0 前言 随着网络的发展,安全问题已成为一个严重问题,各种欺骗手段层出不穷,发布虚假路由是黑客常用的一种手段。为此在路由器上配置路由协议时,通常需要配置认证。下面将对常见的路由协议认证进行详细的总结。
1 RIP V2协议的认证
图1 拓扑图1 以图1来说明RIP的认证,RIP Version2才支持认证,有明文认证和密文认证两种方法,这两种方法中均需要配置钥匙链key-chain。1.1 明文认证 RIP配置认证是在接口上进行的,首先选择认证方式,然后指定所使用的钥匙链。R1上的明文认证配置如下,R2上参照配置: R1: interface Serial1/1 ip rip authentication mode text //指定采用明文认证,明文认证是默认值,可以不配置 ip rip authentication key-chain rip-key-chain /指定所使用的的钥匙链 key chain rip-key-chain //配置钥匙链 key 1 key-string cisco //配置密钥 RIP是距离向量路由协议,不需要建立邻居关系,其认证是单向的,即R1认证了R2时(R2是被认证方),R1就接收R2发送来的路由;反之,如果R1没认证R2时(R2是被认证方),R1将不能接收R2发送来的路由;R1认证了R2(R2是被认证方)不代表R2认证了R1(R1是被认证方)。明文认证时,被认证方发送key chian时,发送最低ID值的key,并且不携带ID;认证方接收到key后,和自己key chain的全部key进行比较,只要有一个key匹配就通过对被认证方的认证。图1中R1和R2的钥匙链配置如表1时,R1和R2的路由如表1中的规律。表1 RIP明文认证结果R1的key chainR2的key chainR1可以接收路由?R2可以接收路由?key 1=ciscokey 2=cisco可以可以key 1=ciscokey 2=ciscokey 1=abcde无可以key 1=ciscokey 2=abcdekey 2=ciscokey 1=abcde可以可以
1.2 密文认证 RIP的密文认证和明文认证配置非常类似,只需要在指定认证方式为MD5认证即可。R1的配置如下,R2参照即可: R1: interface Serial1/1 ip rip authentication mode md5 //指定采密文认证 ip rip authentication key-chain rip-key-chain //指定所使用的钥匙链 key chain rip-key-chain //配置钥匙链 key 1 key-string cisco 同样RIP的密文认证也是单向的,然而此时被认证方发送key时,发送最低ID值的key,并且携带了ID;认证方接收到key后,首先在自己key chain中查找是否具有相同ID的key,如果有相同ID的key并且key相同就通过认证,key值不同就不通过认证。如果没有相同ID的key,就查找该ID往后的最近ID的key;如果没有往后的ID,认证失败。采用密文认证时,图1中R1和R2的钥匙链配置如表2时,R1和R2的路由如表2中的规律。表2 RIP 密文认证结果R1的key chainR2的key chainR1可以接收路由?R2可以接收路由?key 1=ciscokey 2=cisco不可以可以key 1=ciscokey 2=ciscokey 1=abcde不可以不可以key 1=ciscokey 5=ciscokey 2=cisco可以可以key 1=ciscokey 3=abcdekey 5=ciscoK2=cisco不可以可以
2 OSPF认证
图2 拓扑图2 以图2说明OSPF认证配置和规律,R3和R4上建立虚链路。OSPF是链路状态路由协议,所以能否收到路由取决于能否和邻居路由器建立毗邻关系;如果能够建立毗邻关系,则互相能接收路由,不像RIP协议是单向的。2.1 区域认证、链路认证、虚链路认证2.1.1 区域认证 区域明文认证配置如下,R1/R2/R3上,打开明文认证,在接口上先不配置密码, R1/R2/R3:router ospf 100 area 0 authentication //area 0采用明文认证 这时使用“show ip ospf interface”命令可以看到:R1/R2/R3在area 0上的接口将继承area 0的配置而采用明文认证。由于没有在接口上配置密码,采用空密码,认证仍可以通过。可以在接口上,配置明文认证的密码,R1上的配置如下,R2/R3上参照配置, R1: interface s1/1 ip ospf authentication-key cisco //配置明文认证密码,密码只能有一个。区域采用密文认证配置如下,R1/R2/R3上,打开密文认证,在接口上配置密码,R1: router ospf 100 area 0 authentication message-digest //采用密文认证 interface Serial1/1 ip ospf message-digest-key 1 md5 cisco //在接口上配置ID 1的密码为cisco 同样,如果不在接口上配置密码,认证也可以成功,这时密文认证采用ID=0的空密码。2.1.2 链路认证 虽然接口自动继承所在区域的认证方式,但是可以在接口下进行链路认证配置,从而覆盖继承下来的认证方式,采用如下配置,R1和R2的毗邻关系正常建立: R1: router ospf 100 area 0 authentication message-digest //区域采用密文认证 interface Serial1/1 ip ospf authentication //链路采用的却是明文认证 ip ospf authentication-key cisco2 //配置明文密码 R2 router ospf 100 area 0 authentication message-digest //区域采用密文认证 interface Serial1/0 ip ospf authentication //链路采用的却是明文认证 ip ospf authentication-key cisco2 //配置明文密码 如果链路要采用密文认证,以R1为例的配置 R1: interface Serial1/1 ip ospf authentication message-digest //链路采用的是密文认证 ip ospf message-digest-key 1 md5 cisco //配置密文密码2.1.3 虚链路认证虚链路的配置和链路的配置很类似,虽然也是继承区域0的配置,但是可以在虚链路上进行覆盖。以下是在R3和R4之间的虚链路上进行明文认证: R3: router ospf 100 area 0 authentication message-digest //区域采用密文认证 area 1 virtual-link 4.4.4.4 authentication //虚链路却采用明文认证 area 1 virtual-link 4.4.4.4 authentication-key cisco3 //配置明文认证密码以下是R3和R4之间的虚链路上进行密文认证: R3: router ospf 100 area 1 virtual-link 4.4.4.4 authentication message-digest //虚链路采用密文认证 area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco4 //配置密文认证密码
2.2 密文认证时的密码 OSPF可以在修改密码过程中仍然保持毗邻关系正常,实现密码的平稳过渡,为了实现此目的,OSPF会发送旧密码。当新加入key时,OSPF把最后添加的key做为Youngest key,把Youngest key发送给对方(并携带了ID);对方收到后,把它和自己的全部key一一进行比较(需要ID和密码都相同才算是匹配,并且是根据反顺序进行的);如果通过则采用该key,否则继续采用旧的key。然而OSPF如果发现当前正在采用的key不是Youngest的key,则会把全部key(并携带ID)全部发送给对方;如果当前key是Youngest的key,则只发送Youngest的key,之前的key不再进行发送。表3是在R1和R2之间的链路上采用密文认证时,不断增加密码的规律,用show ip ospf interface 命令可以看到从接口上发送出去的密码。
表3 OSPF认证密码规律序号R1的密码R2的密码R1发送出的密码R2发送出的密码形成邻居?1ID1=ciscoID1=ciscoID1ID1是,采用ID12增加ID2=cisco2不改变ID1=ciscoID2=cisco2ID1是,采用ID13不改变增加ID2=cisco2ID2=cisco2ID2=cisco2是 ,采用ID24增加ID4=cisco34增加ID3=cisco34ID1=ciscoID2=cisco2ID4=cisco34ID1=ciscoID2=cisco2ID3=cisco34是,采用ID25不改变增加ID4=cisco44ID4=cisco34ID4=cisco44不成功,ID4的key值不同
3 EIGRP认证 EIGRP只支持md5认证,也只是在接口上配置认证,EIGRP也需要建立邻居关系。同样以图1为例,R1的配置如下,R2参照即可: R1: interface Serial1/1 ip authentication mode eigrp 90 md5 //采用密文认证 ip authentication key-chain eigrp 90 eigrp-key-chain //配置钥匙链 key chain eigrp-key-chain key 1 key-string cisco表4 EIGRP密文认证结果R1的key chainR2的key chain可以形成邻居?key 1=ciscokey 2=cisco不可以key 1=ciscokey 2=ciscokey 2=ciscokey 1=abcde不可以key 1=ciscokey 5=ciscokey 2=cisco不可以key 1=ciscokey 2=12345key 1=ciscoKey 2=abced可以 EIGRP认证时,路由器发送最低ID的key,并且携带ID,只有ID和key值完全相同才能成功认证。图1中R1和R2的钥匙链配置如表4时,R1和R2的邻居关系如表4中的规律。在RIP/OSPF/EIGRP中,key chain的名字都只是本地有效,key chain名字的不同不影响认证。
4 BGP认证 BGP只能采用MD5认证,也需要建立邻居关系,配置非常简单,配上密码即可,以图1中的R1为例, R1: router bgp 100 bgp log-neighbor-changes neighbor 12.2.2.2 remote-as 100 neighbor 12.2.2.2 password cisco //配置密文认证的密码 BGP中,只有双方的密码相同才能形成邻居关系。
5 综合比较 不同路由协议的认证方式虽然不同,但是只要是明文认证,安全性均存在很大的隐患;而密文认证的安全性在可预见的时间内是可以得到保证的,虽然密文认证会给路由器带来一些微不足道的负担。表5是各种路由协议的综合比较。
表5 路由协议认证综合比较路由协议支持认证明文认证的安全性密文认证的安全性支持单向认证支持key-chain支持密码平稳过渡RIP V1不IGRP不RIP V2是差好不是不OSPF是差好是是是(仅在密文认证时)EIGRP是差好是是不BGP是差好是不不
参考文献1 李志,王纲等译[M]. CCIE学习指南实验室操作(第二版). 北京:机械工业出版社,2002年1月 2 陈晓筹, 邝卫国[M]. CCIE Securitiry实验指南. 北京:人民邮电出版社,2005年8月
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。