Site icon KerKer 的模組世界

[Juniper] Junos動態路由OSPF驗證機制(authentication)

邊做邊學,順便留個筆記,若有錯誤請不吝指教。

Junos基本操作及root密碼設定可參考我之前的文章:Juniper Junos基本操作、root密碼設定

所有Juniper相關文章列表:Juniper JunOS 系列文章列表

關於OSPF的基本設定可以參考:Junos動態路由OSPF基本設定

OSPF協定可以透過認證來保證只有受信任的設備能夠加入路由交換,此功能預設是關閉的。

相對於Cisco能夠在area、interface設定認證,Juniper設備僅能夠於interface設定認證選項。

架構圖將沿用基本設定裡的架構如下,所有的介面都已經事先加入ospf area 0.0.0.0了。

Junos上可以設定simple-password及MD5兩種認證機制。

其中simple-password是直接將password以明文的方式嵌入封包作為認證使用,若封包遭竊聽則有可能遭到冒用。

若使用MD5認證,則是將Hash值及checksum加入封包進行認證,相對較為安全。

這裡將以sw1至sw2的ospf 為例。。

在開始設定之前,我們可以先使用下列指令確認目前的OSPF認證狀態:

    KerKer@sw1> show ospf interface detail  
    Interface           State   Area            DR ID           BDR ID          Nbrs
    ge-0/0/23.0         BDR     0.0.0.0         10.0.0.2        10.0.0.1           1
    Type: LAN, Address: 172.16.0.1, Mask: 255.255.255.252, MTU: 1500, Cost: 1
    DR addr: 172.16.0.2, BDR addr: 172.16.0.1, Priority: 128
    Adj count: 1
    Hello: 10, Dead: 40, ReXmit: 5, Not Stub
    Auth type: None
    Protection type: None
    Topology default (ID 0) -> Cost: 1

Auth type 顯示為 none,即代表未啟用認證選項。

另外也先檢查目前所連接的ospf neighbor:

    KerKer@sw1> show ospf neighbor 
    Address     Interface       State   ID          Pri     Dead
    172.16.0.2  ge-0/0/23.0     Full    10.0.0.2    128     36

記錄下狀態後我們就可以開始設定認證了,這裡我們直接設定較安全的MD5認證,我們將key-id設定為1,密碼為KerKer:

    KerKer@sw1# set protocols ospf area 0.0.0.0 interface ge-0/0/23.0 authentication md5 1 key KerKer

我們可以在命令模式下使用下列指令查看設定,密碼部分在設定檔中會加密保護:

    KerKer@sw1> show configuration protocols ospf    
    area 0.0.0.0 {
        interface ge-0/0/23.0 {
            authentication {
                md5 1 key "$9$bd2oZHkPTF/RheWXxsY"; ## SECRET-DATA
            }
        }
    }

再次確認OSPF認證狀態,Auth type已變成MD5:

    KerKer@sw1> show ospf interface detail 
    Interface           State   Area            DR ID           BDR ID          Nbrs
    ge-0/0/23.0         BDR     0.0.0.0         10.0.0.2        10.0.0.1           1
    Type: LAN, Address: 172.16.0.1, Mask: 255.255.255.252, MTU: 1500, Cost: 1
    DR addr: 172.16.0.2, BDR addr: 172.16.0.1, Priority: 128
    Adj count: 1
    Hello: 10, Dead: 40, ReXmit: 5, Not Stub
    Auth type: MD5, Active key ID: 1, Start time: 2000 Jan  5 00:04:27 UTC
    Protection type: None
    Topology default (ID 0) -> Cost: 1

再次查看ospf neighbor會發現此時原本的鄰居已經中斷連線:

    KerKer@sw1> show ospf neighbor    

這是因為ospf認證設定需要兩端都做相同設定才能生效,我們進到sw2做設定:

    KerKer@sw2# set protocols ospf area 0.0.0.0 interface ge-0/0/23.0 authentication md5 1 key KerKer

commit生效後再次回到sw1再次確認ospf neighbor:

    KerKer@sw1> show ospf neighbor           
    Address          Interface              State     ID               Pri  Dead
    172.16.0.2       ge-0/0/23.0            Full      10.0.0.2         128    33

到這裡我們已經完成ospf authentication的設定了,這麼設定後只有知道認證密碼的設備才能加入ospf路由交換了!

Exit mobile version