Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2113881
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 10:54:30

Cisco RIPv2支持认证、密钥管理、路由汇总、CIDRVLSM。默认情况下,Cisco IOS软件可以同时接收RIPv1RIPv2版本消息包,但是仅发送RIPv1版本数据包。你可以要IOS软件仅接收和发送RIPv1或者RIPv2版本消息包。考虑到默认行为,你可以配置一个接口仅发送哪个版本的RIP消息包,你也可以控制一个接口仅接收哪个版本的RIP消息包。但RIPv1版本不支持身份认证。如果你发送和接收RIPv2版本消息包,则你可以在接口上启用RIP身份认证。

1. 邻居认证类型

你可以通过配置邻居路由认证功能来预防你的路由器接收到欺骗性的路由更新。在配置了邻居路由认证功能后,在路由器在两个邻居路由器之间交换时,认证就会发生。RIP认证可以确保路由仅从信任源接收到可靠的路由信息。

如果没有启用邻居路由认证,非授权或者恶意路由更新可能威胁到网络通信安全。例如,一个路由器可能会发送一个虚假的路由更新,使得你的路由器发送通信到错误的目的站点址。这种转移通信可能使恶意人员分析你公司组织机密信息,或者中断你公司正常的网络通信。邻居认证可以阻止你的路由器所接收的任何诸如欺骗路由更新。在你的路由器上启用邻居认证后,路由器会认证所接收的每个路由更新包的源IP地址。这是通过交换双方都已知的认证密钥来完成的。RIP有两种类型的邻居认证:纯文本认证和MD5消息摘要认证。它们的认证方式是一样的,只是MD5认证中发送的是消息摘要,而不是发送自己的认证密钥,更加安全。消息摘要是使用认证密钥和发送的消息共同创建的,但是不发送自己的认证密钥,以防在传输过程中被截取。纯文本认证会通过线路发送自己的认证密钥,显然安全性不够高。在纯文本认证中,每个参与通信的邻居路由器必须共享一个认证密钥。这个密钥需要在每个路由器上配置。可以为不同协议通信配置不同的密钥,但是每个密钥必须用一个密钥号进行标识。

2. 邻居认证原理

通常,在路由更新包发送后,会按以下流程进行纯文本认证:

1)一路由器发送一个带有它自己认证密钥和相应的密钥号码的路由更新到邻居路由器。在只有一个协议的情况下,密钥号总为0。邻居路由器接收到路由更新后,用它自己的认证密钥与更新包中的密钥进行比对。

2)经过比较,如果发现两个密钥是一样的,邻居路由器就接收这个更新包,否则邻居路由拒绝接收这个更新包。

MD5认证与纯文本认证工作原理是类似的,只是它从不会在线路中发送自己的密钥,而是使用MD5算法产生一个哈希摘要消息。然后用这个摘要随着路由更新包一起发送,以确保不能通过在线路上偷听而获取认证密钥。

另外一种邻居路由器认证是使用密钥链来配置密钥管理。当你配置了一个密钥链后,你可以指定一系列带有有效期的密钥,IOS软件轮流使用这些密钥进行认证。这同样可以减少破解认证密钥的可能性。

3. IP-RIP延时启动

IP-RIP延时启动功能用于Cisco路由延时启动RIPv2邻居会话,直到与邻居路由器之间的网络连通性完全正常,从而确保发送到非Cisco邻居路由器的MD5包序列号为0。默认情况下,只要物理接口启用了,路由器就可以与使用MD5认证的邻居路由器建立RIPv2会话,发送MD5包。

4. RIP路由源IP地址确认

默认情况下,IOS软件会确认流入RIP路由更新信息的源IP地址。如果源IP地址无效,IOS软件就会放弃这个路由更新。如果你有一个路由器是离线网络的,但你又要接收它的更新,则你可能想要禁止这一功能。但是,在普通环境中,通常是不建议禁止这一源IP地址确认功能的。

本文摘自《路由器配置与管理完全手册(Cisco)试读样章》第七章

阅读(1284) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~