网络环境
在图中的网络中RouterA GE1/0/2和RouterB GE1/0/2是基于接口的OSPF MD5认证建立OSPF邻居。RouterA、RouterB与RouterC已建立普通OSPF邻居关系,现需改为基于接口配置OSPF MD5认证。
RouterA与RouterB为同一型号设备。
OSPF组网图
配置完成后,发现RouterC和RouterA、RouterB邻居无法建立。
故障分析
步骤 1 在RouterC GE1/0/1、GE1/0/2和RouterA GE1/0/1、RouterB GE1/0/1上基于接口配置MD5认证之前,在RouterC上执行display ospf peer命令,可以看到RouterC和RouterA、RouterB邻居关系正常建立。
步骤 2 在RouterC GE1/0/1、GE1/0/2和RouterA GE1/0/1、RouterB GE1/0/1上基于接口配置MD5认证之后,在RouterC上执行display ospf peer命令,发现RouterC和RouterA、RouterB邻居关系不能够建立。
步骤 3 在RouterC和RouterA、RouterB上执行display current-configuration命令,经检查发现RouterC和RouterA、RouterB的接口MD5配置没有问题。
步骤 4 在RouterC上执行display ospf error命令,可以看到有ospf authentication mode mistake错误。
这样,在RouterC上配置基于端口的MD5认证,认证方式协商存在问题,那么也就无法与RouterA和RouterB建立邻居关系。
----结束
处理步骤
在RouterA、RouterB、RouterC上分别执行以下操作。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ospf [ process-id ],进入OSPF进程视图。
步骤 3 执行命令area area-id,进入OSPF区域视图。
步骤 4 执行命令authentication-mode { md5 | hmac-md5 } [ key-id { plain plain-text | [ cipher ] cipher-text } ],配置OSPF区域的验证模式(md5验证)。
步骤 5 执行命令return退回到用户视图,执行命令save,保存对配置的修改。
使用区域验证时,一个区域中所有的路由器在该区域下的验证模式和口令必须一致。
----结束
完成上述操作后,RouterC和RouterA、RouterB邻居关系可以建立,故障排除。
案例总结
对于OSPF邻居无法正常建立问题,可以借助display ospf erro查看错误原因,并结合debug ospf event等诊断信息进行进一步定位。
本案例的RouterC(NE80)由于版本较老,对基于接口的OSPF MD5认证支持有问题,若彻底解决可以升级软件版本到VRP3.10 23XX或VRP5。
【编辑推荐】
