OSPF可以對(duì)接口､區(qū)域､虛鏈路進(jìn)行認(rèn)證｡接口認(rèn)證要求在兩個(gè)路由器之間必須配置相同的認(rèn)證口令;區(qū)域認(rèn)證指所有屬于該區(qū)域的接口都要啟用認(rèn)證,因?yàn)镺SPF以接口做為區(qū)域分界,區(qū)域認(rèn)證接口與鄰接路由器建立鄰居要有相同的認(rèn)證方式與口令,在同一區(qū)域中不同網(wǎng)絡(luò)類型可以有不同的認(rèn)證方式不同的口令｡配置區(qū)域認(rèn)證的接口可以與配置接口認(rèn)證的接口互相認(rèn)證,使用MD5認(rèn)證口令I(lǐng)D要相同｡OSPF認(rèn)證方式分為NULL認(rèn)證,協(xié)議字段類型0､明文密碼認(rèn)證,協(xié)議字段類型1､MD5加密效驗(yàn)認(rèn)證,協(xié)議字段類型2｡

接口認(rèn)證配置

明文認(rèn)證

Wildlee(config-if)# ip ospf authentication

Wildlee(config-if)# ip ospf authentication-key passpord

MD5認(rèn)證

wildlee(config-if)#ip ospf authentication message-digest

wildlee(config-if)#ip ospf message-digest-key key-id md5 password

區(qū)域認(rèn)證配置

明文認(rèn)證

wildlee(config-router)#area area-id authentication

Wildlee(config-if)# ip ospf authentication-key passpord

MD5認(rèn)證

wildlee(config-router)#area area-id authentication message-digest

wildlee(config-if)#ip ospf message-digest-key key-id md5 password

MD5認(rèn)證密鑰更換

MD5認(rèn)證方式可以保證認(rèn)證有效的情況下更換口令｡基于MD5的認(rèn)證可以在接口下配置多個(gè)口令,路由器在此接口鏈路上發(fā)送多個(gè)不同密鑰ID的 HELLO認(rèn)證報(bào)文,當(dāng)鄰接的兩個(gè)路由器之間可以通過多個(gè)口令互相認(rèn)證的時(shí)候,使可以去掉其中的一個(gè)口令認(rèn)證,實(shí)現(xiàn)口令更改｡基于OSPF的MD5認(rèn)證根據(jù)其OSPF數(shù)據(jù)包內(nèi)容和口令計(jì)算一個(gè)哈希值,接收該報(bào)文的路由器將OSPF數(shù)據(jù)包內(nèi)容與自身配置口令也進(jìn)行哈希計(jì)算,通過比較HASH值實(shí)現(xiàn)認(rèn)證｡ OSPF類型2的認(rèn)證其報(bào)文密鑰ID字段可以讓路由器設(shè)置多個(gè)口令,每個(gè)密鑰ID代表一個(gè)口令｡序列號(hào)字段可以防止報(bào)文重放攻擊｡

原文博客：http://www.wildlee.org/2012_01_2137.html