Như các bạn biết thì tất cả các giao thức định tuyến đều có thể được bảo vệ bằng việc xác thực giữa các router, và OSPF cũng không phải là 1 ngoại lệ. Chúng ta có 2 cách để xác thực
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key MYPASS
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip ospf authentication
R2(config-if)#ip ospf authentication-key MYPASS
Bằng cách sử dụng ip ospf authentication chúng ta đã bật chế độ xác thực test đơn giản trên interface. Sau đó là câu lệnh ip ospf authentication-key MYPASS. MYPASS chính là mật khẩu dùng để xác thực giữa 2 routers.
R1(config)#router ospf 1
R1(config-router)#area 0 authentication
Bạn hoàn toàn có thể sử dụng xác thực cho 1 vài interface trên router chạy OSPF chứ ko cần chạy xác thưc cho toàn bộ. Hoặc bạn cũng có thể bật xác thực cho toàn bộ 1 area nào đó. Nhưng nhớ pass xác thực giữa các router phải giống nhau nhé.
Giờ hãy xem lệnh show nào.
R1#show ip ospf interface fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0
Process ID 1, Router ID 192.168.12.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.12.2, Interface address 192.168.12.2
Backup Designated router (ID) 192.168.12.1, Interface address 192.168.12.1
Flush timer for old DR LSA due in 00:01:49
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:01
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.12.2 (Designated Router)
Suppress hello for 0 neighbor(s)
Simple password authentication enabled
Nếu như bạn dùng lệnh trên thì bạn có thể thấy các interface đang dùng OSPF, xác thực đã bật hay không? Neighbor đã có chưa....
R1#debug ip ospf packet
OSPF packet debugging is on
OSPF: rcv. v:2 t:1 l:48 rid:192.168.12.2
aid:0.0.0.0 chk:B9F0 aut:1 auk: from FastEthernet0/0
Đó là thông tin khi bạn bận debug OSPF lên. Bạn sẽ nhìn thấy rõ hơn việc xác thực đã được bật trên interface. Có 1 vài thông số aut bạn cần phải nắm.
- Xác thực bằng text đơn giản.
- Sử dụng MD5.
Mỗi 1 gói tin OSPF sẽ được mã hóa nêu như bạn bật chế độ xác thực lên. Việc này giúp bảo mật cho hệ thống mạng của bạn tốt hơn. Trong bài này chúng ta sẽ xem xem cách cấu hình xác thực sử dụng text đơn giản như thế nào trong OSPF.
Hãy xem ví dụ nhé.
Như hình phía trên các bạn thấy chúng ta sẽ cấu hình xác thức cho 2 routers trên.
R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
Đầu tiên hãy bật OSPF lên nhé.
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key MYPASS
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip ospf authentication
R2(config-if)#ip ospf authentication-key MYPASS
Bằng cách sử dụng ip ospf authentication chúng ta đã bật chế độ xác thực test đơn giản trên interface. Sau đó là câu lệnh ip ospf authentication-key MYPASS. MYPASS chính là mật khẩu dùng để xác thực giữa 2 routers.
R1(config)#router ospf 1
R1(config-router)#area 0 authentication
Bạn hoàn toàn có thể sử dụng xác thực cho 1 vài interface trên router chạy OSPF chứ ko cần chạy xác thưc cho toàn bộ. Hoặc bạn cũng có thể bật xác thực cho toàn bộ 1 area nào đó. Nhưng nhớ pass xác thực giữa các router phải giống nhau nhé.
Giờ hãy xem lệnh show nào.
R1#show ip ospf interface fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0
Process ID 1, Router ID 192.168.12.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.12.2, Interface address 192.168.12.2
Backup Designated router (ID) 192.168.12.1, Interface address 192.168.12.1
Flush timer for old DR LSA due in 00:01:49
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:01
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.12.2 (Designated Router)
Suppress hello for 0 neighbor(s)
Simple password authentication enabled
Nếu như bạn dùng lệnh trên thì bạn có thể thấy các interface đang dùng OSPF, xác thực đã bật hay không? Neighbor đã có chưa....
R1#debug ip ospf packet
OSPF packet debugging is on
OSPF: rcv. v:2 t:1 l:48 rid:192.168.12.2
aid:0.0.0.0 chk:B9F0 aut:1 auk: from FastEthernet0/0
Đó là thông tin khi bạn bận debug OSPF lên. Bạn sẽ nhìn thấy rõ hơn việc xác thực đã được bật trên interface. Có 1 vài thông số aut bạn cần phải nắm.
- Aut:0 . Không bật xác thực
- Aut:1. Bật xác thực text
- Aut:2 Bật xác thực MD5.
Sau đây là toàn bộ cấu hình xác thực.
hostname R1
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
ip ospf authentication
ip ospf authentication-key MYPASS
!
router ospf 1
network 192.168.12.0 0.0.0.255 area 0
area 0 authentication
!
end
hostname R2
!
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
ip ospf authentication
ip ospf authentication-key MYPASS
!
router ospf 1
network 192.168.12.0 0.0.0.255 area 0
area 0 authentication
!
end
Các bạn nên nhớ việc bật xác thực trên các giao thức định tuyến là khá quan trọng nằm bảo vệ hệ thống của bạn.
Trân trọng!
Cách cấu hình xác thực OSPF kiểu plain text
Reviewed by phucvm
on
tháng 8 27, 2019
Rating:
Reviewed by phucvm
on
tháng 8 27, 2019
Rating:
Không có nhận xét nào: