一、试验环境
A、B、C三个不同地区的网络系统,各有1台路由器、1台交换机和1台主机,使用2M专线实现广域互联。系统之间使用OSPF路由协议,为了防止其他的网络系统私自接入进来,路由器之间配置OSPF认证。认证可以在链路上进行,也可以在整个区域上进行。试验选择前者,A和B之间使用明文认证,相互之间发送共享密钥进行认证;A和C之间使用MD5认证,相互之间发送共享密钥加密的报文摘要进行认证。
二、网络设备
路由器和交换机都使用Cisco 3640,但配置不同的模块。Cisco 3640有以下模块:
(1)NM-4E模块 4端口10M以太网模块
(2)NM-4T模块 4端口串行网络模块
(3)NM-1FE-TX 1端口100M TX以太网模块
(4)NM-16ESW 16端口10/100以太交换网络模块
试验中路由器选择NM-4T、NM-1E模块,交换机选择NM-16ESW模块。
三、连接关系
(一)A地区网络系统
Router1 S0/0 – Router2 S1/0
Router1 S0/1 – Router3 S1/0
Router1 E1/0 – Switch1 F0/0
Switch1 F0/1 – VPC1
(二)B地区网络系统
Router2 S1/0 – Router1 S0/0
Router2 E0/0 – Switch1 F0/0
Switch2 F0/1 – VPC2
(三)C地区网络系统
Router3 S1/0 – Router1 S0/0
Router3 E0/0 – Switch1 F0/0
Switch3 F0/1 – VPC2
四、地址分配
A地区内网:21.125.73.0/255.255.255.0
B地区内网:21.125.74.0/255.255.255.0
C地区内网:21.125.75.0/255.255.255.0
A与B网间网:21.125.1.250/255.255.255.254
A与C网间网:21.125.1.252/255.255.255.254
五、管理方式
DynamipsGUI模拟上述网络,Secure CRT以Telnet方式管理网络设备使用的端口参数如下:
Router1 : 2001
Router2 : 2002
Router3 : 2003
Switch1 : 3001
Switch2 : 3002
Switch3 : 3003
六、具体配置
(一)内网连通
在Switch1上:
新建VLAN73;
F0/1分配给VLAN73;
F0/0接口设为Trunk,802.1Q封装;
在Router1上:
E1/0接口分出VLAN73子接口,802.1Q封装,IP地址设为VLAN73的网关21.125.73.254
A地区的虚拟终端能够Ping通内网网关。为网络设备设定各自的名字。
B、C地区按照A地区完成配置。
(二)广域连通
在Router1,配置地址
S0/0 :21.125.1.250/255.255.255.254
S0/1 :21.125.1.252/255.255.255.254
启动OSPF进程,并发布网络
21.125.73.0/0.0.0.255
21.125.1.250/0.0.0.1
21.125.1.252/0.0.0.1
在Router2和Router3,完成相同配置。
使用命令show cdp neighbors,确定彼此之间连接正常;使用命令show ip route,确定相互之间学习到对方的路由信息。
(三)配置认证
1.明文认证
在Router1,对S0/0端口启用明文方式的OSPF认证
ip ospf authentication
ip ospf authentication-key cisco
再查看路由,发现路由超时更新失败。在Router2,对S1/0端口也启用明文方式的OSPF认证,使用一致的共享密钥,路由成功更新。
2.密文认证
在Router1,对S0/1端口启用MD5方式的OSPF认证
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco。
可以得到与以上相同的结果。
七、结论
不配置OSPF认证,只需要知道正确的网间网地址和区域号,本地网络就可以连入到广域网络。网间网地址和区域号属于维护性资料,通常很容易得到,因此存在未经授权私自接入的风险。配置OSPF认证,还必须知道认证方式和共享密钥,而这些信息是由管理员个人掌握,通常不容易得到,非法接入的风险大大降低。
转载于:https://blog.51cto.com/cyberspace/507356