华为HCNA之配置RIPv2认证实验
导语:
RIPv2认证可以降低设备接受非法路由选择更新消息的可靠性,非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包。RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,其方式有两种:简单认证、MD5密文认证方式。
拓扑图:
步骤:
1.基本配置:
如拓扑图和图表所示,完成各个物理设备和接口的配置,并测试连通性:
2.搭建RIP网络:
[R1]rip
[R1-rip-1]version 2
[R1-rip-1]network 192.168.10.0
[R1-rip-1]network 10.0.0.0[R2]rip
[R2-rip-1]version 2
[R2-rip-1]network 192.168.20.0
[R2-rip-1]network 10.0.0.0
检查R1和R2的路由表信息(仅以R1为例):
[R1]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: PublicDestinations : 11 Routes : 11 Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet
0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet
0/0/1
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
3.模拟网络攻击:
配置路由器R3,并查看路由表信息:
[R3]rip
[R3-rip-1]version 2
[R3-rip-1]network 10.0.0.0
[R3]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: PublicDestinations : 9 Routes : 9 Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.12.0/24 Direct 0 0 D 10.0.12.3 GigabitEthernet
0/0/010.0.12.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/010.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet
0/0/0192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet
0/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到此时R3已经获取了R1和R2的路由信息,R3可以向它俩发布许多PING包,造成网络拥塞,形成攻击。
接下来,用R3模拟攻击实验:
给R3配置两个用户欺骗的环回地址,地址和公司网络的用户地址相同:
[R3]interface LoopBack 0
[R3-LoopBack0]ip address 192.168.10.1 24
[R3]interface LoopBack 1
[R3-LoopBack1]ip address 192.168.20.1 24
[R3]rip
[R3-rip-1]version 2
[R3-rip-1]network 192.168.10.0
[R3-rip-1]network 192.168.20.0
查看R1路由表:
<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: PublicDestinations : 11 Routes : 12 Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet
0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet
0/0/1RIP 100 1 D 10.0.12.3 GigabitEthernet
0/0/1
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到,R1中到目的地为192.168.20.0/24的路径有两条,这样就会导致有部分信息进入到了欺骗路由R3中,R2同理;
4.配置RIPv2简单验证:
为了避免以上攻击,在R1和R2中配置简单验证,密码huawei:
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]rip authentication-mode simple huawei[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]rip authentication-mode simple huawei
配置完后等待一段时间,查看R1和R2的路由表:
[R1]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: PublicDestinations : 11 Routes : 11 Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet
0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet
0/0/1
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到,欺骗路由消失,路由表恢复正常;
此时,在R1的G0/0/1上抓包,可以看到密码:
5.配置MD5密文验证:
[R1-GigabitEthernet0/0/1]undo rip authentication-mode
[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei[R2-GigabitEthernet0/0/1]undo rip authentication-mode
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei
查看R1的路由表:
[R1]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: PublicDestinations : 11 Routes : 11 Destination/Mask Proto Pre Cost Flags NextHop Interface10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet
0/0/110.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/110.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/0192.168.20.0/24 RIP 100 1 D 10.0.12.3 GigabitEthernet
0/0/1
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到,欺骗路由也消失了,路由表是正常的;
继续抓包:
可以看到,此时密码没有显示。
至此,RIPv2认证实验就已经完成了!
思考题:
问题:在本实验中,R1和R2上配置了认证,R3没有配置认证,根据分析,R1和R2不会再接收R3发送的不包含认证信息的RIP更新,那R3是否会接收R1和R2发送过来的带有认证信息的RIP更新呢?为什么?
解答:也不会收,因为数据包里认证字段跟自己不匹配,所以路由器不收。单向的路由通常都是没有实际意义的而且(绝大多数应用都需要双向通信)。
华为HCNA之配置RIPv2认证实验相关推荐
- 华为HCNA之配置STELNET登陆实验
导语: STelnet是Secure Telnet的简称,由于Telnet传输过程中采用TCP进行明文传输,存在很大的安全问题,而STelnet采用SSH网络安全协议完成对数据的加密,使之更加安全. ...
- 华为HCNA之配置Trunk实验
导语: Trunk端口一般用于交换机之间连接的端口.它可以承载多个不同VLAN数据,不属于任何一个具体的VLAN. 拓扑图: 步骤: 1.基本配置: 如拓扑图所示,配置各个物理设备和接口,并完成连通性 ...
- 华为HCNA之配置OSPF的Router-ID实验
导语: 运行了OSPF路由协议的路由器要与其它运行OSPF路由协议的路由器之间要通行首要拥有标识符(身份证). 标识符(身份证):就一个IP地址,因为一个网络里面地址没有冲突. 标识符的选举:1:如果 ...
- 华为模拟器eNSP配置NAT网络实验
NAT(Network Address Translation,网络地址转换) 首先了解现在IP地址的使用情况,私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的I ...
- 华为HCNA实验22-RIPv2认证
1.原理简述: 配置协议的认证有很多的好处!例如:可以降低设备接受非法路由选择更新消息的可靠性,非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据 ...
- 华为 eNSP 模拟器配置动态路由(ospf)
华为 eNSP 模拟器配置动态路由 (ospf) 文章目录 一.实验步骤 1.配置主机 2.配置路由信息 3.相关命令 4.实验资料 一.实验步骤 配置两台主机的ip地址信息 配置路由的ip信息 启动 ...
- 华为 eNSP 模拟器配置动态路由(RIP)
华为 eNSP 模拟器配置动态路由 RIP 文章目录 一.实验步骤 1.配置主机 2.配置路由信息 3.配置路由(启动RIP协议) 4.测试 5.相关命令 6.实验资料 一.实验步骤 配置两台主机的i ...
- 视频教程-【直通华为HCNA/HCNP系列R篇3】路由器接口配置与管理-华为认证
[直通华为HCNA/HCNP系列R篇3]路由器接口配置与管理 国内IT图书作者,网络技术讲师,华为授权讲师.共著有近60部计算机网络著作,新代表作:<Cisco/H3C交换机|路由器" ...
- 【直通华为HCNA/HCNP系列R篇-12】BGP路由配置与管理-王达-专题视频课程
[直通华为HCNA/HCNP系列R篇-12]BGP路由配置与管理-20623人已学习 课程介绍 本课程以笔者编写.由华为公司指定作为ICT认证培训教材的<华为路由器学习指南> ...
- 【直通华为HCNA/HCNP系列R篇-10】OSPF路由配置与管理-王达-专题视频课程
[直通华为HCNA/HCNP系列R篇-10]OSPF路由配置与管理-13051人已学习 课程介绍 本课程是按照由笔者编写.由华为公司指定作为ICT认证培训教材的<华为路由器学习指 ...
最新文章
- Ubuntu20.04安装zabbix以及Cannot create the configuration file解决
- ubuntu + oepncv + PCL + realsenseSDK + ROS + OpenVino开发环境搭建
- 很多优秀的软件公司和开发者为什么愿意开源和共享?
- java range(10)_Java Year range()用法及代码示例
- esp32外部中断_玩转 ESP32 + Arduino (四) 电容按键 霍尔传感器 外部中断 延时 脉冲检测...
- 界面 高炉系统_首钢京唐七大系统介绍
- 6-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案升级篇(远程升级STM32程序,基于Wi-Fi,同时支持升级Wi-Fi,APP控制版)...
- 实现DDD领域驱动设计: Part 4
- 实体类为什么要用包装类而不用基本类型
- JAVA入门级教学之(方法-题-3)
- linux串口缓冲区的大小,linux-----------串口设置缓冲器的大小
- python代码评测结果tle_TLE计算列表中指定范围内的元素数 - python
- 如何判断一个进程已经完成初始化?
- sql 结果相加_SQL联结语句
- IntelliJ IDEA下载 与 破解(Evaluate for free 灰色)
- 计算机网络在信息时代中的作用
- 华为css与堆叠,华为堆叠配置
- PDF编辑_隐私条款
- 文科生可报考那些计算机学校,文科生/600分以上可以报考哪些学校?
- eds能谱图分析实例_使用EDS如何对材料进行定性定量分析?