目录
RIP报文安全认证[实验图如下]
基础配置
首先完成接口的ip配置[R3模拟的是攻击者的垃圾报文,这些报文对于链路包括设备来说都是负担,但rip却无法鉴别这些报文是否为垃圾报文所以也就无法对其进行拦截,对于这些垃圾报文rip中的其他设备依旧会加载进路由表。那么不难想象如果R3的垃圾报文是批量生成的,其对整个网络所造成的影响]:
R1:
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]interface LoopBack 0
[Huawei-LoopBack0]ip address 1.1.1.1 24
[Huawei]rip
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 1.0.0.0
R2
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]interface LoopBack 0
[Huawei-LoopBack0]ip address 2.2.2.2 24
[Huawei-LoopBack0]q
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 2.0.0.0
R3
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]interface LoopBack 0
[Huawei-LoopBack0]ip address 3.3.3.3 24
[Huawei-LoopBack0]q
[Huawei]interface LoopBack 1
[Huawei-LoopBack1]ip address 4.4.4.4 24
[Huawei-LoopBack1]q
[Huawei]interface LoopBack 2
[Huawei-LoopBack2]ip address 5.5.5.5 24
[Huawei-LoopBack2]q
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 3.0.0.0
[Huawei-rip-1]network 4.0.0.0
[Huawei-rip-1]network 5.0.0.0
现在已经完成了基础配置,查看R1的路由表验证上面的思路是否准确,可以看到R1中有R3的所有垃圾报文,这对于设备来说无疑是一种负担。
RIP认证
R1【其中simple为报文的认证方式:明文认证;即认证密码在报文传输中是明文的,验证图1-5;
plain是指配置文件为明文,可通过dis th查看配置信息来获取密码信息,验证图1-6】
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode simple plain 123
图1-5【Src:原ip地址;Authentication:认证方式;Password: 密码】
图1-6[可见配置是明文的将plain换成 cipher就把配置文件变成了密文]
现在我们查看R2的路由表,按照上面的思路现在R2路由表是查看不到1.1.1.0/24的:
果然R1的1.1.1.0/24没有出现在R2的路由表中,那么只要为R2也配置上RIP验证就可以了:
R2:
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode simple plain 123
现在再查看R2的路由表【可以看到R2上已经没有R3的垃圾报文了】
rip接口度量值的增加
【使用上面的实验来完成,此时R2路由表上的1.1.1.0/24的度量值为1】
R2:
匹配1.1.1.0/24的路由条目:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 permit source 1.1.1.0 0.0.0.255
[Huawei-acl-basic-2000]q
配置代码,为1.1.1.0/24路由增加1个度量值
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0]rip metricin 2000 2
查看R1的路由表【可以看到1.0.0.0/24条目的度量值已经变成了3】: