欢迎来到天天文库
浏览记录
ID:9445952
大小:53.00 KB
页数:6页
时间:2018-05-01
《路由协议认证比较》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、路由协议认证比较摘要出于安全的原因,需要在路由协议中配置认证,然而不同路由协议的认证配置有很大的不同。本文通过大量的实验结果,对不同的路由协议的认证规律进行了详细的总结。关键词认证、明文、密文、钥匙链0前言随着X络的发展,安全问题已成为一个严重问题,各种欺骗手段层出不穷,发布虚假路由是黑客常用的一种手段。为此在路由器上配置路由协议时,通常需要配置认证。下面将对常见的路由协议认证进行详细的总结。1RIPV2协议的认证图1拓扑图1以图1来说明RIP的认证,RIPVersion2才支持认证,有明文认证和密文认证两种方法,这两种方法中均需要配置钥匙链key
2、-chain。1.1明文认证RIP配置认证是在接口上进行的,首先选择认证方式,然后指定所使用的钥匙链。R1上的明文认证配置如下,R2上参照配置:R1:interfaceSerial1/1ipripauthenticationmodetext//指定采用明文认证,明文认证是默认值,可以不配置ipripauthenticationkey-chainrip-key-chain/指定所使用的的钥匙链keychainrip-key-chain//配置钥匙链key1key-stringcisco//配置密钥RIP是距离向量路由协议,不需要建立邻居关系,其认证是
3、单向的,即R1认证了R2时(R2是被认证方),R1就接收R2发送来的路由;反之,如果R1没认证R2时(R2是被认证方),R1将不能接收R2发送来的路由;R1认证了R2(R2是被认证方)不代表R2认证了R1(R1是被认证方)。明文认证时,被认证方发送keychian时,发送最低ID值的key,并且不携带ID;认证方接收到key后,和自己keychain的全部key进行比较,只要有一个key匹配就通过对被认证方的认证。图1中R1和R2的钥匙链配置如表1时,R1和R2的路由如表1中的规律。表1RIP明文认证结果R1的keychainR2的keychain
4、R1可以接收路由?R2可以接收路由?key1=ciscokey2=cisco可以可以key1=ciscokey2=ciscokey1=abcde无可以key1=ciscokey2=abcdekey2=ciscokey1=abcde可以可以1.2密文认证RIP的密文认证和明文认证配置非常类似,只需要在指定认证方式为MD5认证即可。R1的配置如下,R2参照即可:R1:interfaceSerial1/1ipripauthenticationmodemd5//指定采密文认证ipripauthenticationkey-chainrip-key-chain
5、//指定所使用的钥匙链keychainrip-key-chain//配置钥匙链key1key-stringcisco同样RIP的密文认证也是单向的,然而此时被认证方发送key时,发送最低ID值的key,并且携带了ID;认证方接收到key后,首先在自己keychain中查找是否具有相同ID的key,如果有相同ID的key并且key相同就通过认证,key值不同就不通过认证。如果没有相同ID的key,就查找该ID往后的最近ID的key;如果没有往后的ID,认证失败。采用密文认证时,图1中R1和R2的钥匙链配置如表2时,R1和R2的路由如表2中的规律。表2
6、RIP密文认证结果R1的keychainR2的keychainR1可以接收路由?R2可以接收路由?key1=ciscokey2=cisco不可以可以key1=ciscokey2=ciscokey1=abcde不可以不可以key1=ciscokey5=ciscokey2=cisco可以可以key1=ciscokey3=abcdekey5=ciscoK2=cisco不可以可以2OSPF认证图2拓扑图2以图2说明OSPF认证配置和规律,R3和R4上建立虚链路。OSPF是链路状态路由协议,所以能否收到路由取决于能否和邻居路由器建立毗邻关系;如果能够建立毗邻
7、关系,则互相能接收路由,不像RIP协议是单向的。2.1区域认证、链路认证、虚链路认证2.1.1区域认证区域明文认证配置如下,R1/R2/R3上,打开明文认证,在接口上先不配置密码,如下:R1/R2/R3:routerospf100area0authentication//area0采用明文认证这时使用“shoessage-digest//采用密文认证interfaceSerial1/1ipospfmessage-digest-key1md5cisco//在接口上配置ID1的密码为cisco同样,如果不在接口上配置密码,认证也可以成功,这时密文认证采
8、用ID=0的空密码。2.1.2链路认证虽然接口自动继承所在区域的认证方式,但是可以在接口下进行链路认证配置,从而覆盖继承下
此文档下载收益归作者所有