路由协议认证比较_计算机论文.docVIP

路由协议认证比较_计算机论文 路由协议认证比较_计算机论文 摘 要 出于安全的原因，需要在路由协议中配置认证，然而不同路由协议的认证配置有很大的不同。本文通过大量的实验结果，对不同的路由协议的认证规律进行了详细的总结。 关键词 认证、明文、密文、钥匙链0 前言 随着网络的发展，安全问题已成为一个严重问题，各种欺骗手段层出不穷，发布虚假路由是黑客常用的一种手段。为此在路由器上配置路由协议时，通常需要配置认证。下面将对常见的路由协议认证进行详细的总结。 1 RIP V2协议的认证 图1 拓扑图1 以图1来说明RIP的认证，RIP Version2才支持认证，有明文认证和密文认证两种方法，这两种方法中均需要配置钥匙链key-chain。 1.1 明文认证 RIP配置认证是在接口上进行的，首先选择认证方式，然后指定所使用的钥匙链。R1上的明文认证配置如下，R2上参照配置： R1： interface Serial1/1 ip rip authentication mode text //指定采用明文认证，明文认证是默认值，可以不配置 ip rip authentication key-chain rip-key-chain /指定所使用的的钥匙链 key chain rip-key-chain //配置钥匙链 key 1 key-string cisco //配置密钥 RIP是距离向量路由协议，不需要建立邻居关系，其认证是单向的，即R1认证了R2时（R2是被认证方），R1就接收R2发送来的路由；反之，如果R1没认证R2时（R2是被认证方），R1将不能接收R2发送来的路由；R1认证了R2（R2是被认证方）不代表R2认证了R1（R1是被认证方）。明文认证时，被认证方发送key chian时，发送最低ID值的key，并且不携带ID；认证方接收到key后，和自己key chain的全部key进行比较，只要有一个key匹配就通过对被认证方的认证。图1中R1和R2的钥匙链配置如表1时，R1和R2的路由如表1中的规律。 表1 RIP明文认证结果 R1的key chainR2的key chainR1可以接收路由？R2可以接收路由？ key 1=ciscokey 2=cisco可以可以 key 1=ciscokey 2=cisco key 1=abcde无可以 key 1=cisco key 2=abcdekey 2=cisco key 1=abcde可以可以 1.2 密文认证 RIP的密文认证和明文认证配置非常类似，只需要在指定认证方式为MD5认证即可。R1的配置如下，R2参照即可： R1： interface Serial1/1 ip rip authentication mode md5 //指定采密文认证 ip rip authentication key-chain rip-key-chain //指定所使用的钥匙链 key chain rip-key-chain //配置钥匙链 key 1 key-string cisco 同样RIP的密文认证也是单向的，然而此时被认证方发送key时，发送最低ID值的key，并且携带了ID；认证方接收到key后，首先在自己key chain中查找是否具有相同ID的key，如果有相同ID的key并且key相同就通过认证，key值不同就不通过认证。如果没有相同ID的key，就查找该ID往后的最近ID的key；如果没有往后的ID，认证失败。采用密文认证时，图1中R1和R2的钥匙链配置如表2时，R1和R2的路由如表2中的规律。 表2 RIP 密文认证结果 R1的key chainR2的key chainR1可以接收路由？R2可以接收路由？ key 1=ciscokey 2=cisco不可以可以 key 1=ciscokey 2=cisco key 1=abcde不可以不可以 key 1=cisco key 5=ciscokey 2=cisco可以可以 key 1=cisco key 3=abcde key 5=ciscoK2=cisco不可以可以 2 OSPF认证 图2 拓扑图2 以图2说明OSPF认证配置和规律，R3和R4上建立虚链路。OSPF是链路状态路由协议，所以能否收到路由取决于能否和邻居路由器建立毗邻关系；如果能够建立毗邻关系，则互相能接收路由，不像RIP协议是单向的。 2.1 区域认证、链路认证、虚链路认证 2.1.1 区域认证 区域明文认证配置如下，R1/R2/R3上，打开明文认证，在接口上先不配置密码，如下： R1/R2/R3: router ospf 100 area 0 authentication //area 0采用明文认证 这时使用“s