企业交换机OSPF路由协议配置与防护
上机练习讲义(Cisco设备版)
一、实验目的
- 掌握Cisco交换机、防火墙基础接口与VLAN配置方法
- 熟练配置OSPF协议,实现企业多设备路由互通
- 掌握OSPF MD5加密认证配置,提升路由协议安全性
- 能通过命令验证OSPF邻居关系、路由表及加密配置有效性
二、实验环境
- 设备:Cisco路由器2台(R1、R2)、Cisco ASA/防火墙1台(FW)
- 拓扑:R1(总公司)↔ R2(分公司)↔ FW(出口),所有设备OSPF区域0
- 地址规划表:
| 设备 | 接口/VLAN | IP地址/掩码 | 用途 |
|---|---|---|---|
| R1 | VLAN40(E1/0/5) | 20.1.0.5/24 | 连接R2 |
| R1 | VLAN41(E1/0/6-9) | 20.1.41.1/24 | 总公司销售网段 |
| R2 | VLAN40(E1/0/5) | 20.1.0.6/24 | 连接R1 |
| R2 | VLAN50(E1/0/6-9) | 20.1.50.1/24 | 分公司财务网段 |
| R2 | VLAN100(E1/0/10) | 20.1.10.1/24 | 连接FW |
| FW | E0/1 | 20.1.10.2/24 | 连接R2 |
| FW | Loopback1 | 20.1.1.254/32 | OSPF稳定路由ID |
三、实验准备
- 所有设备恢复出厂配置,进入全局配置模式(
configure terminal) - 确认设备间物理连线正常,接口状态为Up
- 统一MD5认证密钥:
Wlaq@123,密钥ID:1
四、实验步骤
步骤1:基础接口与VLAN配置
1.1 R1配置
# 进入全局配置模式Ritch>enable Ritch#configure terminalRitch(config)#hostname R1# 配置VLANR1(config)#vlan 40 # 创建VLAN40R1(config-vlan)#name Link_TO_R2R1(config-vlan)#exitR1(config)#vlan 41 # 创建销售网段VLAN41R1(config-vlan)#name Sales_VLANR1(config-vlan)#exit# 接口划入VLANR1(config)#interface range Ethernet1/0/5R1(config-if-range)#Ritchport mode trunk # 或access(按拓扑调整)R1(config-if-range)#Ritchport trunk allowed vlan 40R1(config-if-range)#no shutdownR1(config-if-range)#exitR1(config)#interface range Ethernet1/0/6-9R1(config-if-range)#Ritchport mode accessR1(config-if-range)#Ritchport access vlan 41R1(config-if-range)#no shutdownR1(config-if-range)#exit# 配置VLAN接口IPR1(config)#interface Vlan40R1(config-if)#ip address 20.1.0.5 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface Vlan41R1(config-if)#ip address 20.1.41.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit1.2 R2配置
# 进入全局配置模式Ritch>enable Ritch#configure terminalRitch(config)#hostname R2# 配置VLANR2(config)#vlan 40 # 创建VLAN40R2(config-vlan)#name Link_TO_R1R2(config-vlan)#exitR2(config)#vlan 50 # 创建财务网段VLAN50R2(config-vlan)#name Finance_VLANR2(config-vlan)#exitR2(config)#vlan 100 # 创建连接FW的VLAN100R2(config-vlan)#name Link_TO_FWR2(config-vlan)#exit# 接口划入VLANR2(config)#interface Ethernet1/0/5R2(config-if)#Ritchport mode trunkR2(config-if)#Ritchport trunk allowed vlan 40R2(config-if)#no shutdownR2(config-if)#exitR2(config)#interface range Ethernet1/0/6-9R2(config-if-range)#Ritchport mode accessR2(config-if-range)#Ritchport access vlan 50R2(config-if-range)#no shutdownR2(config-if-range)#exitR2(config)#interface Ethernet1/0/10R2(config-if)#Ritchport mode trunkR2(config-if)#Ritchport trunk allowed vlan 100R2(config-if)#no shutdownR2(config-if)#exit# 配置VLAN接口IPR2(config)#interface Vlan40R2(config-if)#ip address 20.1.0.6 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#interface Vlan50R2(config-if)#ip address 20.1.50.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#interface Vlan100R2(config-if)#ip address 20.1.10.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exit1.3 FW(Cisco ASA)配置
# 进入全局配置模式ciscoasa>enable ciscoasa#configure terminalciscoasa(config)#hostname FW# 配置物理接口E0/1FW(config)#interface Ethernet0/1FW(config-if)#nameif inside # 定义接口名称FW(config-if)#security-level 100 # 安全级别FW(config-if)#ip address 20.1.10.2 255.255.255.0FW(config-if)#no shutdownFW(config-if)#exit# 配置Loopback回环接口FW(config)#interface Loopback1FW(config-if)#ip address 20.1.1.254 255.255.255.255FW(config-if)#no shutdownFW(config-if)#exit步骤2:OSPF协议基础配置(区域0)
2.1 R1配置
# 启用OSPF进程1,配置Router-IDR1(config)#router ospf 1R1(config-router)#router-id 20.1.0.5 # 手动指定Router-IDR1(config-router)#network 20.1.0.0 0.0.0.255 area 0 # 宣告VLAN40网段R1(config-router)#network 20.1.41.0 0.0.0.255 area 0 # 宣告VLAN41网段R1(config-router)#no passive-interface Vlan40 # 激活直连OSPF接口R1(config-router)#exit2.2 R2配置
# 启用OSPF进程1,配置Router-IDR2(config)#router ospf 1R2(config-router)#router-id 20.1.0.6 # 手动指定Router-IDR2(config-router)#network 20.1.0.0 0.0.0.255 area 0 # 宣告VLAN40网段R2(config-router)#network 20.1.50.0 0.0.0.255 area 0 # 宣告VLAN50网段R2(config-router)#network 20.1.10.0 0.0.0.255 area 0 # 宣告VLAN100网段R2(config-router)#no passive-interface Vlan40R2(config-router)#no passive-interface Vlan100R2(config-router)#exit2.3 FW配置
# 启用OSPF进程1,配置Router-IDFW(config)#router ospf 1FW(config-router)#router-id 20.1.1.254 # 回环口作为Router-IDFW(config-router)#network 20.1.10.0 0.0.0.255 area 0 # 宣告E0/1网段FW(config-router)#network 20.1.1.254 0.0.0.0 area 0 # 宣告回环口FW(config-router)#exit步骤3:OSPF MD5加密认证配置
核心要求:所有OSPF互联接口配置MD5认证,密钥统一为Wlaq@123,密钥ID=1
3.1 R1配置(仅VLAN40接口)
R1(config)#interface Vlan40R1(config-if)#ip ospf authentication message-digest # 启用MD5认证R1(config-if)#ip ospf message-digest-key 1 md5 Wlaq@123 # 配置密钥R1(config-if)#exit3.2 R2配置(VLAN40、VLAN100接口)
# VLAN40接口(连接R1)R2(config)#interface Vlan40R2(config-if)#ip ospf authentication message-digestR2(config-if)#ip ospf message-digest-key 1 md5 Wlaq@123R2(config-if)#exit# VLAN100接口(连接FW)R2(config)#interface Vlan100R2(config-if)#ip ospf authentication message-digestR2(config-if)#ip ospf message-digest-key 1 md5 Wlaq@123R2(config-if)#exit3.3 FW配置(E0/1接口)
FW(config)#interface Ethernet0/1FW(config-if)#ip ospf authentication message-digestFW(config-if)#ip ospf message-digest-key 1 md5 Wlaq@123FW(config-if)#exit步骤4:配置验证
4.1 验证OSPF邻居关系
# R1查看OSPF邻居R1#show ip ospf neighbor# R2查看OSPF邻居R2#show ip ospf neighbor# FW查看OSPF邻居FW#show ospf neighbor预期结果:三台设备均能看到对方邻居,状态为FULL(完全邻接)
4.2 验证OSPF路由表
# R1查看OSPF路由R1#show ip route ospf# R2查看OSPF路由R2#show ip route ospf# FW查看OSPF路由FW#show route ospf预期结果:所有设备路由表中,均存在其他设备的网段路由(O标识)
4.3 验证MD5加密配置
# 查看接口OSPF认证配置R1#show ip ospf interface Vlan40R2#show ip ospf interface Vlan100FW#show ospf interface Ethernet0/1预期结果:接口信息中显示Message digest authentication enabled,密钥ID=1
五、实验总结
- OSPF协议通过Router-ID、网段宣告、区域划分实现路由自动学习,区域0为骨干区域,保障路由可靠传递
- MD5加密认证可有效防止非法设备接入OSPF网络,避免路由劫持,是企业路由协议安全的基础配置
- 验证核心命令:
show ip ospf neighbor、show ip route ospf、show ip ospf interface
六、常见问题排查
- OSPF邻居无法建立:检查接口IP连通性、OSPF网段宣告是否正确、Router-ID是否冲突、MD5密钥是否一致
- 路由表无OSPF条目:确认接口未配置
passive-interface、网段宣告反掩码正确 - MD5认证失败:核对密钥字符串、密钥ID是否完全一致,接口是否启用MD5认证
七 验收场景和标准
全部满足,即判定配置完全生效、OSPF 正常、MD5 加密有效:
- 直连接口 ping 全通
- 跨网段 ping 全通(OSPF 路由正常)
- MD5 密钥错误 → 不通;密钥正确 → 恢复通
1、验收前提
- 所有设备接口、VLAN、IP 配置完成
- OSPF 已配置并建立 FULL 邻居
- MD5 加密已配置且邻居正常
2、验收场景与检验标准(全用 ping)
场景1:直连接口连通性(VLAN40)
目的:确认二层/VLAN配置正确
- R1 执行:
ping 20.1.0.6- R2 执行:
ping 20.1.0.5检验标准:!!!!!,丢包率 0%
场景2:R2 ↔ FW 直连互通(VLAN100/E0/1)
目的:确认 R2 与 FW 二层/IP 正常
- R2:
ping 20.1.10.2- FW:
ping 20.1.10.1检验标准:!!!!!,丢包率 0%
场景3:跨设备内网互通(OSPF 路由生效)
目的:验证 OSPF 路由已自动学习
- R1 → R2 内网:
ping 20.1.50.1- R2 → R1 内网:
ping 20.1.41.1- R1 → FW Loopback(骨干路由):
ping 20.1.1.254- FW → R1 内网:
ping 20.1.41.1检验标准:所有 ping!!!!!,说明OSPF 路由完全生效
场景4:MD5 加密有效性(破坏密钥后不通、恢复后通)
目的:证明 OSPF 邻居依赖 MD5,防止非法接入
4.1 正常状态(加密正确)
- R1 ping R2:
ping 20.1.0.6结果:通(加密正常)
4.2 故意改错 R2 的 MD5 密钥
interface vlan 40 no ip ospf message-digest-key 1 md5 Wlaq@123 ip ospf message-digest-key 1 md5 wrongpass- 再在 R1 ping R2:
ping 20.1.0.6检验标准:不通(. . . . .),OSPF 邻居断开
4.3 恢复正确密钥
interface vlan 40 no ip ospf message-digest-key 1 md5 wrongpass ip ospf message-digest-key 1 md5 Wlaq@123- R1 ping R2:
ping 20.1.0.6检验标准:恢复连通,邻居重新 FULL
做时间序列预测)
