ensp实验：配置OSPF

需求：

黄色区域为ospf区域；

路由器R8在非ospf区域，用来模拟运营商网络；ospf中所有的路由器要能通过缺省路由来找到R8；

 

1.配置192网段（路由器R1、R2、R3、R6）

配置R1:

sys                        //配置模式
sys R1                    //将路由器命名为R1       
int g0/0/0                //配置 g0/0/0接口
ip add 192.168.0.1 24        //给g0/0/0接口绑定ip地址
 
ospf 1 router-id 1.1.1.1        //跑ospf，手动配置router-id
area 0                        //区域0
net 192.168.0.1 0.0.0.0    //网段和反掩码

 

 

配置R2

sys
sys R2
int g0/0/0
ip add 192.168.0.2 24
 
ospf 1 router-id 2.2.2.2
area 0
net 192.168.0.0 0.0.0.255

 

配置R3

sys
sys R3
int g0/0/0 
ip add 192.168.0.3 24
 
ospf 1 router-id 3.3.3.3
area 0
net 192.168.0.0 0.0.0.255

 

配置R6

sys
sys R6
int g0/0/0
ip add 192.168.0.6 24
 
ospf 1 router-id 6.6.6.6
area 0
net 192.168.0.0 0.0.0.255

 

配置好后，R1会有3个邻居；

查看邻居命令：

dis ospf peer b

可以看到：

    R1有三个邻居，并且状态都是Full；

    因为R1是最先启动的，是DR，并且DR是非抢占性的，后面的路由器启动并不改变其DR的地位；

 

查看R1的g0/0/0接口的状态：

dis ospf int g0/0/0

可以确定R1就是DR:

 

2.将R1设为DR，R2设为BDR

如果几个路由器同时开启ospf，都会参与选举DR和BDR；

由于优先级相同，会比较Router-id，最大的为DR，次大的为BDR；

也就是说，R6会成为DR（RID=6.6.6.6），R3会成为BDR（RID=3.3.3.3）;

为了达到目的，可以将R1和R2的优先级提高；

优先级默认值为1，为了R1的优先级最高，将R1的优先级设为3；R2的优先级设为2；

 

设置R1的优先级：

ospf dr-pri 3

 

设置R2的优先级：

ospf dr-pri 2

 

由于DR和BDR是非抢占性的，修改了优先级之后需要重启ospf进程才能重新选举；

给每一个路由器执行重启ospf命令：

reset ospf process

可能由于重启时间先后，和费抢占性的关系，导致达不到预期效果，不行就多重启几次；

 

3.配置R3和R4

配置R3：R3的另一个串口和R4相连，并且跑的是ospf协议；

int s2/0/0        //给R3的串口绑定ip地址
ip add 34.0.0.3 8
 
net 34.0.0.0 0.255.255.255    //在ospf中宣告该网段地址

 

配置R4

sys
sys R4
 
int g0/0/0             //R4的以太网接口和R8相连
ip add 48.0.0.4 8
 
int s2/0/0            //R4的串口和和R3相连
ip add 34.0.0.4 8
 
int lo 4                //配置回环口
ip add 4.4.4.4 32
 
ospf 1 router-id 4.4.4.4    //配置ospf,只宣告34.0.0.0网段和回环口，和R8相连的网段不跑ospf
area 0
net 34.0.0.0 0.255.255.255
net 4.4.4.4 0.0.0.0

R4有一个邻居R3:

 

此时，通过动态路由协议ospf，R4可以学习到192.168.0.0网段的路由；

R1等路由器也能学到4.4.4.4网段（R4的回环口）的路由；

也就是路由器通过动态路由协议学到非直连路由；

查看R1的路由表：

dis ip routing-table pro ospf

可以看到，R1的路由表中有非直连的到4.4.4.4的路由

 

导致的结果是：R1可以ping通4.4.4.4

 

4.验证R1到4.4.4.4的开销

R1到4.4.4.4的cost = 49；

可以使用命令：dis ip routing-table pro ospf 查看R1的路由表看到；

 

分析：

    数据从R1到4.4.4.4的开销为经过的路由器的出接口开销之和；

    R1的出接口的cost=1；

    R4出接口的cost=0；华为设备的回环口cost默认为0；

    R3出接口的cost=48 ：

        R3和R4通过串口相连；

        串口的默认带宽为2.048M；cost = 100M/2.048M = 48.828125，计算开销时只取整数 cost = 48；

    总cost = 1+48+0 = 49；   

 

5.全网通

1）配置R8:

sys 
sys R8
int g0/0/0
ip add 48.0.0.8 8

 

R4和R8直连，因此R4可以ping通48.0.0.8；

但是R1无法ping通48网段，因为48网段没有跑ospf，学不到48网段的路由；

    因此R1无法ping通48.0.0.4（R4在48网段的接口），也无法ping通48.0.0.8（R8的接口）

 

2）R4和R8互通

R8 ping R4：

    ping通的条件是：有出去的路由，并且有回来的路由；

    R4有三个接口：

        1】48网段和R8直连，R8可以ping通48.0.0.4；

        2】 R8没有到回环口4.4.4.4的路由，因此R8无法ping通4.4.4.4

        3】R8也没有34网段的路由，R8无法ping通34.0.0.4

 

为了使R4和R8相互ping通：       

    R4有到R8的路由（R4和R8直连，已经实现）

    R8有到R4的路由（只有48网直连能通，34网段和回环口不通）

 

为了R8能ping通R4的回环口和34网段的接口，可以给R8配置静态的缺省路由，并且指定下一跳为R4

ip route-static 0.0.0.0 0 48.0.0.4

然后，R8能ping通R4的34网段接口和回环口了，实现了R8和R4的互通；

 

3）R8和其它路由器的互通

R8此时无法ping通R1、R3等路由器；

R8有了缺省路由之后，有到达R1的路由，但是R1没有到R8的路由；

导致的结果是R8无法ping通R1，也就是R8无法ping通192.168.0.1

 

解决方案：

1】配静态路由：

    不适应拓扑环境的变化

    配置复杂，每个路由器都要配静态路由；

    具体操作为：写4条静态路由，R1、R2、R6的下一跳为R3，R3的下一跳为R4；

 

2】R4引入48网段的直连路由

在R4中执行命令：

sys
ospf 1
import route direct

导致的结果是，R1可以通过ospf引入的直连路由学到48网段的路由；

R8赔了缺省路由后，有到R1的路由，R1通过ospf学到了引入的R8的直连路由；

R8和R1可以互通，导致R8能ping通R1，也就是R8可以ping通192.168.0.1；

这种方案是hcip阶段的知识；

 

3】企业缺省路由器发布缺省路由（现阶段的最佳方案）

 

ospf发布缺省路由的命令：

default-route-advertise

 

原理：

    如下图，路由器R1是出口设备和运营商网络连接

    R1和里面的设备B1、B2、B3都是跑ospf；

    R1去往外网时，有一条静态的缺省路由；   

    但是里面的路由器（如B1），并不知道R1的这条缺省路由（静态路由无法通过ospf学到）；

    当R1发布了缺省路由后，里面的路由器，都能通过ospf学到这条缺省路由；

    B1发送的数据包就能交给R1，然后R1通过缺省路由交给运营商；

 

方案的具体执行：

    R4是出口设备，R8模拟的运营商网络；

    因此，只要发布R4的缺省路由，就能实现全网通；

配置R4:

    给R4配置缺省路由，下一跳指定为R8；

    发布R4的缺省路由

sys
ip route-static 0.0.0.0 0 48.0.0.8
ospf 1
default-route-advertise

然后，R1、R2、R3、R6中都会多一个0.0.0.0的路由；

这条路由的协议为O_ASE（外部路由），协议的优先级为150；

 

然后R1就能ping通R8了；

  

到此为止，所有路由器都有到出去到R8的路由；

也有从R8回来的路由；

也就是全网通实现；

 

6.R3和R4之间启用MD5认证

1）认证的技术背景

例如：

    如图，正常情况下的路由：RA-交换机-RB-数据库服务器；

    黑客接入了一个非法设备，（可以用模拟器ensp桥接真实网络，不需要买设备）；

    通过抓包可以看到跑得是ospf协议，以及一些参数；

    利用抓包得到的数据，将非法设备和正常设备建立邻居；

    如果数据库到RA的cost=10；

    在非法设备上建立一个回环口，回环口的网段和数据库服务器一模一样，并且发布给RA的cost=5；

    RA会选择非法设备作为它的下一跳，而不是数据库服务器；

    然后RA会将本来发送给数据库服务器的数据包发送给非法设备；

    得到RA的数据包后，可以丢弃，也可以把数据处理后转交给数据库服务器，让发送者认为没发生错误；

 

2）关于认证

建立邻居的条件之一就是认证成功；

如果开启了认证，没有

 

认证命令：

    认证可以配置在接口，也可以在区域配置；

        接口    ->当前接口开启认证，如果一个路由器的不同接口属于不同区域时，可以配置接口认证；

        区域    ->这个区域的所欲接口都会开启认证；

md5    ->加密算法；

1    ->密钥ID；

wakin    ->密钥；

认证通过的条件是密钥ID和密钥必须一致；

如果同时配置，接口认证优先生效；

 

开启区域认证后，区域中的路由器必须通过认证才能建立邻居；

非法设备抓包无法看到md5加密后的密钥，导致无法通过认证，也就无法和正常设备建立邻居；

 

3）ospf认证相关数据包分析

认证的字段保存在ospf的head包中；

 

认证未开启的路由器发送的包认证字段为0

 

开启认证时的数据包：