Tweet
🧭 1️⃣ Mục đích của OSPF Authentication
Khi các router OSPF trao đổi LSA (Link State Advertisement), nếu không có xác thực, ai cũng có thể gửi LSA giả, làm thay đổi bảng định tuyến, gây mất kết nối hoặc tấn công DoS.
👉 Authentication giúp:
🔐 2️⃣ Ba chế độ xác thực trong OSPF
⚙️ 3️⃣ Cấu hình các loại Authentication
🔸 (a) Simple Password Authentication
Xác thực bằng chuỗi mật khẩu đơn giản (plain text).
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication
Router(config-if)# ip ospf authentication-key cisco123
🔸 (b) MD5 Authentication (khuyến khích dùng)
Mật khẩu được mã hoá băm MD5, không truyền dưới dạng rõ ràng.
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 Cisco@123
✅ Bảo mật hơn vì attacker không thể đọc được mật khẩu thật từ packet capture.
🔸 (c) Area-based Authentication
Thay vì cấu hình từng interface, bạn có thể bật xác thực cho toàn bộ area:
Simple:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication
MD5:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 Cisco@123
🧩 4️⃣ Cơ chế hoạt động (MD5 Example)
🧠 5️⃣ Thực tế triển khai
📡 6️⃣ Kiểm tra trạng thái xác thực
Router# show ip ospf interface
Router# show ip ospf neighbor
Router# debug ip ospf adj
Khi các router OSPF trao đổi LSA (Link State Advertisement), nếu không có xác thực, ai cũng có thể gửi LSA giả, làm thay đổi bảng định tuyến, gây mất kết nối hoặc tấn công DoS.
👉 Authentication giúp:
- Xác minh rằng gói OSPF đến từ router hợp lệ
- Ngăn router giả mạo tham gia OSPF
- Bảo đảm toàn vẹn dữ liệu (dùng MD5 hoặc SHA)
🔐 2️⃣ Ba chế độ xác thực trong OSPF
| Null Authentication (mặc định) | Không xác thực | ❌ Thấp | Mặc định, dùng trong lab |
| Simple Password (Plain Text) | Mật khẩu gửi trong gói OSPF (clear text) | ⚠️ Trung bình, dễ bị sniff | Mạng nội bộ tin cậy |
| MD5 Authentication | Băm mật khẩu trước khi gửi | ✅ Cao | Môi trường doanh nghiệp thực tế |
⚙️ 3️⃣ Cấu hình các loại Authentication
🔸 (a) Simple Password Authentication
Xác thực bằng chuỗi mật khẩu đơn giản (plain text).
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication
Router(config-if)# ip ospf authentication-key cisco123
📌 Tất cả router trong cùng mạng phải có cùng key “cisco123”
📡 Dễ cấu hình nhưng không an toàn vì key nhìn thấy rõ trong gói OSPF.
📡 Dễ cấu hình nhưng không an toàn vì key nhìn thấy rõ trong gói OSPF.
🔸 (b) MD5 Authentication (khuyến khích dùng)
Mật khẩu được mã hoá băm MD5, không truyền dưới dạng rõ ràng.
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 Cisco@123
- 1 là số thứ tự key (key ID)
- Cisco@123 là mật khẩu (chỉ cần trùng với neighbor)
- Router kiểm tra Key ID + MD5 hash của gói tin
✅ Bảo mật hơn vì attacker không thể đọc được mật khẩu thật từ packet capture.
🔸 (c) Area-based Authentication
Thay vì cấu hình từng interface, bạn có thể bật xác thực cho toàn bộ area:
Simple:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication
MD5:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Sau đó, mỗi interface thuộc area đó cần key tương ứng:
Router(config)# interface g0/0Router(config-if)# ip ospf message-digest-key 1 md5 Cisco@123
🧩 4️⃣ Cơ chế hoạt động (MD5 Example)
- Router A và B cùng chạy OSPF, cùng key ID và key Cisco@123.
- Khi A gửi gói Hello, nó:
- Tạo hash MD5(key + nội dung gói)
- Gửi gói kèm hash.
- Router B nhận được, tự tính hash từ dữ liệu nhận được và key.
- Nếu hash trùng khớp → xác thực thành công.
Nếu sai → bỏ gói, neighbor không hình thành adjacency.
🧠 5️⃣ Thực tế triển khai
| Mạng nội bộ (lab, test) | Simple password |
| Mạng doanh nghiệp (production) | MD5 authentication |
| Mạng ISP hoặc đa vendor | MD5 hoặc SHA (nếu hỗ trợ OSPFv3) |
| Mạng IPv6 (OSPFv3) | Xác thực bằng IPSec (AH/ESP) thay vì key trực tiếp |
📡 6️⃣ Kiểm tra trạng thái xác thực
Router# show ip ospf interface
Router# show ip ospf neighbor
Router# debug ip ospf adj
Nếu cấu hình sai key hoặc key ID khác nhau → neighbor sẽ không lên (Down)
Log lỗi thường là:
OSPF: Authentication Key mismatch on Interface Gig0/0
Log lỗi thường là:
OSPF: Authentication Key mismatch on Interface Gig0/0