eNSP学习——配置RIPv2认证

最新推荐文章于 2024-07-19 15:16:23 发布
最新推荐文章于 2024-07-19 15:16:23 发布
阅读量1k 收藏 11
点赞数 31
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55908180/article/details/139475820
版权

目录

主要命令

原理概述

实验目的

实验内容

实验拓扑

实验编址

实验步骤

1、基本配置

2、搭建RIP网络

3、模拟网络攻击

4、配置RIPv2简单验证

5、配置RIPv2 MD5密文验证

   需要eNSP各种配置命令的点击链接自取:华为eNSP各种设备配置命令大全PDF版_ensp配置命令大全资源-CSDN文库

主要命令

配置简单认证
[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei

配置MD5密文验证
[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei

原理概述

        配置协议的认证可以降低设备接受非法路由选择更新消息的可能性,也可称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,有简单MD5密文两种验证方式。

        简单验证是指在认证的消息当中所携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。

        MD5密文验证是一种单向消息摘要(message digest)算法安全散列函数(secure

hash function),由 RSA Date Security,Inc提出。有时MD5也被作为一个加密校验和( cryptographic checksum)。MD5算法是通过一个随意长度的明文消息(例如,一个RIPv2的更新消息)和口令计算出一个128位的hash 值。hash值类似“指纹”,这个“指纹”随同消息一起传送,拥有相同口令的接收者会计算它自己的 hash值,如果消息的内容没有被更改,接收者的hash值应该和消息发送者的hash值相匹配。

实验目的

1、理解配置RIPv2认证的场景和意义;

2、掌握配置RIPv2简单认证的方法;

3、掌握测试RIPv2简单验证的配置结果的方法;

4、掌握配置RIPv2 MD5密文验证的方法;

5、掌握测试RIPv2 MD5密文验证的配置结果的方法。

实验内容

        本实验模拟企业网络场景。某公司有两台路由器R1与R2,各自连接着一台主机,并且R1和R2之间配置RIPv2协议学习路由条目。R3模拟作为网络中的攻击者,窃取R1与R2间的路由信息,并发布了一些虚假路由,使R1和R2的相关路由的选路指向了R3,形成了路由欺骗。为了避免遭受攻击,提高网络安全性,网络管理员将配置RIPv2认证。

实验拓扑

实验编址

设备

接口

IP地址

子网掩码

默认网关

PC1

Ethernet 0/0/1

192.168.10.10

255.255.255.0

192.168.10.1

PC2

Ethernet 0/0/1

192.168.20.20

255.255.255.0

192.168.20.1

R1(AR2220)

GE 0/0/0

192.168.10.1

255.255.255.0

N/A

GE 0/0/1

192.168.12.1

255.255.255.0

N/A

R2

GE 0/0/0

192.168.20.1

255.255.255.0

N/A

GE 0/0/1

192.168.12.2

255.255.255.0

N/A

R3

GE 0/0/0

192.168.12.3

255.255.255.0

N/A

Loopback 0

192.168.10.1

255.255.255.0

N/A

Loopback 1

192.168.20.1

255.255.255.0

N/A

实验步骤

1、基本配置

        根据实验编址进行相应的配置(R3的环回接口先不配置),使用ping命令测试直连链路之间的连通性。

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.12.1 24

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.20.1 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.12.2 24

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.12.3 24

其余直连网段的连通性测试省略。

2、搭建RIP网络

        配置公司路由器R1和R2的 RIPv2协议,并添加需要通告的网段。

[R1]rip 1
[R1-rip-1]version 2	
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 192.168.12.0

[R2]rip 1	
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 192.168.12.0

        配置完成后,检查R1与R2的路由表。

可以观察到,此时双方都已经正常地获得了RIP路由条目。

3、模拟网络攻击

        配置路由器R3作为攻击者,接入公司网络。在基本配置中已经将接口GE 0/0/0地址配置为192.168.12.3,与该公司路由器在同一网段,并配置RIPv2协议,通告该网段,配置完成后查看R3的路由表。

[R3]rip 1
[R3-rip-1]version 2	
[R3-rip-1]network 192.168.12.0

        观察发现R3已经非法获取了R1和R2上用户终端所在的两个网段的路由信息。此时R3就可以向两个网段发送大量的ping包,导致网络链路拥塞,形成攻击。

        下面是R3模拟攻击演示,发送10万个ping包给PC-1,导致攻击发生。可以按<Ctrl+C>组合键来终止该操作。

        完成上述模拟后,在 R3上分别配置两个用于欺骗的环回接口,地址分别为192.168.10.1和192.168.20.1,即与公司网络中两个用户的地址相同,并且在RIP协议中通告这两个欺骗的网段。

[R3]int loopback 0
[R3-LoopBack0]ip add 192.168.10.1 24
[R3-LoopBack0]int loopback 1
[R3-LoopBack1]ip add 192.168.20.1 24
[R3-LoopBack1]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0

        配置完成后,查看R1、R2的路由表。

        可以观察到R3发过来的路由更新。因为R2和R3发送RIP更新的cost都是1跳,所以在R1的路由表中,目的为192.168.20.0网段形成了两条等价负载均衡的路径,下一跳分别是R2和R3。这样会导致去往192.168.20.0网段的数据包有部分转发给了欺骗路由器R3,R2的路由表变化和R1同理。

4、配置RIPv2简单验证

        为了提升网络安全性,避免发生上述攻击和路由欺骗,网络管理员可在R1和R2上配置RIP的简单验证实现对网络的保护。

        在路由器R1和R2的GE 0/0/1接口配置认证,使用简单验证方式,密码为 huawei。注意,两端的密码必须保持一致,否则会导致认证失败,从而使得RIP协议无法正常运行。

[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei

[R2]int g0/0/1	
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei

        配置完成后,稍等一会儿,再次查看R1、R2的路由表。

        可以观察到现在R1与R2的路由表恢复正常,R3发送的欺骗路由在路由表中消失。原因是R1和R2配置了RIP认证,就要求在RIP更新报文中包含认证密码,如果密码错误或者不存在,将认为该路由非法并丢弃。

        在路由器R1的GE 0/0/1接口上抓包,如下图所示。

        可以看到,此时R1与R2之间发送的RIP报文中含有authentication字段,并且密码是明文。

5、配置RIPv2 MD5密文验证

        在上一步骤中,在R1和R2上配置了简单验证方式的认证后,成功地抵御了R3的路由欺骗和攻击,且主机PC-1与PC-2可以正常通信。但是通过抓包能够发现,简单验证方式下的认证安全性非常差,攻击者虽然无法直接攻击网络,但是可以通过抓取 RIP协议数据包获得明文密码,因此建议使用MD5密文验证方式进行RIPv2的认证。

        在R1和R2的GE 0/0/1接口上删除上一步骤中的简单验证配置,选择使用MD5密文验证方式配置。配置时可以选择MDS密文验证方式的报文格式,usual参数表示使用通用报文格式nonstandard参数表示使用非标准报文格式(IETF标准),但是必须保证两端的报文格式一致,这里选用通用标准格式。

[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]undo rip authentication-mode 
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei

[R2]int g0/0/1	
[R2-GigabitEthernet0/0/1]undo rip authentication-mode 
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei

配置完成后,查看R1与R2的路由表。

        可以观察到R1与R2的路由表正常,R3发送的欺骗路由在路由表中消失,与配置简单验证的效果一样。

        继续抓取R1的GE 0/0/1接口上的报文就会发现抓包已经无法看到配置的认证密码,而是看到一个128位的hash值,这是一种单向的散列值,难以破解。

TXFBAP
关注
  • 31
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eNSP学习——RIP故障处理
TXFBAP的博客
06-09 1179
掌握RIP故障的产生原因; 掌握RIP故障诊断流程; 掌握RIP故障处理步骤; 掌握RIP故障排除的常用命令。
eNSP学习-配置STP定时器
02-18
在IT行业中,网络模拟平台(如eNSP)是学习和测试网络技术的重要工具,而STP(Spanning Tree Protocol,生成树协议)是确保网络拓扑无环、提高链路利用率的关键协议。本篇文章将深入探讨如何在eNSP环境中配置STP...
ENSP模拟器】RIP(HCNP)——RIPv2配置及实现
热门推荐
Dragon的博客
05-29 1万+
案例1:RIPv2基础配置 如图所示的网络中,我们将在每台路由器上部署RIPv2,使得网络中各个网段之间可以能够实现相互通信。 R1的配置: # sysname R1 # interface GigabitEthernet0/0/1 ip address 192.168.1.2 255.255.255.252 # interface GigabitEthernet0/0/2 ip address 192.168.1.5 255.255.255.252 # rip 1 version 2
eNSP实操——RIP协议
m0_63884865的博客
01-15 2079
本图是动态路由协议基础 ,RIP是相对容易理解且运用的。静态路由配置带来的麻烦被动态路由协商共享所解决,随之安全问题也容易出现,另外RIP更适合用于直线型网络。
ensp——动态路由RIP配置实验
FJ70940927的博客
01-15 2684
如下图。
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
eNSP设备基础配置docx文档
06-21
eNSP设备基础配置 eNSP设备基础配置是指对eNSP设备...eNSP设备基础配置包括偏好设置、PC机配置、路由器IP地址配置、设置PC1向PC2的路由连接和设置PC2向PC1的路由回路等步骤。只有通过这些步骤,eNSP设备才能正常工作。
ensp三a认证,远程登陆
03-16
个人整理的笔记,更多的配置可以加企鹅进行讨论(1361651799)如果有大佬可以指点一二那更好了
ensp 华为 ensp 无线实验配置
03-21
在进行“ensp华为无线实验配置”时,我们将深入探讨如何在ENSP中搭建和配置华为的无线网络环境,这对于理解无线网络原理、学习华为无线解决方案以及准备相关认证考试具有重要意义。 首先,ENSP支持多种华为设备模型...
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 313
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
kubernetes学习日志(七)
qq_47037022的博客
07-18 438
本文记录了service管理,ingress管理,Dashboard管理插件,集群鉴权策略,角色与全局角色,赋权与全局角色赋权。
手写简易版Spring IOC容器02【学习
最新发布
weixin_44794897的博客
07-19 362
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
博客前端项目学习day03——框架页
qq_53237241的博客
07-19 259
【代码】博客前端项目学习day03——框架页。
python 语法学习 day 7
2303_79973545的博客
07-15 321
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
钓鱼攻击 - 基础学习
Reset
07-16 709
钓鱼攻击是一种典型的欺诈式攻击手段,攻击者通过伪装成可以信任的角色,利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接,并诱骗被攻击者点击执行,从而实现对被攻击者计算机的远程控制或恶意程序感染。
安卓学习中遇到的问题【bug】
小心星的博客
07-15 1111
安卓学习中遇到的问题【bug】
Cadence23学习笔记(三)
zjb6668的博客
07-15 360
焊接FPC的时候先上锡,焊台加热后再图上焊油,再放置元器件,再加热:万用表测电流只需要把表笔接到电流的孔位即可测量电流,不需要接再串联一个负载:有些线性电源两个通道可以串联,并联起来使用;
ensp三层交换机配置ripv2
01-10
ENSP三层交换机上配置RIPv2,可以按照以下步骤进行操作: 1. 进入交换机的全局配置模式: ```shell system-view ``` 2. 创建一个RIPv2进程,并进入RIPv2进程视图: ```shell rip 1 ``` 3. 配置RIPv2进程的路由版本为RIPv2: ```shell version 2 ``` 4. 配置RIPv2进程的网络,将需要进行路由学习和广播的网络添加到RIPv2进程中。例如,假设需要配置192.168.0.0/24和10.0.0.0/24两个网络: ```shell network 192.168.0.0 network 10.0.0.0 ``` 5. 退出RIPv2进程视图: ```shell quit ``` 6. 将RIPv2进程应用到接口上,使接口开始学习和广播RIPv2路由信息。例如,假设需要将RIPv2进程应用到GigabitEthernet0/0/1接口上: ```shell interface GigabitEthernet0/0/1 rip 1 enable ``` 7. 退出接口视图: ```shell quit ``` 8. 重复步骤6和步骤7,将RIPv2进程应用到其他需要学习和广播RIPv2路由信息的接口上。 9. 保存配置并退出全局配置模式: ```shell save quit ``` 请注意,以上步骤仅为示例,实际配置中需要根据具体网络环境和需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值