ospf配置小实验及安全认证
OSPF綜合實驗
拓撲以及要求如下:
1、2:
完成配置后,查看ospf的鄰居狀態都是Full,鄰居建立成功。
3.手動配置RID,設置優先級
RID推薦手動配置:好看整齊,手動(設置優先級)指定DR、BDR即可
當前的DR為R6,BDR為R2
要使AR1為DR, AR2為BDR:
重置OSPF進程: reset ospf process (盡量同時重置)
配置完OSPF后,查看路由表有34網段可以Ping通:
4.驗證R1到4.4.4.4的開銷
又回環口的開銷是0,所以開銷一共49.
運營商網絡不能動。
4.全網通-- 宣告默認路由
默認路由:選擇OSPF的動態路由:
宣告默認路由: 將自己設備上的默認路由宣告給鄰居。
好處
- 自動學習
- 方便配置
- 自動選擇最優路徑
現在在 AR4 上配置去往AR8(運營商)的默認路由并進行宣告:
ip route-static 0.0.0.0 0 48.0.0.8ospf 1 default-route-advertise 進行宣告查看路由
嘗試ping通AR8
可以ping通,因為我在AR8(運營商)配了一條回R4的默認路由。
提示
在正常情況下,我們沒有權限去動運營商的網絡。所以一般會在出口處配置NAT,這才是真實場景下能做的事情。NAT轉換成出口地址與外網通信
5. 在R3、4間啟動Ospf認證:(安全問題)
為了防止非法用戶利用ospf的漏洞在中間竊取數據。
我們需要在ospf 建立鄰居時開啟認證:
接口認證:(tips:當同時配置接口認證和區域認證時,接口認證優先生效)
[AR4]int s4/0/0 配置接口認證 兩邊的端口都要敲 [AR4]ospf authentication-mode md5 1 cipher xiaobaijun[AR3]int s4/0/0 [AR3]ospf authentication-mode md5 1 cipher xiaobaijun開啟認證后:建立鄰居必須密碼、口令相同才能成功建立鄰居。(本實驗的口令是 1 。 密碼是 xiaobaijun)
OSPF有效防止了非法用戶的入侵。
安全隱患
在沒有配置認證時,非法設備可以造成安全隱患。
用剛剛的實驗來測試:加一個AR10路由器作為非法入侵設備:
配置如下:
sy sy AR10 int g0/0/0 ip add 192.168.0.10 24 q ospf 1 area 0 network 192.168.0.10 0.0.0.255他可以在沒有設置ospf認證的情況下跟其它設備建立鄰居:
我們可以看到圖中AR8上的回環地址是8.8.8.8 32, 而非法設備則將自己的回環口同樣設置成8.8.8.8 32. 并將其宣告:此時其它設備就會誤認為它就是真實原來的8.8.8.8 ,從而 從中竊取數據。
int l 0 ip add 8.8.8.8 32 network 8.8.8.8 0.0.0.0現在我們再次用AR1ping8.8.8.8,依然能夠正常通信:
但是,確定是原來的8.8.8.8 ?
我們可查看下路由表指向以及在AR10抓包:
此時可以知道,信息已經被非法設備獲取了,這就是沒有設置OSPF認證的安全隱患, 所以防止這種入侵,增加安全性:我們來為自己的設備配置認證。
OSPF的認證命令
根據命令:我們為所有自己的設備的接口上配置OSPF認證:
int s4/0/0 ospf authentication-mode md5 1 cipher xiaobaijun每在一個設備配置完接口認證時,都會重新開啟ospf進程(自動開啟)。
如還沒有配置AR3的ospf接口認證時:AR1只有AR2、6兩個鄰居:
在全部開啟認證后,非自己的設備不能建立鄰居關系,所以非法設備現在無法冒充8.8.8.8 。
查看路由表:
總結
以上是生活随笔為你收集整理的ospf配置小实验及安全认证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: VB操作IE浏览器完全控制
- 下一篇: 使用显卡+hashcat破解握手包