 100.0.0.3 message-digest-key 1 md5 cisco3
查看验证类型:
R1#
00:18:30: OSPF: Rcv pkt from 192.168.10.65, FastEthernet0/1 : Mismatch Authentication type. Input packet specified type 1, we use type 0
type0:不验证,默认状态
type1:明文验证
type2:密文验证
IS-IS
特征:
1:协议操作起来,比OSPF要简单
2:扩展性比OSPF要好,易于扩展
3:对IPv6有很好的支持
4:能够同时支持IP网络,和CLNS网络(OSI网络)(集成的IS-IS)
5:十分稳定,使用与OSPF相同的算法:SPF算法。
(稳定/收敛较快/对CPU/内存/链路利用率,都有很好的效率)
6:IS-IS是链路状态路由协议(LS),使用LSP来描述路由信息。
(相当于OSPF的LSA)
7:支持两种级别的路由:
Level0:路由器(IS)与终端系统(ES)之间;
Level1:The route of local area (system ID):域内路由;
Level2:The route between areas (Area ID): 域间路由;
Level3:两个IS-IS间。
8:IS-IS的3种路由器
8-1:L1 Router:路由器只有本区域的路由,相当于OSPF的非骨干路由器或内部路由器:
8-2:L2 Router:拥有区域间路由,相当于OSPF骨干路由器:
8-3:L1&L2 Router:既有域间路由也有域内路由,相当与OSPF的ABR骨干路由器:
9:IS-IS目前存在的一些缺陷:
9-1:ISIS的度量值取值范围较小:
使用6Bits描述一个接口优劣,(0-63),Cisco默认10,而不分接口实际带宽使用10Bits描述一条路由 的优劣(0-1023);
9-2:目前,ISIS只支持以下四种变量,用于描述路由的优劣:
Default,Delay,expense,error;但目前Cisco只支持Default这一种!
10:OSPF VS ISIS
相同点:
都使用相同的SPF算法:
导致路由的计算,更新,传播,决策,收敛都非常类似。
不同点:
OSPF:
有一个BackBone区域,所有的普通区域都必需连接到Backbone区,
每一条链路都完整的属于一个区域,
对应的连接每个区域的ABR,是分属于不同的区域;
OSPF通过LSA进行路由的描述和传播,支持多达几十种LSA
OSPF可以通过带宽的反比来描述接口的优劣。
有较多的厂商对OSPF提供很好、全面的支持;
IS-IS:
凡是L2链路的路由和链路都是ISIS的骨干区,
每个路由都属于同一个区域,
ISIS通过链路来区分区域而不是通过路由区分区域;
ISIS通过L1/L2的LSP来描述和传播路由,
ISIS不论是哪种接口,其默认Metric是10,
而能够全面支持ISIS的厂商不多。
11:NSAP(Network Service Access Point):
是OSI/CLNS网络中的地址(CLNP协议),相当与IP地址。
Area-ID:1-13字节可变长;
System-ID:6字节,定长;
NSEL:此网络节点,所能提供的服务类型的标识位;
如果NSEL等于0,表示此节点是一个路由器;此地址可简写为NET地址。
可以称为网络实体标识地址NET(Network Entity Title);
12:在CLNS网络中:
每个网络节点/设备,都只有一个NSAP地址,
而不像IP网络中,每个接口都有一个IP地址
13:在CLNS网络中:
区域号如果为49,表示私有网络。
LAB1.使用IS-IS协议构建集成的IP网络:
Step1.规划IS-IS区域,规划每个路由器的NET(network entity title)/网络实体标识。
NET:-------|-----------|------- (16进制)
Area-ID, System-ID, NSEL
1-13byte, 6byte, 1byte(路由器固定是00)
router isis
net 49.0014.0000.0000.0002.00
area id |system id |NSEL
Step2.配置IP地址:
Step3.在接口中激活IS-IS的运行,为IP 网络进行路由(让IS-IS为这个接口所在的网段进行路由)
int s0
ip router isis
Step4.察看IS-IS的邻居建立:
show clns
R4#show clns
Global CLNS Information:
2 Interfaces Enabled for CLNS
NET: 49.0014.0000.0000.0004.00
Configuration Timer: 60, Default Holding Timer: 300, Packet Lifetime 64
ERPDU's requested on locally generated packets
Running IS-IS in IP-only mode (CLNS forwarding not allowed)
show clns protocol
show clns neighbors
show clns interface
show clns route
show clns database
show clns topology
show ip route
Step5.控制接口的IS-IS的Level类型(默认是L1L2)
int s0
isis circuit-type level-2/Level-1