- 实验需求
- AR1AR2连接在一台交换机上,并开启RIPv2。正常情况下,AR1能从AR2上获取10.10.10.0/24 的路由。这时,出现了AR3这个攻击者,AR3接入到交换机上,开启RIPv2并通告10.10.10.0/24的路由,那么AR1 的路由表会受到影响。如果两条10.10.10.0/24路由的度量值相同,则会出现路由等价负责分担,发往这个网段的数据包可能会发送给AR3。导致业务中断;如果AR3的跳数比AR2更新,就会刷新AR1的路由表,导致业务彻底中断。
- 使用报文认证:
- rip authentication-mode simple plain xxx
- plain表示明文口令
- cipher表示密文口令
- 实验拓扑图
-
- 实验设备
- 3台AR2220 路由器 1台S3700交换机 1台PC
- 实验配置
- 在PC上配置IP地址为10.10.10.2 子网掩码 255.0.0.0 网关为10.10.10.1
- 在路由器1上配置
- int g 0/0/0 进入接口
- ip add 192.168.100.1 24 配置IP地址
- un shu 开启接口
- rip 启动rip进程
- version 2 配置为使用版本2
- network 192.168.100.0 宣告主网络号
-
- 在路由器2上配置
- int g 0/0/0 进入接口
- ip add 192.168.100.2 24 配置IP地址
- un shu 开启接口
- int g 0/0/1 进入接口
- ip add 10.10.10.1 24 配置IP地址
- un shu 开启接口
- q 退出
- rip 启动rip进程
- version 2 配置为使用版本2
- network 192.168.100.0 宣告主网络号
- network 10.0.0.0 宣告主网络号
-
- 在路由器3上配置
- int g 0/0/0 进入接口
- ip add 192.168.100.3 24 配置IP地址
- un shu 开启接口
- q 退出
- rip 启动rip进程
- version 2 配置为使用版本2
- network 192.168.100.0 宣告主网络号
-
- 验证
-
- 此时PC可以全网通,但是任意添加一台PC都可以通信,会导致整个网络不安全
- 此时在R1的g0/0/0接口和R2的g0/0/0上使用报文认证
- int g0/0/0 进入接口
- rip authentication-mode simple plain yjs 使用明文密码yjs 进行报文认证
-
-
- 添加报文认证后PC可以ping通R1无法ping通R3
-
华为报文认证
最新推荐文章于 2023-03-09 18:30:29 发布