路由协议认证比较

1、路由协议认证比拟摘要出于平安的原因，需要在路由协议中配置认证，然而不同路由协议的认证配置有很大的不同。本文通过大量的实验结果，对不同的路由协议的认证规律进展了详细的总结。关键词认证、明文、密文、钥匙链随着网络的开展，平安问题已成为一个严重问题，各种欺骗手段层出不穷，发布虚假路由是黑客常用的一种手段。为此在路由器上配置路由协议时，通常需要配置认证。下面将对常见的路由协议认证进展详细的总结。图1拓扑图1以图1来说明RIP的认证，RIPVersin2才支持认证，有明文认证和密文认证两种方法，这两种方法中均需要配置钥匙链key-hain。1.1明文认证RIP配置认证是在接口上进展的，首先选择认证方式，

2、然后指定所使用的钥匙链。R1上的明文认证配置如下，R2上参照配置：R1：interfaeSerial1/1ipripauthentiatindetext/指定采用明文认证，明文认证是默认值，可以不配置ipripauthentiatinkey-hainrip-key-hain/指定所使用的的钥匙链keyhainrip-key-hain/配置钥匙链key1key-stringis/配置密钥RIP是间隔 向量路由协议，不需要建立邻居关系，其认证是单向的，即R1认证了R2时R2是被认证方，R1就接收R2发送来的路由；反之，假如R1没认证R2时R2是被认证方，R1将不能接收R2发送来的路由；R1认证了R

3、2R2是被认证方不代表R2认证了R1R1是被认证方。明文认证时，被认证方发送keyhian时，发送最低ID值的key，并且不携带ID；认证方接收到key后，和自己keyhain的全部key进展比拟，只要有一个key匹配就通过对被认证方的认证。图1中R1和R2的钥匙链配置如表1时，R1和R2的路由如表1中的规律。表1RIP明文认证结果R1的keyhainR2的keyhainR1可以接收路由？R2可以接收路由？key1=iskey2=is可以可以key1=iskey2=iskey1=abde无可以key1=iskey2=abdekey2=iskey1=abde可以可以1.2密文认证RIP的密文认证

4、和明文认证配置非常类似，只需要在指定认证方式为D5认证即可。R1的配置如下，R2参照即可：R1：interfaeSerial1/1ipripauthentiatinded5/指定采密文认证ipripauthentiatinkey-hainrip-key-hain/指定所使用的钥匙链keyhainrip-key-hain/配置钥匙链key1key-stringis同样RIP的密文认证也是单向的，然而此时被认证方发送key时，发送最低ID值的key，并且携带了ID；认证方接收到key后，首先在自己keyhain中查找是否具有一样ID的key，假如有一样ID的key并且key一样就通过认证，key值

5、不同就不通过认证。假如没有一样ID的key，就查找该ID往后的最近ID的key；假如没有往后的ID，认证失败。采用密文认证时，图1中R1和R2的钥匙链配置如表2时，R1和R2的路由如表2中的规律。表2RIP密文认证结果R1的keyhainR2的keyhainR1可以接收路由？R2可以接收路由？key1=iskey2=is不可以可以key1=iskey2=iskey1=abde不可以不可以key1=iskey5=iskey2=is可以可以key1=iskey3=abdekey5=isK2=is不可以可以图2拓扑图2以图2说明SPF认证配置和规律，R3和R4上建立虚链路。SPF是链路状态路由协议，

6、所以能否收到路由取决于能否和邻居路由器建立毗邻关系；假如可以建立毗邻关系，那么互相能接收路由，不像RIP协议是单向的。2.1区域认证、链路认证、虚链路认证2.1.1区域认证区域明文认证配置如下，R1/R2/R3上，翻开通文认证，在接口上先不配置密码，如下：R1/R2/R3:ruterspf100area0authentiatin/area0采用明文认证这时使用“shipspfinterfae命令可以看到：R1/R2/R3在area0上的接口将继承area0的配置而采用明文认证。由于没有在接口上配置密码，采用空密码，认证仍可以通过。可以在接口上，配置明文认证的密码，R1上的配置如下，R2/R3上

7、参照配置，如下：R1:interfaes1/1ipspfauthentiatin-keyis/配置明文认证密码，密码只能有一个。区域采用密文认证配置如下，R1/R2/R3上，翻开密文认证，在接口上配置密码，如下：R1:ruterspf100area0authentiatinessage-digest/采用密文认证interfaeSerial1/1ipspfessage-digest-key1d5is/在接口上配置ID1的密码为is同样，假如不在接口上配置密码，认证也可以成功，这时密文认证采用ID=0的空密码。2.1.2链路认证虽然接口自动继承所在区域的认证方式，但是可以在接口下进展链路认证配置

8、，从而覆盖继承下来的认证方式，采用如下配置，R1和R2的毗邻关系正常建立：R1:ruterspf100area0authentiatinessage-digest/区域采用密文认证interfaeSerial1/1ipspfauthentiatin/链路采用的却是明文认证ipspfauthentiatin-keyis2/配置明文密码R2ruterspf100area0authentiatinessage-digest/区域采用密文认证interfaeSerial1/0ipspfauthentiatin/链路采用的却是明文认证ipspfauthentiatin-keyis2/配置明文密码假如链路

9、要采用密文认证，以R1为例的配置如下：R1:interfaeSerial1/1ipspfauthentiatinessage-digest/链路采用的是密文认证ipspfessage-digest-key1d5is/配置密文密码2.1.3虚链路认证虚链路的配置和链路的配置很类似，虽然也是继承区域0的配置，但是可以在虚链路上进展覆盖。以下是在R3和R4之间的虚链路上进展明文认证：R3:ruterspf100area0authentiatinessage-digest/区域采用密文认证area1virtual-link4.4.4.4authentiatin/虚链路却采用明文认证area1virtu

10、al-link4.4.4.4authentiatin-keyis3/配置明文认证密码以下是R3和R4之间的虚链路上进展密文认证：R3:ruterspf100area1virtual-link4.4.4.4authentiatinessage-digest/虚链路采用密文认证area1virtual-link4.4.4.4essage-digest-key1d5is4/配置密文认证密码2.2密文认证时的密码SPF可以在修改密码过程中仍然保持毗邻关系正常，实现密码的平稳过渡，为了实现此目的，SPF会发送旧密码。当新参加key时，SPF把最后添加的key做为Yungestkey，把Yungestke

11、y发送给对方并携带了ID；对方收到后，把它和自己的全部key一一进展比拟需要ID和密码都一样才算是匹配，并且是根据反顺序进展的；假如通过那么采用该key，否那么继续采用旧的key。然而SPF假如发现当前正在采用的key不是Yungest的key，那么会把全部key并携带ID全部发送给对方；假如当前key是Yungest的key，那么只发送Yungest的key，之前的key不再进展发送。表3是在R1和R2之间的链路上采用密文认证时，不断增加密码的规律，用shipspfinterfae命令可以看到从接口上发送出去的密码。表3SPF认证密码规律序号R1的密码R2的密码R1发送出的密码R2发送出的密

12、码形成邻居？1ID1=isID1=isID1ID1是，采用ID12增加ID2is2不改变ID1=isID2is2ID1是，采用ID13不改变增加ID2is2ID2is2ID2is2是，采用ID24增加ID4is34增加ID3is34ID1=isID2is2ID4is34ID1=isID2is2ID3is34是，采用ID25不改变增加ID4is44ID4is34ID4is44不成功，ID4的key值不同EIGRP只支持d5认证，也只是在接口上配置认证，EIGRP也需要建立邻居关系。同样以图1为例，R1的配置如下，R2参照即可：R1：interfaeSerial1/1ipauthentiatind

13、eeigrp90d5/采用密文认证ipauthentiatinkey-haineigrp90eigrp-key-hain/配置钥匙链keyhaineigrp-key-hainkey1key-stringis表4EIGRP密文认证结果R1的keyhainR2的keyhain可以形成邻居？key1=iskey2=is不可以key1=iskey2=iskey2=iskey1=abde不可以key1=iskey5=iskey2=is不可以key1=iskey2=12345key1=isKey2=abed可以EIGRP认证时，路由器发送最低ID的key，并且携带ID，只有ID和key值完全一样才能成功认

14、证。图1中R1和R2的钥匙链配置如表4时，R1和R2的邻居关系如表4中的规律。在RIP/SPF/EIGRP中，keyhain的名字都只是本地有效，keyhain名字的不同不影响认证。BGP只能采用D5认证，也需要建立邻居关系，配置非常简单，配上密码即可，以图1中的R1为例，如下：R1:ruterbgp100bgplg-neighbr-hangesneighbr12.2.2.2rete-as100neighbr12.2.2.2passrdis/配置密文认证的密码BGP中，只有双方的密码一样才能形成邻居关系。不同路由协议的认证方式虽然不同，但是只要是明文认证，平安性均存在很大的隐患；而密文认证的平安性在可预见的时间内是可以得到保证的，虽然密文认证会给路由器带来一些微缺乏道的负担