使用ensp模拟器配置华为路由器的两种验证方式

实验内容：

R1：机房设备，R2、R3模拟PC进行远程登陆R1，配置telnet两种认证方式

实验步骤：

1.使用ensp建立拓扑。

2.配置各设备端口ip地址：

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys R1

[R1]INT G0/0/0

[R1-GigabitEthernet0/0/0]IP ADDR 10.1.1.254 24

<Huawei>SYS

Enter system view, return user view with Ctrl+Z.

[Huawei]SYS R2

[R2]INT G0/0/0

[R2-GigabitEthernet0/0/0]IP ADDR 10.1.1.1 24

------------------------------------------------------------------------------------------------

<Huawei>SYS

Enter system view, return user view with Ctrl+Z.

[Huawei]SYS R3

[R3]INT G0/0/0

[R3-GigabitEthernet0/0/0]IP ADDR 10.1.1.2 24

################################################################

3.配置password认证

R1上配置telnet 验证方式为密码验证方式，密码为huawei，并设置密文存储，

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode password ***

Please configure the login password (maximum length 16):huawei ***

-----------------------------------------------------

<R2>telnet 10.1.1.254

*** Press CTRL_] to quit telnet mode

*** Trying 10.1.1.254 ...

*** Connected to 10.1.1.254 ...***

Login authentication

Password:

<R1>

###############################################################

4.配置aaa认证

***[R1]aaa ***

[R1-aaa]local-user admin password cipher hello privilege level 3 //添加admin账户密码为hello，密文保存，用户权限3

[R1-aaa]local-user admin service-type telnet

[R1-aaa]q

***[R1]user-interface vty 0 4 ***

***[R1-ui-vty0-4]authentication-mode aaa ***

***###############################################################*********

    OSPF支持报文验证功能，只有通过验证的报文才能接受，否则将不能建立邻居关系。OSPF协议支持两种认证方式-区域认证和链路认证。使用区域认证时，一个区域中的所有路由器在该区域下的认证模式和口令必须一致；OSPF链路认证相比于区域认证更加灵活，可专门对某个邻居设置单独的认证模式和密码。如果同时配置两种认证，优先使用接口认证建立OSPF邻居。

    每种认证方式又分为简单验证、MD5验证、key chain验证模式。简单验证模式在数据传输过程中，认证密钥和密钥ID都是明文传输，很容易被截获。MD5验证模式下的密钥经过MD5加密传输，相比于简单验证模式更加安全。key chain验证模式可以配置多个密钥，不同的密钥可以单独设置生效周期。

1、按照图示配置路由器接口地址和loopback环回地址。

2、搭建OSPF网络。注意R2的不同接口需要需要在不同区域，其他配置不罗列了。

[R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255

[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0

[R2]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R2-ospf-1-area-0.0.0.0]area 1

[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255

[R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255

3、area 1区域R1配置简单认证，密码huawei1。plain参数可以使得在查看配置文件时，口令均以明文显示口令。authentication-mode simple  huawei1，不加plain在查看配置文件时就会以密文方式显示，更加安全。

4、配置完成后，dis ospf peer brief查看OSPF邻居，发现R1 R2邻居关系中断了，因为仅仅在R1上配置了认证，导致R1 R2间的OSPF认证不匹配。继续配置R2 R4，验证模式一致，口令一致，邻居关系恢复。

5、R2 R3 R5 R6配置area 0区域密文认证。

[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

6、链路认证配置。

    上面是使用区域配置，链路认证可以达到同样的效果，需要在OSPF的链路接口下都配置链路认证的命令，设置链路验证模式和口令等。

    在G0/0/1接口下配置链路认证，发现R2 R4间的OSPF邻居关系已经消失，因为同时配置两种认证，优先使用接口认证建立OSPF邻居。在R4没有配置链路认证外，R2 R4间的OSPF邻居关系不会i建立。

[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5

[R4-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5

配置完成后，R4的路由都正常，专门对邻居R1设置单独的认证模式和密码，其余都是区域认证。

---