RIP路由邻居认证

RIPRIP 路由邻居认证路由邻居认证 实验名称 RIP V2 路由邻居认证 实验目的实验目的 掌握如何配置 RIP 的明文认证及 MD5 认证方式 背景描述背景描述 随着网络应用的日益广泛和深入 企业对网络安全越来越关心和重视 路 由器设备的安全是网络安全的一个重要组成部份 为了防止攻击者 可能是恶 意的黑客或故障路由器 利用路由更新对路由器可能造成的破坏 某企业网络 管理员想实施路由更新认证措施 以此来加强网络的安全性 现要在路由器上 做适当配置来实现这一目标 技术原理技术原理 明文认证 认证方发送自己的最小 key id 的 key 值 但不携带 key id 被认 证放接收到 key 值后从自己的最小 key id 比较开始一直到自己的最大 key id 只要有 就通过认证 否则 认证失败 认证方最小 key id 的 key 值只要在被认 证方有 被认证方就能通过认证 密文认证 认证放既发送 key 值 又发送 key id 被认证方从接收到的相同 key 开始比较一直到最大 key id 如果有 就认证通过 负责 认证失败 认证方 最小 key id 的 key 值只要在被认证方同等 key id 之后有 被认证方就能通过 认证 MD5 最广泛被用于各种软件的密码认证和钥匙识别上 通俗的讲就是人们 讲的序列号 实现功能实现功能 通过邻居路由器之间的路由更新认证来防止无效的路由更新可能对网络造 成的威胁和破坏 实验设备实验设备 R1762 两台 pc 机 两台 串口线 1 根 交叉线 两根 实验拓扑实验拓扑 实验步骤实验步骤 步骤一步骤一 注 以下实验假定已配置了 RIP V2 路由协议及接口 IP 地址 第一步 在路由器 Router1 定义密钥链和密钥串 Router1 config key chain ripkey 定义一个密钥链 ripkey 进入密钥链配置模式 Router1 config keychain key 1 定义密钥序号 1 进入密钥配置模式 Router1 config keychain key key string keya 定义密钥 1 的密钥内容为 keya Router1 config keychain key accept lifetime 00 00 00 oct 1 2004 infinite 定义密钥 1 的接收存活期从 2004 年 10 月 1 日至无限 infinite Router1 config keychain key send lifetime 00 00 00 oct 1 2004 infinite 定义密钥 1 的发送存活期为从 2004 年 10 月 1 日至无限 验证测试 验证密钥链和密钥串配置信息 Router1 show key chain Key chain ripkey key 1 text keya accept lifetime 00 00 00 Oct 1 2004 infinite send lif etime 00 00 00 Oct 1 2004 infinite 第二步 在接口模式下定义认证模式 指定要引用的密钥链 Router1 config interface serial 0 0 1 Router1 config if ip rip authentication mode md5 定义认证模式为 md5 若用 text 则表示明文认证 若不指明模式则缺省用明文认证 Router1 config if ip rip authentication key chain ripkey 引用密钥链 ripkey 验证测试 验证密钥链和密钥串配置信息 Router1 show running config 此处只列出与 Serial0 相关的配置 interface Serial0 ip address 172 16 2 1 255 255 255 0 ip rip authentication mode md5 ip rip authentication key chain ripkey clock rate 64000 第三步 在路由器 Router2 定义密钥链和密钥串 Router2 config key chain ripkey 定义一个密钥链 ripkey 进入密钥链配置模 式 Router2 config keychain key 1 定义密钥序号 1 进入密钥配置模式 Router2 config keychain key key string keya 定义密钥 1 的密钥内容为 keya Router2 config keychain key accept lifetime 00 00 00 oct 1 2004 infinite 定义密钥 1 的接收存活期为从 2004 年 10 月 1 日至 infinite 无 限 Router2 config keychain key send lifetime 00 00 00 oct 1 2004 infinite 定义密钥 1 的发送存活期为从 2004 年 10 月 1 日至无限 验证测试 验证密钥链和密钥串配置信息 Router2 show key chain Key chain ripkey key 1 text keya accept lifetime 00 00 00 Oct 1 2004 infinite send lifetime 00 00 00 Oct 1 2004 infinite 第四步 在接口模式下定义认证模式 指定要引用的密钥链 Router2 config interface serial 0 Router2 config if ip rip authentication mode md5 定义认证模式为 md5 若用 text 则表示明文认证 Router2 config if ip rip authentication key chain ripkey 引用密钥链 ripkey 验证测试 验证串口 serial 0 上的认证密钥配置 Router2 show running config 此处只列出与 Serial0 相关的配置 interface Serial0 0 1 ip address 172 16 2 2 255 255 255 0 ip rip authentication mode md5 ip rip authentication key chain ripkey 第五步 调试路由更新认证 即验证两端的认证是否匹配 是否有无效 invalid 的路由更新 Router1 debug ip rip 打开 RIP 调试功能 结果显示接收和发送路由更新正 常 RIP protocol debugging is on Router1 RIP sending v2 update to 224 0 0 9 via FastEthernet0 172 16 1 1 172 16 2 0 24 0 0 0 0 metric 1 tag 0 172 16 3 0 24 0 0 0 0 metric 2 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 1 172 16 1 0 24 0 0 0 0 metric 1 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 1 172 16 1 0 24 0 0 0 0 metric 1 tag 0 RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 2 on Serial0 172 16 3 0 24 0 0 0 0 in 1 hops RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 2 on Serial0 172 16 3 0 24 0 0 0 0 in 1 hops RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 1 172 16 1 0 24 0 0 0 0 metric 1 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 1 172 16 1 0 24 0 0 0 0 metric 1 tag 0 RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 2 on Serial0 172 16 3 0 24 0 0 0 0 in 1 hops RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 2 on Serial0 172 16 3 0 24 0 0 0 0 in 1 hops Router1 no debug all 调试完后必须关闭调试功能 Router2 debug ip rip 打开 RIP 调试功能 结果显示接收和发送路由更新都正 常 RIP sending v2 update to 224 0 0 9 via Serial0 0 1 172 16 2 2 172 16 3 0 24 0 0 0 0 metric 1 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 2 172 16 3 0 24 0 0 0 0 metric 1 tag 0 RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 1 on Serial0 172 16 1 0 24 0 0 0 0 in 1 hops RIP received packet with MD5 authentication RIP received v2 update from 172 16 2 1 on Serial0 172 16 1 0 24 0 0 0 0 in 1 hops RIP sending v2 update to 224 0 0 9 via FastEthernet0 172 16 3 2 172 16 1 0 24 0 0 0 0 metric 2 tag 0 172 16 2 0 24 0 0 0 0 metric 1 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 2 172 16 3 0 24 0 0 0 0 metric 1 tag 0 RIP sending v2 update to 224 0 0 9 via Serial0 172 16 2 2 172 16 3 0 24 0 0 0 0 metric 1 tag 0 RIP received packet with MD5 authentication Router2 no debug all 调试完后必须关闭调试功能 第五步 进一步验证路由表的完整性 Router1 show ip route 结果显示 Router1 具有全网路由 Codes C connected S static R RIP O OSPF IA OSPF inter area E1 OSPF external type 1 E2 OSPF external type 2 Gateway of last resort is not set 172 16 0 0 24 is subnetted 3 subnets C 172 16 1 0 is directly connected FastEthernet0 0 C 172 16 2 0 is directly connected Serial0 0 1 R 172 16 3 0 120 1 via 172 16 2 2 00 00 05 Serial0 0 1 Router2 show ip route 结果显示 Router2 具有全网路由 Codes C connected S static R RIP O OSPF IA OSPF inter area E1 OSPF external type 1 E2 OSPF external type 2 Gateway of last resort is not set 172 16 0 0 24 is subnetted 3 subnets R 172 16 1 0 120 1 via 172 16 2 1 00 00 17 Serial0 C 172 16 2 0 is directly connected Serial0 C 172 16 3 0 is directly connected FastEthernet0 注意事项注意事项 在配置密钥的接收 发送时间前 应该先校正路由器的时钟 RIP V1 不支持路由认证 RIP V2 支持两种认证方式 明文认证和 MD5 认证 缺省不进行认证 可以配置多个密钥 在不同的时间应用不同的密钥 当配有多个密钥时 路由器按照从上到下的顺序检索匹配的密钥 当发送路由更新数据包时 路由器利用检索到的第一个匹配的密钥发送 路由更新数据包 当接收到一个路由更新数据包时 如果路由器没有检 索到一个匹配的密钥 则丢弃收到的路由更新数据包 若是通过 telnet 到 Router2 上去做调试 debug 则需加命令 Router2 terminal monitor 才能在本地看到调试过程 参考配置参考配置 Router1 show running config 显示路由器 Router1 的全部配置 Current configuration NVRAM config last updated at 19 56 34 UTC Fri Oct 29 2004 version 6 14 2 hostname Router1 key chain ripkey key 1 key string keya accept lifetime 00 00 00 Oct 1 2004 infinite send lifetime 00 00 00 Oct 1 2004 infinite interface FastEthernet0 ip address 172 16 1 1 255 255 255 0 interface Serial0 ip address 172 16 2 1 255 255 255 0 ip rip authentication mode md5 ip rip authentication key chain ripkey clock