OSPF

show ip protocols

看到本路由器的route-id,本路由器参与的区域数量和类型;支持等价路径最大数码;通告的网络极其所在的区域;参考的带宽;默认的管理距离。

 

show ip ospf interface

查看接口上运行OSPF的情况,诸如运行在哪个区域,哪个进程,路由器ID,网络类型,接口cost值。

 

show ip ospf neighbor

查看和邻居之间的关系,比如neighbor id,优先级,状态(如果有-时,就意味着不选举DRBDR),等等。

 

OSPF邻居不能建立的常见原因:

1 Hello间隔和Dead间隔不同

在接口下,用ip ospf hello-interval,ip ospf dead-interval进行调整。

2 区域号码不一致

3 特殊区域区域类型不一致

4 认证类型和密码不一致

5 路由器ID相同

6 Hello包被ACL deny

7 链路上的MTU不匹配

8 接口下OSPF网络类型不匹配

 

在进程下

auto-cost reference-bandwidth 1000//用来修改参考带宽

 

DR选举的原则

1 首先因素是时间,最先启动的路由器被选举成DR

2 如果同时启动,或重新选举,则看接口优先级,优先级最高的成为DR,默认情况下,多路访问网络的接口优先级为1,点到点网络优先级为0。通过ip ospf priority修改,最后看路由器ID。重新启动执行clear ip ospf process

 

debug ip ospf adj

该命令显示ospf邻接关系建立或中断的过程。

 

OSPF中启用简单的认证

首先在进程模式下启用认证:area 0 authentication;其次,在相应的接口下启用并配置认证密码:ip ospf authentication-key cisco。两边都要配置使用。

 

若采用MD5认证

进程下,area 0 authentication message-digest;int s0/0 ip ospf message-digest-key 1 md5 cisco//配置认证key id和密钥。

以上是基于区域的认证,认证时首先区域要开启认证,然后接口开启,若此时有的路由器开启有的没有开启,则和邻居的关系会down掉。

 

在接口上认证

int s0/0;

ip ospf authentication //开启认证

ip ospf authentication-key cisco //配置认证密码

两边同时配置。这是基于链路的简单认证。

 

int s0/0

ip ospf auth message-digest//开启MD5认证

ip ospf message-digest-key 1 md5 cisco //配置key id以及密钥。

 

在进程下,default-information originate可以向OSPF网络注入一条默认路由。此默认路由作为LSA5类型。

 

广域网和以太网在封装上有很大的差别,广域网的封装有HDLC,PPPFrame-relay等。

 

HDLC是点到点串行线路的帧封装格式,其帧格式和以太网帧格式有很大差别。HDLC帧没有源MAC地址和目的MAC地址。思科的HDLC封装和标准的HDLC不兼容,所有思科设备和非思科设备进行连接,应使用PPP协议。HDLC不提供验证,缺少对链路的安全保护。封装命令“encapsulation hdlc

 

PPP:也是串行线路上的一种帧封装格式,但PPP可以提供对多种网络层协议的支持。PPP支持认证,多链路捆绑,回拨和压缩等功能。PPP经过四个过程在一个点到点的链路上建立通信连接。

1 链路的建立和配置协调--通信的发起方发送LCP帧来配置和检测数据链路

2 链路质量检测---在链路已经建立,协调之后进行,这一阶段是可选的;

3 网络层协议配置协调--通信的发起方发送NCP帧以选择并配置网络层协议;

4 关闭链路--通信链路将一直保持到LCPNCP帧关闭链路或发生一些外部事件。

 

PPP认证:PAPCHAP

PAP-密码认证协议

利用2次握手的简单方法认证。在PPP链路建立完毕后,源节点不停地在链路上发送用户名和密码,直到验证通过。在PAP的验证中,密码在链路上是以明文传输的,而且由于是源节点控制验证重试频率和次数,PAP不能防范再生攻击和重复的尝试攻击。

CHAP--询问握手验证协议

利用3次握手周期的验证源端节点的身份。CHAP验证过程在链路建立之后进行,而且在以后任何时候都可以再次进行。因而链路更加安全。CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。CHAP每次使用不同的询问消息,每个消息都是不可预测的唯一的值,CHAP不直接传送密码,只传送一个不可预测的询问消息,以及该询问消息与密码经过MD5加密运算后的加密值。所以CHAP可以防止再生攻击,CHAP的安全性比PAP高。

 

PPP进行验证

PPP authentication pap;//两边配置PAP验证

一端配置数据库

username r password 111

一端配置发送

ppp pap sent-username r password 111

 

调试

debug ppp authentication

 

由于PAP认证只验证一次,所以只能在shutno sh之后才能观察到。

 

配置CHAP验证,配置时,要求用户名为对方路由器名,而双方密码必须一致。由于CHAP默认使用本地路由器的名字作为建立PPP连接时的标识符,路由器收到对方发送过来的询问消息后,将本地路由器的名字作为身份标志发送给对方;而在收到对方发过来的身份标识之后,默认使用本地验证方法,即在配置文件中寻找,看看有没有用户身份标识和密码;如果有,计算加密值,验证通过就建立连接。

双方配置验证

ppp auth chap;

配置username R2 password hello//验证对端的用户名