一、试验环境

1.  使用Dynamips模拟试验网络环境。

2.  路由器使用C3640,有4个10M的以太网接口

交换机使用C3640,有16个100M的以太网接口

3. 内网连接

路由器A的e0/1配置内网的网关1.1.2.1

交换机A的f0/0连接路由器的e0/1,VLAN1配置管理地址1.1.2.2,f0/1、f0/2、f0/3分别连接主机A1、A2、A3

A1、A2、A3的IP地址配置为1.1.2.6、1.1.2.10、1.1.2.14

注:

刚配置完成后,发现在路由器上无法Ping通交换机的管理地址,感觉非常奇怪

使用show cdp neighbors 查看邻居信息,发现居然没有任何信息

后来检查发现是由于路由器和交换机的速度和双工模式不匹配

使用duplex full,speed 10命令进行调整后解决该问题

 

路由器B和交换机B按照相同方法进行配置。

 

注:

配置端口后,记得要启动端口

4.网间连接

连接路由器A、路由器B的e0/0接口,网间网地址为1.1.1.1/30、1.1.1.2/30

启用路由  ip routing

现在,同一路由器上的网段地址之间都能够相互Ping通。

5.OSPF配置

为了实现两个内网之间能够相互Ping通,配置OSPF。

配置路由器A

router ospf 1 启用ospf

router-id 1.1.1.1

network  1.1.2.2 0.0.0.255 area0 发布网段

network  1.1.1.1 0.0.0.3 area 0

路由器B按照相同方法进行配置。

 

配置完成后,路由器之间交换路由信息,两个内网网段之间相互Ping通。

show ip route 可以查看学习到的路由信息

 

二、第一次试验

现在我们再看看如果发布冲突网段,会造成什么结果

路由器B发布1.1.1.4/30,并将主机B1的地址改为1.1.1.6

在路由器上使用show ip route,可以看到路由器A学习到该路由信息

主机A1的内网通信不受影响,访问不了内网B

主机B1的内网通信不受影响,访问不了内网A

两台路由器还不能完全说明问题

 

三、调整试验环境

将交换机A的上连端口改为路由模式,VLAN1的地址改为1.1.2.1

路由器A和交换机A的网间网地址配置为1.1.1.5/30,1.1.1.6/30

在交换机A上查看路由信息,除了直连的1.1.2.0/24,学习到路由器B发布的范围较小的1.1.2.4/30

 

四、第二次试验

主机A1的外网通信被中断,但内网通信不受影响

在主机A1在线的情况下,主机B1访问不了内网A

在主机A1不在线的情况下,主机B1可以使用内网A的地址访问内网A中的主机

 

五、可能造成的危害

1. 边界上的防火墙,在配置网络访问控制策略时,如果将内网的地址加为了可信的地址段,完全放行,就会导致

外部的***者穿透防火墙进入系统内部。

2. 可以通过业务系统的IP限制,最为严重的是防火墙等安全设备允许某些IP进行管理,这些IP被仿冒了,后果就会更加严重。

3. 考虑使用OSPF认证,来防止外部不可信的路由器接入到网络中。但是如果对于一个大型的网络,利用某一台允许接入

网络的路由器来实施破坏,同样会造成网络通信中断或者数据和业务被盗用。

https://blog.51cto.com/cyberspace/677726