一、实验内容
1.1、背景
锦公司近期与朗诵公司有合作业务,为了业务来往更加方便,希望两家的网络能够互通,在可以提高业务工作效率性的同时,也要注意业务的安全。
1.2、分析
根据两家网络环境的分析,公司的出口路由器已经都接入核心网络路由器AR2了,路由器设备AR2使用RIPv2动态路由协议,为了业务安全,接口也开启密码认证,两家公司出口路由器AR1、AR3接入网络要使用RIPv2协议,同时也要配置密码认证,为了降低核心路由器AR2的压力,希望两家公司在通告网络时,能够以手工汇总方式通告,减轻路由表条目,提高转发效率。
1.3、搭建拓扑图
图1-1 拓扑图
二、实验目的
- 掌握RIPv2的基本配置命令
- 掌握RIPv2认证配置命令。
- 掌握RIPv2路由汇总命令。
- 掌握RIP水平分割对路由汇总的影响知识。
三、实验步骤
- 路由器配置IP地址。
- 配置路由器认证:(接口下配置)
- 锦公司出口路由器AR1与AR2之间使用明文认证,AR2与朗诵公司出口路由器AR3之间使用MD5认证,密码都huawei。
- 路由汇总:手动汇总:在AR3的S1/0/1接口上rip summary-address 172.16.0.0 255.255.252.0
- 水平分割:默认是开启的。思考:水平分割对路由汇总有什么影响?
四、实验配置过程及结果
4.1、路由器的基础配置
路由器的基础配置(设备名称、接口IP地址及环回口地址等等)。根据图1-1拓扑图里标注,配置IP地址,这里不特例讲了,省略。不清楚的后面4.4部分有完整的配置命令可以看。
配置完了IP地址,用ping命令测试查看AR2与AR1、AR3之间的直连链路的连通性。如图1-2所示:
图1-2 在AR2上测试链路的连通性
从图1-2上可以看到AR2与AR1、AR3之间直连链路可以ping通,没有问题。
4.2、配置RIPv2
宣告网段及配置认证;
所有路由器设备上配置RIPv2,宣告网段及配置认证。AR1与AR2之间使用明文认证,AR2与AR3之间使用MD5认证,密码都设置为huawei;
AR2上配置RIPv2,宣告网段,在接口S1/0/0上配置明文认证,接口S1/0/1上配置MD5认证。AR1、AR3跟AR2的配置类似。配置如下:
AR1上配置 [AR1] rip //启动RIP的进程,默认的进程号为1 [AR1-rip-1] version 2 //修改RIP的版本为2,默认版本是1 [AR1-rip-1] network 10.0.0.0 //宣告一个网段,RIP只能宣告直连网络的主类网络号 [AR1-rip-1] interface Serial 1/0/0 //进入S1/0/0接口视图 [AR1-Serial1/0/0] rip authentication-mode simple huawei //指定使用简单认证方式,密码为huawei [AR1-Serial1/0/0] quit AR2上配置 [AR2] rip [AR2-rip-1] version 2 [AR2-rip-1] network 10.0.0.0 [AR2-rip-1] interface Serial 1/0/0 [AR2-Serial1/0/0] rip authentication-mode simple huawei //指定使用简单认证方式,密码为huawei [AR2-Serial1/0/0] interface S 1/0/1 [AR2-Serial1/0/1] rip authentication-mode md5 usual huawei //MD5密文认证报文使用通用报文格式,密码为huawei [AR2-Serial1/0/1] quit 配置AR3 [AR3] rip [AR3-rip-1] version 2 [AR3-rip-1] network 10.0.0.0 [AR3-rip-1] interface Serial 1/0/1 [AR3-Serial1/0/1] rip authentication-mode md5 usual huawei //MD5密文认证报文使用通用报文格式,密码为huawei [AR3-Serial1/0/1] quit |
在AR2的Serial1/0/0接口抓包查看,如下图所示:
图1-3 AR2接口s1/0/0报文信息
从图1-3中可以知道,AR2的Serial1/0/0接口上配置的是明文认证,抓包查看路由器之间交互的信息一目了然。Simple认证方式存在安全风险,容易泄露公司来往业务信息。
接下来在AR2的Serial1/0/1接口上抓包查看MD5认证,如下图1-4所示:
图1-4 AR2接口s1/0/1报文信息
从图1-4中可知道,AR2的Serial1/0/1接口上配置的是MD5认证,抓包查看路由器之间交互的信息不是直接呈现出来的,以数字或者密文方式显示,显然MD5认证方式比simple认证方式安全多了。
这时候,用display rip命令查看AR1所有RIP进程的当前运行状态及配置信息。如图1-5所示:
同样的如果想查看AR2、AR3的也可以用display rip命令。这里就不放图片了。
图1-5 AR1的RIP配置信息
RIPv2版本的,是默认开启路由自动汇总的,接下来使用display ip routing-table命令查看AR1、AR2的路由表。
查看一下AR1的路由表,如下图所示:
图1-6 AR1路由表信息
查看一下AR2的路由表,如下图所示:
图1-7 AR2路由表信息
从图1-6、图1-7中,可以知道AR1、AR2都能正常学到路由,AR2从AR3学到的是明细路由,同样AR1从AR2学到的也是明细路由,路由没有被自动汇总。
为什么呢?往下看:
4.2、RIPv2 路由汇总
RIPv2默认路由汇总Summary是开启的,但在华为设备上,路由器的接口是默认开启水平分割的,所以在图1-6、1-7的路由表上是没有汇总路由的,只有明细路由。
如果想要在水平分割开启的情况下进行自动汇总,那么要在RIP的进程下用“summary always”命令(指定有类聚合被使能,无论水平分割功能是否配置)。
[AR1] rip [AR1-rip-1] summary always //指定有类聚合被使能,无论水平分割功能是否配置 [AR2] rip [AR2-rip-1] summary always
[AR3] rip [AR3-rip-1] summary always |
然后再使用display ip routing-table protocol rip查看自动汇总路由情况,如图1-8所示:
图1-8 三台路由器的路由自动汇总
从图1-8中用红色方框框出来的,我们可以看到聚合后的路由以使用自然掩码的路由形式发布了,AR1、AR2路由表中可以看到。
但自动路由汇总是有风险的,有时候会导致路由器的路由表混乱,因为会把24位的地址自动汇总成8位的主类地址。所以使用手工汇总方式。
现在在RIP进程下使用undo summary命令把自动路由汇总关闭掉,然后在AR3的S1/0/1接口下进行手工配置路由汇总。如下图1-9所示:
[AR1] rip [AR1-rip-1] undo summary //取消自动汇总 [AR2] rip [AR2-rip-1] undo summary
[AR3] rip [AR3-rip-1] undo summary [AR3-rip-1] interface serial 1/0/1 [AR3- Serial 1/0/1] rip summary-address 172.16.0.0 255.255.252.0 //配置手工路由汇总 |
图1-9 路由汇总成功
从图1-9中,可以看到当在AR3接口上Serial1/0/1视图下使用rip summary-address 172.16.0.0 255.255.252.0 命令配置手工路由汇总,AR1、AR2上只有一条汇总过后的明细路由172.16.0.0/22。
4.3、实验结果
手工配置路由汇总之后。
再次在AR2的S1/0/0接口上抓包,情况如图1-10所示:
图1-10 AR2的S1/0/0接口抓包情况
很明显如图1-10所看到的,经过我们在AR3的接口上做了手工配置路由汇总之后,减轻了网络核心路由器AR2的路由表负担,路由表的条目减轻,提高路由转发效率。
4.4、配置命令
<AR1>display current-configuration # sysname AR1 # interface Serial1/0/0 link-protocol ppp ip address 10.0.12.1 255.255.255.0 rip authentication-mode simple cipher huawei # interface LoopBack0 ip address 10.0.1.1 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 # [AR2]display current-configuration # sysname AR2 # interface Serial1/0/0 link-protocol ppp ip address 10.0.12.2 255.255.255.0 rip authentication-mode simple cipher huawei # interface Serial1/0/1 link-protocol ppp ip address 10.0.23.2 255.255.255.0 rip authentication-mode md5 usual cipher huawei # interface LoopBack0 ip address 10.0.2.2 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 # <AR3>display current-configuration # sysname AR3 # interface Serial1/0/1 link-protocol ppp ip address 10.0.23.3 255.255.255.0 rip authentication-mode md5 usual cipher huawei rip summary-address 172.16.0.0 255.255.252.0 # interface LoopBack0 ip address 10.0.3.3 255.255.255.0 # interface LoopBack2 ip address 172.16.0.1 255.255.255.0 # interface LoopBack3 ip address 172.16.1.1 255.255.255.0 # interface LoopBack4 ip address 172.16.2.1 255.255.255.0 # interface LoopBack5 ip address 172.16.3.1 255.255.255.0 # rip 1 undo summary version 2 network 10.0.0.0 network 172.16.0.0 # |