OSPF 的四种认证方式总结

OSPF的四种认证方式area0\R?OSPMB种认证，基于区域的认证两种：简单口令认证，MD5/24R3简单介绍一下：基于区域的简单口令认证：R2上的配置如下：Router(config)#routerospf100area0\R?OSPMB种认证，基于区域的认证两种：简单口令认证，MD5/24R3简单介绍一下：基于区域的简单口令认证：R2上的配置如下：Router(config)#routerospf100Router(config-router)#area0authenticationRouter(config)#ints1/3Router(config-if)#ipospfauthentication-keytyt在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，码一定要一样，不然不行。基于区域的MD5认证：在R2上的配置如下：Router(config)#routerospf100Router(config-router)#area0authenticationmessage-digesti于链路的认证::简单另一/若配'置完后，邻居关系会重启，,MD5。再者两边的密Router(config)#ints1/3Router(config-if)#ipospfmessage-digest-key1md5tyt在R3上的配置也是一样的，当你配置完一方时，邻居关系会断掉，另一方配置完后，邻居关系会重启，再者两边的密码一定要一样，不然不行。基于链路的简单口令认证:在R2上的配置如下：Router(config)#ints1/3Router(config-if)#ipospfauthenticationRouter(config-if)#ipospfauthentication-keytyt这个很简单，在R3上的配置也是这样的基于链路的MD5认证的配置：在R2上的配置如下：Router(config)#ints1/3Router(config-if)#ipospfauthenticationmessage-digestRouter(config-if)#ipospfmessage-digest-key1md5tyt因为文档太小'的话，文库会不认上传，所以在后面加些无关紧要的东西，可以删掉!

实验1-2：在NAT中使用AccessList和RouteMaps【实验目的】：在本次实验中，你需要使用网络地址转换（NAT）去允许内网路由器（PxR3和PxR4）从TFTP服务器下载配置文件为了完成本次实验，你需要完成下列任务：建立在NAT中需要使用的访问控制列表在NAT中使用ROUTE-MAPS执行分开的并发地址转换。连接到内部路由器到TFTP服务器或者在边界路由器使用适当的地址转换为内部路由器下载配置文件【实验拓扑】：NATUsingAccessListsandRouteMapsCi&w.corri—1TFTP10^4“她村ZATFw十也0.单—1TFTP10^4“她村ZATFw十也0.单4【命令列表】：命令描述(config-if)#access-list100permitip10.1.x.055指定需要NAT的流量内容Clearipnattranslation*清除NAT表中的所有地址转换Debugipnatdetail即时跟踪调试NAT信息(config-if)#ipnatinside指定NAT中的内部接口和地址(config)#ipnatinsidesourcelist100poolBBR为NAT指定需要翻译的内部地址范围和所使用的地址池(config)#ipnatinsidesourceroute-mapTO-PODpoolPOD指定NAT使用的ROUTE-MAP(config-if)#ipnatoutside指定NAT中的外部接口和地址(config)#ipnatpoolBBR192.168.x.1192.168.x.254netmask创建一个NAT地址池(config)#ipnatpoolBBR192.168.x.1192.168.x.254创建一个NAT地址池（子网掩码用前缀prefix-length24长度进行指定)Shoipnattranslations显示NAT地址转换表【实验帮助】：如果出现任何问题，可以向在值的辅导老师提出并请求提供帮助。【任务一】：连接到内部路由器PxR3和PxR4使用TELNET或者其他终端程序建立与路由器建立联接。记住在本实验中x是你的机架编号，y是你的路由器编号。实验过程：第一步：连接路由器(PxR1和PxR2)。你的路由器现在应该没有任何配置。如果有，请使用erasestart命令删除配置，并使用reload命令重启路由器。第二步：连接到你的内部路由器(PxR3和PxR4)。激活并分配IP地址到E0接口。路由器PxR3的E0口的IP地址应该是10.X.1.3/24，路由器PxR4的E0口的IP地址应该是10.x.1.4/24。第三步：路由器PxR1的E0口IP地址为10.x.1.1路由器PxR2的E0口IP地址为10.x.2.2。请检查边界路由器(PxR1和PxR2)和内部路由器(PxR3和PxR4)的之间的连接性。你的测试结果应该如下表类似：router#pingTypeEscapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis80Percent(4/5),round-tripmin/avg/max=1/1/4ms【任务二】：设置基于ACL的NAT在本次任务中，你将需要在边界路由器(PxR1和PxR2)上配置一个单点对单点的使用访问控制列表(ACL)的NAT。这个使用ACL的NAT将内部路由器的以太网接口地址到TFTP服务器的通信转换成源地址为192.168.x.0/24或者192.168.xx.0/24的通信。在骨干路由器KBBR1)上有一条为192.168.x.0/24和192.168.xx.0/24的静态路由。骨干路由器除了本地的TFTP服务器网的路由条目外，没有任何10.x.0.0的路由条目。第四步：在PxR1和PxR2路由器上，相同的源地址应该在扩展访问控制列表100中被定义。ACL100应该匹配从边界路由器以E0口发起的到TFTP服务器的网通信。例如：PxR1应该匹配通信源地址为10.x.1.0/24和PxR2应该匹配通信源地址为10.x.2.0/24。这个ACL还必须附加的匹配包的目的地址为/24。第五步：在PxR1和PxR2路由器上，使用ipnatpool命令创一个名为“BBR”地址池。路由器PxR1使用地址段192.168.x.0/24，路由器PxR2使用地址段192.168.xx..0/24。例如：P5R1使用地址段-254和P5R2使用地址段-254。第六步：在路由器PxR1和PxR2上，使用ipnatinsidesourcelist命令去指定匹配ACL100的包使用地址池BBR进行地址转换。第七步：在路由器PxR1和PxR2上，使用ipnatinside和ipnatoutside命令定义内部接口和外部接口。因为数据包是从E0进入并被翻译的，所以E0为内部接口，数据包是从S0口离开的，所以S0为外部接口。第八步：在路由器PxR3和PxR4上，配置PxR1和PxR2为缺省网关。这个配置将允许内部路由器到达核心网络。第九步：使用ping命令校正PxR3和PxR4路由器与TFTP服务器(54)的连接正确性。警告：如果NAT配置没有正确，你将不能到达TFTP服务器。第十步：在边界路由器（PxR1和PxR2）上检查NAT表，你的显示应该与下图类似：P3R2#shipnattransProInsideGlobalInsideLocalOutsideLocalOutsideGlocal P3R2#【任务三】：NAT到其他的边界路由器在这个任务中，你需要NAT从奇数路由器（PxR1和PxR3）和偶数路由器（PxR2和PxR4）的数据包，同样，你也需要转换从偶数路由器到奇数路由器的数据包。因为你现在没有运行路由协议，你需要在路由器PxR1和PxR2之间进行适当的NAT。实验过程：第一步：在路由器PxR1和PxR2上，同样的源地址被定义在扩展访问控制列表101中。ACL101应该匹配通信从E0口进入，目的地址为任何的通信。例如：PxR1应该匹配通信源地址为10.x.1.0/24的数据包和PxR2应该匹配通信源地址为10.x.2.0/24的数据包。这个ACL另外需要匹配目的地址为任何网络。第二步：在路由器PxR1和PxR2上，为NAT创建一个名为POD的地址池。PxR1应该使用地址范围10.x.0.65-95和PxR2应该使用地址范围10.x.0.96-127。第三步：在路由器PxR1和PxR2上，指定数据包匹配ACL101的应该被使用地址池POD。第四步：在路由器PxR1和PxR2上，使用ipnatout命令在s1接口上，保证所有的内部通信被翻译的。第五步：从一个内部路由器，PING没有直接连接的边界路由器的S1接口地址（如PxR3pingPxR2S1的接口地址）。下图显示了一个不成功的PING，为什么呢？P2R3#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent（0/5）第六步：查看边界路由器的NAT表。它有已经这个源地址进行了地址转换但并没有识别到这是一个不同的会话。它将不为这个新的目的地址通信进行地址转换。不同的对话的识别是必须的。此时，你的NAT表应该如下表类似：P3R2#shipnattransProInsideGlobalInsideLocalOutsideLocalOutsideGlocal第七步：从这个没有直接连接的边界路由器（P2R2）上，在PING的同时使用debugipicmp和debugippacket命令。新的输出被描述在下面，这个debug信息指出了为什么PxR3的PING是不成功的。P2R2#debugipicmpICMPpacketdebuggingisonP2R2#2w1d:ICMP:echoreplysent,src,dst2w1d:IP:s=（local）,d=,len100,unroutable第八步：查看对端边界路由器（P2R2）上的路由器表，请尝试查找在ICMPECHO回复消息中目的地址（）的相关路由。你的路由表输入应该与下图相似：提示：前一个布骤中的目标地址为192.168.x.1P2R2#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted,1subnetsCisdirectlyconnected,SerialO/8isvariablysubntted,3subnets,2masksCisdirectlyconnected,Serial0Cisdirectlyconnected,Serial0S/8[1/0]viaP2R2#s第九步：在上面的路由表中，并没有返回路由。路由器不能找到适当的回包地址它将做什么呢？【任务四】：转换内部地址在NAT中使用ROUTE-MAP在这个任务中，你将配置NAT使用ROUTE-MAP进行数据包匹配。大家在看见看到，当价钱使用NAT时不使用overloading地址，这个地址转换表仅仅包含本地和全局地址。当你配置NAT使用ROUTE-MAP时，这个地址转换条目将包含内部和外部(本地和全局)地址条目和TCP、UDP端口信息。这种地址转换条目使路由器可以识别不同的会话。实验过程：第一步：数据包应该进行基于目的地址的转换。到TFTP服务器和到网络核心的数据包应该还是被转换到192.168.x.0/24或192.168.xx.0/24，但是到其他边界路由器的数据包应该被转换到10.x.0.0子网中。这个地址将使用在本地到其他边界路由器的S1接口和其他出现在路由表中的路由(直连的路由是自动的进入路由表)。为了防止先前的拒绝，PxR1将使用地址范围10.x.0.64-95/24和PxR2将使用地址范围10.x.0.97-127/24.使用ROUTE-MAP作为基于目的地址的地址转换条件器。你的ROUTE-MAP配置应该与下列类似：Route-mapTO_BBRpermit10Matchipaddress100!Route-mapTO_PODpermit10Matchipaddress101第二步：删除以前的NAT命令，加入新的NAT命令使用ROUTE-MAP进行地址转换。你的配置与下列类似：P2R1(conf)#noipnatinsidesourcelist100poolBBRP2R1(conf)#noipnatinsidesourcelist101poolPODP2R1(conf)#ipnatinsidesourceroute-mapTO_BBRpoolBBRP2R1(conf)#ipnatinsidesourceroute-mapTO_PODpoolPOD提示：如果路由器指出”％Dynamicmappinginuse,cannotremove”，请返回特权模式，然后输入clearipnattrans*删除所有动态映射。第三步：从内部路由器PING边界路由器和TFTP服务器，验正先前的步骤是成功的。打开debugipnat命令在边界路由器上，查看地址翻译细节。你的路由器显示应该与下面类似：Rack01R1#ping54

Typeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:Successrateis100percent(5/5),round-tripmin/avg/max=4/5/8ms在边界路由器上，使用Debugipnatdetail命令：*Mar103:04:00.443NAT*:s=54,d=->[55449]*Mar103:04:00.443*Mar103:04:00.451NAT:mapmatchTO_BBR*Mar103:04:00.451NAT:mapmatchTO_BBR*Mar103:04:00.455:NAT:mapmatchTO_BBR*Mar103:04:00.459:NAT:i:icmp(,6711)->(54,6711)[61]*Mar103:04:00.463:NAT:s=->,d=54[61]*Mar103:04:00.523:NAT*:o:icmp(54,6711)->(,6711)在内部路由器上，PING其他的边界路由器：P1R3#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:Successrateis100percent(5/5),round-tripmin/avg/max=4/5/8ms同样，在边界路由器上，使用debugipnatdetails:*Mar103:06:33.587:NAT:s=->7,d=[66]*Mar103:06:33.623:NAT*:o:icmp(,1268)->(7,1268)[66]*Mar103:06:33.627NAT*:s=,d=7->[66]*Mar103:06:33.639:NAT:mapmatchTO_POD*Mar103:06:33.643:NAT:mapmatchTO_POD*Mar103:06:33.643:NAT:i:icmp(,1269)->(,1269)[67]第四步：使用showipnattranslations命令在每个边界路由器，你的显示结果应该与下面类似:笔记：注意这张表是被完整的粘贴的，一些转换条件使这个表比DEUBGGING还拥有更多的信息。*Mar103:06:33.627P1R1#shipnattranslationslocalOutsideglobalProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp:263210.11.3:263210254.0.254:26354:2632icmp:263310.11.3:263310254.0.254:263354:2633icmp:263410.11.3:263410254.0.254:263454:2634icmp:263510.11.3:263510254.0.254:263554:2635icmp:263610.11.3:263610254.0.254:263654:2636icmp10.10.67:811210.1.13:811210.10.2:811210.10.2:8112icmp10.10.67:811310.1.13:811310.10.2:811310.10.2:8113icmp10.10.67:811410.1.13:811410.10.2:811410.10.2:8114icmp10.10.67:811510.1.13:811510.10.2:811510.10.2:8115icmp10.10.67:811610.1.13:811610.10.2:811610.10.2:8116icmp:263210.11.3:263210254.0.254:26354:2632icmp:263310.11.3:263310254.