散文網(wǎng) » 生活 »日常 » 實驗 | OSPF HMAC-SHA 擴展身份驗證

實驗 | OSPF HMAC-SHA 擴展身份驗證

2021-12-15 20:58 作者:網(wǎng)絡技術(shù)聯(lián)盟站wljslmz 0人讀過 | 我要投稿

OSPF 過去只支持純文本和MD5 身份驗證，但從 IOS 15.4(1)T 開始，OSPF 也支持 HMAC-SHA（哈希消息身份驗證代碼安全哈希算法）。除了新算法之外，您配置身份驗證的方式也發(fā)生了變化。OSPF 現(xiàn)在使用密鑰鏈，如 RIP 和 EIGRP。

為了演示 HMAC-SHA 身份驗證，我們將使用這兩個路由器：

1、配置

在兩個路由器上啟用 OSPF：

R1(config)#router?ospf?1 R1(config-router)#network?192.168.12.0?0.0.0.255?area?0R2(config)#router?ospf?1 R2(config-router)#network?192.168.12.0?0.0.0.255?area?0

1.1、R1：

首先，我們必須創(chuàng)建一個鑰匙鏈，鑰匙鏈的名稱僅在本地有意義，兩臺路由器上的密鑰 ID 必須相同，我將其命名為 R1 并使用密鑰 1：

R1(config)#key?chain?R1 R1(config-keychain)#key?1

在鑰匙鏈配置中，我們要做兩件事，首先，我們必須告訴路由器我們要使用不同的加密算法：

R1(config-keychain-key)#cryptographic-algorithm?? ??hmac-sha-1????HMAC-SHA-1?authentication?algorithm ??hmac-sha-256??HMAC-SHA-256?authentication?algorithm ??hmac-sha-384??HMAC-SHA-384?authentication?algorithm ??hmac-sha-512??HMAC-SHA-512?authentication?algorithm ??md5???????????MD5?authentication?algorithm

如上所示，我們可以選擇 HMAC-SHA 選項之一，這種新的鑰匙鏈方法也支持 MD5，讓我們使用最安全的 HMAC-SHA 選項：

R1(config-keychain-key)#cryptographic-algorithm?hmac-sha-512

我們必須配置的另一件事是密鑰字符串，我們要使用的密碼：

R1(config-keychain-key)#key-string?R1_R2_PASSWORD

現(xiàn)在唯一要做的就是啟用身份驗證，這只能在界面上完成，您不能使用此方法為整個區(qū)域啟用它：

R1(config)#interface?GigabitEthernet?0/1 R1(config-if)#ip?ospf?authentication?key-chain?R1

1.2、R2

R2(config)#key?chain?R2 R2(config-keychain)#key?1 R2(config-keychain-key)#cryptographic-algorithm?hmac-sha-512 R2(config-keychain-key)#key-string?R1_R2_PASSWORD R2(config)#interface?GigabitEthernet?0/1 R2(config-if)#ip?ospf?authentication?key-chain?R2

這就是我們需要配置的全部內(nèi)容。

2、確認

檢查是否啟用了身份驗證：

R1#show?ip?ospf?interface?GigabitEthernet?0/1?|?begin?auth ??Cryptographic?authentication?enabled ????Sending?SA:?Key?1,?Algorithm?HMAC-SHA-512?-?key?chain?R1R2#show?ip?ospf?interface?GigabitEthernet?0/1?|?begin?auth ??Cryptographic?authentication?enabled ????Sending?SA:?Key?1,?Algorithm?HMAC-SHA-512?-?key?chain?R2

如上所示，使用 HMAC-SHA-512 啟用身份驗證，確保我們的兩個路由器是鄰居：

R1#show?ip?ospf?neighbor? Neighbor?ID?????Pri???State???????????Dead?Time???Address?????????Interface 192.168.12.2??????1???FULL/DR?????????00:00:31????192.168.12.2????GigabitEthernet0/1R2#show?ip?ospf?neighbor? Neighbor?ID?????Pri???State???????????Dead?Time???Address?????????Interface 192.168.12.1??????1???FULL/BDR????????00:00:33????192.168.12.1????GigabitEthernet0/1

3、總結(jié)

本文主要介紹了如何啟用 OSPF HMAC-SHA 身份驗證：

OSPF 從 IOS 15.4(1)T 開始支持 HMAC-SHA 身份驗證。
身份驗證是使用密鑰鏈配置的，類似于 RIP 和 EIGRP。
除了密鑰字符串，還必須配置要在密鑰鏈上使用的加密算法。

標簽：