資源描述:
《路由協(xié)議認(rèn)證比較》由會(huì)員上傳分享��,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1�、路由協(xié)議認(rèn)證比較摘要出于安全的原因,需要在路由協(xié)議中配置認(rèn)證����,然而不同路由協(xié)議的認(rèn)證配置有很大的不同����。本文通過大量的實(shí)驗(yàn)結(jié)果,對(duì)不同的路由協(xié)議的認(rèn)證規(guī)律進(jìn)行了詳細(xì)的總結(jié)���。關(guān)鍵詞認(rèn)證����、明文�����、密文��、鑰匙鏈0前言隨著X絡(luò)的發(fā)展����,安全問題已成為一個(gè)嚴(yán)重問題��,各種欺騙手段層出不窮�����,發(fā)布虛假路由是黑客常用的一種手段��。為此在路由器上配置路由協(xié)議時(shí)����,通常需要配置認(rèn)證�。下面將對(duì)常見的路由協(xié)議認(rèn)證進(jìn)行詳細(xì)的總結(jié)。1RIPV2協(xié)議的認(rèn)證圖1拓?fù)鋱D1以圖1來說明RIP的認(rèn)證�,RIPVersion2才支持認(rèn)證,有明文認(rèn)證和密文認(rèn)證兩種方法��,這兩種方法中均需要配置鑰匙鏈key
2����、-chain。1.1明文認(rèn)證RIP配置認(rèn)證是在接口上進(jìn)行的��,首先選擇認(rèn)證方式�����,然后指定所使用的鑰匙鏈。R1上的明文認(rèn)證配置如下�����,R2上參照配置:R1:interfaceSerial1/1ipripauthenticationmodetext//指定采用明文認(rèn)證�����,明文認(rèn)證是默認(rèn)值���,可以不配置ipripauthenticationkey-chainrip-key-chain/指定所使用的的鑰匙鏈keychainrip-key-chain//配置鑰匙鏈key1key-stringcisco//配置密鑰RIP是距離向量路由協(xié)議,不需要建立鄰居關(guān)系�,其認(rèn)證是
3、單向的���,即R1認(rèn)證了R2時(shí)(R2是被認(rèn)證方)����,R1就接收R2發(fā)送來的路由�����;反之,如果R1沒認(rèn)證R2時(shí)(R2是被認(rèn)證方)�,R1將不能接收R2發(fā)送來的路由;R1認(rèn)證了R2(R2是被認(rèn)證方)不代表R2認(rèn)證了R1(R1是被認(rèn)證方)����。明文認(rèn)證時(shí),被認(rèn)證方發(fā)送keychian時(shí)�,發(fā)送最低ID值的key,并且不攜帶ID��;認(rèn)證方接收到key后���,和自己keychain的全部key進(jìn)行比較���,只要有一個(gè)key匹配就通過對(duì)被認(rèn)證方的認(rèn)證。圖1中R1和R2的鑰匙鏈配置如表1時(shí)����,R1和R2的路由如表1中的規(guī)律。表1RIP明文認(rèn)證結(jié)果R1的keychainR2的keychain
4���、R1可以接收路由���?R2可以接收路由���?key1=ciscokey2=cisco可以可以key1=ciscokey2=ciscokey1=abcde無可以key1=ciscokey2=abcdekey2=ciscokey1=abcde可以可以1.2密文認(rèn)證RIP的密文認(rèn)證和明文認(rèn)證配置非常類似,只需要在指定認(rèn)證方式為MD5認(rèn)證即可����。R1的配置如下,R2參照即可:R1:interfaceSerial1/1ipripauthenticationmodemd5//指定采密文認(rèn)證ipripauthenticationkey-chainrip-key-chain
5����、//指定所使用的鑰匙鏈keychainrip-key-chain//配置鑰匙鏈key1key-stringcisco同樣RIP的密文認(rèn)證也是單向的,然而此時(shí)被認(rèn)證方發(fā)送key時(shí)��,發(fā)送最低ID值的key�����,并且攜帶了ID��;認(rèn)證方接收到key后�,首先在自己keychain中查找是否具有相同ID的key�,如果有相同ID的key并且key相同就通過認(rèn)證,key值不同就不通過認(rèn)證�。如果沒有相同ID的key,就查找該ID往后的最近ID的key����;如果沒有往后的ID����,認(rèn)證失敗�。采用密文認(rèn)證時(shí),圖1中R1和R2的鑰匙鏈配置如表2時(shí)�����,R1和R2的路由如表2中的規(guī)律�����。表2
6�����、RIP密文認(rèn)證結(jié)果R1的keychainR2的keychainR1可以接收路由�����?R2可以接收路由�?key1=ciscokey2=cisco不可以可以key1=ciscokey2=ciscokey1=abcde不可以不可以key1=ciscokey5=ciscokey2=cisco可以可以key1=ciscokey3=abcdekey5=ciscoK2=cisco不可以可以2OSPF認(rèn)證圖2拓?fù)鋱D2以圖2說明OSPF認(rèn)證配置和規(guī)律,R3和R4上建立虛鏈路��。OSPF是鏈路狀態(tài)路由協(xié)議,所以能否收到路由取決于能否和鄰居路由器建立毗鄰關(guān)系�����;如果能夠建立毗鄰
7�、關(guān)系,則互相能接收路由����,不像RIP協(xié)議是單向的。2.1區(qū)域認(rèn)證�����、鏈路認(rèn)證����、虛鏈路認(rèn)證2.1.1區(qū)域認(rèn)證區(qū)域明文認(rèn)證配置如下,R1/R2/R3上����,打開明文認(rèn)證�,在接口上先不配置密碼,如下:R1/R2/R3:routerospf100area0authentication//area0采用明文認(rèn)證這時(shí)使用“shoessage-digest//采用密文認(rèn)證interfaceSerial1/1ipospfmessage-digest-key1md5cisco//在接口上配置ID1的密碼為cisco同樣�,如果不在接口上配置密碼��,認(rèn)證也可以成功���,這時(shí)密文認(rèn)證采
8、用ID=0的空密碼���。2.1.2鏈路認(rèn)證雖然接口自動(dòng)繼承所在區(qū)域的認(rèn)證方式��,但是可以在接口下進(jìn)行鏈路認(rèn)證配置�����,從而覆蓋繼承下
