配置OSPFv3认证
与OSPFv2相同,OSPFv3也可以支持两种认证方式:接口认证方式和区域认证方式。与OSPFv2不同的是,OSPFv3使用IPsec认证。
1. 启用接口认证
语法如下:
router(config-if)# ipv6 ospf authentication ipsec spi spi md5 [key-encryption-type {key | null}]
u spi:安全策略索引(security policy index)值,合法的十进制值为 256 到 4294967295。
u Key-encryption-type:密钥类型。0(缺省) - 未加密的密钥值;7 - 已加密的密钥值。
u Key:计算MD5值使用的密钥值。32位16进制数。
u Null:覆盖区域认证的参数。如果同时启用了区域认证和接口认证,需要使用该参数;如果没有启用区域认证可以不使用该参数。
提示:启用认证的接口必须使用相同的策略,即相同的spi值和key值。
例如,图4-6所示的两台路由器启用了接口认证,配置它们如下(只列出认证部分):
图 4-6 接口认证示例图
(1)配置R2
router2(config)# interface s0/1
Router2(config-if)# ipv6 ospf authentication ipsec spi 800 md5 1234567890abcdef0123456789abcdef
Router2(config-if)# ipv6 ospf authentication null
(2)配置R3
router3(config)# interface s0/1
Router3(config-if)# ipv6 ospf authentication ipsec spi 800 md5 1234567890abcdef0123456789abcdef
Router3(config-if)# ipv6 ospf authentication null
2. 启用区域认证
启用区域认证意味着区域内的所有接口都必须经过认证,因此,区域内的路由器都需要启用认证。启用区域认证的语法如下:
router(config-rtr)#area area-id authentication ipsec spi spi md5 [key-encryption-type] key
u area-id:启用认证的区域号;
u spi:安全策略索引(security policy index)值,合法的十进制值为 256 到 4294967295。
u Key-encryption-type:密钥类型。0(缺省) - 未加密的密钥值;7 - 已加密的密钥值。
u Key:计算MD5值使用的密钥值。32位16进制数。
例如,在区域1上启用认证:
router(config-rtr)#area 1 authentication ipsec spi 1000 md5 12345678901234567890123456789012
提示:12.4(4)T及以后的IOS支持IPv6认证;启用接口或区域认证前,需要配置crypto policy。
本章小结
OSPFv3是支持IPv6的链路状态型路由协议,因此它与支持IPv4的OSPFv2有许多相似之处。但IPv6与IPv4有本质的不同,所以,OSPFv3与OSPFv2也存在许多不同的特性。本章介绍了这两种路由选择协议的相似和不同。从数据包角度来看,OSPFv3使用具有独特结构的Hello包和LSA。从LSA类型上来看,OSPFv3重新命名了原来的LSA,并增加了LSA类型8和类型9。
本章还介绍了如何在路由器上实现OSPFv3的命令和步骤,以及检验OSPFv3运行状态的常用命令,并举例介绍了如何在以太网环境和NBMA环境中配置OSPFv3。本章最后介绍了如何进行路由总结和启用接口认证和区域认证。