OSPF Virtual-Link com Autenticação

1        Cenário

1.1           Objetivo

Cinco roteadores (C1, C2, C3, R1 e R6) são conectados conforme a topologia descrita e devem ser configurados seguindo os critérios abaixo.

Os roteadores C1, C2 e C3 pertencem à área 0 do OSPF e devem fazer vizinhança entre eles usando autenticação com criptografia MD5 com a senha “BACKBONE”.

O C1 e o R1 pertencem à área 1 entre eles e o R1 deverá possuir uma conexão OSPF com o R6 para a área 6, porém o C3 e o R6 compartilham a área 6 e o virtual-link na área 1 deverá ser usado somente como redundância e deverá possuir autenticação em MD5 com a senha “VIRTUALLINK”.

A área 1 deverá possuir autenticação em texto puro com a senha “AREA1”, já a área 6 o mesmo com a senha “AREA6”.

1.2           Topologia

Figure-01:              Topologia

1.3           IOS utilizados

·         C1, C2, C3, R1, R3 e R6 – c7200-js-mz.123-7.T.bin

1.4           Configuração dos Roteadores

Em todos os roteadores configura-se o roteamento OSPF pelo comando “router ospf ” onde o “processo” é um numero do processo OSPF. O roteador também possui um router ID único que geralmente é a interface loopback ou então o maior endereço IP do roteador.

Para adicionar interfaces deve-se usar o comando “network

área ”. Um roteador pode ter interfaces em áreas distintas, define-se cada área no comando network.

Para o roteador fazer vizinhança OSPF é necessário que a rede da interface esteja no comando “network” e a interface não esteja configurada como “passive-interface”.

A autenticação das conexões OSPF é feita com a configuração do tipo de autenticação e a senha dentro da interface que se conecta ao vizinho OSPF usando o comando: “ip ospf authentication key  ” usa o texto puro, para o uso de MD5 criptografado usa-se o comando ip ospf message-digest-key md5 ”. Para que essa autenticação seja utilizada é necessário habilitar a autenticação dentro das configurações de OSPF pelo comando “are authentication message-digest”.

A configuração de virtual-link é feita nos roteadores de borda da área de transito. No caso dessa topologia é a área 1. Dentro das configurações de OSPF adiciona-se o comando “area virtual-link ”. A autenticação do virtual-link é feita no próprio comando citado.

Como na topologia existe um link do R6 com o C3 também, as redes são preferíveis por esse link. No caso de queda é usado o Virtual-link.

É importante habilitar o “service password-encryption” para que a autenticação MD5 funcione. Uma forma de configurar sem erro é executar o comando em um roteador e copiar para o vizinho já com a senha criptografada.

1.5           Observações e Bugs

Documentação:

http://www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a0080094069.shtml

1.6           Comandos Importantes de Verificação

C1#sh ip ospf

 Routing Process "ospf 1" with ID 10.10.10.101

 Supports only single TOS(TOS0) routes

 Supports opaque LSA

 Supports Link-local Signaling (LLS)

 Supports area transit capability

 It is an area border router

 Initial SPF schedule delay 5000 msecs

 Minimum hold time between two consecutive SPFs 10000 msecs

 Maximum wait time between two consecutive SPFs 10000 msecs

 Incremental-SPF disabled

 Minimum LSA interval 5 secs

 Minimum LSA arrival 1000 msecs

 LSA group pacing timer 240 secs

 Interface flood pacing timer 33 msecs

 Retransmission pacing timer 66 msecs

 Number of external LSA 0. Checksum Sum 0x000000

 Number of opaque AS LSA 0. Checksum Sum 0x000000

 Number of DCbitless external and opaque AS LSA 0

 Number of DoNotAge external and opaque AS LSA 0

 Number of areas in this router is 2. 2 normal 0 stub 0 nssa

 Number of areas transit capable is 0

 External flood list length 0

    Area BACKBONE(0) (Inactive)

        Number of interfaces in this area is 3 (1 loopback)

        Area has message digest authentication

        SPF algorithm last executed 00:00:43.108 ago

        SPF algorithm executed 8 times

        Area ranges are

        Number of LSA 14. Checksum Sum 0x06B7FA

        Number of opaque link LSA 0. Checksum Sum 0x000000

        Number of DCbitless LSA 0

        Number of indication LSA 0

        Number of DoNotAge LSA 6

        Flood list length 0

    Area 1

        Number of interfaces in this area is 1

        Area has simple password authentication

        SPF algorithm last executed 00:00:43.136 ago

        SPF algorithm executed 10 times

        Area ranges are

        Number of LSA 7. Checksum Sum 0x051540

        Number of opaque link LSA 0. Checksum Sum 0x000000

        Number of DCbitless LSA 0

        Number of indication LSA 0

        Number of DoNotAge LSA 0

        Flood list length 0

2        Configuração

2.1           R1

! interface Serial1/0  ip address 10.10.10.2 255.255.255.252  ip ospf authentication-key AREA1 ! interface Serial1/3  ip address 16.16.16.1 255.255.255.252  ip ospf authentication-key AREA6 ! router ospf 1  router-id 1.1.1.1  area 1 authentication  area 1 virtual-link 10.10.10.101 message-digest-key 1 md5 VIRTUALLINK  area 6 authentication  network 1.1.1.1 0.0.0.0 area 1  network 10.10.10.2 0.0.0.0 area 1  network 16.16.16.1 0.0.0.0 area 6 !

2.2           C1

! service password-encryption ! interface Serial1/0  ip address 10.10.10.1 255.255.255.252  ip ospf authentication-key 7 11282B203643 ! interface Serial1/7  ip address 12.12.12.1 255.255.255.252  ip ospf message-digest-key 1 md5 7 14353328272605050168 ! router ospf 1  router-id 10.10.10.101  area 0 authentication message-digest  area 1 authentication  area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 7 02302D693F332E0D6067273245  network 10.10.10.1 0.0.0.0 area 1  network 10.10.10.101 0.0.0.0 area 0  network 12.12.12.1 0.0.0.0 area 0 !

2.3           C2

! service password-encryption ! interface Serial1/6  ip address 12.12.12.2 255.255.255.252  ip ospf message-digest-key 1 md5 7 14353328272605050168 ! interface Serial1/7  ip address 23.23.23.2 255.255.255.252  ip ospf message-digest-key 1 md5 7 112B38263C302422216A ! router ospf 1  router-id 10.10.10.102  area 0 authentication message-digest  network 10.10.10.102 0.0.0.0 area 0  network 12.12.12.2 0.0.0.0 area 0  network 23.23.23.2 0.0.0.0 area 0 !

2.4           C3

! service password-encryption ! ! interface Serial1/2  ip address 60.60.60.1 255.255.255.252  ip ospf authentication-key 7 0227367E2A50 ! interface Serial1/7  ip address 23.23.23.1 255.255.255.252  ip ospf message-digest-key 1 md5 7 14353328272605050168 ! router ospf 1  router-id 10.10.10.103  area 0 authentication message-digest  area 6 authentication  network 10.10.10.103 0.0.0.0 area 0  network 23.23.23.1 0.0.0.0 area 0  network 60.60.60.1 0.0.0.0 area 6!

2.5           R6

! interface Serial1/2  ip address 60.60.60.2 255.255.255.252  ip ospf authentication-key AREA6 ! interface Serial1/3  ip address 16.16.16.2 255.255.255.252  ip ospf authentication-key AREA6 ! router ospf 1  router-id 6.6.6.6  area 6 authentication  network 6.6.6.6 0.0.0.0 area 6  network 16.16.16.2 0.0.0.0 area 6  network 60.60.60.2 0.0.0.0 area 6 !