OSPF – Open Shortest Path First (Phần 7)

By Nguyễn Văn Huy Dũng
0 comments
Tháng Một 13, 2022

OSPF – Open Shortest Path First (Phần 7)

Nội dung

OSPF Authentication

Tất cả các giao thức định tuyến có thể được bảo vệ bằng cách sử dụng xác thực (authentication) và OSPF cũng không phải là một ngoại lệ. OSPF sử dụng plaintext hay MD5 để xác thực các gói tin và chúng sẽ kiểm tra các gói tin OSPF nhận được. Nếu như bạn đã biết về xác thực trên EIGRP, thì nó cần phải cấu hình một keychain. OSPF không sử dụng keychain nên việc cấu hình có phần đơn giản hơn. Có 2 lựa chọn cho việc cấu hình xác thực cho OSPF:

Plaintext authentication
MD5 authentication

Mỗi gói tin OSPF đểu được xác thực nếu như bạn kích hoạt bất kỳ loại xác thực nào.

Plaintext authentication

Sử dụng mô hình kết nối như hình trên, chúng ta chỉ sử dụng 2 router là đủ để kiểm chứng việc xác thực cho OSPF.

Bằng cách sử dụng câu lệnh ip ospf authentication, bạn đã kích hoạt phương thức xác thực plaintext trên inerface. Sử dụng password là MYPASS bằng cách sử dụng câu lệnh ip ospf authenticationkey.

Nếu như bạn muốn xác thực trên nhiều interface mà không muốn phải cấu hình nó trên từng interface, bạn có thể sử dụng câu lệnh area x authentication trong mode cấu hình OSPF. Trong ví dụ này là xác thực với area 0.

Nếu như bạn sử dụng câu lệnh show ip ospf interface thì bạn có thể thấy được các thông tin về OSPF trên mỗi interface. Bạn có thể kiểm tra được thông tin xác thực và ở đây ta thấy là authentication đã được enabled. Bạn có thể thấy là ta có neighbor count là 1 và simple password authentication được enabled.

Bạn hãy “thích” và nên sử dụng câu lệnh debug khi cần phải tìm hiểu và thu thập các thông tin từ router nhanh chóng, nó là một người bạn của giúp bạn có thể thu thập được rất nhiều thông tin có giá trị. Nếu bạn sử dụng câu lệnh debug ip ospf packet, bạn có thể nhìn thấy là authentication đã được enabled. Trong ví dụ, chúng ta nhận được một gói tin OSPF và nó có thông tin aut:1, điều này có nghĩa là phương pháp xác thực plain-text đang được sử dụng.

Aut:0 không sử dụng authentication.
Aut:1 plaintext authentication.
Aut:2 MD5 authentication.

MD5 authentication

Nếu sử dụng MD5 authentication, thì bạn cần một câu lệnh cấu hình khác. Đầu tiên, phải sử dụng câu lệnh ip ospf message-digestkey X md5 để xác định key number và password. Không quan trọng việc bạn chọn key number nào tuy nhiên bạn cần phải cấu hình giống nhau trên các router. Để kích hoạt OSPF authentication, bạn phải cấu hình thêm câu lệnh ip ospf authentication message-digest.

Cũng như việc cấu hình plaintext authentication, bạn có thể cấu hình trong mode cấu hình OSPF để kích hoạt nó trên nhiều interface thuộc một area thay vì phải cấu hình trên từng interface. Bạn sử dụng câu lệnh area X authentication message-digest.

Sử dụng câu lệnh show ip ospf interface, ta có thể thấy được MD5 authentication đã được enabled và sử dụng key ID 1. Và chúng ta có một neighbor cũng đang hoạt động.

Sử dụng câu lệnh Debug sẽ giúp bạn show ra được thông tin MD5 authentication đã được enabled (aut:2) và sử dụng key ID 1.

Việc sử dụng câu lệnh Debug cũng có thể giúp bạn rất nhiều khi khắc phục sự cố (troubleshooting). Nếu như bạn cấu hình không chính xác password bên router còn lại, bạn sẽ nhận được thông báo lỗi “mismatch authentication key error”.

Nếu như bạn cấu hình một bên là MD5 authentication và phía bên kia là plaintext authentication, thì bạn sẽ nhận được một thông báo khá rõ ở đây. Trong ví dụ, chúng ta nhận được thông báo tới rằng router kia sử dụng type 2 (MD5) và bản thân router sử dụng type 1 (plaintext).

Đó là tất cả những gỉ về OSPF authentication. Chỉ có một vài câu lệnh để cấu hình xác thực cho OSPF và có một chút khác biệt giữa việc cấu hình MD5 và plaintext. Bạn có thể tham khảo việc cấu hình xác thực OSPF tai:

http://gns3vault.com/OSPF/ospf-authentication.html

Lược dịch “How to master CCNP – Route”

NGUYỄN VĂN HUY DŨNG