H3C，接口配置錯誤

🛠️ 錯誤信息解讀

• ​​OSPF TrapID...ospfIfConfigError​​: 表示這是一個OSPF接口配置錯誤。
• ​​Non-virtual interface 203.125.85.114 index 0​​: 發生錯誤的本地接口IP地址是203.125.85.114（索引0）。
• ​​Router 203.126.253.239​​: 本地設備的OSPF Router-ID是203.126.253.239。
• ​​PacketSrc 203.125.85.118​​: 發送引發錯誤的OSPF報文的對端設備接口IP地址是203.125.85.118。
• ​​config error 8​​: ​​這是最關鍵的錯誤代碼！​​ 在H3C設備（Comware V7）的OSPF協議中，"config error 8" 通常代表 ​​Authentication Type Mismatch（驗證類型不匹配）​​ 或更廣義的 ​​Authentication Failure（驗證失敗）​​。
• ​​PacketType 1​​: 報文類型是1，這是​​Hello包​​。錯誤發生在嚐試處理對端發來的Hello包時，通常是因為在Hello包裏包含了驗證信息，但本地的配置不匹配。

✅ 原因分析（重點聚焦配置錯誤8）

1. ​​驗證類型不匹配 (最常見原因)​​：
   • 兩台設備的203.125.85.114和203.125.85.118接口之間，​​一端配置了OSPF驗證（如simple/md5/hmac-md5/hmac-sha等），而另一端沒有配置驗證。​​
   • 或​​兩邊配置的驗證類型不同​​（例如，一邊配置了simple，另一邊配置了md5）。
2. ​​驗證密鑰不匹配​​：
   • 兩端接口都配置了​​相同的驗證類型​​（如都配置了md5），但​​配置的密鑰（密碼）不匹配​​。這是在你配置後最容易出現的問題，一個小字符差異就能導致無法建立鄰居。
3. ​​Key ID不匹配（針對MD5/HMAC-MD5/HMAC-SHA）​​：
   • 對於MD5或HMAC驗證方式，​​雙方配置的Key ID（密鑰ID）不一致​​也可能導致這個錯誤。同一個接口上可配置多個key-id，但雙方用於生成驗證信息的key-id必須一致。
4. ​​驗證配置在錯誤區域/實例（較少見）​​：
   • 檢查OSPF區域配置或實例配置中的驗證設置是否與接口配置衝突。

📍 排查和解決步驟（一步一步來）

🔍 步驟 1: 檢查本地接口（IP為 203.125.85.114）的OSPF驗證配置

在本地設備（Router-ID 203.126.253.239）上，進入發生錯誤的接口視圖（地址 203.125.85.114）。

​​查看的關鍵配置：​​

• ​​有類似ospf authentication-mode的命令嗎？​​ 常見的命令有：
  • ospf authentication-mode null (顯示配置為無驗證 - 如果對端有驗證，就會衝突)
  • ospf authentication-mode simple [cipher] password
  • ospf authentication-mode md5 key-id key-id [cipher] password
  • ospf authentication-mode hmac-md5 key-id key-id [cipher] password
  • ospf authentication-mode hmac-sha256 key-id key-id [cipher] password
• ​​或者，檢查OSPF區域下是否配置了驗證而接口沒有覆蓋？​​
  • 在OSPF進程視圖下，查看區域配置：[H3C-ospf-1] area id display this
  • 區域下可能有 authentication-mode 命令。如果區域配置了驗證，除非接口明確配置ospf authentication-mode null，否則接口會繼承區域的驗證配置。
• ​​實例或VPN相關配置？​​ 如果使用了VRF，確保檢查正確的實例上下文。

📡 步驟 2: 檢查對端接口（IP為 203.125.85.118）的OSPF驗證配置

​​在對端設備上​​，進入與本地接口 203.125.85.114 直連的接口視圖（地址 203.125.85.118），執行相同的 display this 命令，查看其OSPF驗證配置。

🔐 步驟 3: 對比並糾正配置

• ​​目標：讓雙方接口的驗證類型和參數完全一致。​​
• ​​情況A: 一端有驗證，一端沒有。​​
  • ​​解決方案A1:​​ 如果網絡策略要求驗證，在無驗證的那端接口配置上與另一端完全相同的驗證方式和參數（密碼、Key ID）。
  • ​​解決方案A2:​​ 如果網絡策略允許不驗證，在配置了驗證的那端接口配置上執行 ospf authentication-mode null 移除驗證。
    • 注意：從安全性角度考慮，強烈推薦在所有生產環境接口上配置驗證，采用hmac-sha256安全性最高。
• ​​情況B: 雙方都有驗證，但類型不同。​​
  • ​​解決方案：​​ 協調使用相同的驗證類型（simple/md5/hmac-md5/hmac-sha256）。推薦使用 hmac-sha256。
• ​​情況C: 雙方類型相同，但密碼不匹配或Key ID不匹配（對MD5/HMAC類驗證）。​​
  • ​​解決方案：​​ 在雙方接口上​​輸入完全一致的密碼（區分大小寫）和完全一致的Key ID​​。
    • 在設備上，可以使用cipher關鍵字讓密碼在配置文件中顯示為加密形式，但在輸入時確保兩邊敲的是相同的明文（設備內部計算方式一致即可）。
    • Key ID是數值，比如key-id 1或key-id 100，兩端必須配成相同的數字。
• ​​情況D: 驗證配置在區域級，接口未覆蓋。​​
  • 如果區域配置了驗證（authentication-mode），而接口想取消驗證，必須在接口下配置 ospf authentication-mode null 顯式覆蓋區域設置。
  • 如果接口想使用不同的驗證方式，也必須在接口下用 ospf authentication-mode 命令顯式配置覆蓋區域設置。

🔁 步驟 4: 保存並驗證

1. 在雙方設備上進行必要的配置更改後，一定記得 save 保存配置！
2. 更改後，在本地設備上嚐試觀察：
   • display ospf peer 查看鄰居狀態是否恢複正常（Full）。
   • display ospf error 查看最新的OSPF錯誤信息是否已清除（尤其是關於203.125.85.118相關的錯誤）。
   • 持續觀察日誌是否有新的config error 8報告。

📌 關鍵要點總結

• ​​錯誤代碼8的核心是OSPF驗證失敗。​​
• ​​必須保證直連的兩台路由器OSPF接口的驗證配置（類型、密碼、Key ID）完全一致，或者雙方都不配驗證（但強烈不推薦後者）。​​
• ​​配置層級（區域 vs 接口）也可能導致問題，需要檢查是否存在覆蓋關係。​​