項目4企業園區網絡互連安全優化項目描述項目相關知識項目規劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述經過某公司一段時間的使用，發現其兩個園區網絡互聯后，部分員工時常面臨網絡連接問題。針對此情況，公司運維團隊迅速響應，對反饋的問題進行深入調查。經過仔細排查，運維人員發現園區網絡在OSPF協議配置完成后，并未同步實施路由優化措施，導致路由器學習到的路由信息過多，影響路由器的轉發效率。同時缺少安全管理措施。導致用戶VLAN中出現非法路由器的接入情況，且這些非法路由器還發布了錯誤的路由信息。項目描述為確保網絡連接的穩定性和安全性，運維團隊決定對現有的OSPF路由協議進行優化調整。通過采取更為嚴格的安全策略和技術手段，力求徹底杜絕非法路由器的接入，并修正所有錯誤的路由信息。（1）通過路由匯總的方式對路由進行優化，減少路由信息。（2）拒絕通過用戶VLAN建立OSPF鄰居關系，以有效防范非法路由器的接入。（3）對OSPF路由器實施嚴格的安全認證措施，并對OSPF協議進行全面的安全管理。（4）在已接入互聯網的路由器上進行配置管理，以確保園區網絡與外部網絡之間能夠實現有效的通信。項目描述其項目拓撲如圖4-1所示。圖4-1項目拓撲項目相關知識4.1OPSF路由信息的發布和接收在OSPF協議中，路由信息的發布主要通過LSA（鏈路狀態通告）來實現。當路由器的接口狀態發生變化時，它會生成相應的LSA，并通過OSPF協議將其廣播到整個網絡。這些LSA包含了路由器的接口狀態、鄰居關系、路由成本等關鍵信息，是OSPF協議進行路由計算的基礎。接收路由信息的過程則是路由器在接收到LSA后，將其解析并存儲到本地的鏈路狀態數據庫中。通過不斷更新和維護這個數據庫，路由器能夠實時掌握整個網絡的拓撲結構和鏈路狀態。基于這些信息，路由器利用SPF（最短路徑優先）算法獨立地計算出到達任意目的地的最優路徑。4.1OPSF路由信息的發布和接收OSPF協議支持區域劃分，每個區域內部的路由器只保存該區域的鏈路狀態信息，這有助于減少路由計算的時間和報文數量。同時，通過配置適當的路由發布策略，可以實現精細化的路由控制，確保網絡中的設備能夠獲得所需的最新的路由信息。4.2OSPF安全功能配置OSPF協議提供了兩種認證機制和三種認證方式，這些認證機制和方式共同增強了OSPF協議的安全性，確保了只有經過授權的設備才能接入網絡。認證機制分為接口認證和區域認證。（1）接口認證這種基于接口實現的認證機制僅針對路由器上的特定鏈路進行身份驗證。在OSPF網絡中，每個接口均可獨立配置密碼，能夠確保路由器通過特定接口與鄰居路由器建立連接時，實現身份的驗證。在建立鄰居關系的過程中，路由器之間會交換包含接口密碼的Hello報文信息，只有接收到的密碼與本地配置的密碼完全匹配時，才能成功建立鄰居關系。這種機制能夠有效防止未授權設備接入OSPF網絡，保障網絡的安全性和穩定性。4.2OSPF安全功能配置（2）區域認證這種基于區域實現的認證機制能夠激活區域內所有接口的相應認證方式。在OSPF網絡中，每個區域都可以獨立配置一個區域密碼，當路由器與鄰居路由器在該區域建立鄰居關系時，必須要進行相應的區域認證。在建立鄰居關系的過程中，路由器之間交換的Hello信息包含了區域密碼，只有接收到的密碼與本地配置的密碼完全匹配時，才能成功建立鄰居關系。這種機制可以確保知道密碼的合法路由器接入OSPF網絡。4.2OSPF安全功能配置認證方式分為不認證、明文認證和密文認證。（1）無認證：無認證是指不進行任何認證，設備可以直接接入OSPF網絡。這種認證方式的安全性最低，因為它不對任何信息進行加密或驗證。因此，無認證方式通常只適用于對安全性要求不高的網絡環境。（2）明文認證：明文認證是指進行認證時，密碼在報文中是不做加密處理，可以被直接查詢到的。這種認證方式的安全性相對較低，因為攻擊者可以通過截獲報文來獲取密碼。然而，明文認證方式仍然比無認證方式更安全，因為它至少提供了一種驗證機制。4.2OSPF安全功能配置（3）密文認證：密文認證是指進行認證時，密碼在報文中做了加密處理，無法被直接查詢到，僅能查詢到一串亂碼。這種認證方式的安全性最高，它可以有效地防止密碼被竊取。在密文認證方式中，通常使用加密算法對密碼進行加密，以確保只有擁有相應密鑰的設備才能解密密碼。需要注意的是，當OSPF區域中有配置虛鏈路時，針對接口認證與區域認證也需要相應配置才可建立鄰居。4.3OSPF性能的優化OSPF性能的優化主要涉及到優化網絡中的路由發現、計算以及傳播過程，確保網絡能夠快速、準確地達到穩定狀態。以下是一些建議來調整OSPF網絡的收斂性：（1）調整Hello間隔和鄰居失效間隔：通過調整Hello報文的發送間隔和鄰居失效時間，可以影響鄰居發現的速度和拓撲收斂的速度。較短的Hello間隔可以加快鄰居發現和DR（指定路由器）選舉的過程，而合適的鄰居失效間隔則有助于OSPF路由器快速感知鄰居失效。（2）調整OSPF定時器：除了修改鏈路類型外，還可以通過調整OSPF的定時器來加快收斂速度。例如，增加Hello報文的發送頻率可以減少鄰居發現的時間，從而加快收斂過程。同時，合理設置失效間隔也可以幫助路由器更快地感知鄰居的失效狀態，并相應地更新路由表。4.3OSPF性能的優化（3）合理劃分OSPF區域：在OSPF中，通過劃分區域可以降低網絡的復雜性，提高路由信息的傳播效率。將網絡劃分為不同的區域，并確保每個區域的大小和復雜性適中，有助于減少收斂時間和優化路由性能。（4）實施路由匯總：在大型網絡中，為了減少路由信息的數量，可以通過路由匯總來實現。路由匯總可以減少網絡中路由信息的傳播量，降低路由器的處理負擔，從而加快配置的收斂速度。（5）將鏈路類型更改為點到點：如果網絡中只有兩個直接相連的路由器，可以將鏈路類型更改為點到點。這種鏈路類型不需要進行DR和BDR的選舉過程，因此可以更快地建立鄰接關系，從而加快收斂速度。項目規劃設計項目規劃設計本項目基于項目2進行優化，運維人員計劃將舊園區的OSPF區域更改為區域4，在OSPF網絡內的交換機上配置被動接口，防止用戶VLAN中接入非法路由器；在舊園區的路由器R3上配置路由匯總，減少新園區收到的路由數量；R1是核心出口路由器，需要通過OPSF宣告默認路由；為了OSPF網絡的安全，將在運行OSPF協議的設備上啟用安全認證。其網絡拓撲如圖4-2所示。圖4-2網絡拓撲圖項目規劃設計具體配置步驟如下。（1）配置OSPF路由匯總，實現舊園區的網絡匯總，減少路由數量。（2）配置OSPF被動接口，防止用戶VLAN中接入非法路由器。（3）部署OSPF安全認證，實現新舊園區OSPF網絡的安全接入認證功能。（4）部署OSPF宣告默認路由，實現園區網絡與外部網絡的通信。項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-1項目4VLAN規劃表VLAN-IDVLAN命名網段用途VLAN10Office-1172.16.10.0/24辦公樓用戶網段VLAN20Production-1172.16.20.0/24生產車間用戶網段VLAN30Office-2172.16.30.0/24辦公樓用戶網段VLAN40Production-2172.16.40.0/24生產車間用戶網段VLAN101Link-1192.168.21.0/24互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-1項目4VLAN規劃表VLAN-IDVLAN命名網段用途VLAN102Link-2192.168.22.0/24互聯網段VLAN103Link-3192.168.23.0/24互聯網段VLAN104Link-4192.168.24.0/24互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-2項目4端口互聯規劃表本端設備本端端口端口配置對端設備對端端口R1G0/0-R2G0/0G0/1-SW5G0/1G0/2-R5G0/0R2G0/0-R1G0/0G0/1-R3G0/1項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-2項目4端口互聯規劃表本端設備本端端口端口配置對端設備對端端口R3G0/0-R4G0/0G0/1-R2G0/1R4G0/0-R3G0/0G0/1-SW3G0/1G0/2-SW4G0/1項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-2項目4端口互聯規劃表本端設備本端端口端口配置對端設備對端端口R5G0/0-SW2G0/1

G0/1-R1G0/2SW1G0/1AccessR1G0/1SW2G0/1AccessR5G0/1SW3G0/1AccessR4G0/1SW4G0/1AccessR4G0/2項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-3項目4IP規劃表設備接口IP地址用途R1G0/0192.168.5.1/24設備互聯網段G0/1192.168.21.254/24設備互聯網段G0/2192.168.15.254/24設備互聯網段R2G0/0192.168.5.254/24設備互聯網段G0/110.10.10.1/24設備互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-3項目4IP規劃表設備接口IP地址用途R3G0/0192.168.10.254/24設備互聯網段G0/110.10.10.254/24設備互聯網段R4G0/0192.168.10.1/24設備互聯網段G0/1192.168.23.254/24設備互聯網段G0/2192.168.24.254/24設備互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-3項目4IP規劃表設備接口IP地址用途R5G0/0192.168.15.1/24設備互聯網段G0/1192.168.22.254/24設備互聯網段SW1VLAN10172.16.10.254/24用戶網段網關VLAN101192.168.21.1/24設備互聯網段SW2VLAN20172.16.20.254/24用戶網段網關VLAN102192.168.22.1/24設備互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-3項目4IP規劃表設備接口IP地址用途SW3VLAN30172.16.30.254/24用戶網段網關VLAN103192.168.23.1/24設備互聯網段SW4VLAN40172.16.40.254/24用戶網段網關VLAN104192.168.24.1/24設備互聯網段項目規劃設計根據圖4-2所示拓撲圖進行項目的業務規劃，項目4的VLAN規劃、端口互聯規劃、IP規劃見表4-1~表4-3。表4-3項目4IP規劃表設備接口IP地址用途PC1-172.16.10.1/24用戶網段地址PC2-172.16.20.1/24用戶網段地址PC3-172.16.30.1/24用戶網段地址PC4-172.16.40.1/24用戶網段地址項目實踐任務4-1配置OSPF路由匯總任務4-1配置OSPF路由匯總任務描述本任務中，要實現舊園區內OSPF區域的變更并對舊園區的路由進行匯總，任務的配置如下。1.路由協議配置：更改舊園區區域號。2.路由匯總：在R3上進行舊園區的路由匯總。任務4-1配置OSPF路由匯總任務操作1.路由協議配置（1）在路由器R3上配置OSPF區域號為4。R3(config)#routerospf1//啟動進程號為1的OSPF進程R3(config-router)#network192.168.10.00.0.0.255area4//宣告網段192.168.10.0/24區域號為4R3(config-router)#exit//退出任務4-1配置OSPF路由匯總任務操作1.路由協議配置（2）在路由器R4上配置OSPF區域號為4。R4(config)#routerospf1//啟動進程號為1的OSPF進程R4(config-router)#network192.168.10.00.0.0.255area4//宣告網段192.168.10.0/24區域號為4R4(config-router)#network192.168.23.00.0.0.255area4//宣告網段192.168.23.0/24區域號為4R4(config-router)#network192.168.24.00.0.0.255area4//宣告網段192.168.24.0/24區域號為4R4(config-router)#exit//退出任務4-1配置OSPF路由匯總任務操作1.路由協議配置（3）在交換機SW3上配置OSPF區域號為4。SW3(config)#routerospf1//啟動進程號為1的OSPF進程SW3(config-router)#network172.16.30.00.0.0.255area4//宣告網段172.16.30.0/24區域號為4SW3(config-router)#network192.168.23.00.0.0.255area4//宣告網段192.168.23.0/24區域號為4SW3(config-router)#exit//退出任務4-1配置OSPF路由匯總任務操作1.路由協議配置（4）在交換機SW4上配置OSPF區域號為4。SW4(config)#routerospf1//啟動進程號為1的OSPF進程SW4(config-router)#network172.16.40.00.0.0.255area4//宣告網段172.16.40.0/24區域號為4SW4(config-router)#network192.168.24.00.0.0.255area4//宣告網段192.168.24.0/24區域號為4SW4(config-router)#exit//退出任務4-1配置OSPF路由匯總任務操作2.路由匯總（1）在路由器R3上進行OSPF區域4內的路由匯總。R3(config)#routerospf1//啟動進程號為1的OSPF進程R3(config-router)#area4range172.16.0.0255.255.0.0cost10//對Area4內的路由進行匯總R3(config-router)#exit//退出任務4-1配置OSPF路由匯總任務驗證（1）在R1使用【showiproute】命令查看路由表，如下所示。R1#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務4-1配置OSPF路由匯總任務驗證（1）在R1使用【showiproute】命令查看路由表，如下所示。GatewayoflastresortisnosetOIA10.10.10.0/24[110/2]via192.168.5.254,00:09:51,GigabitEthernet0/0OIA172.16.0.0/16[110/12]via192.168.5.254,00:02:55,GigabitEthernet0/0O172.16.10.0/24[110/2]via192.168.21.1,00:01:20,GigabitEthernet0/1OIA172.16.20.0/24[110/3]via192.168.15.1,00:00:48,GigabitEthernet0/2C192.168.5.0/24isdirectlyconnected,GigabitEthernet0/0C192.168.5.1/32islocalhost.OIA192.168.10.0/24[110/3]via192.168.5.254,00:04:57,GigabitEthernet0/0C192.168.15.0/24isdirectlyconnected,GigabitEthernet0/2任務4-1配置OSPF路由匯總任務驗證（1）在R1使用【showiproute】命令查看路由表，如下所示。可以看到舊園區的路由匯總為172.16.0.0/16。C192.168.15.254/32islocalhost.C192.168.21.0/24isdirectlyconnected,GigabitEthernet0/1C192.168.21.254/32islocalhost.OIA192.168.22.0/24[110/2]via192.168.15.1,00:09:38,GigabitEthernet0/2OIA192.168.23.0/24[110/4]via192.168.5.254,00:03:59,GigabitEthernet0/0OIA192.168.24.0/24[110/4]via192.168.5.254,00:04:01,GigabitEthernet0/0任務4-2配置OSPF被動接口任務4-2配置OSPF被動接口任務描述本任務中，要減少兩個園區內OSPF網絡對終端發送Hello報文的傳輸量，任務的配置如下。1.鏈路優化：在交換機上配置被動接口。任務4-2配置OSPF被動接口任務操作1.鏈路優化（1）在交換機SW1上配置被動接口。SW1(config)#routerospf1//啟動進程號為1的OSPF進程SW1(config-router)#passive-interfacedefault//配置為被動接口SW1(config-router)#nopassive-interfacevlan101//取消被動接口特性SW1(config-router)#exit//退出任務4-2配置OSPF被動接口任務操作1.鏈路優化（2）在交換機SW2上配置被動接口。SW2(config)#routerospf1//啟動進程號為1的OSPF進程SW2(config-router)#passive-interfacedefault//配置為被動接口SW2(config-router)#nopassive-interfacevlan102//取消被動接口特性SW2(config-router)#exit//退出任務4-2配置OSPF被動接口任務操作1.鏈路優化（3）在交換機SW3上配置被動接口。SW3(config)#routerospf1//啟動進程號為1的OSPF進程SW3(config-router)#passive-interfacedefault//配置為被動接口SW3(config-router)#nopassive-interfacevlan103//取消被動接口特性SW3(config-router)#exit//退出任務4-2配置OSPF被動接口任務操作1.鏈路優化（4）在交換機SW4上配置被動接口。SW4(config)#routerospf1//啟動進程號為1的OSPF進程SW4(config-router)#passive-interfacedefault//配置為被動接口SW4(config-router)#nopassive-interfacevlan104//取消被動接口特性SW4(config-router)#exit//退出任務4-2配置OSPF被動接口任務驗證（1）在SW1上使用【showipospfinterface】命令查看OSPF內的接口狀態，如下所示。SW1#showipospfinterfaceVLAN10isup,lineprotocolisupInternetAddress172.16.10.254/24,Ifindex4106,Area0.0.0.3,MTU1500Matchingnetworkconfig:172.16.10.0/24ProcessID1,RouterID6.6.6.6,NetworkTypeBROADCAST,Cost:1TransmitDelayis1sec,StateDROther,Priority1NodesignatedrouteronthisnetworkNobackupdesignatedrouteronthisnetworkTimerintervalsconfigured,Hello10,Dead40,Wait40,Retransmit5任務4-2配置OSPF被動接口任務驗證（1）在SW1上使用【showipospfinterface】命令查看OSPF內的接口狀態，如下所示。SW1#showipospfinterfaceNoHellos(Passiveinterface)NeighborCountis0,Adjacentneighborcountis0CryptSequenceNumberis386Helloreceived0sent36,DDreceived0sent0LS-Reqreceived0sent0,LS-Updreceived0sent0LS-Ackreceived0sent0,Discarded0VLAN101isup,lineprotocolisup任務4-2配置OSPF被動接口任務驗證（1）在SW1上使用【showipospfinterface】命令查看OSPF內的接口狀態，如下所示。SW1#showipospfinterfaceInternetAddress192.168.21.1/24,Ifindex4197,Area0.0.0.3,MTU1500Matchingnetworkconfig:192.168.21.0/24ProcessID1,RouterID6.6.6.6,NetworkTypeBROADCAST,Cost:1TransmitDelayis1sec,StateBDR,Priority1DesignatedRouter(ID)1.1.1.1,InterfaceAddress192.168.21.254BackupDesignatedRouter(ID)6.6.6.6,InterfaceAddress192.168.21.1Timerintervalsconfigured,Hello10,Dead40,Wait40,Retransmit5任務4-2配置OSPF被動接口任務驗證（1）在SW1上使用【showipospfinterface】命令查看OSPF內的接口狀態，如下所示。可以看到SW1上VLAN10不接收Hello報文，VLAN101上接收到了Hello報文。SW1#showipospfinterfaceHelloduein00:00:06NeighborCountis1,Adjacentneighborcountis1CryptSequenceNumberis484Helloreceived240sent246,DDreceived8sent6LS-Reqreceived0sent4,LS-Updreceived22sent4LS-Ackreceived4sent21,Discarded0任務4-3部署OSPF安全認證任務4-3部署OSPF安全認證任務描述本任務中，要實現兩個園區內OSPF網絡的認證，加強OSPF網絡的安全性，以及R1作為核心出口路由器，任務的配置如下。1.IP配置：為R1及R6配置IP地址。2.OSPF認證：為OSPF網絡配置密文認證。任務4-3部署OSPF安全認證任務操作1.IP地址配置（1）在路由器R1上配置IP地址。R1(config)#interfacegigabitEthernet0/3//進入G0/3接口R1(config-if-GigabitEthernet0/3)#ipaddress100.1.1.1255.255.255.0//配置IP地址R1(config-if-GigabitEthernet0/3)#exit//退出任務4-3部署OSPF安全認證任務操作1.IP地址配置（2）在路由器R6上配置IP地址。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameR6//將交換機名稱更改為R6R6(config)#interfacegigabitEthernet0/0//進入G0/0接口R6(config-if-GigabitEthernet0/0)#ipaddress100.1.1.2255.255.255.0//配置IP地址任務4-3部署OSPF安全認證任務操作2.OSPF認證（1）在路由器R1上配置OSPF區域間密文認證。R1>enable//進入特權模式R1#configterminal//進入全局模式R1(config)#interfacerangegigabitEtherne0/0-2//批量進入接口R1(config-if-range)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼任務4-3部署OSPF安全認證任務操作2.OSPF認證（1）在路由器R1上配置OSPF區域間密文認證。R1(config)#routerospf1//啟動進程號為1的OSPF進程R1(config-router)#area0authenticationmessage-digest//配置區域間認證為密文認證R1(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（2）在路由器R2上配置OSPF區域間密文認證。R2>enable//進入特權模式R2#configterminal//進入全局模式R2(config)#interfacegigabitEtherne0/0//進入G0/0接口R2(config-if-GigabitEthernet0/0)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼R2(config-if-GigabitEthernet0/0)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（2）在路由器R2上配置OSPF區域間密文認證。R2(config)#routerospf1//啟動進程號為1的OSPF進程R2(config-router)#area0authenticationmessage-digest//配置區域間認證為密文認證R2(config-router)#area1virtual-link3.3.3.3authentication-keyruijie//配置虛鏈路密文認證密碼R2(config-router)#area1virtual-link3.3.3.3authenticationmessage-digest//配置虛鏈路區域間認證為密文認證任務4-3部署OSPF安全認證任務操作2.OSPF認證（3）在路由器R3上配置OSPF區域間密文認證。R3>enable//進入特權模式R3#configterminal//進入全局模式R3(config)#interfacegigabitEtherne0/0//進入G0/0接口R3(config-if-GigabitEthernet0/0)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼R3(config-if-GigabitEthernet0/0)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（3）在路由器R3上配置OSPF區域間密文認證。R3(config)#routerospf1//啟動進程號為1的OSPF進程R3(config-router)#area0authenticationmessage-digest//配置區域間認證為密文認證R3(config-router)#area1virtual-link2.2.2.2authentication-keyruijie//配置虛鏈路密文認證密碼R3(config-router)#area1virtual-link2.2.2.2authenticationmessage-digest//配置虛鏈路區域間認證為密文認證R3(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（4）在路由器R4上配置OSPF區域間密文認證。R4>enable//進入特權模式R4#configterminal//進入全局模式R4(config)#interfacerangegigabitEtherne0/0-2//批量進入接口R4(config-if-range)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼R4(config-if-range)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（4）在路由器R4上配置OSPF區域間密文認證。R4(config)#routerospf1//啟動進程號為1的OSPF進程R4(config-router)#area0authenticationmessage-digest//配置區域間認證為密文認證R4(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（5）在路由器R5上配置OSPF區域間密文認證。R5>enable//進入特權模式R5#configterminal//進入全局模式R5(config)#interfacegigabitEtherne0/0//批量進入接口R5(config-if-GigabitEthernet0/0)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼R5(config-if-GigabitEthernet0/0)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（5）在路由器R5上配置OSPF區域間密文認證。R5(config)#routerospf1//啟動進程號為1的OSPF進程R5(config-router)#area0authenticationmessage-digest//配置區域間認證為密文認證R5(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（5）在路由器R5上配置OSPF區域間密文認證。R5(config)#interfacegigabitEtherne0/1//進入G0/1接口R5(config-if-GigabitEthernet0/1)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼R5(config-if-GigabitEthernet0/1)#ipospfauthenticationmessage-digest//配置接口認證為密文認證R5(config-if-GigabitEthernet0/1)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（6）在交換機SW1上配置OSPF區域間密文認證。SW1(config)#interfacevlan10//進入VLAN10接口SW1(config-if-VLAN10)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼SW1(config-if-VLAN10)#exit//退出SW1(config)#interfacevlan101//進入VLAN101接口SW1(config-if-VLAN101)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼任務4-3部署OSPF安全認證任務操作2.OSPF認證（6）在交換機SW1上配置OSPF區域間密文認證。SW1(config)#routerospf1//啟動進程號為1的OSPF進程SW1(config-router)#area0authenticationmessage-digest////配置區域間認證為密文認證SW1(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（7）在交換機SW2上配置OSPF區域間密文認證。SW2(config)#interfacevlan20//進入VLAN20接口SW2(config-if-VLAN20)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼SW2(config-if-VLAN20)#exit//退出SW2(config)#interfacevlan102//進入VLAN102接口SW2(config-if-VLAN102)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼任務4-3部署OSPF安全認證任務操作2.OSPF認證（7）在交換機SW2上配置OSPF區域間密文認證。SW2(config)#routerospf1//啟動進程號為1的OSPF進程SW2(config-router)#area0authenticationmessage-digest////配置區域間認證為密文認證SW2(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（8）在交換機SW3上配置OSPF區域間密文認證。SW3(config)#interfacevlan30//進入VLAN30接口SW3(config-if-VLAN30)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼SW3(config-if-VLAN30)#exit//退出SW3(config)#interfacevlan103//進入VLAN103接口SW3(config-if-VLAN103)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼任務4-3部署OSPF安全認證任務操作2.OSPF認證（8）在交換機SW3上配置OSPF區域間密文認證。SW3(config)#routerospf1//啟動進程號為1的OSPF進程SW3(config-router)#area0authenticationmessage-digest////配置區域間認證為密文認證SW3(config-router)#exit//退出任務4-3部署OSPF安全認證任務操作2.OSPF認證（9）在交換機SW4上配置OSPF區域間密文認證。SW4(config)#interfacevlan40//進入VLAN40接口SW4(config-if-VLAN40)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼SW4(config-if-VLAN40)#exit//退出SW4(config)#interfacevlan104//進入VLAN104接口SW4(config-if-VLAN104)#ipospfmessage-digest-key1md5ruijie//配置密文認證密碼任務4-3部署OSPF安全認證任務操作2.OSPF認證（9）在交換機SW4上配置OSPF區域間密文認證。SW4(config)#routerospf1//啟動進程號為1的OSPF進程SW4(config-router)#area0authenticationmessage-digest////配置區域間認證為密文認證SW4(config-router)#exit//退出任務4-3部署OSPF安全認證任務驗證（1）在R1、R2上配置安全認證，R5未配置安全認證，在R1上使用命令【showipospfneighbor】查看路由鄰居表，如下所示。可以看到路由器R1未能與R5建立鄰居。R1(config)#showipospfneighborOSPFprocess1,2Neighbors,2isFull:NeighborIDPriStateBFDStateDeadTimeAddressInterface2.2.2.21Full/DR-00:00:36192.168.5.254GigabitEthernet0/06.6.6.61Full/BDR-00:00:32192.168.21.1GigabitEthernet0/1任務4-3部署OSPF安全認證任務驗證（2）在R1、R2上配置安全認證，R5未配置安全認證時，在R1上查看提示信息，如下所示。可以看到遠程控制界面上會提示OSPF其他區域驗證類型不匹配。R1(config)#*Jun1302:44:09:%OSPF-4-AUTH_ERR:Received[Hello]packetfrom2.2.2.2viaGigabitEthernet0/0:192.168.5.1:Authenticationtypemismatch.R1(config)#*Jun1302:44:21:%OSPF-4-AUTH_ERR:Received[Hello]packetfrom5.5.5.5viaGigabitEthernet0/2:192.168.15.254:Authenticationtypemismatch.任務4-3部署OSPF安全認證任務驗證（3）在R1、R2、R5上配置安全認證，在R1上使用命令【showipospfneighbor】查看路由鄰居表，如下所示。可以看到路由器R1能與R5建立鄰居。R1#showipospfneighborOSPFprocess1,3Neighbors,2isFull:NeighborIDPriStateBFDStateDeadTimeAddressInterface2.2.2.21Full/DR-00:00:34192.168.5.254GigabitEthernet0/05.5.5.51Init/DROther-00:00:36192.168.15.1GigabitEthernet0/26.6.6.61Full/BDR-00:00:39192.168.21.1GigabitEthernet0/1任務4-4部署OSPF宣告默認路由任務4-4部署OSPF宣告默認路由任務描述本任務中，要實現園區以R1作為核心出口路由器，R1在OSPF中下發默認路由，讓所有路由器學習到。任務的配置如下。1.路由協議配置：在R1上的OSPF協議上配置默認路由。任務4-4部署OSPF宣告默認路由任務操作1.路由協議配置（1）在路由器R1上配置默認路由。R1(config)#routerospf1//啟動進程號為1的OSPF進程R1(config-router)#default-informationoriginatealways//強制下發默認路由R1(config-router)#exit//退出任務4-4部署OSPF宣告默認路由任務驗證（1）在R2使用【showiprouteospf】命令查看ospf路由表，如下所示。R2#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.5.1,00:24:23,GigabitEthernet0/0OIA172.16.0.0/16[110/11]via10.10.10.254,00:02:18,GigabitEthernet0/1OIA172.16.10.0/24[110/3]via192.168.5.1,00:02:03,GigabitEthernet0/0OIA172.16.20.0/24[110/4]via192.168.5.1,00:02:09,GigabitEthernet0/0OIA192.168.10.0/24[110/2]via10.10.10.254,00:44:25,GigabitEthernet0/1任務4-4部署OSPF宣告默認路由任務驗證（1）在R2使用【showiprouteospf】命令查看ospf路由表，如下所示。可以看到路由表上出現了一條指向R1的默認路由。O192.168.15.0/24[110/2]via192.168.5.1,00:30:20,GigabitEthernet0/0OIA192.168.21.0/24[110/2]via192.168.5.1,00:30:20,GigabitEthernet0/0OIA192.168.22.0/24[110/3]via192.168.5.1,00:29:13,GigabitEthernet0/0OIA192.168.23.0/24[110/3]via10.10.10.254,00:43:19,GigabitEthernet0/1OIA192.168.24.0/24[110/3]via10.10.10.254,00:43:19,GigabitEthernet0/1項目驗證項目驗證(1)在R1上使用【showiprouteospf】查看OSPF路由表，如下所示。可以查看到R1學習到的路由。R1#showiprouteospfOIA10.10.10.0/24[110/2]via192.168.5.254,00:30:58,GigabitEthernet0/0OIA172.16.0.0/16[110/12]via192.168.5.254,00:02:57,GigabitEthernet0/0O172.16.10.0/24[110/2]via192.168.21.1,00:02:41,GigabitEthernet0/1OIA172.16.20.0/24[110/3]via192.168.15.1,00:02:47,GigabitEthernet0/2OIA192.168.10.0/24[110/3]via192.168.5.254,00:30:58,GigabitEthernet0/0OIA192.168.22.0/24[110/2]via192.168.15.1,00:29:51,GigabitEthernet0/2OIA192.168.23.0/24[110/4]via192.168.5.254,00:30:58,GigabitEthernet0/0OIA192.168.24.0/24[110/4]via192.168.5.254,00:30:58,GigabitEthernet0/0項目驗證(2)在R2上使用【showiprouteospf】查看路由表，如下所示。R2#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.5.1,00:26:10,GigabitEthernet0/0OIA172.16.0.0/16[110/11]via10.10.10.254,00:04:05,GigabitEthernet0/1OIA172.16.10.0/24[110/3]via192.168.5.1,00:03:50,GigabitEthernet0/0OIA172.16.20.0/24[110/4]via192.168.5.1,00:03:56,GigabitEthernet0/0OIA192.168.10.0/24[110/2]via10.10.10.254,00:46:12,GigabitEthernet0/1項目驗證(2)在R2上使用【showiprouteospf】查看路由表，如下所示。可以查看到R2學習到的路由。R2#showiprouteospfO192.168.15.0/24[110/2]via192.168.5.1,00:32:07,GigabitEthernet0/0OIA192.168.21.0/24[110/2]via192.168.5.1,00:32:07,GigabitEthernet0/0OIA192.168.22.0/24[110/3]via192.168.5.1,00:31:00,GigabitEthernet0/0OIA192.168.23.0/24[110/3]via10.10.10.254,00:45:06,GigabitEthernet0/1OIA192.168.24.0/24[110/3]via10.10.10.254,00:45:06,GigabitEthernet0/1項目驗證(3)在R3上使用【showiprouteospf】查看路由表，如下所示。R3#showiprouteospfO*E20.0.0.0/0[110/1]via10.10.10.1,00:26:12,GigabitEthernet0/1O172.16.0.0/16[110/0]via0.0.0.0,00:04:08,Null0OIA172.16.10.0/24[110/4]via10.10.10.1,00:03:52,GigabitEthernet0/1OIA172.16.20.0/24[110/5]via10.10.10.1,00:03:58,GigabitEthernet0/1O172.16.30.0/24[110/3]via192.168.10.1,00:04:09,GigabitEthernet0/0O172.16.40.0/24[110/3]via192.168.10.1,00:04:08,GigabitEthernet0/0O192.168.5.0/24[110/2]via10.10.10.1,01:17:22,GigabitEthernet0/1項目驗證(3)在R3上使用【showiprouteospf】查看路由表，如下所示。可以查看到R3學習到的路由。R3#showiprouteospfO192.168.15.0/24[110/3]via10.10.10.1,00:31:49,GigabitEthernet0/1OIA192.168.21.0/24[110/3]via10.10.10.1,00:31:49,GigabitEthernet0/1OIA192.168.22.0/24[110/4]via10.10.10.1,00:31:02,GigabitEthernet0/1O192.168.23.0/24[110/2]via192.168.10.1,00:45:08,GigabitEthernet0/0O192.168.24.0/24[110/2]via192.168.10.1,00:45:08,GigabitEthernet0/0項目驗證(4)在R4上使用【showiprouteospf】查看路由表，如下所示。R4#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.10.254,00:34:48,GigabitEthernet0/0OIA10.10.10.0/24[110/2]via192.168.10.254,00:53:45,GigabitEthernet0/0OIA172.16.10.0/24[110/5]via192.168.10.254,00:12:29,GigabitEthernet0/0OIA172.16.20.0/24[110/6]via192.168.10.254,00:12:34,GigabitEthernet0/0O172.16.30.0/24[110/2]via192.168.23.1,00:12:45,GigabitEthernet0/1O172.16.40.0/24[110/2]via192.168.24.1,00:12:44,GigabitEthernet0/2項目驗證(4)在R4上使用【showiprouteospf】查看路由表，如下所示。可以查看到R4學習到的路由。R4#showiprouteospfOIA192.168.5.0/24[110/3]via192.168.10.254,00:53:45,GigabitEthernet0/0OIA192.168.15.0/24[110/4]via192.168.10.254,00:40:26,GigabitEthernet0/0OIA192.168.21.0/24[110/4]via192.168.10.254,00:40:26,GigabitEthernet0/0OIA192.168.22.0/24[110/5]via192.168.10.254,00:39:39,GigabitEthernet0/0項目驗證(5)在R5上使用【showiprouteospf】查看路由表，如下所示。R5#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.15.254,00:35:03,GigabitEthernet0/0OIA10.10.10.0/24[110/3]via192.168.15.254,00:39:54,GigabitEthernet0/0OIA172.16.0.0/16[110/13]via192.168.15.254,00:12:58,GigabitEthernet0/0OIA172.16.10.0/24[110/3]via192.168.15.254,00:12:43,GigabitEthernet0/0O172.16.20.0/24[110/2]via192.168.22.1,00:12:49,GigabitEthernet0/1O192.168.5.0/24[110/2]via192.168.15.254,00:39:54,GigabitEthernet0/0項目驗證(5)在R5上使用【showiprouteospf】查看路由表，如下所示。可以查看到R5學習到的路由。R5#showiprouteospfOIA192.168.10.0/24[110/4]via192.168.15.254,00:39:54,GigabitEthernet0/0OIA192.168.21.0/24[110/2]via192.168.15.254,00:39:54,GigabitEthernet0/0OIA192.168.23.0/24[110/5]via192.168.15.254,00:39:54,GigabitEthernet0/0OIA192.168.24.0/24[110/5]via192.168.15.254,00:39:54,GigabitEthernet0/0項目驗證(6)在SW1上使用【showiprouteospf】查看路由表，如下所示。SW1#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.21.254,00:14:17,VLAN101OIA10.10.10.0/24[110/3]via192.168.21.254,00:14:17,VLAN101OIA172.16.0.0/16[110/13]via192.168.21.254,00:14:17,VLAN101OIA172.16.20.0/24[110/4]via192.168.21.254,00:14:17,VLAN101OIA192.168.5.0/24[110/2]via192.168.21.254,00:14:17,VLAN101OIA192.168.10.0/24[110/4]via192.168.21.254,00:14:17,VLAN101OIA192.168.15.0/24[110/2]via192.168.21.254,00:14:17,VLAN101項目驗證(6)在SW1上使用【showiprouteospf】查看路由表，如下所示。可以查看到SW1學習到的路由。SW1#showiprouteospfOIA192.168.22.0/24[110/3]via192.168.21.254,00:14:17,VLAN101OIA192.168.23.0/24[110/5]via192.168.21.254,00:14:17,VLAN101OIA192.168.24.0/24[110/5]via192.168.21.254,00:14:17,VLAN101項目驗證(7)在SW2上使用【showiprouteospf】查看路由表，如下所示。SW2#showiprouteospfO*E20.0.0.0/0[110/1]via192.168.22.254,00:15:18,VLAN102OIA10.10.10.0/24[110/4]via192.168.22.254,00:15:18,VLAN102OIA172.16.0.0/16[110/14]via192.168.22.254,00:15:18,VLAN102OIA172.16.10.0/24[110/4]via192.168.22.254,00:15:08,VLAN102OIA192.168.5.0/24[110/3]via192.168.22.254,00:15:18,VLAN102OIA192.168.10.0/24[110/5]via192.168.22.254,00:15:18,VLAN102OIA192.168.15.0/24[110/2]via192.168.22.254,00:15:18,VLAN102項目驗證(7)在SW2上使用【showiprouteospf】查看路由表，如下所示。可以查看到SW2學習到的路由。SW2#show