OSPF協議作為園區網路中較為常見的路由協議,其配置的安全性和重要性自然不言而喻,如何有效防御OSPF的安全隱患,OSPF的設計師們在設計它的時候加入了許多項的安全性設計,主要體現在以下兩個方面:
1.反攻擊機制(fightback):即使攻擊者通過以合法的偽造資訊“混入”LSDB,但是OSPF會“以其人之道,還治其人之身”的方式將構建一個偽造的資訊回復給發出者,并且將其剔除出網路,
2.認證機制:讓路由器之間共享明文密碼或者MD5加密校驗和,
認證機制
在RFC 2178發布之前,OSPF認證功能只支持區域范圍的認證,換句話說,要激活認證功能,區域內的所有路由器必須全部啟動認證功能,RFC2178修改了這一強制性要求,以便OSPF認證功能可以在不同的鏈路上激活,即僅在區域內的一個或多個鏈路上激活,而無需激活區域內的所有鏈路,但是本人還是建議在所有鏈路上啟動認證功能,以防止出現“漏網之魚”導致整個網路的奔潰,出現“一顆老鼠屎攪壞一鍋粥”的尷尬情況,RFC2178為網路管理人員提供了更大的靈活性,以便在OSPF區域中部署不支持認證功能的路由器,但是這反過來又意味著,允許不支持OSPF認證功能的路由器在“已啟動認證功能的區域”出現,從而產生其他安全問題,
ospf認證根據型別分為3種:1.鏈路認證2.區域認證3.虛鏈路認證,認證體現在OSPF報文頭部中的Auth Type欄位,當Auth Type為0時則代表不認證,為1時代表開啟了明文密碼認證,為2時代表開啟了MD5加密認證,
1.鏈路認證
OSPF的鏈路認證是基于介面上的,如下圖,在常規宣告之后需要在R2的介面E0/0/1和R3的介面E0/0/0上配置認證,命令為ospf authentication-mode md5 1 cipher huawei(MD5認證:密碼為huawei),必須注意的是,認證都是雙方的,如果對端沒有配置一樣的認證就會導致鄰居關系建立的失敗,

在R3的介面0上隨便抓一個OSPF包,可以觀察到認證的詳細內容,其中欄位Auth Type是00 02,代表MD5認證
2.區域認證
OSPF的區域認證是基于區域的,它可以對通過區域內的設備進行互相驗證,同區域間的設備要進行安全的通信就可以在需要互動的區域間配置區域認證,
如圖3-13-3,區域0和區域1之間對安全性要求較高,則可以在區域間配置認證,區域認證需要在OSPF區域內配置,命令為authentication-mode simple cipher 123(明文認證:密碼為123),同樣的,R2也必須配置相同命令,否則將無法通信,

在R1的介面0上隨便抓一個OSPF包查看其頭部資訊,可以觀察到Auth Type欄位顯示為00 01,代表明文密碼認證

3.虛鏈路認證
OSPF還存在一種特殊的認證就是虛鏈路認證,此型別的認證從它的名字一樣,只存在在虛鏈路的鄰居之間,如下圖,R1和R2之間配置了虛鏈路,并且要求其具有一定的安全性,此時我們就可以在R1和R2上配置虛鏈路認證,是其更加安全,其配置是基于虛鏈路區域的,配置命令為:vlink-peer 3.3.3.3(2.2.2.2) md5 3 cipher 12345(md5加密:密碼為12345),值得注意的是,當虛鏈路認證和區域認證同時存在時,優先虛鏈路認證,

OSPF在長期演變之后能夠提供給我們適應各種場景的認證,并且OSPF作為園區網的“常客”,經常出現在各種規模的網路里,而現在大多數的園區網路或多或少都有安全性需求,所以在在部署OSPF的時候,筆者是比較推薦順帶將認證配置上,不僅客戶安心,后面的運維也能夠省事一些,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297510.html
標籤:其他
