ospfv3 认证配置

发布时间:2019-09-20 07:31:08编辑:auto阅读(3338)

        ospfv3是基于ipv6的路由协议,因为IPV6本身的IPSEC安全特性,OSPFV3本身就已经没有再带安全认证功能,这一功能由IPV6协议来完成。

        (我查了好久,书里并没有提到如何配置,国内的论坛也很少说到,即使有说到配置,也没有文字说明,看得很不明白。查了国外的文章,才找了相关的资料。还是得谢谢google啊。)

        IPSEC有两种安全认证方法:AH 头和ESP头,AH支持认证,完整性校验,和防报文重放功能,ESP则更加强大,除了AH的前面几样功能,ESP还支持加密功能。但是由于目前的IOS性能,可能还不支持ESP的OSPFV3.所以只能用AH。

        实验:

     

    1. R1: 
    2.  
    3. interface Serial0/0 
    4.  no ip address 
    5.  ipv6 address 2001:12::1/64 
    6.  ipv6 address FE80:12::1 link-local 
    7.  ipv6 ospf 100 area 0 
    8.  ipv6 ospf authentication ipsec spi 256 sha1 5749CD34D2B87A1D4868F8ACA1ABF2F7025A32CA 
    9.  serial restart-delay 0 
    11.  
    12. ipv6 router ospf 100 
    13.  router-id 1.1.1.1 
    14.  log-adjacency-changes 

     

    1. R2: 
    2.  
    3. interface Serial0/0 
    4.  no ip address 
    5.  ipv6 address 2001:12::2/64 
    6.  ipv6 address FE80:12::2 link-local 
    7.  ipv6 ospf 100 area 0 
    8.  ipv6 ospf authentication ipsec spi 256 sha1 5749CD34D2B87A1D4868F8ACA1ABF2F7025A32CA 
    9.  serial restart-delay 0 
    10.  
    11. ipv6 router ospf 100 
    12.  router-id 2.2.2.2 
    13.  log-adjacency-changes 

    关键点在于其中红色部分的spi字段,spi跟我们配置key chain中的key number是具有相似的功能的,可以理解为标识符,标识这一条加密连接,但是在OSPFV3中,spi是必须匹配的。

    这个值可能随便起,但是范围在256~~~4,294,967,295。必须匹配。

    支持的hash算法有两种,MD5和SHA,

    MD5有32个字符,SHA有40个字符长。在配置的时候这个值输入进去很费事。可以用另一种方法来代替,如果你用的是linux系统,则:

     

    1. yeelone@yee:~$ dd if=/dev/urandom count=1024 | sha1sum  
    2. 5749cd34d2b87a1d4868f8aca1abf2f7025a32ca  - 
    3. 记录了1024+0 的读入 
    4. 记录了1024+0 的写出 
    5. 524288字节(524 kB)已复制,0.123345 秒,4.3 MB/秒 
    6. yeelone@yee:~$  

    通过linux的dd命令和sha1sum来算出一个随机的hash值,然后复制进去。

     

    1. r2#show crypto  ipsec  sa  
    2.  
    3.  
    4.     inbound ah sas: 
    5.       spi: 0x100(256) 
    6.         transform: ah-sha-hmac , 
    7.         in use settings ={Transport, } 
    8.         conn id: 2004, flow_id: SW:4, crypto map: (none) 
    9.         no sa timing 
    10.         replay detection support: N 
    11.         Status: ACTIVE 
    12.  
    13.      inbound pcp sas: 
    14.  
    15.      outbound esp sas: 
    16.  
    17.      outbound ah sas: 
    18.       spi: 0x100(256) 
    19.         transform: ah-sha-hmac , 
    20.         in use settings ={Transport, } 
    21.         conn id: 2003, flow_id: SW:3, crypto map: (none) 
    22.         no sa timing 
    23.         replay detection support: N 
    24.         Status: ACTIVE 

     

    ospfv3即支持基于接口的认证,如上实验,也支持基于area的认证。

    实验二:

    拓扑还是上面那个:

     

    1. R1: 
    2.  
    3. ipv6 router ospf 100 
    4.  router-id 1.1.1.1 
    5.  log-adjacency-changes 
    6.  area 0 authentication ipsec spi 256 sha1 5749CD34D2B87A1D4868F8ACA1ABF2F7
    7. 025A32CA 

     

     

    现在很多地方要用到IPSEC,个人感觉IPSEC真不好理解,理论真多。

       

关键字

上一篇: Qt+sqlite3

下一篇: python系列(六)centos7.x