演示：默认路由、路由认证、试题分析

第6章理解并实施路由技术任务6.3.10演示：演示：OSPF自动公告默认路由演示目标：配置OSPF自动公告默认路由。演示环境：如图6.117所示。演示背景：在这里可以把路由器backbone看作是网络上的主干路由器，路由器（backbone）的E1/0接口与路由器R1的E1/0相连，路由器R1的E1/1接口与路由器R2的E1/0相连，并且所有路由器都处于同一个OSPF路由域中。在路由器（backbone）上新添加了一个环回接口，IP地址是120.120.120.1/24，该环回接口不被OSPF路由协议所公告，那么路由器R1和路由器R2就无法与该环回接口通信，因为在路由器R1和R2的路由表里面不存在关于120.120.120.0/24的具体路由。路由器（backbone）通过OSPF自动公告一条默认路由到OSPF路由域中，在OSPF路由域内的所有路由器都会接收到这条默认路由，那么路由器R1和路由器R2通过匹配默认路由可以与路由器（backbone）的环回接口通信。图6.117

OSPF默认路由的实验环境任务6.3.10演示步骤：对应如图6.117所示的实验环境，为主干路由器（backbone）和R1、R2配置接口IP地址，并启动OSPF动态路由协议。具体配置如下。路由器backbone的配置：backbone(config)#intee1/0backbone(config-if)#ipaddress192.168.1.1255.255.255.0backbone(config-if)#noshutdownbackbone(config)#routerospf1backbone(config-router)#network192.168.1.00.0.0.255area0路由器R1的配置：R1(config)#interfacee1/0R1(config-if)#ipaddress192.168.1.2255.255.255.0R1(config-if)#noshutdownR1(config)#interfacee1/1R1(config-if)#ipaddress192.168.2.1255.255.255.0R1(config-if)#noshutdownR1(config)#routerospf1R1(config-router)#network192.168.1.00.0.0.255area0R1(config-router)#network192.168.2.00.0.0.255area0任务6.3.10路由器R2的配置：R2(config)#intee1/0R2(config-if)#ipaddress192.168.2.2255.255.255.0R2(config-if)#noshutdownR2(config)#routerospf1R2(config-router)#network192.168.2.00.0.0.255area0当完成上述配置后，可以在路由器R2上通过showiproute指令查看路由器R2的路由表，如图6.118所示，可以清晰地看到有一条关于192.168.1.0/24的路由；查看路由器R1的路由表，如图6.119所示，目前路由器R1没有收到任何OSPF的路由，因为在OSPF路由域中的接口都是该路由器连接的直连接口。图6.118路由器R2的路由表任务6.3.10图6.119路由器R1的路由表现在，在主干路由器上配置一个环回接口1，并为该接口配置IP地址为120.120.120.1/24。注意：请不要将该接口公告到OSPF路由域中。具体的配置如下。为主干路由器（backbone）配置环回接口：backbone(config)#interfacelo1backbone(config-if)#ipaddress120.120.120.1255.255.255.0

在路由器R2上检测与主干路由器（backbone）上120.120.120.1的通信，如图6.120所示。指示通信失败，原因是路由器R2的路由表中没有到达120.120.120.1/24的具体路由。任务6.3.10图6.119路由器R1的路由表现在，在主干路由器上配置一个环回接口1，并为该接口配置IP地址为120.120.120.1/24。注意：请不要将该接口公告到OSPF路由域中。具体的配置如下。为主干路由器（backbone）配置环回接口：backbone(config)#interfacelo1backbone(config-if)#ipaddress120.120.120.1255.255.255.0

在路由器R2上检测与主干路由器（backbone）上120.120.120.1的通信，如图6.120所示。指示通信失败，原因是路由器R2的路由表中没有到达120.120.120.1/24的具体路由。图6.120通信失败任务6.3.10现在，到主干路由器（backbone）上为OSPF路由域配置一条自动公告的默认路由，目的是让路由器R2和R1学到这条默认路由，然后将那些匹配不上某条具体路由的数据包通过默认路由进行发送。关于主干路由器（backbone）自动公告OSPF默认路由的指令如下所示。在主干路由器上自动公告OSPF默认路由的配置：backbone(config)#routerospf1backbone(config-router)#default-informationoriginatealways指令解释：指令routerospf1指示进入OSPF路由进程1，因为OSPF自动公告默认路由需要在OSPF的路由模式下完成配置。指令default-informationoriginate指示发布默认路由，但是必须有个前提条件，就是在执行该指令的本地路由器的路由表中已经存在一条默认路由，才会为OSPF路由域中的其他路由器自动公告一条默认路由；而在default-informationoriginate指令后面带上参数always，则表示不论在路由表中有或者没有默认路由都要向OSPF路由域中自动产生并公告一条默认路由。还有一些可选参数，比如：参数metric，可以改变默认路由的度量值，默认的metric值是1；参数metric-type，可以改变默认路由的路由类型（E1还是E2），默认是E2类型。关于E类型的OSPF路由属于外部OSPF路由，已经超出了CCNA的讨论范围，所以在这里不做更多说明；参数route-map，可以对默认路由做策略。任务6.3.10在主干路由器上完成上述配置后，可以在路由器R1和R2上通过showiproute指令查看主干路由器自动公告默认路由的情况，如图6.121和图6.122所示，“O”右上角有一个“*”号表示OSPF的默认路由，E2代表该路由的类型。图6.121路由器R2学习到OSPF的默认路由图6.122路由器R1学习到OSPF的默认路由任务6.3.10如果路由器R2的路由表中没有一条具体的路由与转发数据包中的目标IP地址相匹配，那么将通过默认路由进行转发。此时在路由器R2上再来测试与主干路由器(backbone)上120.120.120.1的通信，如图6.123所示，成功通信，因为路由器R2能使用默认路由成功地转发数据包。同理，路由器R1也能使用默认路由成功地转发数据包，如图6.124所示。图6.123路由器R2通信成功图6.124路由器R1通信成功任务6.3.11理解并取证：OSPF协议的安全认证过程为了防止路由被非法盗用，OSPF与RIP相同，也提供了完善的路由认证功能。一旦OSPF启用了路由认证功能，未经成功认证的路由器无法建立OSPF邻居关系，那么就无法进行路由公告与学习。OSPF使用Hello消息数据报文完成认证的协商，主要依靠Hello报文中的认证类型和认证数据两个字段来完成。认证类型：该字段指示认证的类型码，通常有三个值，值0表示没有使用认证（nullauthentication），相关数据帧如图6.125所示；值１表示使用普通的明文认证，相关数据帧如图6.126所示；值２表示认证的类型为MD5，相关数据帧如图6.127所示。认证数据：如果是明文认证，那么该字段指示认证的密钥字符串内容，如图6.126所示，可以查看密钥内容；如果是消息摘要认证（MD5），那么这个字段将被定义成64个比特的其他参数，如图6.127所示，密钥字符串的内容被加密，不可查看。任务6.3.11图6.125没有启动认证的OSPF数据帧图6.126使用明文认证的OSPF数据帧图6.127使用MD5认证的OSPF数据帧任务6.3.11OSPF的路由认证分为两种类型：一种是基于简单密码的认证；另一种是基于信息摘要MD5的安全认证。通常把简单密码的认证叫作“Ⅰ型认证”；把基于信息摘要MD5的安全认证叫作“Ⅱ型认证”。关于Ⅰ型认证（明文密码的OSPF认证）配置如下：r1(config)#routerospf1r1(config-router)#area0authenticationr1(config)#interfacee1/0r1(config-if)#ipospfauthentication-keyccna123Ｗ指令解释：指令area0authentication指示在OSPF区域0启动明文认证功能。注意：该指令必须在OSPF的路由配置模式下完成。当完成上述指令配置后，退出路由配置模式，然后进入相应的需要启动OSPF认证的接口，在接口模式下指令ipospfauthentication-keyccna123W指示配置OSPF的认证密钥串，这里密钥串的内容是ccna123W。任务6.3.11OSPF的路由认证分为两种类型：一种是基于简单密码的认证；另一种是基于信息摘要MD5的安全认证。通常把简单密码的认证叫作“Ⅰ型认证”；把基于信息摘要MD5的安全认证叫作“Ⅱ型认证”。关于Ⅰ型认证（明文密码的OSPF认证）配置如下：r1(config)#routerospf1r1(config-router)#area0authenticationr1(config)#interfacee1/0r1(config-if)#ipospfauthentication-keyccna123Ｗ指令解释：指令area0authentication指示在OSPF区域0启动明文认证功能。注意：该指令必须在OSPF的路由配置模式下完成。当完成上述指令配置后，退出路由配置模式，然后进入相应的需要启动OSPF认证的接口，在接口模式下指令ipospfauthentication-keyccna123W指示配置OSPF的认证密钥串，这里密钥串的内容是ccna123W。注意：建议不使用“Ⅰ型认证”，因为该认证方式只是做简单的口令配对，而且口令在网络上是以明文方式进行发送的。如果网络中有恶意用户，那么他可以利用协议分析器捕获“Ⅰ型认证”的密码，并且可以看到密码的内容，所以很容易被窃用。任务6.3.11关于Ⅱ型认证（基于MD5的OSPF认证）配置如下：r1(config)#routerospf1r1(config-router)#area0authenticationmessage-digestr1(config)#interfacee1/0r1(config-if)#ipospfmessage-digest-key1md5ccna123Ｗ指令解释：指令area0authenticationmessage-digest指示启动基于MD5的消息摘要认证，消息摘要认证的特性关键字是message-digest，如果没有增加该关键字，那么OSPF将使用明文认证。在指令ipospfmessage