拓扑以及要求如下:
完成配置后,查看ospf的邻居状态都是Full,邻居建立成功。
RID推荐手动配置:好看整齐,手动(设置优先级)指定DR、BDR即可
当前的DR为R6,BDR为R2
要使AR1为DR, AR2为BDR:
重置OSPF进程: reset ospf process (尽量同时重置)
配置完OSPF后,查看路由表有34网段可以Ping通:
又回环口的开销是0,所以开销一共49.
运营商网络不能动。
默认路由:选择OSPF的动态路由:
宣告默认路由: 将自己设备上的默认路由宣告给邻居。
好处
现在在 AR4 上配置去往AR8(运营商)的默认路由并进行宣告:
ip route-static 0.0.0.0 0 48.0.0.8
ospf 1
default-route-advertise 进行宣告
查看路由
尝试ping通AR8
可以ping通,因为我在AR8(运营商)配了一条回R4的默认路由。
在正常情况下,我们没有权限去动运营商的网络。所以一般会在出口处配置NAT,这才是真实场景下能做的事情。NAT转换成出口地址与外网通信
为了防止非法用户利用ospf的漏洞在中间窃取数据。
我们需要在ospf 建立邻居时开启认证:
接口认证:(tips:当同时配置接口认证和区域认证时,接口认证优先生效)
[AR4]int s4/0/0 配置接口认证 两边的端口都要敲
[AR4]ospf authentication-mode md5 1 cipher xiaobaijun
[AR3]int s4/0/0
[AR3]ospf authentication-mode md5 1 cipher xiaobaijun
开启认证后:建立邻居必须密码、口令相同才能成功建立邻居。(本实验的口令是 1 。 密码是 xiaobaijun)
OSPF有效防止了非法用户的入侵。
在没有配置认证时,非法设备可以造成安全隐患。
用刚刚的实验来测试:加一个AR10路由器作为非法入侵设备:
配置如下:
sy
sy AR10
int g0/0/0
ip add 192.168.0.10 24
q
ospf 1
area 0
network 192.168.0.10 0.0.0.255
他可以在没有设置ospf认证的情况下跟其它设备建立邻居:
我们可以看到图中AR8上的回环地址是8.8.8.8 32, 而非法设备则将自己的回环口同样设置成8.8.8.8 32. 并将其宣告:此时其它设备就会误认为它就是真实原来的8.8.8.8 ,从而 从中窃取数据。
int l 0
ip add 8.8.8.8 32
network 8.8.8.8 0.0.0.0
现在我们再次用AR1ping8.8.8.8,依然能够正常通信:
但是,确定是原来的8.8.8.8 ?
我们可查看下路由表指向以及在AR10抓包:
此时可以知道,信息已经被非法设备获取了,这就是没有设置OSPF认证的安全隐患, 所以防止这种入侵,增加安全性:我们来为自己的设备配置认证。
根据命令:我们为所有自己的设备的接口上配置OSPF认证:
int s4/0/0
ospf authentication-mode md5 1 cipher xiaobaijun
每在一个设备配置完接口认证时,都会重新开启ospf进程(自动开启)。
如还没有配置AR3的ospf接口认证时:AR1只有AR2、6两个邻居:
在全部开启认证后,非自己的设备不能建立邻居关系,所以非法设备现在无法冒充8.8.8.8 。
查看路由表: