实验 | OSPF HMAC-SHA 扩展身份验证

举报
wljslmz 发表于 2022/07/28 01:31:29 2022/07/28
【摘要】 OSPF 过去只支持纯文本和MD5 身份验证,但从 IOS 15.4(1)T 开始,OSPF 也支持 HMAC-SHA(哈希消息身份验证代码安全哈希算法)。除了新算法之外,您配置身份验证的方式也发生了变化...

OSPF 过去只支持纯文本和MD5 身份验证,但从 IOS 15.4(1)T 开始,OSPF 也支持 HMAC-SHA(哈希消息身份验证代码安全哈希算法)。除了新算法之外,您配置身份验证的方式也发生了变化。OSPF 现在使用密钥链,如 RIP 和 EIGRP。

为了演示 HMAC-SHA 身份验证,我们将使用这两个路由器

1、配置

在两个路由器上启用 OSPF:

R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

  
 
    
  
  • 1
    • 
  
  • 2
    • 
 
R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0

  
 
    
  
  • 1
    • 
  
  • 2
    •

1.1、R1:

首先,我们必须创建一个钥匙链,钥匙链的名称仅在本地有意义,两台路由器上的密钥 ID 必须相同,我将其命名为 R1 并使用密钥 1:

R1(config)#key chain R1
R1(config-keychain)#key 1

  
 
    
  
  • 1
    • 
  
  • 2
    •

在钥匙链配置中,我们要做两件事,首先,我们必须告诉路由器我们要使用不同的加密算法:

R1(config-keychain-key)#cryptographic-algorithm ?
  hmac-sha-1    HMAC-SHA-1 authentication algorithm
  hmac-sha-256  HMAC-SHA-256 authentication algorithm
  hmac-sha-384  HMAC-SHA-384 authentication algorithm
  hmac-sha-512  HMAC-SHA-512 authentication algorithm
  md5           MD5 authentication algorithm

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    • 
  
  • 4
    • 
  
  • 5
    • 
  
  • 6
    •

如上所示,我们可以选择 HMAC-SHA 选项之一,这种新的钥匙链方法也支持 MD5,让我们使用最安全的 HMAC-SHA 选项:

R1(config-keychain-key)#cryptographic-algorithm hmac-sha-512

  
 
    
  
  • 1
    •

我们必须配置的另一件事是密钥字符串,我们要使用的密码:

R1(config-keychain-key)#key-string R1_R2_PASSWORD

  
 
    
  
  • 1
    •

现在唯一要做的就是启用身份验证,这只能在界面上完成,您不能使用此方法为整个区域启用它:

R1(config)#interface GigabitEthernet 0/1
R1(config-if)#ip ospf authentication key-chain R1

  
 
    
  
  • 1
    • 
  
  • 2
    •

1.2、R2

R2(config)#key chain R2
R2(config-keychain)#key 1
R2(config-keychain-key)#cryptographic-algorithm hmac-sha-512
R2(config-keychain-key)#key-string R1_R2_PASSWORD

R2(config)#interface GigabitEthernet 0/1
R2(config-if)#ip ospf authentication key-chain R2

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    • 
  
  • 4
    • 
  
  • 5
    • 
  
  • 6
    • 
  
  • 7
    •

这就是我们需要配置的全部内容。

2、确认

检查是否启用了身份验证:

R1#show ip ospf interface GigabitEthernet 0/1 | begin auth
  Cryptographic authentication enabled
    Sending SA: Key 1, Algorithm HMAC-SHA-512 - key chain R1

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    • 
 
R2#show ip ospf interface GigabitEthernet 0/1 | begin auth
  Cryptographic authentication enabled
    Sending SA: Key 1, Algorithm HMAC-SHA-512 - key chain R2

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    •

如上所示,使用 HMAC-SHA-512 启用身份验证,确保我们的两个路由器是邻居:

R1#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.12.2      1   FULL/DR         00:00:31    192.168.12.2    GigabitEthernet0/1

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    • 
  
  • 4
    • 
 
R2#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.12.1      1   FULL/BDR        00:00:33    192.168.12.1    GigabitEthernet0/1

  
 
    
  
  • 1
    • 
  
  • 2
    • 
  
  • 3
    • 
  
  • 4
    •

3、总结

本文主要介绍了如何启用 OSPF HMAC-SHA 身份验证:

  • OSPF 从 IOS 15.4(1)T 开始支持 HMAC-SHA 身份验证。
  • 身份验证是使用密钥链配置的,类似于 RIP 和 EIGRP。
  • 除了密钥字符串,还必须配置要在密钥链上使用的加密算法。

文章来源: blog.csdn.net,作者:wljslmz,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/weixin_43025343/article/details/121961645

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
macOS NAT
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入