如何将未经验证的OSPF区域转换为思科上的MD5认证区域？

Question

我目前有一个现有的OSPF区域，它有邻居和交换路线，但没有认证机制。有没有一种方法可以在不破坏现有关系的情况下将其转换到经过MD5认证的区域？

我希望有一些类似于通过将跳数设置为254的TTL安全检查过渡到OSPF的过程。

Answer 1

我现在认为，在不撕毁现有邻接的情况下，转换到MD5 auth的唯一方法是，在参与该过程的所有路由器上配置身份验证密钥时，简单地击败HELLO和死定时器。在接口的死计时器过期之前，我必须将MD5密钥放在接口上，并有足够的时间传送另一个HELLO。

但是，如果您已经启用了身份验证，那么更改密钥就很简单了: MD5 Auth似乎使用了一个非破坏性的“滚转”过程。

来自西斯科：

系统假设它的邻居还没有新的密钥，所以它开始了一个滚动过程。它发送同一数据包的多个副本，每个副本由不同的密钥验证。在本例中，系统发送两个相同数据包的副本--第一个由密钥100验证，第二个由密钥101验证。在网络管理员使用新密钥更新路由器时，滚转允许相邻路由器继续通信。一旦本地系统发现所有的邻居都知道新的密钥，滚动就停止了。当邻居接收到来自由新密钥认证的邻居的数据包时，系统检测到它具有新密钥。在使用新键更新了所有邻居之后，应该删除旧键。在本例中，您将输入以下内容:接口以太网1 无ip ospf消息摘要-key 100