目录
实验拓扑图
实验要求
实验排错
故障一
故障现象
故障分析
故障解决
故障二
故障现象
故障分析
故障解决
故障三
故障现象
故障分析
故障解决
故障四
故障现象
故障分析
故障解决
故障五
故障现象
故障分析
故障解决
故障六
故障现象
故障分析
故障解决
故障七
故障现象
故障分析
故障解决
实验拓扑图
实验要求
- 按照图示配置 IP 地址
- 按照图示分区域配置 OSPF,要求使用环回口作为 Router-id,ABR 的环回口只宣告进Area0
- 业务网段不允许出现协议报文
- R5 模拟互联网,内网通过 R1 连接互联网,在 R1 上配置默认路由并引入到 OSPF
- R1 上配置 EASY IP,两个业务网段都可以访问互联网
- 通过调整链路 Cost,避免网络中出现等价路由
- 为了实现 Area 0 快速收敛,
10.1.1.0/24链路上修改 Hello time 为 5 秒 - 排除所有网络故障,使环境符合需求,并完成排错报告
实验排错
故障一
故障现象
R1和R2之间未建立OSPF邻居
R1和R3之间,R2和R4之间都未建立OSPF邻居
故障分析
R1和R2,R1和R3,R2和R4之间的OSPF宣告配置有问题
R2与R1相连的10.1.1.0网段被宣告到了area 1中,所以R1和R2未能建立起邻居关系
同理,R1和R3之间,R1上也未宣告连接R3的网段
故障解决
将R2上连接R1的网段宣告到区域1中
[R2-ospf-1-area-0.0.0.1]undo network 10.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]qu
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255故障二
故障现象
当我们将R1和R2之间的宣告配置修改正确之后,R1和R2之间区域0的邻居还是建立不起来
故障分析
建立OSPF邻居失败,我们可以通过命令去查看邻居建立失败的原因
[R2]display ospf statistics error 可以发现是由于以下三个主要原因,因为完成要求七中实现Area 0快速收敛,需要修改10.1.1.0/24这条链路的hello time为5s,但是只修改了R2这边的接口,R1这边的接口的dead time与R2的不相同,所以邻居建立失败。
故障解决
修改R2上10.1.1.0/24这条链路的接口的dead time 和 hello time与R1保持一致
[R1-GigabitEthernet0/1]ospf timer hello 5
[R1-GigabitEthernet0/1]undo ospf timer dead 可以看出R1和R2已经建立了OSPF邻接关系
[R1]display ospf peer
OSPF Process 1 with Router ID 1.1.1.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
4.4.4.4 10.1.1.2 1 15 Full/DR GE0/1
[R1]
[R2]display ospf peer
OSPF Process 1 with Router ID 4.4.4.4
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
1.1.1.1 10.1.1.1 1 20 Full/BDR GE0/1
[R2]故障三
解决了故障二之后,我们发现R1和R2虽然建立了邻接,但是R1与R3,R2与R4之间的邻居始终未能建立。
故障现象
通过观察OSPF错误的原因发现一个是错误的area id造成,一个是hello time dead time造成,那么我们主要来看area id是否错误。
[R1]display ospf statistics error
OSPF Process 1 with Router ID 1.1.1.1
OSPF Packet Error Statistics
0 : Router ID confusion 0 : Bad packet
0 : Bad version 0 : Bad checksum
30 : Bad area ID 0 : Drop on unnumbered link
0 : Bad virtual link 0 : Bad authentication type
0 : Bad authentication key 0 : Packet too small
0 : Neighbor state low 0 : Transmit error
0 : Interface down 0 : Unknown neighbor
187 : HELLO: Netmask mismatch 78 : HELLO: Hello-time mismatch
3 : HELLO: Dead-time mismatch 0 : HELLO: Ebit option mismatch
0 : DD: MTU option mismatch 0 : DD: Unknown LSA type
0 : DD: Ebit option mismatch 0 : ACK: Bad ack
0 : ACK: Unknown LSA type 0 : REQ: Empty request
0 : REQ: Bad request 0 : UPD: LSA checksum bad
0 : UPD: Unknown LSA type 0 : UPD: Less recent LSA
[R1]故障分析
通过查看R1和R3在area 1的配置发现area id并没有配错。
那我们只能通过排查影响OSPF邻居建立的因素有哪些
- 宣告网段需要在同一个area id中
- 建立邻居关系的两个设备之间router id不能相同
- 宣告的网段子网掩码要相同
- 邻居之间链路hello time和dead time保持相同
- 验证密码一致
- 特殊区域一致
通过查看R1和R3相连链路接口的IP地址,发现它们的子网掩码长度不一致。所以这就是R1和R3之间未能建立邻居关系的真正原因
[R1-GigabitEthernet0/0]di th
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 10.2.2.1 255.255.0.0
#
return
[R1-GigabitEthernet0/0]
[R3-GigabitEthernet0/0]display this
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 10.2.2.3 255.255.255.0
#
return
[R3-GigabitEthernet0/0]故障解决
修改R1接口的IP地址子网掩码长度
R1与R2和R3成功建立邻接关系
[R1]display ospf peer
OSPF Process 1 with Router ID 1.1.1.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
4.4.4.4 10.1.1.2 1 18 Full/DR GE0/1
Area: 0.0.0.1
Router ID Address Pri Dead-Time State Interface
3.3.3.3 10.2.2.3 1 37 Full/DR GE0/0
[R1]故障四
故障现象
R2和R4之间的邻居关系无法建立
故障分析
在R1和R2建立邻接关系后,我们可以发现R2这台设备的router id为4.4.4.4,虽然在区域0中和R1建立邻接关系时,这个router id 只要不与R1的router id 相同就行,但是R2在区域1中和R4建立邻接关系时,R4的router id也是4.4.4.4,所以它们的router id相同,导致它们之间无法建立邻居关系。
故障解决
将R2的router id 改为2.2.2.2,需要将ospf进程重启之后新的router id才会生效。
可以看到R2在重启了进程之后,router id 修改成功并于R4建立了邻接关系
<R2>reset ospf process
Reset OSPF process? [Y/N]:y
[R2]display ospf peer
OSPF Process 1 with Router ID 2.2.2.2
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
1.1.1.1 10.1.1.1 1 18 2-Way/ - GE0/1
Area: 0.0.0.1
Router ID Address Pri Dead-Time State Interface
4.4.4.4 10.3.3.4 1 38 Full/DR GE0/0
[R2]故障五
故障现象
PC6和PC7无法ping通互联网的IP地址
故障分析
PC6和PC7没有配置IP地址和网关等信息
在R1上并没有配置默认路由连接互联网,从而也没有引入到OSPF中。所以PC无法通过网关访问到互联网
[R1]display ip routing-table
Destinations : 24 Routes : 24
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
2.2.2.2/32 O_INTRA 10 1 10.1.1.2 GE0/1
3.3.3.3/32 O_INTRA 10 1 10.2.2.3 GE0/0
4.4.4.4/32 O_INTER 10 2 10.1.1.2 GE0/1
10.1.1.0/24 Direct 0 0 10.1.1.1 GE0/1
10.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
10.1.1.255/32 Direct 0 0 10.1.1.1 GE0/1
10.2.2.0/24 Direct 0 0 10.2.2.1 GE0/0
10.2.2.1/32 Direct 0 0 127.0.0.1 InLoop0
10.2.2.255/32 Direct 0 0 10.2.2.1 GE0/0
10.3.3.0/24 O_INTER 10 2 10.1.1.2 GE0/1
10.4.4.0/24 O_INTRA 10 2 10.2.2.3 GE0/0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
192.168.1.0/24 O_INTRA 10 2 10.2.2.3 GE0/0
192.168.2.0/24 O_INTER 10 3 10.1.1.2 GE0/1
202.1.1.0/24 Direct 0 0 202.1.1.1 GE0/2
202.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
202.1.1.255/32 Direct 0 0 202.1.1.1 GE0/2
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
[R1]故障解决
在R3和R4这两个网关路由器上配置为dhcp服务器为PC6和PC7分发IP地址
[R3]dhcp enable
[R3]dhcp server ip-pool 1
[R3-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0
[R3-dhcp-pool-1]gateway-list 192.168.1.254
[R3-dhcp-pool-1]dns-list 8.8.8.8
[R3]dhcp server forbidden-ip 192.168.1.10 192.168.1.253
[R4]dhcp server ip-pool 1
[R4-dhcp-pool-1]network 192.168.2.0 mask 255.255.255.0
[R4-dhcp-pool-1]gateway-list 192.168.2.254
[R4-dhcp-pool-1]dns-list 8.8.8.8
[R4-dhcp-pool-1]qu
[R4]dhcp server forbidden-ip 192.168.2.10 192.168.2.253在R1上配置默认路由并引入到OSPF中
[R1]ip route-static 0.0.0.0 0 202.1.1.5
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]default-route-advertise PC6ping通互联网
<H3C>ping 100.1.1.1
Ping 100.1.1.1 (100.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 100.1.1.1: icmp_seq=0 ttl=253 time=3.863 ms
56 bytes from 100.1.1.1: icmp_seq=1 ttl=253 time=2.676 ms
56 bytes from 100.1.1.1: icmp_seq=2 ttl=253 time=1.560 ms
56 bytes from 100.1.1.1: icmp_seq=3 ttl=253 time=2.423 ms
56 bytes from 100.1.1.1: icmp_seq=4 ttl=253 time=4.946 ms
PC7无法ping通互联网
故障六
故障现象
PC7无法ping通互联网
故障分析
在R1上配置的easy ip中,nat outbound 2000,acl 2000这个访问控制列表中,未运行PC7的业务网段流量通过。
[R1]acl number 2000
[R1-acl-ipv4-basic-2000]di th
#
acl basic 2000
rule 0 permit source 192.168.1.0 0.0.0.255
#
return
[R1-acl-ipv4-basic-2000]故障解决
在acl 2000中将PC7的业务网段流量放行
[R1]acl number 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255PC7成功ping通
<H3C>ping 100.1.1.1
Ping 100.1.1.1 (100.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 100.1.1.1: icmp_seq=0 ttl=252 time=7.689 ms
56 bytes from 100.1.1.1: icmp_seq=1 ttl=252 time=5.409 ms
56 bytes from 100.1.1.1: icmp_seq=2 ttl=252 time=6.204 ms
56 bytes from 100.1.1.1: icmp_seq=3 ttl=252 time=5.938 ms
56 bytes from 100.1.1.1: icmp_seq=4 ttl=252 time=5.104 ms
--- Ping statistics for 100.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 5.104/6.069/7.689/0.897 ms
<H3C>%Jan 31 11:35:37:680 2024 H3C PING/6/PING_STATISTICS: Ping statistics for 100.1.1.1: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 5.104/6.069/7.689/0.897 ms.
故障七
故障现象
通过对网关连接PC的链路抓包发现,网关仍然在不停的向PC发送OSPFhello包。
故障分析
并未对该链路接口进行静默接口配置
故障解决
对R3和R4连接PC的接口进行静默接口配置
[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]silent-interface g0/2
[R4]ospf 1 router-id 4.4.4.4
[R4-ospf-1]silent-interface GigabitEthernet 0/2
![[网络安全 渗透实验 01]基于MSF框架渗透攻击Win7主机系统的设计与实现](https://img-blog.csdnimg.cn/direct/1c6fb7c29ac04197ac892037e942c4f5.png)
