实验5 路由器的配置和路由协议.docx
《实验5 路由器的配置和路由协议.docx》由会员分享,可在线阅读,更多相关《实验5 路由器的配置和路由协议.docx(20页珍藏版)》请在冰豆网上搜索。
实验5路由器的配置和路由协议
实验5路由器的配置和路由协议
5.1实验目的
1、理解DCE、DTE的概念和含义,理解封装匹配
2、掌握广域网PPP封装配置;
3、掌握PAP、CHAP验证配置,理解验证过程;
4、理解路由表、掌握静态路由的配置;
5、掌握动态路由的配置方法,理解RIP-2协议的工作过程;
6、理解链路状态路由协议的工作过程。
5.2实验设备
1、DCR路由器2台
2、PC机1台
3、CR-V35MT1条
4、CR-V35FC1条
5、网线2根
5.3相关知识
企业环境中异地的互连通常要经过第三方的网络,比如网通、电信等等,其连接通常使用路由器的串口,所以与局域网的配置不同。
5.3.1DTE和DCE
DTE是“DataTerminalEquipment(数据终端设备)”的首字母缩略词,指具有一定的数据处理能力和数据收发能力的设备,DTE提供或接收数据,例联接到调制解调器上的计算机就是一种DTE。
DCE是“DataCommunicationsEquipment(数据通讯设备)”的首字母缩略词,它在DTE和传输线路之间提供信号变换和编码功能,并负责建立、保持和释放链路的连接,如Modem。
DCE设备通常是与DTE对接,因此针脚的分配相反。
DTE和DCE的区分实质上只是针对串行端口的,路由器通常通过串行端口连接广域网络。
它们之间的区别是DCE一方提供时钟,DTE不提供时钟,但它依靠DCE提供的时钟工作,比如PC机和MODEM之间。
数据传输通常是经过DTE-DCE,再经过DCE-DTE的路径。
其实对于标准的串行端口,通常从外观就能判断是DTE还是DCE,DTE是针头(俗称公头),DCE是孔头(俗称母头),这样两种接口才能接在一起。
做路由器的背靠背实验时两个路由器一个作为DCE,另一个作为DTE,做DCE的需要配置clockrate。
ISDN或分时隙的用64000,只有普通拨号串口用56000。
如果不能确定哪台路由器拥有这条线缆的DTE端,哪台路由器拥有DCE端,可以利用showinterfaceserial0来确定。
也可以两台路由器都设定时钟,注意时钟速率要一致。
5.3.2PPP协议
点到点协议(PointtoPointProtocol,PPP)是IETF(InternetEngineeringTaskForce,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了SLIP中的问题,并成为正式的因特网标准。
PPP协议在RFC1661、RFC1662和RFC1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
在PPP的点对点通信中,可以采用PAP或者CHAP身份验证方式(首选CHAP方式)对连接用户进行身份验证,以防非法用户的PPP连接。
但这些认证是可选的,而不是必须的。
如果需要认证,则发生在网络层协议配置之前,在链路层建立健全完成,并且选择了认证协议后,通信双方就可以被认证了。
在认证阶段中,要求链路发起方在认证选项中填写认证信息,以便确认用户得到了网络管理员的许可。
在认证过程中,通信双方对等的路由器要彼此交换认证信息。
5.3.3PAP
采用PAP(PasswordAuthenticationProtocol)进行身份认证过程是两次握手验证过程,口令以明文传送。
PAP认证过程如图5-1所示。
用文字描述如下:
(1)被验证方发送用户名和口令到验证方,示例中是以客户(client)端grfwgz02向服务器(Server)端grfwgz01请求身份验证;
(2)验证方grfwgz01根据自己的网络用户配置信息查看是否有此用户己口令是否正确,然后返回不同的响应(AcknowledgeorNotAcknowledge)。
(3)如果正确,则会给对端发送ACK(应答确认)报文,通告对端已被允许进入下一阶段协商;否则发送NCK(不确认)报文,通知对方验证失败。
但此时并不会直接将链路关闭,客户端还可以继续偿试新的用户密码。
只有当验证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传、网络干扰等造成不必要的LCP重新协商过程。
图5-1PAP身份认证的两次握手
PAP并不是一个健全的认证协议。
它的特点是,在网络上以文明的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。
因此它并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护,仅适用于对网络安全要求相对较低的环境。
Pap还可以双向认证,就是将两端同时都配置为认证服务器端和认证客户端。
5.3.4CHAP
采取CHAP协议(ChallengeHandshakeAuthenticationProtocol)进行身份验证,则需要三次握手验证协议,不直接发送口令,由主验证方首先发起验证请求。
CHAP的安全性比PAP高。
CHAP身份验证的三次握手流程如图5-2所示。
文字描述如下(同样以客户端grfwgz02向服务器端grfwgz01发送认证请求为例进行介绍):
(1)当客户端要求与验证服务器连接时,并不是像PAP验证方式那样直接由客户端输入密码,而首先由验证方grfwgz01向被验证方grfwgz02发送一个作为身份认证请求的随机产生的报文,并同时将自己的主机名附带上一起发送给被验证方;
(2)被验证方得到验证方的验证请求(Challenge)后,便根据此报文中验证方的主机名和自己的用户表查找对应用户帐户口令。
如找到用户表中与验证方主机名相同的用户帐户,便利用接受到的随机报文和该用户的密匙,以Md5算法生成应答(Response),随后将应答和自己的主机名发送给验证服务器;
(3)验证方接到此应答后,再利用对方的用户名在自己的用户表中查找自己系统中保留的口令字,找到后再用自己的保留口令字(密匙)和随机报文,以Md5算生成结果,与被验证方应答比较。
验证成功验证服务器会发送一条ACK报文(Success),否则会发送一条NAK报文(Failure)。
图5-2CHAP身份认证的三次握手
CHAP身份认证的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。
CHAP认证方式使用不同的询问消息,每个消息都是不可能预测的唯一值,这样就可以防范再生攻击。
不断询问可以被限制在一次攻击中的时间内,本地路由器可以控制询问的频率和时间。
5.3.5路由协议的原理
路由协议的原理参见教材《计算机网络(第5版)》。
静态路由开销小,但不灵活,适用于相对稳定的网络;在小规模环境里,静态路由是最佳的选择。
在路由器较多的环境里,手工配置静态路由会给管理员带来大的工作负担,可考虑选择合适的动态路由协议。
在大规模网络中,OSPF作为链路状态路由协议的代表应用非常广泛,其具有无自环,收敛快的特点。
5.4实验内容
本实验分为两个部分来做,先做路由器的基本配置,实现PPP协议的封装,然后再做路由协议的配置。
5.4.1路由器基本配置
5.4.1.1网络拓扑
实验的网络拓扑结构如果图5-3所示。
图5-3网络拓扑结构
5.4.1.2实验要求
1、路由器接口IP地址配置参数
配置表Router-A
Router-B
接口
类型
IP地址
接口
类型
IP地址
S0/2
DCE
192.168.1.1
S0/2
DTE
192.168.1.2
F0/0
192.168.2.1
帐号:
RouterA
密码:
NetworkLabA
帐号:
RouterB
密码:
NetworkLabB
2、配置正确后,两台路由器可互相PING通;
3、配置PC机,分别PING两台路由器的不同端口。
5.4.2路由协议配置
5.4.2.1实验拓扑
5.4.2.2实验要求
1、路由器接口IP地址配置参数
配置表Router-A
Router-B
接口
类型
IP地址
接口
类型
IP地址
S0/2
DCE
192.168.1.1
S0/1
DTE
192.168.1.2
F0/0
192.168.2.1
F0/0
192.168.3.1
2、配置正确后,两台路由器可互相PING通;
3、配置PC机,分别PING两台路由器的连接端口;
4、配置Router-A和Router-B路由。
5.5实验步骤
5.5.1路由器基本配置
5.5.1.1配置路由器广域网端口的PPP封装
(1)配置路由器A:
Router>enable
Router#config
Router_config#hostnameRouter-A
Router-A_config#interfaces0/2
Router-A_config_s0/2#ipaddress192.168.1.1255.255.255.0
Router-A_config_s0/2#physical-layerspeed64000
Router-A_config_s0/2#encapsulationppp
Router-A_config_s0/2#noshutdown
Router-A_config_s0/2#interfacef0/0
Router-A_config_f0/0#ipaddress192.168.2.1255.255.255.0
Router-A_config_f0/0#noshutdown
Router-A_config_f0/0#exit
Router-A_config#exit
Router-A#
(2)用showinterface命令查看路由器A的s0/2接口的配置情况:
Router-A#showinterfaces0/2
如下图所示:
从图中可以看到,Router-A已封装了PPP协议,但由于对端路由器(Router-B)还没有配置,所以协议是down状态。
(3)配置路由器B:
Router>enable
Router#config
Router_config#hostnameRouter-B
Router-B_config#interfaces0/2
Router-B_config_s0/2#ipaddress192.168.1.2255.255.255.0
Router-B_config_s0/2#encapsulationppp
Router-B_config_s0/2#noshutdown
Router-B_config_s0/2#exit
Router-B_config#exit
Router-B#
(4)这时再查看路由器A的s0/2接口状态,显示如下图所示:
可以看到,s0/2接口已经变成up状态了。
同时路由器B的s0/2接口也会变为up状态。
(5)在Router-A上使用ping命令测试能否连接到Router-B,如下图所示:
上图显示,路由器A已经可以正确连接到路由器B了。
5.5.1.2PPP封装PAP
在上述实验的基础上,配置PAP验证,步骤如下:
(1)在路由器A上,设置用于对端路由器(Router-B)进行PAP验证的用户名和密码:
Router-A>enable
Router-A#config
Router-A_config#usernameRouterBpasswordNetworkLabB
//配置aaa的ppp认证方法表(此处使用本地用户信息进行认证)
Router-A_config#aaaauthenticationpppdefaultlocal
Router-A_config#interfaces0/2
Router-A_config_s0/2#pppauthenticationpap
Router-A_config_s0/2#ppppapsent-usernameRouterApasswordNetworkLabA
Router-A_config_s0/2#exit
Router-A_config#exit
Router-A#
(2)使用showinterfaces0/2命令查看路由器A的s0/2接口状态,如下图所示:
由于对端路由器(Router-B)还没有配置PAP验证,所以协议为down状态。
此时从路由器A上ping不通路由器B,如下图所示:
(3)在路由器B上,设置用于对端路由器(Router-A)进行PAP验证的用户名和密码:
Router-B>enable
Router-B#config
Router-B_config#usernameRouterApasswordNetworkLabA
//配置aaa的ppp认证方法表(此处使用本地用户信息进行认证)
Router-B_config#aaaauthenticationpppdefaultlocal
Router-B_config#interfaces0/2
Router-B_config_s0/2#pppauthenticationpap
Router-B_config_s0/2#ppppapsent-usernameRouterBpasswordNetworkLabB
Router-B_config_s0/2#exit
Router-B_config#exit
Router-B#
(4)查看路由器A的s0/2接口的状态,如下图所示:
从上图可以看到,s0/2接口已变为up状态。
(5)从路由器A上ping路由器B,记录ping命令及结果(可抓图);
如果不成功,需要找出问题重做。
(6)在路由器A上使用showrunning-config命令查看当前配置,记录配置文件中包含的PPP配置信息(可抓图)。
(7)在路由器B上使用showrunning-config命令查看当前配置,记录配置文件中包含的PPP配置信息(可抓图)。
5.5.1.3PPP封装CHAP
在6.5.1实验的基础上,配置CHAP验证(如果已经配置了PAP验证,可以在s0/2的接口配置模式下使用命令nopppauthentication禁用PAP验证),步骤如下:
(1)在路由器A上,设置用于对端路由器(Router-B)进行CHAP验证的用户名和密码:
Router-A>enable
Router-A#config
Router-A_config#usernameRouterBpasswordNetworkLab
//设置本地数据库中供对端验证时使用的用户名(此处为“RouterB”)和密码
//(此处为“NetworkLab”),需要注意的是,进行CHAP验证的两端的密码必
//须一致,这与PAP验证方式不同
Router-A_config#aaaauthenticationpppdefaultlocal
//配置aaa的ppp认证方法表(此处使用本地用户信息进行认证)
Router-A_config#interfaces0/2
Router-A_config_s0/2#pppauthenticationchap
Router-A_config_s0/2#pppchaphostnameRouterA//发送给对端验证的用户名
Router-A_config_s0/2#exit
Router-A_config#exit
Router-A#
(2)使用showinterfaces0/2命令查看路由器A的s0/2接口状态,如下图所示:
由于路由器B还没有配置CHAP验证,所以s0/2接口的状态是down。
此时在路由器A上ping路由器B时ping不通,如下图所示:
(3)在路由器B上,设置用于对端路由器(Router-A)进行CHAP验证的用户名和密码:
Router-B>enable
Router-B#config
Router-B_config#usernameRouterApasswordNetworkLab
//设置本地数据库中供对端验证时使用的用户名(此处为“RouterA”)和密码
//此密码与路由器A中用于CHAP验证的用户的密码一致,即“NetworkLab”
Router-B_config#aaaauthenticationpppdefaultlocal
//配置aaa的ppp认证方法表(此处使用本地用户信息进行认证)
Router-B_config#interfaces0/2
Router-B_config_s0/2#pppauthenticationchap
Router-B_config_s0/2#pppchaphostnameRouterB//发送给对端验证的用户名
Router-B_config_s0/2#exit
Router-B_config#exit
Router-B#
(4)查看路由器A的s0/2接口的状态,如下图所示:
从上图可以看到,s0/2接口已变为up状态。
(5)从路由器A上ping路由器B,记录ping命令及结果(可抓图);
如果不成功,需要找出问题重做。
(6)在路由器A上使用showrunning-config命令查看当前配置,记录配置文件中包含的PPP配置信息(可抓图)。
(7)在路由器B上使用showrunning-config命令查看当前配置,记录配置文件中包含的PPP配置信息(可抓图)。
5.5.1.4配置PC机
配置PC机后,PING路由器的各个端口,并记录PC配置及PING结果于表1中。
表1
PC机配置:
路由器
端口
PING命令
结果
Router-A
f0/0
Router-A
s0/2
Router-B
s0/2
5.5.2路由协议配置
5.5.2.1路由器串口配置
先对两台路由器和两台PC机进行配置,步骤如下:
1、配置路由器A:
Router>enable
Router#config
Router_config#hostnameRouter-A
Router-A_config#interfaces0/2
Router-A_config_s0/2#ipaddress192.168.1.1255.255.255.0
Router-A_config_s0/2#physical-layerspeed64000
Router-A_config_s0/2#noshutdown
Router-A_config_s0/2#interfacef0/0
Router-A_config_f0/0#ipaddress192.168.2.1255.255.255.0
Router-A_config_f0/0#noshutdown
Router-A_config_f0/0#exit
Router-A_config#exit
Router-A#
2、配置路由器B:
Router>enable
Router#config
Router_config#hostnameRouter-B
Router-B_config#interfaces0/1
Router-B_config_s0/1#ipaddress192.168.1.2255.255.255.0
Router-B_config_s0/1#noshutdown
Router-B_config_s0/1#interfacef0/0
Router-B_config_f0/0#ipaddress192.168.3.1255.255.255.0
Router-B_config_f0/0#noshutdown
Router-B_config_f0/0#exit
Router-B_config#exit
Router-B#
3、将PC1和PC2用交叉线分别连接到路由器A和路由器B的TP0端口(没有交叉线的话,可以通过交换机把PC机和路由器连接起来)。
配置PC1的IP地址为192.168.2.2,子网掩码为255.255.255.0,默认网关为192.168.2.1
4、配置PC2的IP地址为192.168.3.2,子网掩码为255.255.255.0,默认网关为192.168.3.1
5、在PC1上执行PING命令,测试PC1到路由器各端口和PC2的连通性,并记录结果于表2中。
表2
测试步骤
端口
IP地址
连通性
1
Router-Af0/0
2
Router-As0/2
3
Router-Bs0/1
4
Router-Bf0/0
5
PC2
注意:
由于机器上装有双网卡,需要先禁用“本地连接2”,然后再进行上述测试。
下同。
5.5.2.2配置静态路由路由协议。
1、在Router-A上配置静态路由:
Router-A#config
Router-A_config#iproute192.168.3.0255.255.255.0192.168.1.2
Router-A_config#exit
Router-A#
2、在Router-B上配置静态路由:
Router-B#config
Router-B_config#iproute192.168.2.0255.255.255.0192.168.1.1
Router-B_config#exit
Router-B#
3、分别使用showiproute命令查看路由器A和路由器B的路由表,显示已经配置了一条静态路由,如下图所示:
路由器A的路由表:
路由器B的路由表:
4、再次在PC1上执行PING命令,测试PC1到路由器各端口和PC2的连通性,并记录结果于表3中。
表3
测试步骤
端口
IP地址
连通性
1
Router-Af0/0
2
Router-As0/2
3
Router-Bs0/1
4
Router-Bf0/0
5
PC2
5.5.2.3配置动态路由
1、在路由器A上,先使用noiproute命令删除上面配置的那条静态路由
Router-A#config
Router-A_config#noiproute192.168.3.0255.255.255.0192.168.1.2
2、在Router-A上配置动态路由:
Router-A_config#routerrip
Router-A_config_rip#version2
R