路由协议认证比较RIP_EIGRP_OSPF

1、路由协议认证比较來源：川司论文t载屮心08-04-29 15:47:00 作者：王隆杰 编辑：studa0714摘要出于安全的原因，需要在路由协议屮配置认证，然而不同路由协议的认证配査有很 大的不同。本文通过大虽的实验结果，对不同的路由协议的认证规律进行了详细的总结。关键词认证、明文、密文、钥匙链0前言随着网纟各的发展，安全问题己成为一个严重问题，各种欺骗手段层出不穷，发布虚假路由是黑客常 用的一种手段。为此在路山器上配置路山i办议时，通常需要配置认证。下面将对常见的路山协议认证进行 详细的总结。1 rip v2协议的认证图1拓扑图1以图1来说明rip的认证,rip version2才支持认证

2、,有明文认证和密文认证两种方法,这两种方 法中均需要配置钥匙链key chain。1.1明文认证rip配置认证是在接口上进行的,首先选择认证方式,然后指定所使用的钥匙链。r1上的明文认证配 置如下，r2上参照配置：r1：interface seriall/1ip rip authentication mode text/指定采用明文认证，明文认证是默认值，可以不配置ip rip authentication key-chain rip-key-chain/指定所使用的的钥匙链key chain rip-key-chain/配置钥匙链key 1key-string cisco /配置密钥rip是

3、距离向量路山协议，不需要建立邻居关系，其认证是单向的，即r1认证了 r2时（r2是被认证 方），r1就接收r2发送來的路山；反之，如果r1没认证r2时（r2是被认证方），r1将不能接收r2发 送來的路由：r1认证了 r2 （r2是被认证方）不代表r2认证了 r1 （r1是被认证方）。明文认证时，被认 证方发送key chian时，发送最低id值的key,并且不携带id；认证方接收到key后,和自己key chain的全部key进行比较,只要有一个key匹配就通过对被认证方的认证。图1中r1和r2的钥匙链配 置如表1时，r1和r2的路山如表1中的规律。表1 rip明文认证结果r1 的 key c

4、hainr2 的 key chainr1可以接收 路由？r2可以接收路由？key l=ciscokey 2=cisco可以可以key 1二ciscokey 2=cisco key l=abcde无可以key l=ciscokey 2=abcdckey 2=cisco key l=abcde可以可以1.2密文认证rip的密文认证和明文认证配置非常类似，只需耍在指定认证方式为hd5认证即可。r1的配置如下, r2参照即可:r1：interface seriall/1ip rip ciuthentication inode md5/指定采密文认证ip rip ciuthentication key-

5、chain rip-key-chain/指定所使用的钥匙链key chain rip-key-chain/配置钥匙链key 1key-string cisco同样rip的密文认证也是单向的，然而此时被认证方发送key时，发送最低1d值的key,并且携带 t id；认证方接收到key后,首先在自己key chain中査找是否具有相同id的key,如果有相同1d的 key并且key相同就通过认证，key值不同就不通过认证。如杲没有相同1d的key,就査找该id往后的 最近【d的key；如果没有往后的id,认证失败。采用密文认证时，图1中r1和r2的钥匙链配置如表2 时，r1和r2的路由如表2中的规

6、律。表2 rip密文认证结果r1 的 keychainr2 的 key chainr1可以接收 路由？r2可以接收路由？key l=ciscokey 2=cisco不可以可以kev l=ciscokey 2=ciscokey l=abcde不可以不可以key l=ciscokey 5=ciscokey 2=cisco可以可以key l=ciscokey 3=abcdekey 5=ciscok2=cisco不可以可以2 ospf认证图2拓扑图2以图2说明ospf认证配習和规律，r3和r4上建立虚链路。ospf是链路状态路由协议，所以能否收 到路由取决于能否和邻居路由器建立毗邻关系；如果能够建立毗

7、邻关系，则互相能接收路由，不像rtp协 议是单向的。2. 1区域认证、链路认证、虚链路认证2. 1. 1区域认证区域明文认证配置如下，r1/r2/r3上，打开明文认证，在接口上先不配置密码，如下：r1/r2/r3:router ospf 100area 0 authentication/area 0 采用明文认证这时使用"show ip ospf in ter face n命令可以看到：r1/r2/r3在area 0上的接口将继承area 0 的配置而采用明文认证。山于没冇在接口上配置密码，采用空密码，认证仍可以通过。可以在接口上，配置明文认证的密码，r1上的配置如下，r2/r3上参

8、照配置,如下:r1:interface sl/1ip ospf authentication-key cisco/配置明文认证密码，密码只能有一个。区域采用密文认证配置如下,r1/r2/r3上，打开密文认证,在接口上配置密码,如下：r1:router ospf 100area 0 authentication message-digest/采用密文认证interface serial 1/1ip ospf message-digest-key 1 ind5 cisco/在接口上配置 id 1 的密码为 cisco同样，如果不在接口上配置密码，认证也可以成功，这时密文认证采用【d二0的空密码。2

9、. 1.2链路认证虽然接口自动继承所在区域的认证方式，但是可以在接口下进行链路认证配置，从而覆盖继承下来的 认证方式，采用如下配置，r1和r2的毗邻关系正常建立：r1:router ospf 100area 0 authentication message-digest/区域采用密文认证interface seriall/1ip ospf authentication/链路采用的却是明文认证ip ospf authentication-key cisco2/配置明文密码r2router ospf 100area 0 authentication message-digest/区域采用密文认证i

10、nterface seriall/0ip ospf authentication/链路采用的却是明文认证ip ospf authentication-key cisco2/配置明文密码如果链路要采用密文认证，以r1为例的配置如下：r1:interface seriall/1ip ospf authentication message-digest/链路采用的是密文认证ip ospf message-digest-key 1 md5 cisco/配置密文密码2.1.3虚链路认证虚链路的配置和链路的配置很类似，虽然也是继承区域0的配置，但是可以徃虚链路上进行覆盖。以下是 在r3和r4 z间的虚链路

11、上进行明文认证：r3:router ospf 100area 0 authentication message-digest/区域采用密文认证area 1 virtual-link 4. 4. 4. 4 authentication/虚链路却采用明文认证area 1 virtual-link 4. 4. 4. 4 authentication-key cisco3 /配置明文认证密码以下是r3和im之间的虚链路上进行密文认证：r3:router ospf 100area 1 virtual-link 4. 4. 4. 4 authentication message-digest/虚链路采用密

12、文认证area 1 virtual-link 4. 4. 4. 4 niessage-digest-key 1 md5 ciscod/配置密文认证密码2.2密文认证时的密码ospf可以在修改密码过程中仍然保持毗邻关系正常，实现密码的平稳过渡，为了实现此11的，ospf 会发送旧密码。当新加入key时，ospf把最后添加的key做为youngest key,把youngest key发送给对 方（并携带tid）；对方收到后,把它和自己的全部key 一一进行比较（需要id和密码都相同才算是匹 配,并且是根据反顺序进行的）；如果通过则采用该key,否则继续采用旧的key。然而ospf如果发现当 前正

13、在采用的key不是youngest的key,则会把全部key （并携带td）全部发送给对方；如果当前key 是youngest的key,则只发送youngest的key,之前的key不再进行发送。表3是在r1和r2之间的链 路上采用密文认证时，不断増加密码的规律，用show ip ospf interface命令可以看到从接口上发送出 去的密码。:农3 ospf认证密码规律序号r1的密码r2的密码r1发送出的密码r2发送出的密码形成邻居？1ldl=ciscoldl=ciscoid1id1是，采用id12增加ld2=cisco2不改变ldl=ciscoid2=cisco2id1是，采用id13不

14、改变增加!d2=cisco2id2 = cisco2id2 = cisco2是，采用id24增加id4=cisco34增加id3=cisco34ldl=ciscoid2=cisco2id4=cisco34ldl=ciscoid2=cisco2id3=cisco34是，采用id25不改变增加id4 = cisco44id4=cisco34td4=cisco44不成功，11)4的key值不同3 eigrp认证el grp只支持md5认证，也只是在接口上配置认证,eigrp也需要建立邻居关系。同样以图1为例,r1的配置如下,r2参照即可:r1：interface serial 1/1ip authe

15、ntication mode eigrp 90 md5/采用密文认证ip authentication key-chain eigrp 90 eigrp-key-chain/配置钥匙链key chain eigrp-key-chainkey 1key-string cisco表4 eigrp密文认证结果r1 的 key chainr2 的 key chain可以形成邻居？key l=ciscokey 2=cisco不可以key l=ciscokey 2=ciscokey 2=cisco key l=abcde不可以key l=ciscokey 5=ciscokey 2=cisco不可以key

16、l=ciscokey 2=12345key l=ciscokey 2=abced可以eigrp认证时，路由器发送最低id的key,并且携带id,只有1d和key值完全相同才能成功认证。 图1中r1和r2的钥匙链配置如表4时,r1和r2的邻居关系如表4中的规律。在rip/ospf/eigrp中，key chain的名字都只是本地有效,key chain名字的不同不影响认证。4 bgp认证bgp只能釆用md5认证，也需要建立邻居关系，配置非常简单，配上密码即可,以图1中的r1为例，如下：r1:router bgp 100bgp 1og-ne i ghbor-changesneighbor 12. 2. 2. 2 remote-as 100neighbor 12. 2. 2. 2 password cisco/配置密文认证的密码bgp