- RIP路由协议基本配置实验
[R1-g0/0/0]ip add 10.0.12.1 24
[R1-LoopBack0]ip add 10.0.1.1 24
[R2-g0/0/0]ip add 10.0.12.2 24
[R2-LoopBack0]ip add 10.0.2.2 24
检测连通性
使用rip命令创建并开始协议进程
查看R1,R2,路由表-dis ip routing-table
两台路由器已经通过RIP协议学习到了对方回环接口所在网段的路由条目
测试R1 R2环回接口间的连通性
通信正常
- 配置 RIP认证实验
[R1-GigabitEthernet0/0/0]ip add 10.0.12.1 24
[R1-GigabitEthernet0/0/1]ip add 192.168.10.254 24
[R2-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[R2-GigabitEthernet0/0/1]ip add 192.168.20.254 24
[R3-GigabitEthernet0/0/0]ip add 10.0.12.3 24
PC1:192.168.10.1 24 网关:192.168.10.254
PC2:192.168.20.1 24 网关:192.168.20.254
基本配置完成,检查连通性
配置路由器R1,R2的协议,并添加需要通告的网段
查看R1,R2的路由表
可以观察到R1 ,R2,已经正常的获得了RIP路由条目
R3作为攻击者,配置RIPv2协议,通告该网段
查看R3路由表
R3 已经非法获取了R1, R2上用户终端所在的两个网段的路由信息,此时R3 就可以向两个网段发送大量的ping包,导致网络链路拥堵,形成攻击
模拟攻击,CTRL+C即可停止
在R3 上配置两个用于欺骗的环回口
[R3-LoopBack0]ip add 192.168.10.1 24
[R3-LoopBack1]ip add 192.168.20.1 24
查看R1,R2的路由表
可以观察到 R3 发过来的路由更新。因为 R2 和 R3 发送 RIP 更新的 cost 都是 1跳,所以在 R1 的路由表中,目的为 192.168.20.0 网段形成了两条等价负载均衡的路径,下一跳分别是 R2 和 R3。这样会导致去往 192.168.20.0网段的数据包有部分转发给了欺骗路由器 R3,R2 的路由表变化和 R1 同理。
在 R1 和 R2上配置 RIP 的简单验证实现对网络的保护。
在路由器 R1 和 R2 的 GE 0/0/1 接口配置认证,使用简单验证方式,密码为 huawei。
等待一段时间,查看R1,R2 的路由表
可以观察到现在 R1 与 R2 的路由表恢复正常,R3 发送的欺骗路由在路由表中消失。原因是 R1 和 R2 配置了 RIP 认证,就要求在 RIP 更新报文中包含认证密码,如果密码错误或者不存在,将认为该路由非法并丢弃。
- RIP路由协议汇总
[R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
[R2-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[R2-GigabitEthernet0/0/1]ip add 192.168.23.2 24
[R3-LoopBack0]ip add 3.3.0.3 24
[R3-LoopBack1]ip add 3.3.1.3 24
[R3-LoopBack2]ip add 3.3.2.3 24
[R3-LoopBack3]ip add 3.3.3.3 24
[R3-GigabitEthernet0/0/1]ip add 192.168.23.3 24
检测连通性
配置RIPv1协议
在路由器R1,R2,R3上配置RIPV1协议,通告相应网段
查看R1 R2路由表
可以观察到R3发过来的汇总路由条目3.0.0.0/8
在R3上抓包
可以观察到,RIPv1 的协议报文中没有携带掩码信息,只有相应的网络号以及 Metric 值,即 RIPv1 只发布汇总后的有类路由。RIPv1默认开启自动汇总,且无法关闭,也不支持手动汇总。可以使用 display default-parameter rip 命令查看 RIP 默认配置信息。
观察到开启了默认自动汇总
在路由器R1,R2,R3上配置V2命令,运行RIPv2协议
查看R1,R2路由表
可以观察到,接收到的路由条目是具体的明细路由条目,而没有汇总路由,即此时 RIPv2 默认自动汇总并没有生效。
这是因为在华为设备上,以太网接口和串口都默认启用了水平分割功能。为了防止环路和不连续子网问题的产生,在启用了水平分割或毒性逆转的接口上,RIPv2 的默认自动汇总就会失效,所以从 R3 通告过来的都是具体的明细路由条目。
要使 RIPv2 的默认自动汇总生效,有两种方法。
第一种方法,使用 summary always 命令。配置该命令后,不论水平分割是否启用, RIPy2 的自动汇总都生效。
要使 RIPv2 的默认自动汇总生效,使用 summary always 命令
查看R1,R2 的路由表
RIPv2自动汇总生效
配置手动汇总需首先删除上一步骤中使 RIPv2 自动汇总功能生效的配置,在R3上使用 rip summary-address 命令配置手动汇总
[R3]interface Serial 1/0/1
[R3-Serial1/0/1]ripsummary-address3.3.0.0 255.255.252.0
- RIP路由协议基本配置实验
[R1-g0/0/0]ip add 10.0.12.1 24
[R1-LoopBack0]ip add 10.0.1.1 24
[R2-g0/0/0]ip add 10.0.12.2 24
[R2-LoopBack0]ip add 10.0.2.2 24
检测连通性
使用rip命令创建并开始协议进程
查看R1,R2,路由表-dis ip routing-table
两台路由器已经通过RIP协议学习到了对方回环接口所在网段的路由条目
测试R1 R2环回接口间的连通性
通信正常
- 配置 RIP认证实验
[R1-GigabitEthernet0/0/0]ip add 10.0.12.1 24
[R1-GigabitEthernet0/0/1]ip add 192.168.10.254 24
[R2-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[R2-GigabitEthernet0/0/1]ip add 192.168.20.254 24
[R3-GigabitEthernet0/0/0]ip add 10.0.12.3 24
PC1:192.168.10.1 24 网关:192.168.10.254
PC2:192.168.20.1 24 网关:192.168.20.254
基本配置完成,检查连通性
配置路由器R1,R2的协议,并添加需要通告的网段
查看R1,R2的路由表
可以观察到R1 ,R2,已经正常的获得了RIP路由条目
R3作为攻击者,配置RIPv2协议,通告该网段
查看R3路由表
R3 已经非法获取了R1, R2上用户终端所在的两个网段的路由信息,此时R3 就可以向两个网段发送大量的ping包,导致网络链路拥堵,形成攻击
模拟攻击,CTRL+C即可停止
在R3 上配置两个用于欺骗的环回口
[R3-LoopBack0]ip add 192.168.10.1 24
[R3-LoopBack1]ip add 192.168.20.1 24
查看R1,R2的路由表
可以观察到 R3 发过来的路由更新。因为 R2 和 R3 发送 RIP 更新的 cost 都是 1跳,所以在 R1 的路由表中,目的为 192.168.20.0 网段形成了两条等价负载均衡的路径,下一跳分别是 R2 和 R3。这样会导致去往 192.168.20.0网段的数据包有部分转发给了欺骗路由器 R3,R2 的路由表变化和 R1 同理。
在 R1 和 R2上配置 RIP 的简单验证实现对网络的保护。
在路由器 R1 和 R2 的 GE 0/0/1 接口配置认证,使用简单验证方式,密码为 huawei。
等待一段时间,查看R1,R2 的路由表
可以观察到现在 R1 与 R2 的路由表恢复正常,R3 发送的欺骗路由在路由表中消失。原因是 R1 和 R2 配置了 RIP 认证,就要求在 RIP 更新报文中包含认证密码,如果密码错误或者不存在,将认为该路由非法并丢弃。
- RIP路由协议汇总
[R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
[R2-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[R2-GigabitEthernet0/0/1]ip add 192.168.23.2 24
[R3-LoopBack0]ip add 3.3.0.3 24
[R3-LoopBack1]ip add 3.3.1.3 24
[R3-LoopBack2]ip add 3.3.2.3 24
[R3-LoopBack3]ip add 3.3.3.3 24
[R3-GigabitEthernet0/0/1]ip add 192.168.23.3 24
检测连通性
配置RIPv1协议
在路由器R1,R2,R3上配置RIPV1协议,通告相应网段
查看R1 R2路由表
可以观察到R3发过来的汇总路由条目3.0.0.0/8
在R3上抓包
可以观察到,RIPv1 的协议报文中没有携带掩码信息,只有相应的网络号以及 Metric 值,即 RIPv1 只发布汇总后的有类路由。RIPv1默认开启自动汇总,且无法关闭,也不支持手动汇总。可以使用 display default-parameter rip 命令查看 RIP 默认配置信息。
观察到开启了默认自动汇总
在路由器R1,R2,R3上配置V2命令,运行RIPv2协议
查看R1,R2路由表
可以观察到,接收到的路由条目是具体的明细路由条目,而没有汇总路由,即此时 RIPv2 默认自动汇总并没有生效。
这是因为在华为设备上,以太网接口和串口都默认启用了水平分割功能。为了防止环路和不连续子网问题的产生,在启用了水平分割或毒性逆转的接口上,RIPv2 的默认自动汇总就会失效,所以从 R3 通告过来的都是具体的明细路由条目。
要使 RIPv2 的默认自动汇总生效,有两种方法。
第一种方法,使用 summary always 命令。配置该命令后,不论水平分割是否启用, RIPy2 的自动汇总都生效。
要使 RIPv2 的默认自动汇总生效,使用 summary always 命令
查看R1,R2 的路由表
RIPv2自动汇总生效
配置手动汇总需首先删除上一步骤中使 RIPv2 自动汇总功能生效的配置,在R3上使用 rip summary-address 命令配置手动汇总
[R3]interface Serial 1/0/1
[R3-Serial1/0/1]ripsummary-address3.3.0.0 255.255.252.0