配置OSPFv3 IPSec示例

原创 已于 2025-06-30 12:44:49 修改 · 660 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #华为 #网络工程师 #运维

于 2025-06-27 11:53:53 首次发布

在OSPFv3网络中互为OSPFv3邻居的设备接口上配置OSPFv3 IPSec,防止伪造的OSPFv3协议报文对设备进行非法攻击。

组网需求

图1所示,RouterA和RouterB透过一段公共网络相连,RouterA和RouterB之间运行OSPFv3。如果不定义任何认证机制,RouterA和RouterB之间的路由协议报文很可能会被网络中的攻击者更改或者仿冒,造成RouterA和RouterB的邻接关系断开,或者引入错误路由。

为了防止上述情况发生,在RouterA和RouterB之间配置IPSec安全隧道,对它们收发的OSPFv3报文进行安全保护。安全协议采用ESP(Encapsulating Security Payload),认证算法采用SHA-1(Secure Hash Algorithm-1)。

图1 配置IPSec组网图

配置思路

采用如下的思路配置IPSec for OSPFv3特性:

配置OSPFv3基本功能,使RouterA和RouterB之间能够建立OSPFv3路由。

配置安全提议,以决定需要实施的安全协议、认证算法等。

配置安全联盟参数。

OSPFv3进程上应用安全联盟,以实现IPSec对RouterA和RouterB之间OSPFv3路由协议报文的保护。

数据准备

为完成此配置例,需要准备如下数据:

设备名称

Router ID

Process ID

IPv6地址

安全索引参数SPI

字符串密钥

RouterA

1.1.1.1

1

GE1/0/1: 2001:DB8:100::1/64

12345

Huawei-123

RouterB

2.2.2.2

1

GE1/0/1: 2001:DB8:100::2/64

12345

Huawei-123
操作步骤
  1. 在RouterA和RouterB上配置OSPFv3。

# 配置RouterA。

<HUAWEI> system-view

[HUAWEI] sysname RouterA

[RouterA] ospfv3 1

[RouterA-ospfv3-1] router-id 1.1.1.1

[RouterA-ospfv3-1] area 1

[RouterA-ospfv3-1-area-0.0.0.1] quit

[RouterA-ospfv3-1] quit

# 配置RouterB。

<HUAWEI> system-view

[HUAWEI] sysname RouterB

[RouterB] ospfv3 1

[RouterB-ospfv3-1] router-id 2.2.2.2

[RouterB-ospfv3-1] area 1

[RouterB-ospfv3-1-area-0.0.0.1] quit

[RouterB-ospfv3-1] quit

  1. 在接口上配置IPv6地址并使能OSPFv3。

# 配置RouterA。

[RouterA] ipv6

[RouterA]

最低0.47元/天 解锁文章
OSPFv3基础理论讲解(LSA、多实例、尾部跟踪认证)
m0_49864110的博客
11-09 9382
由于OSPF的扩展性不强,为了支持IPv6地址,重新定义了新的OSPFv3协议来兼容IPv6地址,协议号为IPv6的89相同点不同点OSPFv3只通过链路本地地址建立邻居(基于链路的)OSPFv3实现了拓扑与地址分离(可以不依赖IPv6全局地址的配置来计算出OSPFv3的拓扑结构)OSPFv3报文以及LSA格式发生改变OSPFv3移除了所有认证字段OSPFv3新增两条LSA(8类、9类)OSPFv3支持一个链路上多个进程。
OSPFv3OSPFv2的区别
qq_45519920的博客
03-21 1万+
OSPFv3OSPFv2的区别 目前IPV4协议使用的是OSPF Version 2 IPV6协议使用的是OSPF version 3 OSPFv3是运行于IPV6的OSPF路由协议(RFC2740) OSPFv3OSPFv2的基础上进行了修改,是一个独立的路由协议。 OSPFv3OSPFv2的不同在于(协议号还是89): OSPFv3不再位于数据包和链路状态公告(LSA)起始位置的报文头部...
基于IPv6的OSPFv3/ISISv6-原理介绍+报文解析+配置示例
fengxingzhe008的博客
04-03 2596
IPv6动态路由协议:OSPFv3+ISISv6
OSPFv3及区域认证 配置与详解
qq_43210022的博客
06-30 2884
1、掌握基于IPv6的OSPF配置方法。2、掌握基于IPsec的OSPF的认证配置3、监视OSPFv3工作。 接口ip配置详见:优快云https://mp.youkuaiyun.com/mp_blog/creation/editor/125222993在R1、R2和R3路由器上配置OSPFv3路由协议,配置如下: 在R2上查看OSPF的邻居关系: 在R3上查看OSPF的数据库: 查看R3路由表: 使用ping命令确认路由有效性: 另外可以通过配置区域认证,确保OSPFv3的安全性 在R
OSPFv3
ssslq的博客
03-16 2412
OSPFv3基础
IPv6 OSPFv3 和区域认证【下一代互联网05】
HAL9000的博客
09-20 1385
可以观察到,在配置基于 IPsec 的 OSPF 区域认证后,原有的 OSPF 邻居状态会转变为 DOWN,重新进行 OSPF 进程,本处采用 MD5 加密算法,其后是密钥值 1234567890abcdef1234567890abcdef,当区域内路由器认证通过后,其OSPF 邻居关系又重新建立起来,OSPF 状态转为 FULL。)LSA 0X2001 类型 LSA 仅仅用于描述区域内链路上的邻居信息,会在区域内泛洪。配置 OSPFv3 时,需要进入接口,将接口加入到 OSPF 进程中。
ospfv3 认证配置
weixin_34219944的博客
02-23 2813
ospfv3是基于ipv6的路由协议,因为IPV6本身的IPSEC安全特性,OSPFV3本身就已经没有再带安全认证功能,这一功能由IPV6协议来完成。 (我查了好久,书里并没有提到如何配置,国内的论坛也很少说到,即使有说到配置,也没有文字说明,看得很不明白。查了国外的文章,才找了相关的资料。还是得谢谢google啊。) IPSEC有两种安全认证方法...
配置OSPFv3进程号3948,IPv6单播地址族,路由器ID为0.0.0.3。 重发布有状态化NAT64路由,标记为6400,使用路由映射ONLY_NAT64_ROUTE。 将区域1配置NSSA区域。在cisco中完成上述配置
最新发布
07-22
我们正在配置OSPFv3,这是一个用于IPv6的路由... - 启用OSPFv3认证(如IPsec或AH) - 使用`passive-interface`阻止不必要的邻居建立 > 引用说明:配置基于IPv6路由协议接口级激活原则[^1]和NAT64标准地址空间[^2]。
企业网络OSPFv3路由详解:IPv6技术与配置实战
- OSPFv3本身并不内置认证功能,但它利用IPv6的安全特性(如IPSec)来确保报文的完整性和机密性,保证路由信息的安全性。 5. **配置示例**: - 配置步骤包括启用IPv6、设置Router ID、配置接口地址、指定区域以及...
OSPFv3配置详解:IPv6地址分配与路由协议实践
本资源主要介绍了OSPFv3配置在IPv6网络环境下的应用,针对IPv6原理和技术培训的课程内容进行了详细解读。首先,课程开始于IPv6概述,指出IPv4地址资源紧张的问题以及IPv4向IPv6升级的必要性。IPv6作为IPv4的升级版本...
OSPFv3 协议
03-20
还要考虑用户可能的后续问题,比如OSPFv3OSPFv2的异同,多区域配置,认证机制的变化(OSPFv3依赖IPv6的IPsec),以及常见故障排除方法。因此,在相关问题的部分可以生成这些问题,帮助用户进一步学习。 最后,...
基于OSPFV3的详细配置
05-04
OSPFV3 的详细配置配置,路由协议配置OSPFV3 的详细配置配置,路由协议配置
华为OSPF及OSPFv3协议详解
热门推荐
DREW德鲁
07-28 1万+
OSPF Open shortest path First 特征: 链路状态协议 基于IP协议,协议号 89 所有的路由器使用组播地址224.0.0.5 还有224.0.0.6 – DR 或单播地址 OSPF 默认路由优先级: Route Preference: 10 区域内或区域间 ASE Route Preference: 150 外部路由(引入的路由) 三张表: 1.邻居表 邻居关系: 若两台路由器能用同一种路由协议交换路由信息,则两者互为邻居。 邻接关系: 若两台路由器都将对方识别为邻居路由器,
OSPFv3报文讲解(与OSPFv2的区别)
m0_49864110的博客
11-09 4382
表示是否支持OSPFv3认证,为0表示不支持OSPFv3认证,1表示在OSPFv3后增加认证尾部字段(即尾部跟踪认证)去掉了Network Mask字段,增加了Interface ID字段,Option字段也有变化。去掉了Option字段,LSA Type字段有变化,由OSPFv2的1字节扩展到2字节。P:传播位,如果一个NSS区域的前缀需要被ABR传播出去,就需要设置这一位。NU:非单播位,1表示这个前缀不会纳入IPv6单播路由计算中。LA:本地地址位,1表示这个前缀是路由器的一个接口地址。
玩转华为ENSP模拟器系列 | 配置OSPFv3 HMAC-SHA256认证示例
COCO_gsta的博客
05-04 1128
素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-优快云博客_ensp实验大全 目标 验证OSPFv3的HMAC-SHA256认证功能,分别采用key-id和keychain的配置方式实现 组网需求 配置思路 CX1与CX2建立OSPFv3邻居,确认邻居可以建立 设置设备之间采用HMAC-SHA256认证,采用key-id方式验证,确认可以正常建立邻居关系 操作步骤
IPv6 ospf多区域-虚链路-认证
y56554897的专栏
02-26 533
R1: interface Loopback0 no ip address ipv6 address 2001:3FFE::1/128 ipv6 ospf 1 area 0 ! interface FastEthernet0/0 no ip address ipv6 address 2001:CE01::1/64 ipv6 ospf 1 area 0 ipv6 router osp...
OSPFv3简介
永远是少年
07-21 9583
今天给大家介绍OSPFv3的相关配置和内容。主要从OSPFv3特点和相对于OSPFv2的异同开始介绍。阅读本文,您需要又一定的IPv6基础知识和OSPFv2的相关理论,由于 OSPFv3相对于OSPFv2做出的改进很大程度上是参考了IS-IS协议的相关内容,因此最好您还能对IS-IS协议有一定的研究。 一、OSPFv3概述 OSPFv3相对于OSPFv2,基本原理相同但是是一个独立的路由协议。OSPFv3是基于IPv6的OSPF协议,因此,IPv6的特定对OSPFv3造成了一定的影响,具体如下表所示:
理解并配置:IPv6的OSPFv3
weixin_33778778的博客
12-18 706
理解并配置:IPv6的OSPFv3    OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。而无论是OSPFv2还是OSPFv3在工作机制上基本相同;但为了支持IPv6地址格式,OSPFv3OSPFv2做了一些改动,下面将介绍OSPFv3OSPFv2的异同点。OSPFv3OSPFv2类似也使用组播进行工作,OSPFv3的DR路由...
OSPF区域详解和3种认证--CCNP学习笔记
weixin_34129696的博客
11-22 1697
OSPF的4种特殊区域 1.Stub:过滤LSA4/5,将LS4/5的路由通过LSA3自动下放默认路由,Seed cost=1 注意点:Stub区域所有路由器都要配置成Stub 配置命令在OSPF进程中:area [area ID] stub 2.totally stubby:过滤LSA3/4/5,在ABR上配置 配置命令在OSPF进程中:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

精彩网络技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值