认证
1、链路认证 接口下操作,防止链路接入非法路由器(无授权)链路所有设备都需要开启
(1)明文认证 不安全
ip ospf authentication //开启认证(认证数据为空,认证参数改变)
ip ospf authentication //输入密钥(认证数据不为空)
(2)md5认证 安全(数据+密钥+随机值用算法得出一个值k1,向对方传k1+数据+随机值,对方用自己的密钥重新计算得到k2,k1==k2,则认证成功)
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco
2、区域认证 针对区域内所有接口,防止区域内接入非法路由器(无授权)区域所有设备都需开启
(1)明文认证
router ospf 1
area 0 authentication //开启认证
int f0/0
ip ospf authentication-key cisco//接口写入认证密钥
(2)md5认证
router ospf 1
area 0 authentication message-digest //开启md5认证
int f0/0
ip ospf message-digest-key 1 md5 cisco//接口写入md5认证密钥
虚链路
虚链路 并不是开辟新的链路,而是普通区域相接路由器变为ABR之后传给area0
实际上虚链路只存在在拓扑图中
用法:
1、连接远离骨干区域的普通区域
2、缝合不连续的骨干域(可以用于骨干区域的备份设置)
配置:
在两个ABR上配置,取消周期的更新和邻居保活
r2(config)#router ospf 1
r2(config-router)#area 1 virtual-link 4.4.4.4
穿越区域 对端ABR的RID
注:router ospf 1
capablility transit
//开启普通区域转发区域0的LSA,一旦关闭无法做成虚链路,一般默认开启
过滤
1、分发列表–是一种操作路由表显示路由条目的做法 //使用时不太推荐,有局限(本路由器过滤的路由会影响下游路由)
router ospf 1
distribute-list 1 in f0/0
access-list 1 deny host 10.5.5.5
access-list 1 permit any
//OSPF中不能使用OUT操作,在距离矢量中可以
2、前缀列表–只能针对3类LSA,并且在所有ABR上都要做
router ospf 1
area x filter-list perfix xx out
ip perfix-list xx seq 5 deny 10.5.5.5/32
ip perfix-list xx seq 15 permit 0.0.0.0/0 le 32
3、通过汇总不宣告来过滤明细路由,明细都不通告来过滤明细路由(汇总和明细都不通告)
area x range xx not-advertise
4、重发布的过滤,在重发布的时候跟router-map来过滤
router ospf 1
redistribute connected subnets router-map k
router-map k deny 10
match ip address 1
exit
router-map k permit 20
exit
access-list 1 permit 10.5.5.5
注:区域规划时,如果需要在stub区域做备份修改
metric router ospf 1 area x stub default-metric x //修改stub区默认三类的开销
area x nssa default-information-originate metric x //NSSA
前缀列表
1、与ACL的对比
ACL—数据层面流量的访问控制;定义感兴趣流量
前缀列表—专门用于为路由策略抓取网络号;可以为分发列表和route-map服务;
2、匹配规则
至上而下逐一匹配,若上条匹配则按上条执行,不再查看下条;末尾隐含拒绝所有
3、配置
r1(config)#ip prefix-list ccie permit 1.1.1.0/24
r1(config)#ip prefix-list ccie permit 1.1.2.0/24
r1(config)#ip prefix-list ccie seq 6 permit 2.2.2.0/24 使用需要插入
r1(config)#no ip prefix-list ccie permit 1.1.1.0/24 可以随意删除某条
r1(config)#ip prefix-list ccie permit 3.3.3.0/24 le 30 掩码 24--30
r1(config)#ip prefix-list ccie permit 3.3.3.0/24 ge 30 30-32
r1(config)#ip prefix-list ccie p 3.3.3.0/24 ge 25 le 25 25
r1(config)#ip prefix-list ccie permit 3.3.3.0/24 ge 25 le 30 25-30
r1(config)#ip prefix-list ccie permit 0.0.0.0/0 le 32 允许所有
偏移列表
在RIP或EIGRP工作时,基于控制层面的流量,在其进出时进行增加;可以叠加生效;只能使用ACL抓流量;
分发列表
1、在控制层面流量的进出的接口上限制条目的传递;ACL和前缀列表均可使用
2、配置
r4(config)#ip prefix-list xx deny 2.2.2.0/24
r4(config)#ip prefix-list xx permit 0.0.0.0/0 le 32
r4(config)#router rip
r4(config-router)#distribute-list prefix xx out fastEthernet 0/0
方向 进或出接口
注:若在OSPF协议中调用,必须为in方向调用;
3、重发布时调用
r4(config)#ip prefix-list yy deny 2.2.2.0/24
r4(config)#ip prefix-list yy permit 0.0.0.0/0 le 32
r4(config)#router rip
r4(config-router)#distribute-list prefix yy out ospf 1
必须为out方向,以上配置理解为 从ospf 1发出进入rip时生效;
router-map
主要在重发布、PBR、BGP选路时提供策略;可以搭配ACL、前缀列表工作
r2(config)#access-list 1 permit 1.1.1.0
r2(config)#access-list 2 permit 1.1.2.0
r2(config)#ip prefix-list a permit 1.1.3.0/24
r2(config)#ip prefix-list b permit 1.1.4.0/24
r2(config)#route-map ccie permit 10 创建列表CCIE,大动作为允许,序号10
r2(config-route-map)#match ip address 2 匹配ACL
r2(config-route-map)#set metric-type type-1 小动作为修改类型
r2(config-route-map)#exit
r2(config)#route-map ccie permit 20 列表CCIE的序号20,大动作为允许
r2(config-route-map)#match ip address prefix-list a 匹配前缀列表
r2(config-route-map)#set metric ?
+/-<metric> Add or subtract metric
<0-4294967295> Metric value or Bandwidth in Kbits per second
<cr>
r2(config-route-map)#set metric 10 小动作为修改度量值
r2(config-route-map)#exit
r2(config)#route-map ccie deny 30 序号30,大动作为拒绝
r2(config-route-map)#match ip address prefix-list b 匹配前缀李波
r2(config-route-map)#exit
r2(config)#route-map ccie permit 40 序号40的空表,标示允许所有
r2(config-route-map)#exit
r2(config)#router ospf 1
r2(config-router)#redistribute rip subnets route-map ccie 在重发布时调用
配置指南
1、在创建route-map时,若不配置大动作,默认为允许;若不配置序号,那么序号永远为10;
2、抓取流量时,必须使用允许,然后在route-map中来拒绝
3、自上而下逐一匹配,若上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有
使用空表项来允许所有;不匹配即匹配所有,不执行则不执行小动作,仅按大动作实施;
r2(config)#route-map ccie permit 60
r2(config-route-map)#exit
4、在route-map存在 and 与 or 或 关系
route-map ccps permit 10
match ip address 1 2 3 4 5 6 或关系
set metric 1
set metric-type type-1 与关系
set origin egp 2
注:当匹配的流量中出现任何一个,就对其执行所有的小动作
5、在一个序列号中,只用基于ACL或者前缀列表工作;
ACL
标准ACL:只能识别数据包中的源IP地址,为了防止误删,调用时尽量靠近目标
扩展ACL:可以识别数据包中的源、目IP地址,源、目端口号和协议号,调用时尽量靠近源
ACL配置–两种配置方式:
1)编号写法–一个编号一张表,删除一条规则整张表消失
a.标准ACL:1-99编号
r1(config)#access-list 1 deny host 192.168.2.2
r1(config)#access-list 1 permit any
r1(config)#interface fastEthernet 0/0.2
r1(config-subif)#ip access-group 1 out
b.扩展ACL:100-199编号
r1(config)#access-list 100 deny ip host 192.168.2.2 host 192.168.3.2
前缀 编号 动作 协议 源 目标
r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0.1
r1(config-subif)#ip access-group 100 in
2)命名写法–一个名字一张表,默认以+10的序号排列
a.标准ACL
r1(config)#ip access-list standard ccna
r1(config-std-nacl)#deny host 192.168.2.2
r1(config-std-nacl)#permit any
r1(config-std-nacl)#int f0/0.2
r1(config-subif)#ip access-group ccna out
b.扩展ACL
r1(config)#ip access-list extended ccna
r1(config-ext-nacl)#deny ip host 192.168.2.2 host 192.168.3.2
r1(config-ext-nacl)#permit ip any any
r1(config-std-nacl)#int f0/0.1
r1(config-subif)#ip access-group ccna in
举例:
r1(config)#ip access-list extended bbb
r1(config-ext-nacl)#deny tcp host 192.168.2.2 host 10.1.1.2 eq 23
r1(config-ext-nacl)#deny tcp host 192.168.2.2 host 172.16.1.1 eq 23
telnet:远程登录协议,基于TCP 23端口工作