交换机OSPF配置了全局认证后如何取消部分接口认证

ospf authentication-mode命令用来设置接口对OSPF报文进行验证的验证模式及验证字。

undo ospf authentication-mode命令用来删除接口下指定的验证模式。

【命令】

MD5/HMAC-MD5验证模式：

ospf authentication-mode { hmac-md5 | md5 } [ key-id { cipher | plain } string ]

undo ospf authentication-mode { hmac-md5 | md5 } [ key-id ]

简单验证模式：

ospf authentication-mode simple [ { cipher | plain } string ]

undo ospf authentication-mode simple

keychain验证模式：

ospf authentication-mode keychain keychain-name

undo ospf authentication-mode keychain

None验证模式：

ospf authentication-mode none

undo ospf authentication-mode none

【缺省情况】

接口不对OSPF报文进行验证。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

hmac-md5：HMAC-MD5验证模式。

md5：MD5验证模式。

simple：简单验证模式。

key-id：验证字标识符，取值范围为1～255。如果未指定本参数，将使用空字符串对OSPF报文进行验证。

cipher：以密文方式设置密钥。

plain：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。简单验证模式下，明文密钥为1～8个字符的字符串；密文密钥为33～41个字符的字符串。MD5/HMAC-MD5验证模式下，明文密钥为1～16个字符的字符串；密文密钥为33～53个字符的字符串。

keychain：使用keychain验证模式。

keychain-name：keychain名称，为1～63个字符的字符串，区分大小写。

none：None验证模式，表示不会对OSPF报文进行验证。

【使用指导】

重复执行本命令指定不同的验证模式时，新的验证模式会覆盖旧的验证模式。

使用MD5/HMAC-MD5验证模式、简单验证模式或keychain验证模式时，不同设备上属于同一网段的接口的验证模式必须相同，如果设置了密钥，需要保证密钥的一致性。

使用MD5/HMAC-MD5验证模式时，可配置多条MD5/HMAC-MD5验证命令，但key-id是唯一的，同一key-id只能配置一个验证字。修改接口的OSPF MD5/HMAC-MD5验证字的步骤如下：

·     首先在该接口配置新的MD5/HMAC-MD5验证字；此时若邻居设备尚未配置新的MD5/HMAC-MD5验证字，便会触发MD5/HMAC-MD5验证平滑迁移过程。在这个过程中，OSPF会发送分别携带各个MD5/HMAC-MD5验证字的多份报文，使得已配置新验证字的邻居设备和尚未配置新验证字的邻居设备都能通过验证，保持邻居关系。

·     然后在各个邻居设备上也都配置相同的新MD5/HMAC-MD5验证字；当设备上收到所有邻居的携带新验证字的报文后，便会退出MD5/HMAC-MD5验证平滑迁移过程。

·     最后在本设备和所有邻居上都删除旧的MD5/HMAC-MD5验证字；建议接口下不要保留多个MD5/HMAC-MD5验证字，每次MD5/HMAC-MD5验证字修改完毕后，应当及时删除旧的验证字，这样可以防止与持有旧验证字的系统继续通信、减少被攻击的可能，还可以减少验证迁移过程对系统、带宽的消耗。

在使能了OSPF的接口下使用keychain验证模式时，报文的收、发过程如下：

·     OSPF在发送报文前，会先从keychain获取当前的有效发送key，根据该key的标识符、认证算法和认证密钥进行报文验证，如果当前不存在有效发送key，或者该key的标识符大于255，OSPF不会发送报文。

·     OSPF在收到报文后，会根据报文携带的key的标识符从keychain获取有效接收key，根据该key的认证算法和认证密钥对报文进行校验。如果报文校验失败，或者根据报文中携带的key的标识符无法从keychain中获取到有效接收key，则该报文将被丢弃。

对于keychain认证算法和key的标识符的范围，OSPF的支持情况如下：

·     OSPF仅支持MD5和HMAC-MD5认证算法。

·     OSPF仅支持标识符取值范围为0～255的key。

简单验证模式下，如果未指定cipher和plain参数，对OSPF报文进行验证时，不使用密钥。

接口下未配置验证模式时，如果其所属区域下存在验证模式的配置，接口将会继承此配置。如果希望区域中的某些接口不对OSPF报文进行验证，可以使用None验证模式，使用该验证模式的接口将不会继承其所属区域下验证模式的配置。本设备使用None验证模式时，请保证邻居设备使用None验证模式或未配置任何验证模式。

【举例】

# 配置接口Vlan-interface10采用MD5明文验证模式，验证字标识符为15，验证密钥为123456。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] ospf authentication-mode md5 15 plain 123456

# 配置接口Vlan-interface10采用简单明文验证模式，验证密钥为123456。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] ospf authentication-mode simple plain 123456