邊做邊學,順便留個筆記,若有錯誤請不吝指教。
Junos基本操作及root密碼設定可參考我之前的文章:Juniper Junos基本操作、root密碼設定
所有Juniper相關文章列表:Juniper JunOS 系列文章列表
關於OSPF的基本設定可以參考:Junos動態路由OSPF基本設定
OSPF協定可以透過認證來保證只有受信任的設備能夠加入路由交換,此功能預設是關閉的。
相對於Cisco能夠在area、interface設定認證,Juniper設備僅能夠於interface設定認證選項。
架構圖將沿用基本設定裡的架構如下,所有的介面都已經事先加入ospf area 0.0.0.0了。
Junos上可以設定simple-password及MD5兩種認證機制。
其中simple-password是直接將password以明文的方式嵌入封包作為認證使用,若封包遭竊聽則有可能遭到冒用。
若使用MD5認證,則是將Hash值及checksum加入封包進行認證,相對較為安全。
這裡將以sw1至sw2的ospf 為例。。
在開始設定之前,我們可以先使用下列指令確認目前的OSPF認證狀態:
KerKer@sw1> show ospf interface detail
Interface State Area DR ID BDR ID Nbrs
ge-0/0/23.0 BDR 0.0.0.0 10.0.0.2 10.0.0.1 1
Type: LAN, Address: 172.16.0.1, Mask: 255.255.255.252, MTU: 1500, Cost: 1
DR addr: 172.16.0.2, BDR addr: 172.16.0.1, Priority: 128
Adj count: 1
Hello: 10, Dead: 40, ReXmit: 5, Not Stub
Auth type: None
Protection type: None
Topology default (ID 0) -> Cost: 1
Auth type 顯示為 none,即代表未啟用認證選項。
另外也先檢查目前所連接的ospf neighbor:
KerKer@sw1> show ospf neighbor
Address Interface State ID Pri Dead
172.16.0.2 ge-0/0/23.0 Full 10.0.0.2 128 36
記錄下狀態後我們就可以開始設定認證了,這裡我們直接設定較安全的MD5認證,我們將key-id設定為1,密碼為KerKer:
KerKer@sw1# set protocols ospf area 0.0.0.0 interface ge-0/0/23.0 authentication md5 1 key KerKer
我們可以在命令模式下使用下列指令查看設定,密碼部分在設定檔中會加密保護:
KerKer@sw1> show configuration protocols ospf
area 0.0.0.0 {
interface ge-0/0/23.0 {
authentication {
md5 1 key "$9$bd2oZHkPTF/RheWXxsY"; ## SECRET-DATA
}
}
}
再次確認OSPF認證狀態,Auth type已變成MD5:
KerKer@sw1> show ospf interface detail
Interface State Area DR ID BDR ID Nbrs
ge-0/0/23.0 BDR 0.0.0.0 10.0.0.2 10.0.0.1 1
Type: LAN, Address: 172.16.0.1, Mask: 255.255.255.252, MTU: 1500, Cost: 1
DR addr: 172.16.0.2, BDR addr: 172.16.0.1, Priority: 128
Adj count: 1
Hello: 10, Dead: 40, ReXmit: 5, Not Stub
Auth type: MD5, Active key ID: 1, Start time: 2000 Jan 5 00:04:27 UTC
Protection type: None
Topology default (ID 0) -> Cost: 1
再次查看ospf neighbor會發現此時原本的鄰居已經中斷連線:
KerKer@sw1> show ospf neighbor
這是因為ospf認證設定需要兩端都做相同設定才能生效,我們進到sw2做設定:
KerKer@sw2# set protocols ospf area 0.0.0.0 interface ge-0/0/23.0 authentication md5 1 key KerKer
commit生效後再次回到sw1再次確認ospf neighbor:
KerKer@sw1> show ospf neighbor
Address Interface State ID Pri Dead
172.16.0.2 ge-0/0/23.0 Full 10.0.0.2 128 33
到這裡我們已經完成ospf authentication的設定了,這麼設定後只有知道認證密碼的設備才能加入ospf路由交換了!