一文打通RIP仁通二脉
作者:互联网
1.1 RIP的基本配置
1.2 配置RIPv2认证
1.3 RIP路由协议汇总
1.4 配置RIP 的版本兼容、定时器及协议优先级
1.5 配置RIP抑制和单播更新
rip1和rip2的异同之处:
rip2路由信息携带了子网掩码,
rip2路由信息中携带了下一条地址,标识一个比通告路由器更好的下一跳地址。
rip2采用组播方式发送报文,地址为224.0.0.9
1.1、 RIP的基本配置
先开启rip协议并指定版本号,且配置好接口IP
用Network声明网段信息,并测试连通性
配置完成后,开启RIP的调试功能,debug命令在用户试图中才能使用,使用terminal debugging和terminal monitor命令开启debug信息显示在屏幕上的功能。用undo debuging rip 或者 undo debug all关闭debug功能。(debug会耗费大量路由器资源,慎用)
1.2、rip2接口认证(降低设备接受非法路由选择更新新消息的可能性,也可成为验证)
认证方式:简单加密和md5密文加密
加密方式 ---- MD5和明文加密(安全散列函数)
-
执行命令rip authentication-mode simple { plain plain-text | [ cipher ] password-key },配置RIP-2报文为简单认证方式。
执行以下命令,配置RIP-2报文为MD5密文认证方式。
usual类型表示MD5密文认证报文使用通用报文格式(私有标准)
nonstandard类型表示MD5密文认证报文使用非标准报文格式(IETF标准)
-
rip authentication-mode md5 usual { plain plain-text | [ cipher ] password-key }
-
rip authentication-mode md5 nonstandard { keychain keychain-name | { plain plain-text | [ cipher ] password-key } key-id }
实验一:
rip攻击实验+身份验证:
R1: interface GigabitEthernet0/0/0 ip address 10.0.12.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.10.1 255.255.255.0 rip 1 version 2 network 192.168.10.0 network 10.0.0.0 R2: interface GigabitEthernet0/0/0 ip address 10.0.12.3 255.255.255.0 rip 1 version 2 network 10.0.0.0 network 192.168.20.0 R3: interface GigabitEthernet0/0/0 ip address 10.0.12.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 192.168.20.1 255.255.255.0 rip 1 version 2 network 192.168.20.0 network 10.0.0.0
R3作为攻击者来接入到ri和r2网段,配置与其相同的rip协议,从而学习到了去PC1和PC2的路由信息,且R1、R2分别学到了两条去往相同网段得信息(如下图)
r3还不满足,为了获取r1和r2互相传送出来的数据,进而声明了两条和R1 R2相同的网段信息,当PC1发送数据给PC2时,R1通过rip学习到了两条去往192.168.20.0 网段的路由,于是进行负载均衡,进而R3收到了传输的数据。(R2发送数据给R1被R3获取的原理同上)
配置验证:
为提升网络安全性,管理员可在R1和R2上配置认证对网络进行保护。
1.配置简单验证:
[r1-GigabitEthernet0/0/0]rip authentication-mode simple huawei [r2-GigabitEthernet0/0/0]rip authentication-mode simple huawei
通过简单认证,我们再次查看路由表信息,发现去往对方网段的路由都只剩下一条了,证明R3已经被排除在外了。但若R3想接进来,还时很简单的,为什么都加密了,R3仍然可以接入呢?
因为R1和R2采用的加密方式是明文加密,通过抓包是可以获取到,我们抓个包来看看吧!
RIP 更新的报文中,密码一目了然!!!!That so dangerous!!!
接下来使用密文认证方式看看吧!
Let's go!
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual huawei [r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual huawei 抓个包看看----
密码已经看不到了-------This is md5!!!
加密后查看路由表,去R3的两条路由已经消失了
1.3RIP 的路由协议汇总:
当网络中路由条目较多时,可以通过路由汇总,减少路由条目,加快路由的收敛时间和增强网络的稳定性。
原理:同一个自然网段内的不同子网再向外发送时聚合成一个网段的路由器发送,由于汇总后的路由器不会感知到子网的变化,进而提高了网络的稳定性。(RIP 1不支持)
RIP2 支持自动汇总和手动汇总。
由图我们可以观察到R3发过来的汇总路由条目3.0.0.0/8,没有任何明细路由条目,
抓包分析:
RIP v1 的协议报中没有携带任何掩码信息,,即RIPv1只发布汇总后的有类路由。RIPv1自动开启自动汇总,且无法关闭,也不支持手动
display default-parameter-rip:查看默认配置信息
默认开启了自动汇总
在R1/R2/R3上运行RIPV2协议
报文内容清晰,携带了掩码信息,RIPv2支持自动汇总,默认开启,且可以关闭。
为什么没有汇总?RIPv2的自动汇总没生效??
原来如此:华为设备以太网口和串口都默认开启了水平分割功能,目的是防止环路和不连续子网问题的产生,在启用了水平分割或毒性逆转的接口上,RIPv2的默认自动汇总失效。
How do we to do?
Two ways:
The first way: 使用 summary always命令
The second way: 关闭水平分割(undo rip splite-horizon)
ripv2的自动汇总生效
接下来配置ripv2的手动汇总:
首先在R3上使用rip summary-address 进行手动汇总
[r3-Serial4/0/0]rip summary-address [r3-Serial4/0/0]rip summary-address 3.3.0.0 255.255.252.0
汇总完后,可想而知,就不放图啦!
display default-parmeter rip :查看RIP默认配置信息
summary always :不论水平分割是否启动,RIP2的自动汇总都生效。
undo rip split-horizon :关闭水平分割
1.4、配置RIP的版本兼容、定时器、协议优先级
原理:
版本兼容性问题:
协议在不指定版本情况下,不能接收v1/v2报文,只能发送v1报文
在指定版本情况下,v1<----->v1 v2<----->v2
rip3种定时器:
更新计时器:默认30s发送更新一次
超时计时器:默认180s,超时则置该条路由不可达(度量值置为16),并启动垃圾收集计时器。
垃圾收集定时器:默认120s,启动该计时器后,在120s后删除该路由表项
RIP优先级默认100,可手动修改
在R1和R2上配置RIP协议,通告相应网段。但在R1上,不指定rip的版本,R2上指定Verson 2
[r1]rip [r1-rip-1]net 10.0.0.0 [r1-rip-1]net 192.168.10.0 [r2]rip [r2-rip-1]net 10.0.0.0 [r2-rip-1]net 192.168.20.0 [r2-rip-1]version 2
我们看到,R1的路由表中存在PC-2网段的路由条目,R2的路由表中没有发现PC-2网段的路由条目
抓包来看看:
我们看到,R1采用v1,广播方式更新,而R2采用v2组播方式更新
证明了在不指定rip版本时,默认可以处理v1和v2的报文,而R2指定了v2,则只能接法v2的报文。
因此:r1发送的是v1,r2不能接收,所以r2中没有PC-1的路由信息;而r2发送的RIPv2报文能被r1接收,所以r1有PC-2的路由。
接下来让r2也能接收PC-1的路由条目,在r1上设置接口RIP的版本,使r1能够以广播的方式发送RIP报文
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]rip version 2 broadcast
发现路由表中已经存在R1发送过来的路由条目,也可以使用Rip version 2 mutlicast 命令,即使r1
以组播方式发送ripv2报文,效果一样。
配置rip定时器:
根据时间可以看出,在30s左右发送一次路由更新。
为了验证180s不可达,我们将r1G0/0/1接口配置停止发送路由更新。
[r1]int g0/0/1 [r1-GigabitEthernet0/0/1]undo rip output
经过180s后R2上的ripPC-1的路由条目已经从路由表中清除了,但还未完全删除!!!
在R2的数据库中看到给该路由条目,但以被标记为16跳。未消失原因是数据库的垃圾收集计时器启动,且还未到期,如果在120s内没有收到更新报文,垃圾收集定时器超时后删除该表项。
经过120s再查看R2数据库,路由条目已被删除
可以通过timers rip改变计时器的默认值,现将R1更新报文时间改为20s,超时计时器改为120s,垃圾收集计时器的超时时间改为60s
[r1]rip 1 [r1-rip-1]timers rip 20 120 60
配置完后查看rip信息
4、配置RIP协议的优先级
实际中可能存在多个路由协议,比如静态路由和rip协议,此时就会选择优先级比较高的协议优先放入路由表中。
我们看到RIP的优先级默认值为100.可以使用preference命令将R1优先级调整为90,再查看R1的路由表。
内容未完结..........(待更中.....)
标签:打通,r1,报文,rip,RIP,仁通二脉,路由,R1 来源: https://blog.csdn.net/weixin_51756171/article/details/121044515