使用邻居验证提高OSPF路由网络的安全

OSPF路由协议存在一定的安全隐患，这主要源自于其自身的工作方式，只要路由器之间能够建立邻居关系，在一台路由器上任意胡乱配置network命令发布虚假网段，就可以使邻居路由器学习这些虚假的路由信息，从而造成OSPF路由协议拓扑信息和路由信息的混乱。

运行OSPF路由协议的路由器使用HELLO包来建立和维持邻居关系，在HELLO中区域标识、Hello Interval、Dead Interval这三个参数是最主要的，只要两台路由器这三个参数相同，基本上就可以建立邻居关系了。

为此，OSPF使用邻居验证的方法来提供安全保障。

在Hello包的包头里有两个参数-Authentication Type 和 Authentication Date

Authentication Type 是验证的类型。OSPF路由协议支持两种邻居验证的类型：明文邻居验证和密文的邻居验证。

Authentication Date是验证的数据，当使用明文难时，这个位置携带的是明文的密码，当使用密文的邻居验证时，这个位置携带的是验证所使用的KEY值。

同一个区域内的路由器，通过互相交换Hello包，可以识别到相邻路由器所配置的密码，如果密码不同，OSPF路由协议的邻居关系就不能建立。

明文验证的配置步骤

1、在路由器连接相邻路由设备的接口上配置明文密码。

router(config-if)#ip ospf authentication-key password

password处填写明文密码

2、在OSPF路由协议中声明该区域使用明文邻居验证

router(config-router)#area area-id authentication

area-id为进行邻居验证的区域标识。

密文验证的配置步骤

1、在路由器连接相邻路由设备的接口上配置密文密码

router(config-if)#ip ospf message-digest-key keyid md5 password

2、在OSPF路由协议中声明该区域使用密文邻居验证

router(config-router)#area area-id authentication message-digest

本文出自 “毛毛熊” 博客，谢绝转载！