ospf 认证:
可以接口上直接配置:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.252
ip ospf authentication
ip ospf authentication-key cisco -------明文
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.252
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco -------密文
router ospf 100
log-adjacency-changes
area 1 authentication ----------启用区域认证
area 1 authentication message-digest -----------------MD5
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.252
ip ospf authentication-key cisco
ip ospf message-digest-key 1 md5 cisco -----------------MD5
area 1 stub 配置为末梢区别,只接受L1/2/3 的LAS
R1#sh ip ospf database
OSPF Router with ID (1.1.1.1) (Process ID 100)
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
1.1.1.1 1.1.1.1 186 0x80000004 0x00F319 3
2.2.2.2 2.2.2.2 186 0x80000004 0x00122D 1
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
192.168.1.2 2.2.2.2 186 0x80000003 0x0011AB
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
0.0.0.0 2.2.2.2 191 0x80000001 0x0075C0
50.0.0.1 2.2.2.2 191 0x80000002 0x004BAB
O*IA 0.0.0.0/0 [110/11] via 192.168.1.2, 00:03:25, FastEthernet0/0
area 1 stub no-summary 配置为完全末梢区别,只接受L1/2和默认路由的L3 的LAS
R1#sh ip ospf database
OSPF Router with ID (1.1.1.1) (Process ID 100)
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
1.1.1.1 1.1.1.1 11 0x80000006 0x00EF1B 3
2.2.2.2 2.2.2.2 301 0x80000004 0x00122D 1
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
192.168.1.2 2.2.2.2 301 0x80000003 0x0011AB
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
0.0.0.0 2.2.2.2 26 0x80000002 0x0073C1
O*IA 0.0.0.0/0 [110/11] via 192.168.1.2, 00:00:26, FastEthernet0/0
area 2 nssa 配置为NSSA,接受L1/2/3/7的LSA
R5#sh ip ospf database
OSPF Router with ID (5.5.5.5) (Process ID 100)
Router Link States (Area 2)
Link ID ADV Router Age Seq# Checksum Link count
3.3.3.3 3.3.3.3 153 0x80000006 0x00B568 1
5.5.5.5 5.5.5.5 143 0x80000007 0x005078 2
Net Link States (Area 2)
Link ID ADV Router Age Seq# Checksum
192.168.1.13 3.3.3.3 153 0x80000001 0x00FA98
Summary Net Link States (Area 2)
Link ID ADV Router Age Seq# Checksum
10.1.1.1 3.3.3.3 169 0x80000002 0x000206
10.1.2.0 3.3.3.3 169 0x80000002 0x000107
192.168.1.0 3.3.3.3 169 0x80000002 0x00CCE1
192.168.1.4 3.3.3.3 169 0x80000002 0x004074
Type-7 AS External Link States (Area 2)
Link ID ADV Router Age Seq# Checksum Tag
45.0.0.0 5.5.5.5 146 0x80000002 0x0031BB 0
172.16.0.0 5.5.5.5 148 0x80000002 0x00F666 0
BGP:
----------------------------------------------------------------
#neighbor 10.1.255.2 password cisco123 对等体认证
hold time is 180, keepalive interval is 60 seconds
本地优先:越大越优先
MED:
MED 属性可以实现:影响其它的自
治系统的数据流,如何流入本地自治系统。
根据 MED 的属性值越低的哪条路由,会被优先选择的特性。而且 MED 值默认0
创建一个Route-map,设定Merric,再发给对端(out)
route-map set_med permit 10
match ip address 1
set metric 100
BGP 的选路规则:1、最先收到路由优先于
后收到的路由。2、优先选择 BGP 的 Router-ID 较低的路由。
BGP 的选路规则:优先选择 AS-PATH 最短的路径----只有在出AS时,才会将AS-PATH加上
需要注意的是:在 set as-path prepend 后添加的 AS 号,最好是本地自治系统
号,否则可能会产生无效路由。
1、解决 BGP 与 IGP 在做路由重发布时,BGP AS-PATH 属性丢失的问题。
2、掌握使用路由标记存储 BGP路径属性配置方法。
1.1.1.0/24--R1-----64512---R2-----64513-OSPF------R3-----64514-----R4
R2-R3未建立邻居关系,有路由重分发,这样R4学到的路由会丢失BGP AS-ASPH属性,可用以下方式操作
R2:
route-map SET_TAG permit 10
set automatic-tag ------1--------设定tag
!
router bgp 64513
table-map SET_TAG -----2-------使用tag
R3:
route-map SET_ORIGIN permit 10
set origin igp ------------设定源标记
!
route-map GET_TAG permit 10
set as-path tag -------3-------获取tag
!
router bgp 64513
redistribute ospf 1 match internal external 1 external 2 route-map GET_TAG -------4-------发送tag
neighbor 192.168.2.2 route-map SET_ORIGIN out ------将源标记传递出去
这是原路由:
*> 150.150.1.0/24 192.168.2.1 1 0 64513 ?
*> 172.16.1.0/24 192.168.2.1 0 0 64513 ?
*> 192.168.1.0 192.168.2.1 1 0 64513 ?
设定Tag后,AS-PATH显示,但源还是?号
*> 150.150.1.0/24 192.168.2.1 1 0 64513 64512 ?
*> 172.16.1.0/24 192.168.2.1 0 0 64513 ?
*> 192.168.1.0 192.168.2.1 1 0 64513 ?
发送源后,显示为IGP
*> 150.150.1.0/24 192.168.2.1 1 0 64513 64512 i
*> 172.16.1.0/24 192.168.2.1 0 0 64513 i
*> 192.168.1.0 192.168.2.1 1 0 64513 i
3、Reflexive ACL 自反访问控制列表
R1--------R2---------f0/1-R3 f0/0----------R4
对内接写,写允许条目加自反名称
对外直接写自反名称
实验结果:
R1/R2可以访问R4,R4不能访问内部
R3:
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip access-group out2in in
!
interface FastEthernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group in2ot in
!
ip access-list extended in2ot
permit icmp any any reflect icmp_racl
permit tcp any any reflect tcp_racl
ip access-list extended out2in
evaluate tcp_racl
evaluate icmp_racl
permit tcp any any eq bgp log
deny ip any any
4、auto secure config
R1#auto secure
5、Enable Authentication Proxy
结合ACS的操作
6、CBAC 基于上下文的访问控制列表配置
7、路由器开启SSH连接
8、握基于端口的 802.1x配置,结合ACS认证
浙公网安备 33010602011771号