试验OSPF域内IP地址冲突会造成的安全问题
一、试验环境
1. 使用Dynamips模拟试验网络环境。
2. 路由器使用C3640,有4个10M的以太网接口
交换机使用C3640,有16个100M的以太网接口
3. 内网连接
路由器A的e0/1配置内网的网关1.1.2.1
交换机A的f0/0连接路由器的e0/1,VLAN1配置管理地址1.1.2.2,f0/1、f0/2、f0/3分别连接主机A1、A2、A3
A1、A2、A3的IP地址配置为1.1.2.6、1.1.2.10、1.1.2.14
注:
刚配置完成后,发现在路由器上无法Ping通交换机的管理地址,感觉非常奇怪
使用show cdp neighbors 查看邻居信息,发现居然没有任何信息
后来检查发现是由于路由器和交换机的速度和双工模式不匹配
使用duplex full,speed 10命令进行调整后解决该问题
路由器B和交换机B按照相同方法进行配置。
注:
配置端口后,记得要启动端口
4.网间连接
连接路由器A、路由器B的e0/0接口,网间网地址为1.1.1.1/30、1.1.1.2/30
启用路由 ip routing
现在,同一路由器上的网段地址之间都能够相互Ping通。
5.OSPF配置
为了实现两个内网之间能够相互Ping通,配置OSPF。
配置路由器A
router ospf 1 启用ospf
router-id 1.1.1.1
network 1.1.2.2 0.0.0.255 area0 发布网段
network 1.1.1.1 0.0.0.3 area 0
路由器B按照相同方法进行配置。
配置完成后,路由器之间交换路由信息,两个内网网段之间相互Ping通。
show ip route 可以查看学习到的路由信息
二、第一次试验
现在我们再看看如果发布冲突网段,会造成什么结果
路由器B发布1.1.1.4/30,并将主机B1的地址改为1.1.1.6
在路由器上使用show ip route,可以看到路由器A学习到该路由信息
主机A1的内网通信不受影响,访问不了内网B
主机B1的内网通信不受影响,访问不了内网A
两台路由器还不能完全说明问题
三、调整试验环境
将交换机A的上连端口改为路由模式,VLAN1的地址改为1.1.2.1
路由器A和交换机A的网间网地址配置为1.1.1.5/30,1.1.1.6/30
在交换机A上查看路由信息,除了直连的1.1.2.0/24,学习到路由器B发布的范围较小的1.1.2.4/30
四、第二次试验
主机A1的外网通信被中断,但内网通信不受影响
在主机A1在线的情况下,主机B1访问不了内网A
在主机A1不在线的情况下,主机B1可以使用内网A的地址访问内网A中的主机
五、可能造成的危害
1. 边界上的防火墙,在配置网络访问控制策略时,如果将内网的地址加为了可信的地址段,完全放行,就会导致
外部的***者穿透防火墙进入系统内部。
2. 可以通过业务系统的IP限制,最为严重的是防火墙等安全设备允许某些IP进行管理,这些IP被仿冒了,后果就会更加严重。
3. 考虑使用OSPF认证,来防止外部不可信的路由器接入到网络中。但是如果对于一个大型的网络,利用某一台允许接入
网络的路由器来实施破坏,同样会造成网络通信中断或者数据和业务被盗用。
转载于:https://blog.51cto.com/cyberspace/677726
试验OSPF域内IP地址冲突会造成的安全问题相关推荐
- DHCP服务器如何检测穿过中继代理的IP地址冲突(gratuitous ARP肯定是不行的)
建议:先阅读本人所发表的博文,DHCP原理篇及IP地址冲突检测 1关于DHCP服务器的冲突检测的总结 2取证DHCP中继代理的工作原理与IP地址冲突(因为不在一个子网,所以gratuitous ARP ...
- 华为路由协议ospf,域内路由,域间路由,域外路由
ospf链路状态路由协议(开放式最短路径优先) 用ip承载其报文,协议号为89. ospf链路状态(link state)路由协议基本原理: 路由信息传递与路由计算分离,基于spf算法,以累计链路开销 ...
- IP地址冲突?如何解决IP地址冲突?
你有没有遇到过这种情况:你的设备显示与IP地址冲突有关的错误信息?要是真出现这种情况,你可能发觉连接不上互联网,或者是由于根本无法访问互联网,或者是连接因故无法使用. AD: 你有没有遇到过这种情况: ...
- 妙用“IP地址冲突”揪出害群之马
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 作者:田逸( ...
- LVS(13)——DR模型准备工作及ip地址冲突问题
之前,我们的模型都是-m,也就是NAT模型,但是我们如果不指定,默认模型是DR模型. 也就是route. DR模型也准备五台主机: (1)客户端主机 单网卡NAT 192.168.19.180 (2) ...
- 双网卡上网冲突解决_【技术文章】局域网IP地址冲突罪魁祸首是什么?这几点要注意!(附高手处理方法)...
现如今,人们的生活处处离不开网络.单位办公信息化对网络的依赖则更大.为了提升安全管理和信息化水平,很多单位不仅建设了完善的办公信息系统,还部署了视频监控.但由于缺乏整体规划,或选择网络产品时考虑欠周, ...
- IP地址冲突怎么办? 如何解决局域网IP地址冲突?
IP地址冲突怎么办? 如何解决局域网IP地址冲突? 在同一个局域网里如果有两个用户同时使用了相同的IP地址,或者一个用户已经通过DHCP得到了一个IP地址,而此时又有其他用户以手工分配方式设定了与此相 ...
- Linux arping命令测试IP地址冲突
arping命令可以用来测试局域网各个主机之间的连通性,测试局域网中某个特定的IP地址是否已经被占用,进而可以有效检测局域网内的IP地址冲突问题. 如下图示例:arping -c 3 -f -D *. ...
- 什么是IP地址冲突?如何解决IP地址冲突?
什么是IP地址冲突: 当俩个通信终端被分配俩个相同的IP地址时,就会发生IP地址冲突.终端可以是个人电脑,移动设备以及任何的单独网络适配器(网卡).IP地址冲突发生在俩个终端之间,会致使其中一个终端或 ...
最新文章
- Linux指令--文件和目录属性
- 房价必须涨,不涨不正常!因为妈妈又印钱了
- postgresql9.1_gaussdb200_解析表结构
- Java面试题:热情盛夏,分享Java大厂面试百题
- matlab改变示波器颜色,[转载]matlab/simulink 示波器颜色设置
- 第二阶段冲刺——个人总结07
- Atitit 趋势管理之道 attilax著
- ddtek.oracle.dll使用相关
- 俺博士三年的一点体会
- ubuntu桌面图标不显示问题
- node.js 模块的安装卸载与导入机制
- ERROR 1146 (42S02): Table '库名.表名' doesn't exist
- java生成随机数字和字母
- 大数据系统开发综合实践(一)
- 线性插值函数的基函数构造
- 近年现场比赛补题(From 2013 to 2018)[持续更新]
- OS X Mountain Lion高手进阶
- 设计模式还有行为模式。。。
- IGMPv1包结构及工作机制讲解
- leetcode hot100 之 子集
热门文章
- SVM算法在项目实践中的应用!
- iPhone销售增长50%,净利润增长93%,但苹果股价还是跌了
- CVPR 2021 | MI-AOD: 少量样本实现高检测性能
- 有bug!PyTorch在AMD CPU的计算机上卡死了
- 博士一次性最高给140万安家费!还享副教授待遇,这所高校为了引进人才!拼了...
- 一文理解Ranking Loss/Margin Loss/Triplet Loss
- 图神经网络越深,表现就一定越好吗?
- 光缆能预警地震?谷歌做到了!毫秒级反应速度,140万公里海缆有望成为报警器...
- AI大觉醒:图灵奖得主Bengio称AI将产生意识,未来机器学习核心是注意力机制
- 工作9年开发面试华为要薪1W,华为员工:我司没有这么低工资的岗.....