一、试验环境

ABC三个不同地区的网络系统,各有1台路由器、1台交换机和1台主机,使用2M专线实现广域互联。系统之间使用OSPF路由协议,为了防止其他的网络系统私自接入进来,路由器之间配置OSPF认证。认证可以在链路上进行,也可以在整个区域上进行。试验选择前者,AB之间使用明文认证,相互之间发送共享密钥进行认证;AC之间使用MD5认证,相互之间发送共享密钥加密的报文摘要进行认证。

二、网络设备

路由器和交换机都使用Cisco 3640,但配置不同的模块。Cisco 3640有以下模块:

1NM-4E模块  4端口10M以太网模块

2NM-4T模块  4端口串行网络模块

3NM-1FE-TX   1端口100M TX以太网模块

4NM-16ESW    16端口10/100以太交换网络模块

试验中路由器选择NM-4TNM-1E模块,交换机选择NM-16ESW模块。

三、连接关系

(一)A地区网络系统

Router1 S0/0 – Router2 S1/0

Router1 S0/1 – Router3 S1/0

Router1 E1/0 – Switch1 F0/0

Switch1 F0/1 – VPC1

(二)B地区网络系统

Router2 S1/0 – Router1 S0/0

Router2 E0/0 – Switch1 F0/0

Switch2 F0/1 – VPC2

(三)C地区网络系统

Router3 S1/0 – Router1 S0/0

Router3 E0/0 – Switch1 F0/0

Switch3 F0/1 – VPC2

四、地址分配

A地区内网:21.125.73.0/255.255.255.0

B地区内网:21.125.74.0/255.255.255.0

C地区内网:21.125.75.0/255.255.255.0

AB网间网:21.125.1.250/255.255.255.254

AC网间网:21.125.1.252/255.255.255.254

五、管理方式

DynamipsGUI模拟上述网络,Secure CRTTelnet方式管理网络设备使用的端口参数如下:

Router1 2001

Router2 2002

Router3 2003

Switch1 3001

Switch2 3002

Switch3 3003

六、具体配置

(一)内网连通

Switch1上:

新建VLAN73

F0/1分配给VLAN73

F0/0接口设为Trunk802.1Q封装;

Router1上:

E1/0接口分出VLAN73子接口,802.1Q封装,IP地址设为VLAN73的网关21.125.73.254

A地区的虚拟终端能够Ping通内网网关。为网络设备设定各自的名字。

BC地区按照A地区完成配置。

(二)广域连通

Router1,配置地址

S0/0 21.125.1.250/255.255.255.254

S0/1 21.125.1.252/255.255.255.254

启动OSPF进程,并发布网络

21.125.73.0/0.0.0.255

21.125.1.250/0.0.0.1

21.125.1.252/0.0.0.1

Router2Router3,完成相同配置。

使用命令show cdp neighbors,确定彼此之间连接正常;使用命令show ip route,确定相互之间学习到对方的路由信息。

(三)配置认证

1.明文认证

Router1,对S0/0端口启用明文方式的OSPF认证

ip ospf authentication

ip ospf authentication-key cisco

再查看路由,发现路由超时更新失败。在Router2,对S1/0端口也启用明文方式的OSPF认证,使用一致的共享密钥,路由成功更新。

2.密文认证

Router1,对S0/1端口启用MD5方式的OSPF认证

ip ospf authentication message-digest

ip ospf message-digest-key 1 md5 cisco

可以得到与以上相同的结果。

七、结论

不配置OSPF认证,只需要知道正确的网间网地址和区域号,本地网络就可以连入到广域网络。网间网地址和区域号属于维护性资料,通常很容易得到,因此存在未经授权私自接入的风险。配置OSPF认证,还必须知道认证方式和共享密钥,而这些信息是由管理员个人掌握,通常不容易得到,非法接入的风险大大降低。