Solucionado: OSPF message-digest

Jonathan Maldonado · ‎10-21-2019

Buen día,

No entiendo el funcionamiento de este comando en OSPF "area 0 authentication message-digest", en lo que he leido es para seguridad MD5, pero veo que en ocasiones se aplica sobre la interfaz y aveces sobre OSPF, cual es diferencia o como funciona. Gracias.

Julio E. Moisa · ‎10-21-2019

Hola

OSPF es un protocolo bastante flexible, tiene muchas funciones, y en el caso de la autenticacion no es la excepcion. En OSPF podemos tener 2 modos de autenticacion, utilizando texto plano (clear text, donde la llave no va encriptada) o MD5 (el caso presente), ahora bien como se aplica la autenticacion en OSPF, independientemente si es texto plano o MD5, el modo de autenticacion se puede aplicar bajo la interface o bajo el proceso de OSPF (Router OSPF x).

Cual es la diferencia, pues:

- Si aplicas la autenticacion en la interface unicamente estas autenticando la comunicacion con el router vecino OSPF al cual esa interface se conecta, ambos routers deben utilizar ese mismo metodo de autenticacion. Basicamente es una autenticacion entre 2 o mas routers (Broadcast o NBMA), algo mas como una autenticacion especifica.

- Si aplicas la autenticacion bajo el proceso de OSPF, estas aplicando el modo de autenticacion de manera global, quiere decir que todas las interfaces que estan conectados a routers vecinos que ejecutan OSPF, se estaran autenticando con el mismo modo de autenticacion, ya sea clear text o MD5) OJO Siempre que se aplique la llave bajo la interface, como menciono mas adelante.

** El modo de autenticacion, ya sea aplicado a la interface o al proceso de OSPF, toma efecto independientemente si la llave esta o no aplicada, es de tomar en consideracion porque puede generar problemas de adyacencia si no es amplicado en ambos lados (routers), esto es porque para las adyacencias entre routers OSPF todo debe ser identico, ahora bien si no colocas una llave, estareas recibiendo alertas que llave no esta o es invalida, por eso es necesario colocar la llave que autentique a ambos routers OSPF **

En este caso de autenticacion MD5 (lo mismo para clear text) lo puedes hacer de las siguientes maneras:

interface G0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 LLAVE , donde llave es la contraseña que sera encriptada. el valor 1 es un identificador de llave.

o tambien puedes utilizar este modo, basado en lo que mencione previamente:

router ospf X

area 0 authentication message-digest

Esta ultima configuracion es aplica con el complemento de la interface: ip ospf message-digest-key 1 md5 LLAVE. La segunda linea no se aplica.

interface G0/0
ip ospf message-digest-key 1 md5 LLAVE

Cuando lo haces bajo el proceso de OSPF, debes saber que se aplica a una area especifica el metodo, aunque si tu router es un ABR, puedes aplicar autenticacion a varias areas.

Espero esto conteste tu pregunta.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

luis_cordova · ‎10-21-2019

Hola @Jonathan Maldonado

Hay un evento de la comunidad sobre protocolos de enrutamiento.

https://community.cisco.com/t5/discusiones-routing-y-switching/ask-me-anything-configuración-verificación-y-troubleshooting-de/td-p/3938808?utm_medium=Marcom&utm_source=cscadd&utm_campaign=AMAdinamicosOct19

Estoy seguro que el experto podrá responder tu pregunta.

Saludos

Julio E. Moisa · ‎10-21-2019

Hola

OSPF es un protocolo bastante flexible, tiene muchas funciones, y en el caso de la autenticacion no es la excepcion. En OSPF podemos tener 2 modos de autenticacion, utilizando texto plano (clear text, donde la llave no va encriptada) o MD5 (el caso presente), ahora bien como se aplica la autenticacion en OSPF, independientemente si es texto plano o MD5, el modo de autenticacion se puede aplicar bajo la interface o bajo el proceso de OSPF (Router OSPF x).

Cual es la diferencia, pues:

- Si aplicas la autenticacion en la interface unicamente estas autenticando la comunicacion con el router vecino OSPF al cual esa interface se conecta, ambos routers deben utilizar ese mismo metodo de autenticacion. Basicamente es una autenticacion entre 2 o mas routers (Broadcast o NBMA), algo mas como una autenticacion especifica.

- Si aplicas la autenticacion bajo el proceso de OSPF, estas aplicando el modo de autenticacion de manera global, quiere decir que todas las interfaces que estan conectados a routers vecinos que ejecutan OSPF, se estaran autenticando con el mismo modo de autenticacion, ya sea clear text o MD5) OJO Siempre que se aplique la llave bajo la interface, como menciono mas adelante.

** El modo de autenticacion, ya sea aplicado a la interface o al proceso de OSPF, toma efecto independientemente si la llave esta o no aplicada, es de tomar en consideracion porque puede generar problemas de adyacencia si no es amplicado en ambos lados (routers), esto es porque para las adyacencias entre routers OSPF todo debe ser identico, ahora bien si no colocas una llave, estareas recibiendo alertas que llave no esta o es invalida, por eso es necesario colocar la llave que autentique a ambos routers OSPF **

En este caso de autenticacion MD5 (lo mismo para clear text) lo puedes hacer de las siguientes maneras:

interface G0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 LLAVE , donde llave es la contraseña que sera encriptada. el valor 1 es un identificador de llave.

o tambien puedes utilizar este modo, basado en lo que mencione previamente:

router ospf X

area 0 authentication message-digest

Esta ultima configuracion es aplica con el complemento de la interface: ip ospf message-digest-key 1 md5 LLAVE. La segunda linea no se aplica.

interface G0/0
ip ospf message-digest-key 1 md5 LLAVE

Cuando lo haces bajo el proceso de OSPF, debes saber que se aplica a una area especifica el metodo, aunque si tu router es un ABR, puedes aplicar autenticacion a varias areas.

Espero esto conteste tu pregunta.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<