一、认证
1.分类:CHAP认证、PAP认证
2.认证条件:(1)双方的封装类型必须一致,封装类型必须为:PPP
(2)双方的Password必须相同
3.认证优点:安全
4.认证方式:point to point(点到点)
二、实验
(一)【实验名称】CHAP认证
【实验设备】两台CISCO 7200 路由器
【实验目标】将两台CISCO 7200 路由器设置CHAP认证,只有双方设置一样的密码,一
样的封装方式,才能够Ping。
【实验拓扑】
【实验步骤】(一)给R1,R2各端口设置IP
1.R1
rack01(config)#int s1/0
rack01(config-if)#ip add 199.99.1.1 255.255.255.0
rack01(config-if)#no shut
rack01(config)#int loop 0
rack01(config-if)#ip add 1.1.1.1 255.255.255.0
2.R2
rack02(config)#int s1/0
rack02(config-if)#ip add 199.99.1.2 255.255.255.0
rack02(config-if)#no shu
rack01(config)#int loop 0
rack01(config-if)#ip add 2.2.2.2 255.255.255.0
(二)设置路由,让R1,R2各端口都能互相通信
1.R1
rack01(config-if)#router eigrp 100
rack01(config-router)#network 199.99.1.0
2.R2
rack02(config-if)#router eigrp 100
rack02(config-router)#network 199.99.1.0
(三)设置CHAP认证
1.R1
rack01(config)#username rack2 password cisco !设置password为cisco
rack01(config)#int s1/0
rack01(config-if)#encapsulation ppp !设置封装方式为PPP
rack01(config-if)#ppp authentication chap !设置CHAP认证
注:此时在R2没有设置CHAP认证,因此现在就不能Ping通R2了
测试结果:
rack01#ping 199.99.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 199.99.1.2, timeout is 2 seconds:
..... 表示没有Ping通
现在下面给R2设置CHAP认证,查看结果
2.R2
rack02(config)#username rack01 password cisco
rack02(config)#int s1/0
rack02(config-if)#encapsulation ppp
rack02(config-if)#ppp authentication chap
测试结果:
rack01#ping 199.99.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 199.99.1.2, timeout is 2 seconds:
!!!!! 此时就能够Ping通R2了
(二)【实验名称】RIP认证+RIP汇总
【实验设备】两台CISCO 7200 系列路由器
【实验目标】(1)在R1和R2上设置RIP认证
(2)在R1和R2上设置RIP汇总,以节省路由表资源
(3)利用ACL功能禁止某些IP访问
【实验拓扑】
【实验步骤】(一)给R1和R2各端口设置IP
1.R1
rack01(config)#int loop 0
rack01(config-if)#ip add 1.1.1.1 255.255.255.0
rack01(config)#int loop 1
rack01(config-if)#ip add 1.1.2.1 255.255.255.0
rack01(config-if)#int loop 2
rack01(config-if)#ip ad 3.3.1.1 255.255.255.0
rack01(config)#int s1/0
rack01(config-if)#ip add 199.99.1.1 255.255.255.0
rack01(config-if)#no shut
2.R2
rack02(config-if)#int loop 0
rack02(config-if)#ip add 2.2.1.1 255.255.255.0
rack02(config-if)#int loop 1
rack02(config-if)#ip add 2.2.2.1 255.255.255.0
rack02(config-if)#int loop 2
rack02(config-if)#ip add 2.2.3.1 255.255.255.0
rack02(config-if)#int loop 3
rack02(config-if)#ip add 2.2.4.1 255.255.255.0
rack02(config-if)#int s1/0
rack02(config-if)#ip add 199.99.1.2 255.255.255.0
rack02(config-if)#no shut
(二)在R1和R2上设置RIP路由
1.R1
rack01(config)#router rip
rack01(config-router)#no auto-summary
rack01(config-router)#ver 2
rack01(config-router)#network 199.99.1.0
rack01(config-router)#network 1.1.1.0
rack01(config-router)#network 1.1.2.0
rack01(config-router)#network 3.3.1.0
2.R2
rack02(config)#router rip
rack02(config-router)#no auto-summary
rack02(config-router)#ver 2
rack02(config-router)#network 199.99.1.0
rack02(config-router)#network 2.2.1.0
rack02(config-router)#network 2.2.2.0
rack02(config-router)#network 2.2.3.0
rack02(config-router)#network 2.2.4.0
测试结果:
rack01#show ip route !查看rack01的路由表
1.0.0.0/24 is subnetted, 2 subnets
C(直连路由) 1.1.1.0 is directly connected, Loopback0
C 1.1.2.0 is directly connected, Loopback2
2.0.0.0/24 is subnetted, 4 subnets
R 2.2.1.0 [120/1] via 199.99.1.2, 00:00:03, Serial1/0
|
学到了rack02的四条RIP路由 |
R 2.2.2.0 [120/1] via 199.99.1.2, 00:00:03, Serial1/0
R 2.2.3.0 [120/1] via 199.99.1.2, 00:00:03, Serial1/0
R 2.2.4.0 [120/1] via 199.99.1.2, 00:00:03, Serial1/0
3.0.0.0/24 is subnetted, 1 subnets
C 3.3.1.0 is directly connected, Loopback1
C 199.99.1.0/24 is directly connected, Serial1/0
查看rack02的路由表
rack02#show ip route !学到了rack01的三条RIP路由
1.0.0.0/24 is subnetted, 2 subnets
R 1.1.1.0 [120/1] via 199.99.1.1, 00:00:02, Serial1/0
R 1.1.2.0 [120/1] via 199.99.1.1, 00:00:02, Serial1/0
2.0.0.0/24 is subnetted, 4 subnets
C 2.2.1.0 is directly connected, Loopback0
C 2.2.2.0 is directly connected, Loopback1
C 2.2.3.0 is directly connected, Loopback2
C 2.2.4.0 is directly connected, Loopback3
3.0.0.0/24 is subnetted, 1 subnets
R 3.3.1.0 [120/1] via 199.99.1.1, 00:00:02, Serial1/0
C 199.99.1.0/24 is directly connected, Serial1/0
(三)在R1和R2上设置RIP认证
1.R1
rack01(config)#key chain cisco !设置名称为cisco
rack01(config-keychain)#key 1
rack01(config-keychain-key)#key-string 1234 !设置密码为1234
rack01(config-keychain-key)#int s1/0
rack01(config-if)#ip rip authentication mode text !设置加密方式为text(明文加密)
rack01(config-if)#ip rip authentication key cisco
注:此时只在R1设置了RIP认证,因此现在是不能Ping通R2的
查看测试结果:
rack01#ping
Target IP address: 2.2.2.1 目标地址
Extended commands [n]: y
Source address or interface: 1.1.1.1 源地址
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
..... 表示Ping不通
下面在R2上设置RIP认证
2.R2
rack02(config)#key chain cisco !设置名称为cisco
rack02(config-keychain)#key 1
rack02(config-keychain-key)#key-string 1234 !设置密码为1234
rack02(config-keychain-key)#int s1/0
rack02(config-if)#ip rip authentication mode text !设置加密方式为text(明文加密)
rack02(config-if)#ip rip authentication key cisco
查看测试结果:
rack02#ping
Target IP address: 1.1.1.1 目标地址
Extended commands [n]: y
Source address or interface: 2.2.2.1 源地址
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!! 已经可以Ping通了
(四)RIP汇总
1.R1
rack01(config)#int s1/0
rack01(config-if)#ip summary-address rip 1.1.0.0 255.255.252.0
!将LOOP口的所有IP汇总成1.1.0.0这个网段,它表示LOOP口里所有IP
2.R2
rack02(config)#int s1/0
rack02(config-if)#ip summary-address rip 2.2.0.0 255.255.248.0
!将LOOP口的所有IP汇总成2.2.0.0这个网段,它表示LOOP口里所有IP
查看汇总后的R1和R2的路由表有什么变化:
rack01#show ip route
1.0.0.0/24 is subnetted, 2 subnets
C 1.1.1.0 is directly connected, Loopback0
C 1.1.2.0 is directly connected, Loopback2
2.0.0.0/21 is subnetted, 1 subnets
R 2.2.0.0 [120/1] via 199.99.1.2, 00:00:12, Serial1/0
3.0.0.0/24 is subnetted, 1 subnets
C 3.3.1.0 is directly connected, Loopback1
C 199.99.1.0/24 is directly connected, Serial1/0
rack02#sho ip route
1.0.0.0/22 is subnetted, 1 subnets
R 1.1.0.0 [120/1] via 199.99.1.1, 00:00:15, Serial1/0
2.0.0.0/24 is subnetted, 4 subnets
C 2.2.1.0 is directly connected, Loopback0
C 2.2.2.0 is directly connected, Loopback1
C 2.2.3.0 is directly connected, Loopback2
C 2.2.4.0 is directly connected, Loopback3
3.0.0.0/24 is subnetted, 1 subnets
R 3.3.1.0 [120/1] via 199.99.1.1, 00:00:15, Serial1/0
C 199.99.1.0/24 is directly connected, Serial1/0
(五)利用标准ACL阻止rack01上的3.3.0.1访问rack02
1.在R2上设置标准ACL
rack02(config)#access-list 10 deny 3.3.1.0 0.0.0.255
rack02(config)#access-list 10 permit any
现在在rack01上的3.3.1.1 Ping还是可以Ping通rack02里的地址,因为rack02有一个刷新路由表的时间,这个时间是30秒,当超过180秒(RIP的Holdown时间)的时候,路由表就视为3.3.1.0网段不可达了,在过了这180秒以后,3.3.1.1就不能够Ping通rack02上的地址了。
现在看一下测试结果(180秒以后):
rack01#ping
Target IP address: 2.2.2.1 目标地址
Source address or interface: 3.3.1.1 源地址
Sending 5, 100-byte ICMP Echos to 2.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.1.1
.....
Success rate is 0 percent (0/5)
现在可以看一下rack02上的路由表:
rack02#show ip route
1.0.0.0/22 is subnetted, 1 subnets
R 1.1.0.0 [120/1] via 199.99.1.1, 00:00:14, Serial1/0 !R1的网段
2.0.0.0/24 is subnetted, 4 subnets
C 2.2.1.0 is directly connected, Loopback0
C 2.2.2.0 is directly connected, Loopback1
C 2.2.3.0 is directly connected, Loopback2
C 2.2.4.0 is directly connected, Loopback3
C 199.99.1.0/24 is directly connected, Serial1/0
总结:从上面路由表中可以看出rack02路由表中已经过滤掉了3.3.1.0网段的信息
以上是RIP的认证,下面为OSPF骨干区域的认证。
(六)OSPF的认证
只将RIP认证的步骤(三)改成OSPF的三条命令就可以了
1.Text(明文加密)
router(config)#router osfp 100
router(config)#area 0 authentication
router(config)#int s1/0 !进入某个端口
router(config-if)#ip ospf authentication-key ******(密码)
2.MD5(密文加密)
router(config)#router osfp 100
router(config)#area 0 authentication message-digest
router(config)#int s1/0
router(config-if)#ip ospf authentication message-digest
router(config-if)#ip ospf message-digest-key + 号码 md5 + ***(密码)
!号码:可以任意
