VRRP安全认证VRRP安全隐患是如何产生的?VRRP多台路由器连接方式是交换机,VRRP报文方式是组播方式224.0.0.18组里所有成员都可以接收消息,交换机无法隔离组播消息,这个消息被恶意路由甚
.
VRRP安全认证
VRRP安全隐患是如何产生的?
VRRP多台路由器连接方式是交换机,VRRP报文方式是组播方式224.0.0.18组里所有成员都可以接收消息,交换机无法隔离组播消息,这个消息被恶意路由甚至pc机伪装的路由看到后可以看到VRRP消息,并且通过这个信息伪装一个最大优先级,最大ip的主路由信息,通过抢占功能瞬间夺取主路由权限,造成无法连接外网,网络故障。
VRRP安全隐患的解决方案是什么?
设置密码,也就是VRRP安全认证
VRRP安全认证的类型有哪些?
明文认证——simple (抓取数据包看到vrrp数据里面的密码,cipher密文方式也可以数据中清晰看到)
密文认证——md5 (在vrrp和INT中间产生一个条目)
认证原则:VRRP所用认证模式必须相同
VRRP所用认证密码必须相同 (模式密码必须保持完全一致大小写都要一样)
安全认证原理配置思路
配置思路:
1.终端设备
主机IP地址,网关地址
2.网络设备
交换机
(默认vlan1)建立vlan 设置接口acc模式
路由器
配置VRRP角色,配置安全认证,配置密码Taren
3.验证与测试
查看VRRP网关的状态设置过程中的状态变化
抓包R1 接口g0/0/0查看数据
抓包sw1接口g0/0/3查看simple 明文密码模式
(vrrp协议里面看到密码cipher也可以看到)
查看md5 密文密码模式数据
(在vrrp前面生成一个条目 密码是密文数据包也看不到)
命令:
interface GigabitEthernet0/0/0
ip ad 192.168.1.251 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 200
vrrp vrid 1 authentication-mode simple cipher Taren //配置明文认证密码
vrrp vrid 1 authentication-mode md5 Taren //配置密文认证密码
4 案例4:VRRP安全认证
4.1 问题
如图配置IP地址
如图配置 VRRP 网关角色
配置 VRRP 密文安全认证
配置 VRRP 认证密码为 Tarena
验证 VRRP 网关状态
4.2 方案
搭建实验环境,如图-4所示。
图-4
4.3 步骤
实现此案例需要按照如下步骤进行。
配置终端设备 PC1
PC-1 IP 地址: 192.168.1.1 255.255.255.0 192.168.1.254 // 后期通过 VRRP 形成的 虚拟网关IP配置 SW1
<Huawei>system-view // 进入系统视图
[Huawei]sysname SW1 // 修改设备名称为 SW1
[SW1]interface GigabitEthernet 0/0/1 // SW1 与 R1 的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access // 配置链路类型为 access
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gi0/0/2 // SW1 与 R2 的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access // 配置链路类型为 access
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface gi0/0/3 // SW1 与 PC1 的互联接口
[SW1-GigabitEthernet0/0/3]port link-type access // 配置链路类型为 access
[SW1-GigabitEthernet0/0/3]quit
配置R1
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 // R1与SW1 的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit
配置R2
<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 // R2与SW1 的互联接口
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0]quit
配置R1 的 VRRP 和 MD5认证
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 // 设置虚拟网关
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200 // 设置 VRRP 优先级为 200
[R1-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 Tarena //配置密码
配置 R2 的 VRRP 和 MD5认证
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 // 设置虚拟网关
[R2-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 Tarena //配置密码
查看VRRP信息
[R1]display vrrp brief // 查看 R1 在 VRRP 中的状态,是主(Master)网关
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
1 Master GE0/0/0 Normal 192.168.1.254
[R2]display vrrp brief // 查看 R2 在 VRRP 中的状态,是备份(Backup)网关
Total:1 Master:0 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
1 Backup GE0/0/0 Normal 192.168.1.254
验证 VRRP 的 认证信息
[R1]display vrrp
GigabitEthernet0/0/0 | Virtual Router 1
State : Master
Virtual IP : 192.168.1.254
Master IP : 192.168.1.251
PriorityRun : 200
PriorityConfig : 200
MasterPriority : 200
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : MD5 Auth key : %$%$xARSEjt8IF-Pl0703EiPd+`k%$%$ // 认证类型和密码
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-02-14 11:16:14 UTC-08:00
Last change time : 2020-02-14 11:16:15 UTC-08:00
