OSPF
show ip protocols
看到本路由器的route-id,本路由器參與的區域數量和類型;支持等價路徑最大數碼;通告的網絡極其所在的區域;參考的帶寬;默認的管理距離。
show ip ospf interface
查看接口上運行OSPF的情況,諸如運行在哪個區域,哪個進程,路由器ID,網絡類型,接口cost值。
show ip ospf neighbor
查看和鄰居之間的關係,比如neighbor id,優先級,狀態(如果有-時,就意味着不選舉DR和BDR),等等。
OSPF鄰居不能建立的常見原因:
1 Hello間隔和Dead間隔不同
在接口下,用ip ospf hello-interval,ip ospf dead-interval進行調整。
2 區域號碼不一致
3 特殊區域區域類型不一致
4 認證類型和密碼不一致
5 路由器ID相同
6 Hello包被ACL deny
7 鏈路上的MTU不匹配
8 接口下OSPF網絡類型不匹配
在進程下
auto-cost reference-bandwidth 1000//用來修改參考帶寬
DR選舉的原則
1 首先因素是時間,最先啓動的路由器被選舉成DR
2 如果同時啓動,或重新選舉,則看接口優先級,優先級最高的成爲DR,默認情況下,多路訪問網絡的接口優先級爲1,點到點網絡優先級爲0。通過ip ospf priority修改,最後看路由器ID。重新啓動執行clear ip ospf process。
debug ip ospf adj
該命令顯示ospf鄰接關係建立或中斷的過程。
OSPF中啓用簡單的認證
首先在進程模式下啓用認證:area 0 authentication;其次,在相應的接口下啓用並配置認證密碼:ip ospf authentication-key cisco。兩邊都要配置使用。
若採用MD5認證
進程下,area 0 authentication message-digest;int s0/0 ip ospf message-digest-key 1 md5 cisco//配置認證key id和密鑰。
以上是基於區域的認證,認證時首先區域要開啓認證,然後接口開啓,若此時有的路由器開啓有的沒有開啓,則和鄰居的關係會down掉。
在接口上認證
int s0/0;
ip ospf authentication //開啓認證
ip ospf authentication-key cisco //配置認證密碼
兩邊同時配置。這是基於鏈路的簡單認證。
int s0/0
ip ospf auth message-digest//開啓MD5認證
ip ospf message-digest-key 1 md5 cisco //配置key id以及密鑰。
在進程下,default-information originate可以向OSPF網絡注入一條默認路由。此默認路由作爲LSA5類型。
廣域網和以太網在封裝上有很大的差別,廣域網的封裝有HDLC,PPP和Frame-relay等。
HDLC是點到點串行線路的幀封裝格式,其幀格式和以太網幀格式有很大差別。HDLC幀沒有源MAC地址和目的MAC地址。思科的HDLC封裝和標準的HDLC不兼容,所有思科設備和非思科設備進行連接,應使用PPP協議。HDLC不提供驗證,缺少對鏈路的安全保護。封裝命令“encapsulation hdlc”
PPP:也是串行線路上的一種幀封裝格式,但PPP可以提供對多種網絡層協議的支持。PPP支持認證,多鏈路捆綁,回撥和壓縮等功能。PPP經過四個過程在一個點到點的鏈路上建立通信連接。
1 鏈路的建立和配置協調--通信的發起方發送LCP幀來配置和檢測數據鏈路
2 鏈路質量檢測---在鏈路已經建立,協調之後進行,這一階段是可選的;
3 網絡層協議配置協調--通信的發起方發送NCP幀以選擇並配置網絡層協議;
4 關閉鏈路--通信鏈路將一直保持到LCP或NCP幀關閉鏈路或發生一些外部事件。
PPP認證:PAP和CHAP
PAP-密碼認證協議
利用2次握手的簡單方法認證。在PPP鏈路建立完畢後,源節點不停地在鏈路上發送用戶名和密碼,直到驗證通過。在PAP的驗證中,密碼在鏈路上是以明文傳輸的,而且由於是源節點控制驗證重試頻率和次數,PAP不能防範再生***和重複的嘗試***。
CHAP--詢問握手驗證協議
利用3次握手週期的驗證源端節點的身份。CHAP驗證過程在鏈路建立之後進行,而且在以後任何時候都可以再次進行。因而鏈路更加安全。CHAP不允許連接發起方在沒有收到詢問消息的情況下進行驗證嘗試。CHAP每次使用不同的詢問消息,每個消息都是不可預測的唯一的值,CHAP不直接傳送密碼,只傳送一個不可預測的詢問消息,以及該詢問消息與密碼經過MD5加密運算後的加密值。所以CHAP可以防止再生***,CHAP的安全性比PAP高。
用PPP進行驗證
PPP authentication pap;//兩邊配置PAP驗證
一端配置數據庫
username r password 111
一端配置發送
ppp pap sent-username r password 111
調試
debug ppp authentication
由於PAP認證只驗證一次,所以只能在shut再no sh之後才能觀察到。
配置CHAP驗證,配置時,要求用戶名爲對方路由器名,而雙方密碼必須一致。由於CHAP默認使用本地路由器的名字作爲建立PPP連接時的標識符,路由器收到對方發送過來的詢問消息後,將本地路由器的名字作爲身份標誌發送給對方;而在收到對方發過來的身份標識之後,默認使用本地驗證方法,即在配置文件中尋找,看看有沒有用戶身份標識和密碼;如果有,計算加密值,驗證通過就建立連接。
雙方配置驗證
ppp auth chap;
配置username R2 password hello;//驗證對端的用戶名