احراز هویت در OSPF
احراز هویت در OSPF، در محیط های سازمانی این احتمال وجود دارد تا افراد غیر مجاز با اهدافی، قصد ایجاد همسایگی و دسترسی به شبکه با استفاده از پروتکل های مسیریابی را داشته باشند. این افراد ممکن است با ایجاد همسایگی بین روتر های سازمان مسیر های نادرستی را در سطح شبکه Advertise و منتشر نمایند. به منظور جلوگیری از انجام چنین اعمالی در شبکه می توان از احراز هویت بین روتر هایی که در OSPF مشارکت دارند استفاده نمود. در ابتدا به معرفی کوتاهی از OSPF خواهیم پرداخت.
احراز هویت در OSPF
فهرست مطالب
مروری بر OSPF
OSPF مخفف عبارت (Open Shortest Path First) می باشد که یک پروتکل مسیریابی Link State محسوب می گردد. در OSPF ما دستورات مربوطه را روی تمامی روتر ها اعمال می نماییم تا OSPF بر روی آن ها اجرا گردد. در این مرحله روتر ها شروع به مبادله اطلاعات با یکدیگر خواهند نمود که این اطلاعات توسط Link State Advertisement (LSA) ها بین روتر ها تبادل خواهند شد. هر روتر LSA های خود را ایجاد و در سطح شبکه ارسال می نماید و اطلاعاتی نظیر اینکه به صورت مستقیم به چه شبکه هایی متصل هستند و Cost جهت دسترسی به شبکه ها مختلف چقدر است را تحت LSA ایجاد می نماید. هر روتر با در اختیار داشتن کلیه این داده ها جهت تصمیم گیری برای کوتاه ترین مسیر (Shortest Path First) اقدام می نماید.
در OSPF به صورت پیش فرض می بایست یک Area با عنوان Area 0 وجود داشته باشد که به عنوان Backbone Area نیز از آن یاد می شود. چنانچه قصد داشته باشیم از چندین Area در شبکه سازمانی خود استفاده نماییم باید در نظر داشته باشیم که تمامی Area ها می بایست به صورت مستقیم به Area 0 ارتباط داشته باشند. رعایت این نکته در طراحی شبکه الزامی می باشد. اگرچه راهکار هایی جهت سناریو هایی که ارتباط مستقیم بین یک Area با Backbone Area وجود ندارد، در دسترس است اما همواره پیشنهاد می شود که از استاندارد ها پیروی نماییم.
چنانچه نیاز به اطلاعات تکمیلی در خصوص OSPF و نحوه پیاده سازی آن دارید مطالب کاملی در مقاله (راه اندازی OSPF در سیسکو) در دسترس می باشد.
انواع احراز هویت در OSPF
به صورت کلی سه حالت احراز هویت در OSPF وجود دارد.
- No-Authentication: در این حالت هیچ احراز هویتی انجام نخواهد گرفت و روتر ها بدون توجه به احراز هویت، همسایگی را شکل خواهند داد.
- Type 1: در این روش از احراز هویت که از آن به عنوان Simple Authentication نیز یاد می گردد، احراز هویت به صورت غیر امن و تنها به صورت Clear Text انجام خواهد گرفت.
- Type 2: در این روش، احراز هویت OSPF با رمزنگاری MD5 انجام خواهد شد.
به صورت پیش فرض هیچ احراز هویتی در OSPF انجام نمی گیرد. باید دقت داشت چنانچه قصد استفاده از احراز هویت در OSPF را داریم، روتر ها باید بر سر نوع احراز هویت اتفاق نظر داشته باشند. این قابلیت وجود دارد که بنا به نیاز یکی از مکانیزم های احراز هویت را فقط روی یکی از اینترفیس های روتر فعال نمود تا احراز هویت OSPF تنها بر روی یک اینترفیس انجام پذیرد. همچنین این نکته حائز اهمیت است، چنانچه احراز هویت را به صورت عمومی فعال نمایید و در عین حال بر روی اینترفیس هم احراز هویت فعال شود، اولویت با تنظیمات اینترفیس خواهد بود. همواره به دلیل رمزنگاری استفاده از احراز هویت Type 2 که از MD5 بهره می گیرد، پیشنهاد می شود.
پیاده سازی احراز هویت در OSPF
جهت پیاده سازی احراز هویت در OSPF سناریو زیر مفروض می باشد.
در سناریو فوق قصد داریم در OSPF بین روتر R1 و R2 از احراز هویت Type 2 (MD5) و بین روتر R1 و R3 از احراز هویت Type 1 (Simple) استفاده نماییم.
چنانچه قصد داشته باشیم احراز هویت را به صورت عمومی و به روش Simple در روتر فعال نماییم:
R1(config-router)#area 0 authentication
همچنین احراز هویت به صورت عمومی و به روش MD5 در روتر به روش زیر فعال می گردد:
R1(config-router)# area 0 authentication message-digest
اما در سناریو مورد نظر قصد ما بر این است احراز هویت ها در اینترفیس های بین روتر ها انجام گیرد و بین روتر R1 و R2 (اینترفیس های g 0/2) از احراز هویت Type 2 (MD5) و بین روتر R1 و R3 (اینترفیس های g 0/1) از احراز هویت Type 1 (Simple) استفاده نماییم.
تنظیمات روتر R1
تنظیمات در روتر R1 به صورت زیر می باشد
در گام اول تنظیمات بر روی اینترفیس g 1/0 که به روتر R2 متصل می باشد و قصد احراز هویت MD5 بر روی آن را داریم انجام می گیرد. در دستورات زیر عدد 1 صرفا شماره کلید و Cisco123 رمزعبور می باشد.
R1(config)#interface gigabitEthernet 1/0
R1(config-if)#ip ospf authentication message-digest
R1(config-if)#ip ospf message-digest-key 1 md5 Cisco123
R2(config-if)#end
در گام بعدی تنظیمات بر روی اینترفیس g 2/0 که به روتر R3 متصل می باشد و قصد احراز هویت Simple بر روی آن را داریم انجام می گیرد. که در خط دوم دستورات زیر Cisco به عنوان رمزعبور محسوب می گردد.
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key Cisco
تنظیمات روتر R2
تنظیمات در روتر R2 به صورت زیر خواهد بود.
R2(config)#interface gigabitEthernet 1/0
R2(config-if)#ip ospf authentication message-digest
R2(config-if)#ip ospf message-digest-key 1 md5 Cisco123 ?
R2(config-if)#end
تنظیمات روتر R3
تنظیمات در روتر R3 به صورت زیر خواهد بود.
R3(config)#interface gigabitEthernet 2/0
R3(config-if)#ip ospf authentication
R3(config-if)#ip ospf authentication-key Cisco
R3(config-if)#end
باید دقت داشت که نوع مکانیزم احراز هویت و رمزعبور در دو طرف می بایست به درستی پیکربندی شود و در صورت وجود مغایرت در پیکربندی در یکی از روتر ها ، همسایگی OSPF شکل خواهد گرفت.
جهت مشاهده وضعیت احراز هویت در OSPF در حالت General می توان از دستور زیر استفاده نمود.
R1#show ip ospf
همچنین نوع احراز هویت روی یک اینترفیس در OSPF را می توان به با دستور زیر مشاهده نمود.
R1#show ip ospf interface gigabitEthernet 1/0
نظرات کاربران