...
| Блок кода |
|---|
| title | Алгоритмы шифрования: |
|---|
|
simple password;
md5;
hmacsha1;
hmacsha256;
hmacsha384;
hmacsha512;
key-chain.; |
Cхема демонстрационного стенда:
...
| Блок кода |
|---|
|
0/ME5200:R2# show running-config router ospfv2
! Configuration version 3.5.0.563R
router ospfv2 CORE
area 0.0.0.0
interface tengigabitethernet 0/0/31
authentication-key encrypted 99B81768A8 <----- Конфигурация пароля шифрования
authentication-type simple-password <----- Конфигурация алгоритма шифрования
network point-to-point
exit
exit
exit |
| Блок кода |
|---|
| title | Так как на R1 нет конфигурации аутентификации, то он ожидает получения сообщений с AuthType=0 (no Authentication), но приходит AuthType=1 (simple password). В логах на R1 появится запись: |
|---|
|
%OSPF_V2-D-NM: OSPF 4 Packet received with unexpected authentication type 1. Expected authentication type = 0. Packet data = 45C00040 38A30000 01592B6E B9A8BAE6 E0000005 0201002C B9A8BADA 00000000 |
Соответственно, соседство не поднимется:
...
| Блок кода |
|---|
| title | Установление соседства: |
|---|
|
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to INIT
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to TWO WAY
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to LOADING
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to FULL |
Настройка других алгоритмов шифрования аналогична, меняется только конфигурация authentication-type.
Что касаемо типов AuthType, которые вы можете встретить в сообщениях отладки:
| Блок кода |
|---|
|
AuthType=0 (no Authentication)
AuthType=1 (simple password)
AuthType=2 (CryptoAuth)
AuthType=3 (это локальное значение для маршрутизатора - CryptoAuth + HMAC SHA1, в пакет устанавливается значение AuthType=2)
AuthType=4 (это локальное значение для маршрутизатора - CryptoAuth + HMAC SHA256, в пакет устанавливается значение AuthType=2)
AuthType=5 (это локальное значение для маршрутизатора - CryptoAuth + HMAC SHA384, в пакет устанавливается значение AuthType=2)
AuthType=6 (это локальное значение для маршрутизатора - CryptoAuth + HMAC SHA512, в пакет устанавливается значение AuthType=2) |
| Блок кода |
|---|
Настройка других алгоритмов шифрования аналогична, меняется только конфигурация authentication-type, поэтому их пример конфигурации не приводится. |
С целью обеспечения совместимости с некоторыми реализациями OSPFv2 сторонних производителей, на маршрутизаторах ME реализована возможность задания поля authentication key id в пакетах OSPFv2 вручную.
...
| Блок кода |
|---|
|
0/ME5200:R2# show running-config router ospfv2
! Configuration version 3.5.0.563R
router ospfv2 1
area 0.0.0.0
interface tengigabitethernet 0/0/31
authentication-id 255
authentication-key encrypted 99B81768A8
authentication-type hmacsha256
exit
exit
exit |
| Блок кода |
|---|
| title | Так как authentication-id разные, то соседство не поднимется. В сообщениях отладки на R1 вы увидите следующее: |
|---|
|
2023-06-22T09:30:31.481101+00:00 %OSPF_V2-D-NM: OSPF 1 Packet cannot be authenticated. Diagnostic information for support: Packet data = 0201002C 05050505 00000000 |
...
00000002 0000 FF 20 00006559 FFFFFFFC 000A0201 00000028 01000002 00000000 Error code (from A0AUTH_GET_KEY) |
...
= 3
Данный байт отвечает за поле authentication-id (FF = 255) |
| Блок кода |
|---|
| title | Если же поменять на R2 authentication-id на аналогичный с R1, то соседство ожидаемо поднимется: |
|---|
|
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to INIT |
...
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to TWO WAY |
...
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to LOADING |
...
%OSPF_V2-W-ADJCHANGE: Router 0.0.0.0: Nbr 5.5.5.5 at 1.0.0.2, interface te0/0/23 changed state to FULL |
Далее разберем с вами особенности конфигурирования аутентификации посредством Key-chain.
...
