全部标签
写点什么
MySQL云计算程序员行业资讯学习算法Python人工智能区块链Linux前端个人成长面试架构师编程企业动态新基建敏捷安全读书笔记高效工作团队管理创业活动专区生涯规划知识管理运维产品经理 查看更多

实验 | OSPF HMAC-SHA 扩展身份验证

作者:Ethereal
  • 2021 年 12 月 15 日

  • 本文字数:1381 字

    阅读完需:约 5 分钟

OSPF 过去只支持纯文本和 MD5 身份验证,但从 IOS 15.4(1)T 开始,OSPF 也支持 HMAC-SHA(哈希消息身份验证代码安全哈希算法)。除了新算法之外,您配置身份验证的方式也发生了变化。OSPF 现在使用密钥链,如 RIP 和 EIGRP。


为了演示 HMAC-SHA 身份验证,我们将使用这两个路由器:


1、配置

在两个路由器上启用 OSPF:


R1(config)#router ospf 1R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
复制代码


R2(config)#router ospf 1R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
复制代码

1.1、R1:

首先,我们必须创建一个钥匙链,钥匙链的名称仅在本地有意义,两台路由器上的密钥 ID 必须相同,我将其命名为 R1 并使用密钥 1:


R1(config)#key chain R1R1(config-keychain)#key 1
复制代码


在钥匙链配置中,我们要做两件事,首先,我们必须告诉路由器我们要使用不同的加密算法:


R1(config-keychain-key)#cryptographic-algorithm ?  hmac-sha-1    HMAC-SHA-1 authentication algorithm  hmac-sha-256  HMAC-SHA-256 authentication algorithm  hmac-sha-384  HMAC-SHA-384 authentication algorithm  hmac-sha-512  HMAC-SHA-512 authentication algorithm  md5           MD5 authentication algorithm
复制代码


如上所示,我们可以选择 HMAC-SHA 选项之一,这种新的钥匙链方法也支持 MD5,让我们使用最安全的 HMAC-SHA 选项:


R1(config-keychain-key)#cryptographic-algorithm hmac-sha-512
复制代码


我们必须配置的另一件事是密钥字符串,我们要使用的密码:


R1(config-keychain-key)#key-string R1_R2_PASSWORD
复制代码


现在唯一要做的就是启用身份验证,这只能在界面上完成,您不能使用此方法为整个区域启用它:


R1(config)#interface GigabitEthernet 0/1R1(config-if)#ip ospf authentication key-chain R1
复制代码

1.2、R2

R2(config)#key chain R2R2(config-keychain)#key 1R2(config-keychain-key)#cryptographic-algorithm hmac-sha-512R2(config-keychain-key)#key-string R1_R2_PASSWORD
R2(config)#interface GigabitEthernet 0/1R2(config-if)#ip ospf authentication key-chain R2
复制代码


这就是我们需要配置的全部内容。

2、确认

检查是否启用了身份验证:


R1#show ip ospf interface GigabitEthernet 0/1 | begin auth  Cryptographic authentication enabled    Sending SA: Key 1, Algorithm HMAC-SHA-512 - key chain R1
复制代码


R2#show ip ospf interface GigabitEthernet 0/1 | begin auth  Cryptographic authentication enabled    Sending SA: Key 1, Algorithm HMAC-SHA-512 - key chain R2
复制代码


如上所示,使用 HMAC-SHA-512 启用身份验证,确保我们的两个路由器是邻居:


R1#show ip ospf neighbor 
Neighbor ID     Pri   State           Dead Time   Address         Interface192.168.12.2      1   FULL/DR         00:00:31    192.168.12.2    GigabitEthernet0/1
复制代码


R2#show ip ospf neighbor 
Neighbor ID     Pri   State           Dead Time   Address         Interface192.168.12.1      1   FULL/BDR        00:00:33    192.168.12.1    GigabitEthernet0/1
复制代码

3、总结

本文主要介绍了如何启用 OSPF HMAC-SHA 身份验证:


  • OSPF 从 IOS 15.4(1)T 开始支持 HMAC-SHA 身份验证。

  • 身份验证是使用密钥链配置的,类似于 RIP 和 EIGRP。

  • 除了密钥字符串,还必须配置要在密钥链上使用的加密算法。

划线
评论
复制
发布于: 12 小时前阅读数: 5

版权声明: 本文为 InfoQ 作者【Ethereal】的原创文章。

原文链接:【http://xie.infoq.cn/article/f83c26f05b13d92d6d32a30fd】。未经作者许可,禁止转载。

OSPF网络技术HMAC-SHA扩展身份验证
用户头像

Ethereal

关注

还未添加个人签名 2020.11.18 加入

还未添加个人简介

评论

发布
暂无评论
Copyright © 2021, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号
实验 | OSPF HMAC-SHA 扩展身份验证