问仅用被动接口保护OSPF

EN

一个问题是，身份验证确保只有受信任的设备才能在网络上交换路由。如果不进行身份验证，则可能会引入不受信任的设备并导致重大的路由问题。例如：

如果未对区域0进行身份验证，则将区域0中的路由器与伪造的路由附加到null0。您甚至可以创建一个默认路由，并将其注入到拓扑中，从而导致糟糕的路由器到黑洞流量。或者，该路由可能会迫使流量流向一个伪造的网关，该网关的目的是在正确的路径上发送连接和提取不安全的数据。

身份验证确保只有您所知道和信任的路由器才能交换信息。

这取决于您的网络拓扑结构。如果非被动链路是孤立的(点到点)，并被固定在堆栈的较低层(路由器的物理访问控制)，那么我将很难确定一个可行的攻击矢量。当流氓路由器能够在给定的链路上显示任意流量时，身份验证是至关重要的。

如果有人能够访问实际的设备，并以某种方式将另一个设备插入到链路的远端，那么他们就可以访问您的网络，将路由插入到您的路由表和其他类似的讨厌的东西中。

这样的场景在一些地方是非常理论的，比如在安全位置的骨干网络，但是如果连接到客户或另一个第三方，某种形式的身份验证可能是非常明智的。