XX局点F5000-A5与友商对接MD5认证的问题

　　一、组网

　　出口防火墙F5000-A5分别使用三层链路聚合与上行思科C6509以及下行中兴M6000对接，运行OSPF协议并使用MD5认证。

　　二、问题描述

　　现在在防火墙F5000-A5上进行三层链路聚合并运行OSPF协议，正常与上下行设备建立邻居关系;但是在防火墙上开启接口的MD5认证之后出现与中兴M6000设备可以正常建立邻居关系，与思科C6509无法建立邻居关系的问题。

　　三、过程分析

　　1、首先检查F5000-A5的三层链路聚合是否有问题:

　　[F5000]dis link-aggregation verbose

　　Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing

　　Port Status: S -- Selected, U -- Unselected

　　Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,

　　D -- Synchronization, E -- Collecting, F -- Distributing,

　　G -- Defaulted, H -- Expired

　　Aggregation Interface: Route-Aggregation1

　　Aggregation Mode: Dynamic

　　Loadsharing Type: NonS

　　System ID: 0x8000, 000f-e200-0100

　　Local:

　　Port Status PriorityOper-Key Flag

　　--------------------------------------------------------------------------------

　　GE2/0 S 32768 1 {ACDEF}

　　GE2/1 S 32768 1 {ACDEF}

　　Remote:

　　Actor Partner Priority Oper-Key SystemID Flag

　　--------------------------------------------------------------------------------

　　GE2/0 10 32768 1 0x8000, 000f-e200-0200 {ACDEF}

　　GE2/1 11 32768 1 0x8000, 000f-e200-0200 {ACDEF}

　　2、然后查看OSPF的错误信息:

　　[F5000]dis ospf error

　　OSPF Process 1 with Router ID 192.168.254.253

　　OSPF Packet Error Statistics

　　0 : OSPF Router ID confusion 0 : OSPF bad packet

　　0 : OSPF bad version 0 : OSPF bad checksum

　　0 : OSPF bad area ID 0 : OSPF drop on unnumbered interface

　　0 : OSPF bad virtual link 10 : OSPF bad authentication type

　　5 : OSPF bad authentication key 0 : OSPF packet too small

　　4 : OSPF Neighbor state low 0 : OSPF transmit error

　　8 : OSPF interface down 1 : OSPF unknown neighbor

　　0 : HELLO: Netmask mismatch 8 : HELLO: Hello timer mismatch

　　0 : HELLO: Dead timer mismatch 0 : HELLO: Extern option mismatch

　　0 : HELLO: Neighbor unknown 0 : DD: MTU option mismatch

　　0 : DD: Unknown LSA type 0 : DD: Extern option mismatch

　　7 : LS ACK: Bad ack 0 : LS ACK: Unknown LSA type

　　0 : LS REQ: Empty request 0 : LS REQ: Bad request

　　0 : LS UPD: LSA checksum bad 0 : LS UPD: Received less recent LSA

　　0 : LS UPD: Unknown LSA type

　　发现如下报错信息：含有错误验证码的OSPF报文、在低邻居状态收到的OSPF报文、互联接口DOWN掉、对LSU报文错误确认的LSAck报文、含有非法验证类型的OSPF报文、未知的邻居发来的OSPF报文、Hello定时器不匹配的HELLO报文，从中可以发现主要还是来自OSPF的认证出现错误。

　　3、确认并解决问题

　　在与友商工程师沟通交流之后发现在涉及的密码中思科设备会将设备密码后的空格作为密码的一部分，而华三的设备会忽略掉密码后的空格。双方删除接口的MD5认证重新输入密码验证，发现含有错误验证码的OSPF报文已经没有但是含有非法验证类型的OSPF报文仍然存在。在思科工程师将C6509捆绑的接口G2/0、G2/1置为active状态发现可以与其建立OSPF邻居关系，报文认证通过。

2015年10月