认证在网络协议中的应用(以OSPF为例)

最新推荐文章于 2023-03-11 16:03:05 发布
最新推荐文章于 2023-03-11 16:03:05 发布
阅读量926 收藏
点赞数
分类专栏: Cisco Network 文章标签: 网络协议 authentication 路由器 interface network cisco
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/calkee/article/details/7700945
版权

认证在网络协议中的应用(以OSPF为例)

实验目的:

在路由协议中使用加解密技术来保证传输的路由信息的安全,加深密码学在实际环境中的应用。

实验环境:

Windows XP操作系统、Cisco GNS3仿真软件(2691的IOS)、WireShark网络协议分析软件。

实验内容

配置OSPF的区域认证,使得非法的路由器无法获得区域内的路由信息。试验中将尝试获得OSPF的报文中的加密信息以及Tunnel包。

 

实验拓扑:


使用Tunnel技术来解决OSPF区域不连续的问题。

OSPF的配置:

R1:

R1(config-router)#do sh running | sec ospf

 ip ospfmessage-digest-key 1 md5 prin

routerospf 110

 log-adjacency-changes

 area 0authentication message-digest

 area 1authentication message-digest

 network12.1.1.1 0.0.0.0 area 0

R2:

R2(config-router)#do sh running | sec ospf

 ip ospfmessage-digest-key 1 md5 prin

 ip ospfmessage-digest-key 1 md5 prin

routerospf 110

 log-adjacency-changes

 area 0authentication message-digest

 area 1authentication message-digest

 network12.1.1.2 0.0.0.0 area 0

 network23.1.1.2 0.0.0.0 area 1

 network100.1.1.2 0.0.0.0 area 0

R3:

R3(config-router)#do sh running | sec ospf

 ip ospfmessage-digest-key 1 md5 prin

 ip ospfmessage-digest-key 1 md5 prin

routerospf 110

 log-adjacency-changes

 area 0authentication message-digest

 area 1authentication message-digest

 area 2authentication message-digest

 network23.1.1.3 0.0.0.0 area 1

 network34.1.1.3 0.0.0.0 area 2

 network100.1.1.3 0.0.0.0 area 0

R4:

R4(config-router)#do sh running | sec ospf

routerospf 110

 log-adjacency-changes

 network34.1.1.4 0.0.0.0 area 2

 

在没有配置Tunnel和OSPF区域认证之前,各台路由器之间都能建立稳定的邻接关系


以下是使用WireShark抓出的协议报文


此时没有认证,并且OSPFHeader报文里面的Auth字段为Null,Auth Data也为空。

但这时并不是完整的OSPF网络,由于Area2没有和Area0连接,所以,Area0内部没有Area2的信息,Area2就是一个隔离的区域。这时,在Area1内创建Tunnel网络

R2#sh running int tunnel 0

Building configuration...

 

Current configuration : 153 bytes

!

interfaceTunnel0

 ip address100.1.1.2 255.255.255.0

 ip ospfmessage-digest-key 1 md5 prin

 tunnel source23.1.1.2

 tunneldestination 23.1.1.3

 

R3:

R3#sh running int tunnel 0

Building configuration...

 

Current configuration : 153 bytes

!

InterfaceTunnel0

 ip address100.1.1.3 255.255.255.0

 ip ospfmessage-digest-key 1 md5 prin

 tunnel source23.1.1.3

 tunneldestination 23.1.1.2

此时R1的路由表才算真正完整。


用WireShark抓出Tunnel的报文如下:


以下是我对Tunnel报文的分析:

Tunnel报文封转在IP包里面,So和Des都是物理接口的IP,Protocol=GRE(47),TTL=225。

Tunnel报文里面只有Flag和Protocol字段,Protocol字段的内容是IP,指向下一层的封装。

这个IP包里面的So=Tunnel IP的地址,Des就是Tunnel包所要发给的地址,可以使下一跳,也可以是组播地址,如果是224.0.0.5,那么就是OSPF的数据包。TTL值在这里是1。Protocol可以等于IGP,EIGRP、OSPF包就封装在下面。

Tunnel只是一个虚拟的地址,很多特性都需要真正物理口的支持。

 

在OSPF的路由器之间在不同的时间启用认证,这时,由于各台路由器之间的认证已经改变,他们的邻接关系也消失了,整个区域又回到无法互通的初始状态。



在各个接口下配置相同的密码,重新启动OSPF进程:

R1#shrunning int fa0/0

Building configuration...

 

Current configuration : 132 bytes

!

interface FastEthernet0/0

 ip address12.1.1.1 255.255.255.0

 ip ospf message-digest-key1 md5 prin

 duplex auto

 speed auto

end

 

R1#shrunning | inclu authent      

multilink bundle-name authenticated

 area 0authentication message-digest

 

R2#shrunning int fa0/0

Building configuration...

 

Current configuration : 132 bytes

!

interface FastEthernet0/0

 ip address12.1.1.2 255.255.255.0

 ip ospf message-digest-key1 md5 prin

 duplex auto

 speed auto

 

Building configuration...

 

Current configuration : 153 bytes

!

interface Tunnel0

 ip address100.1.1.2 255.255.255.0

 ip ospfmessage-digest-key 1 md5 prin

 tunnel source23.1.1.2

 tunneldestination 23.1.1.3

 

R2#shrunning | inclu authen

multilink bundle-name authenticated

 area 0 authenticationmessage-digest

 

R3#shrunning int tunnel 0

Building configuration...

 

Current configuration : 153 bytes

!

interface Tunnel0

 ip address100.1.1.3 255.255.255.0

 ip ospfmessage-digest-key 1 md5 prin

 tunnel source23.1.1.3

 tunneldestination 23.1.1.2

 

R3#shrunning | inclu authen

multilink bundle-name authenticated

 area 0 authenticationmessage-digest

 

重新获得OSPF的报文,如下所示:


可以看到里面比之前多了AuthType、Auth key ID、Auth CryptoSequence Number、AuthData,其中Auth Data里面的数据就是密钥与Key ID经过Hash之后的值。

Tunnel报文如下:

里面也有Auth Type、Auth key ID、Auth CryptoSequence Number、AuthData。并且与R1的Auth Data值相等。

 

此时在R3上启用Area2认证,R4作为非法的路由器想接入区域获得通往外网的途径。

R4(config-router)#do sh running | sec ospf

router ospf 110

 log-adjacency-changes

 network34.1.1.4 0.0.0.0 area 2

 

R3#sh running | inclu authen

multilink bundle-name authenticated

 area 0authentication message-digest

area 2authentication message-digest

 

Buildingconfiguration...

 

Currentconfiguration : 132 bytes

!

interfaceFastEthernet0/1

 ip address 34.1.1.3 255.255.255.0

 ip ospf message-digest-key 1 md5 prin

 duplex auto

 speed auto

 

此时,R4无法与R3建立邻接关系,因为也无法获取AS内部的路由信息。


实验完毕。


calkee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSPF网路类型详解 OSPF认证 路由控制
09-16
OSPF网路类型详解 OSPF认证 路由控制 OSPF(Open Shortest Path First)是一种链路状态路由协议,用于确定网络的最短路径。...了解这些概念可以帮助我们更好地理解OSPF协议,并更好地应用OSPF协议在实际网络
动态路由-链路状态路由协议ospf案例
最新发布
05-12
OSPF作为动态路由协议,因其高效、可靠和灵活的特性,在现代网络广泛应用。理解和掌握OSPF的工作机制、配置方法以及如何在各种场景下优化网络性能,对于网络管理员来说至关重要。通过实践案例,我们可以更直观地...
OSPF基本概念和OSPF配置
热门推荐
imsolo的专栏
12-21 4万+
OSPF(Open Shortest Path First) OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)。与RIP相对,OSPF是链路状态路有协议,而RIP是距离向量路由协议。 链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态
实现Cisco对接华为,OSPF验证对接
weixin_45590433的博客
02-11 2384
实现Cisco对接华为,OSPF验证对接
OSPF三种验证配置
姜亚轲的博客
07-28 4768
OSPF可以基于区域来配置认证,也可以基于邻居来配置认证,基于虚链路认证认证类型 类型 开启验证 调用密钥 区域(Area)认证 接口(interface) 进程(router ospf process-id) 链路(Link)认证 接口(interface) 接口(interface) 虚链路(virtual-link)认证 进程(router ospf proc...
多出口NAT策略路由案例
商务合作|种草文章|产品测评
04-09 3811
配置思路: 1.基础拓扑搭建. 2.划分VLAN,配置access/trunk/SVI,IP 地址 3.配置内网路由(汇聚于核心跑OSPF) 4.规划外网路由与NAT 一 如何实现,让宿舍区192. 168.10.0走电信 如何实现,让教学区192. 168.20.0走联通 access-list 10 permit 192.1 68.10.0 0.0.0.255 //匹配宿舍区 VLAN10流量 route-map fenliu permit 10 match ip address 10//宿舍区.
OSPF区域认证配置实验
weixin_43361166的博客
02-03 3231
一、实验目的 1、掌握路由器OSPF协议的多区域接口认证和区域认证的配置方法。 二、实验内容 1、完成兴1800路由器OSPF协议多区域的接口认证和区域认证的配置和结果验证。 三、实验过程 1、实验任务说明 如图1-1所示,要求在OSPF 协议网络的区域0采用明文认证方式,区域1采用MD5加密的认证方式。请完成OSPF多区域接口认证和区域认证配置,并进行结果查看。 图1-1 OSPF多区域接口认证和区域认证配置实验 2、业务配置流程图 图1-2 OSPF多区域接口认证和区域认证配置流程 3、实
OSPF路由协议应用.pdf
10-02
在这种情况下,为了在整个网络实现路由信息的统一管理,可能会将静态路由再发布到OSPF。配置命令`router(config)#router ospf 100`用于启动OSPF进程,而`router(config-router)#redistribute static`则用于将...
OSPF协议详解【OSPF RFC2328文版】
07-16
4. **DR/BDR(Designated Router/Backup Designated Router)选举**:在广播或多路访问网络OSPF选举DR和BDR以减少邻接关系的数量,提高效率。 5. **认证功能**:OSPF支持多种认证机制,如简单密码、MD5或SHA-1...
OSPF协议完全实现》源代码
04-11
OSPF(Open Shortest Path First,开放最短路径优先)是一种内部网关协议(IGP),用于在单一自治系统(AS)动态地交换路由信息。这个协议是基于链路状态算法的,它能有效地计算出网络的最短路径树。《OSPF协议...
网络协议分析试验指导书
11-15
1.数据链路层实验 2.ARP&INARP协议的实现 3.Ping 的实现 4.SOCKET编程-mini FTP Client/ Server程序 5.SOCKET编程-聊天程序
多区域ospf在帧继环境下实现互通-配置命令(请各位多指教)
weixin_34088598的博客
01-23 496
实验拓扑R1:R1#show runBuilding configuration... Current configuration : 1582 bytes!! Last configuration change at 16:23:13 CST Wed Jan 23 2019!version 15.4service timestamps debug datetime msecservice tim...
网络实验之OSPF路由协议(一)
月生的静心苑
01-17 3582
开放式最短路径优先(Open Shortest Path First,OSPF)路由协议是用于网际协议(IP)网络的链路状态路由协议。该协议使用链路状态路由算法的内部网关协议(IGP),在单一自治系统(AS)内部工作。适用于IPv4的OSPFv2协议定义于RFC 2328,RFC 5340定义了适用于IPv6的OSPFv3。OSPF是广泛使用的一种动态路由协议,它属于链路状态路由协议,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(VLSM)和汇总、层次区域划分等优点。
OSPF路由area认证方式方法密钥
键盘爱好者
03-11 1511
注意:首先启用一个密钥,然后声明它! OSPF认证 密钥 声明 Link intf intf (接口下操作) Area intf ospf Porcess(接口下) Vlink PVC PVC Interface下: 明文: ip ospf authentication-key 'passwd' ip ospf authentication密文: ip ospf message-digest-key 1 md5 'passwd' ip ospf authentic
OSPF区域MD5认证
一个人的旅行的博客
08-30 6723
1、区域md5认证   a、在区域内验证 b、配置命令 验证方式: area 区域号 authentication message-digest 简单密码:ip ospfmessage-digest-key 1 md5密码   查看认证方式:show ipospf interface   c、认证成功,能建立邻居关系 en
戏说OSPF
03-23
OSPF图解戏说方法,让读者在图说,把OSPF与现实生活连接起来
实验 – 配置 IPv4 静态路由和默认路由(教师版)步骤在末尾,报告结束以后(二十步解决,不用听课,闭着眼照着步骤做就没问题)
qq_54414907的博客
04-22 3886
实验 – 配置 IPv4 静态路由和默认路由(教师版) 教师注意事项:红色字体或灰色突显的部分表示仅显示在教师副本上的文本。 拓扑 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 R1 G0/1 192.168.0.1 255.255.255.0 N/A S0/0/1 10.1.1.1 255.255.255.252 N/A R3 G0/1 192.168.1.1 255.255.255.0 N/A S0/0/0 (DCE) 10.1.1.2 255.255.255.252 N/A Lo0 209.
OSPF虚链路与area认证的问题
weixin_34209406的博客
04-28 175
使用到的命令:show ip ospf database 今天做OSPF实验时发现一个奇怪的问题:在各自配置了认证的区域里做虚链路连接时,所有路由表都是不完整的。 先贴配置: R1#show run interface Loopback0ip address 172.16.1.1 255.255.255.0 interface Serial1/1...
实验8-1RIP v2路由配置(执行步骤在文章的最后18步)
qq_54414907的博客
05-10 2842
步骤图: 第一步 完成下图所示的拓扑 第二步打开路由器的串口,只放一个如下图所示 先关闭绿色电源,再放入nim-2t,再打开电源 最终拓扑图如下: 第三步:配置pc机ip地址与子网掩码和网关(只做一个,剩下两个一样照着表格填就好) 第四步: 配置路由器的名字以及控制台登陆基础设置以及ip地址和接口 ,按表格做,只做一步,其余两个重复 三个路由器配置后应该如下图所示 第五步:对路由器的设置进行补充(只做一个,两个重复) 配置密码加密。 指定 class 为特权 EXEC 密码。 指定 cisc
大型企业OSPF组网建设方案.docx
11-07
Router-id标识了路由器在网络的唯一性,路由器会根据LSA数据库的信息进行路由计算。当Router-id改变时,会导致LSA广播更新,可能导致网络震荡,因此选择一个稳定且易于识别的Router-id至关重要。路由器会选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值