- •Системы документальной электросвязи
- •660041, Г. Красноярск, пр. Свободный, 79
- •Оглавление
- •1. Техническое задание
- •2. Содержание курсового проекта
- •3. Распределение адресного пространства
- •Ip адреса для интерфейсов маршрутизаторов в случае полносвязной
- •Ip адреса интерфейсов
- •4. Проектирование сети ospf
- •4.1. Конфигурирование протокола ospf для работы в сети nbma
- •4.1.1. Работа протокола ospf в полносвязной сети с разрешенной широковещательной рассылкой и включенным протоколом inArp
- •4.1.2. Работа протокола ospf в частично связанной сети с разрешенной широковещательной рассылкой и включенным протоколом inArp
- •4.2. Конфигурация тупиковых областей
- •4.3. Настройка средств суммирования адресов
- •4.4. Настройка средств перераспределения маршрутов и настройка маршрутизаторов asbr
- •4.5. Конфигурация виртуальных каналов
- •4.6. Защита сети ospf
- •5. Анализ сообщений протокола ospf
- •6. Расчет полосы пропускания
- •Библиографический список Основная литература:
4.6. Защита сети ospf
В данном курсовом проекте в качестве средств защиты предполагается использование пассивных интерфейсов и механизмов аутентификации OSPF. Аутентификация маршрутов необходима для того, чтобы маршрутизатор принимал анонсы только от авторизированных маршрутизаторов. Настройку средств аутентификации необходимо провести для каждого интерфейса маршрутизатора, те интерфейсы маршрутизаторов, которые подсоединены к пользовательским сетям, должны быть переведены в пассивный режим. Аутентификацию также необходимо проводить и для виртуального канала.
В программном обеспечении CiscoIOSдля протоколаOSPFпредусмотрено два механизма аутентификации с общим ключом: первый вариант, передача пароля в незашифрованном виде, второй вариант, использования алгоритмаMD5 для получения хэша от общего ключа и передача хэша вместо пароля, очевидно, что второй способ является более безопасным, поэтому в курсовой работе необходимо использовать именно его. Для каждой пары маршрутизаторов можно выбрать свой уникальный ключ, а можно использовать один ключ для всех каналов. Для включение средств аутентификации необходимо в режиме конфигурации протокола маршрутизации ввести командуarea [area id] authentication message-digest которая разрешает аутентификацию в области равной значениюarea-id, а затем в режиме конфигурации интерфейса находящегося в этой области ввести командуip ospf message-digest-key [key-ID] md5 [password], параметрkey-IDпозволяет за дать до 255 паролей на одном интерфейсе. В качестве примера настройки средств аутентификации будем использовать маршрутизаторы R1 иR2 рис. 4.3:
R1(config)#router ospf 1
R1(config-router)#area 0 authentication message-digest
R1(config-router)#exit
R1(config)#int f0/0
R1(config-if)#ip ospf message-digest-key 1 md5 qwerty
R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest
R2(config-router)#exit
R2(config)#int f0/0
R2(config-if)#ip ospf message-digest-key 1 md5 qwerty
Для аутентификации виртуального канала между маршрутизатором R2 иR4 необходимо разрешить аутентификацию в области 200, так как интерфейсы виртуального канала лежат именно в этой области, после разрешения средств аутентификации в области 200 необходимо задать пароль для виртуального канала с помощью командыarea [area-id] virtual-link [router id] authentication-key [encryption type] [password], предварительно удалить существующий виртуальный канал, ниже показан пример конфигурации виртуального канала между маршрутизаторамиR2 иR4 на рис. 4.3:
R2(config)#router ospf 1
R2(config-router)#area 200 authentication message-digest
R2(config-router)#no area 100 virtual-link 6.0.0.1
R2(config-router)#area 100 virtual-link 6.0.0.1 authentication-key 0 qwerty
R4(config)#router ospf 1
R4(config-router)#area 200 authentication message-digest
R4(config-router)#no area 100 virtual-link 1.0.0.2
R4(config-router)#area 100 virtual-link 1.0.0.2 authentication-key 0 qwerty
После настройки средств аутентификации в режиме конфигурации протокола OSPFнеобходимо перевести все пользовательские интерфейсы в пассивный режим, тем самым прекратится передача анонсовOSPFв пользовательские сети, с помощью командыpassive-interface [interface]. На рисунке 1.1 интерфейсf0/1 подключен к пользовательской сети, поэтому этот интерфейс необходимо сделать пассивным, пример настройки пассивного интерфейса показан ниже:
R2(config-router)#passive-interface fastEthernet 0/1
Добавить маршрутные карты
Аутентификацию в рип
Списки доступа