路由協(xié)議認(rèn)證比較

1、路由協(xié)議認(rèn)證比擬摘要出于平安的原因，需要在路由協(xié)議中配置認(rèn)證，然而不同路由協(xié)議的認(rèn)證配置有很大的不同。本文通過大量的實(shí)驗(yàn)結(jié)果，對(duì)不同的路由協(xié)議的認(rèn)證規(guī)律進(jìn)展了詳細(xì)的總結(jié)。關(guān)鍵詞認(rèn)證、明文、密文、鑰匙鏈隨著網(wǎng)絡(luò)的開展，平安問題已成為一個(gè)嚴(yán)重問題，各種欺騙手段層出不窮，發(fā)布虛假路由是黑客常用的一種手段。為此在路由器上配置路由協(xié)議時(shí)，通常需要配置認(rèn)證。下面將對(duì)常見的路由協(xié)議認(rèn)證進(jìn)展詳細(xì)的總結(jié)。圖1拓?fù)鋱D1以圖1來說明RIP的認(rèn)證，RIPVersin2才支持認(rèn)證，有明文認(rèn)證和密文認(rèn)證兩種方法，這兩種方法中均需要配置鑰匙鏈key-hain。1.1明文認(rèn)證RIP配置認(rèn)證是在接口上進(jìn)展的，首先選擇認(rèn)證方式，

2、然后指定所使用的鑰匙鏈。R1上的明文認(rèn)證配置如下，R2上參照配置：R1：interfaeSerial1/1ipripauthentiatindetext/指定采用明文認(rèn)證，明文認(rèn)證是默認(rèn)值，可以不配置ipripauthentiatinkey-hainrip-key-hain/指定所使用的的鑰匙鏈keyhainrip-key-hain/配置鑰匙鏈key1key-stringis/配置密鑰RIP是間隔 向量路由協(xié)議，不需要建立鄰居關(guān)系，其認(rèn)證是單向的，即R1認(rèn)證了R2時(shí)R2是被認(rèn)證方，R1就接收R2發(fā)送來的路由；反之，假如R1沒認(rèn)證R2時(shí)R2是被認(rèn)證方，R1將不能接收R2發(fā)送來的路由；R1認(rèn)證了R

3、2R2是被認(rèn)證方不代表R2認(rèn)證了R1R1是被認(rèn)證方。明文認(rèn)證時(shí)，被認(rèn)證方發(fā)送keyhian時(shí)，發(fā)送最低ID值的key，并且不攜帶ID；認(rèn)證方接收到key后，和自己keyhain的全部key進(jìn)展比擬，只要有一個(gè)key匹配就通過對(duì)被認(rèn)證方的認(rèn)證。圖1中R1和R2的鑰匙鏈配置如表1時(shí)，R1和R2的路由如表1中的規(guī)律。表1RIP明文認(rèn)證結(jié)果R1的keyhainR2的keyhainR1可以接收路由？R2可以接收路由？key1=iskey2=is可以可以key1=iskey2=iskey1=abde無可以key1=iskey2=abdekey2=iskey1=abde可以可以1.2密文認(rèn)證RIP的密文認(rèn)證

4、和明文認(rèn)證配置非常類似，只需要在指定認(rèn)證方式為D5認(rèn)證即可。R1的配置如下，R2參照即可：R1：interfaeSerial1/1ipripauthentiatinded5/指定采密文認(rèn)證ipripauthentiatinkey-hainrip-key-hain/指定所使用的鑰匙鏈keyhainrip-key-hain/配置鑰匙鏈key1key-stringis同樣RIP的密文認(rèn)證也是單向的，然而此時(shí)被認(rèn)證方發(fā)送key時(shí)，發(fā)送最低ID值的key，并且攜帶了ID；認(rèn)證方接收到key后，首先在自己keyhain中查找是否具有一樣ID的key，假如有一樣ID的key并且key一樣就通過認(rèn)證，key值

5、不同就不通過認(rèn)證。假如沒有一樣ID的key，就查找該ID往后的最近ID的key；假如沒有往后的ID，認(rèn)證失敗。采用密文認(rèn)證時(shí)，圖1中R1和R2的鑰匙鏈配置如表2時(shí)，R1和R2的路由如表2中的規(guī)律。表2RIP密文認(rèn)證結(jié)果R1的keyhainR2的keyhainR1可以接收路由？R2可以接收路由？key1=iskey2=is不可以可以key1=iskey2=iskey1=abde不可以不可以key1=iskey5=iskey2=is可以可以key1=iskey3=abdekey5=isK2=is不可以可以圖2拓?fù)鋱D2以圖2說明SPF認(rèn)證配置和規(guī)律，R3和R4上建立虛鏈路。SPF是鏈路狀態(tài)路由協(xié)議，

6、所以能否收到路由取決于能否和鄰居路由器建立毗鄰關(guān)系；假如可以建立毗鄰關(guān)系，那么互相能接收路由，不像RIP協(xié)議是單向的。2.1區(qū)域認(rèn)證、鏈路認(rèn)證、虛鏈路認(rèn)證2.1.1區(qū)域認(rèn)證區(qū)域明文認(rèn)證配置如下，R1/R2/R3上，翻開通文認(rèn)證，在接口上先不配置密碼，如下：R1/R2/R3:ruterspf100area0authentiatin/area0采用明文認(rèn)證這時(shí)使用“shipspfinterfae命令可以看到：R1/R2/R3在area0上的接口將繼承area0的配置而采用明文認(rèn)證。由于沒有在接口上配置密碼，采用空密碼，認(rèn)證仍可以通過?？梢栽诮涌谏?，配置明文認(rèn)證的密碼，R1上的配置如下，R2/R3上

7、參照配置，如下：R1:interfaes1/1ipspfauthentiatin-keyis/配置明文認(rèn)證密碼，密碼只能有一個(gè)。區(qū)域采用密文認(rèn)證配置如下，R1/R2/R3上，翻開密文認(rèn)證，在接口上配置密碼，如下：R1:ruterspf100area0authentiatinessage-digest/采用密文認(rèn)證interfaeSerial1/1ipspfessage-digest-key1d5is/在接口上配置ID1的密碼為is同樣，假如不在接口上配置密碼，認(rèn)證也可以成功，這時(shí)密文認(rèn)證采用ID=0的空密碼。2.1.2鏈路認(rèn)證雖然接口自動(dòng)繼承所在區(qū)域的認(rèn)證方式，但是可以在接口下進(jìn)展鏈路認(rèn)證配置

8、，從而覆蓋繼承下來的認(rèn)證方式，采用如下配置，R1和R2的毗鄰關(guān)系正常建立：R1:ruterspf100area0authentiatinessage-digest/區(qū)域采用密文認(rèn)證interfaeSerial1/1ipspfauthentiatin/鏈路采用的卻是明文認(rèn)證ipspfauthentiatin-keyis2/配置明文密碼R2ruterspf100area0authentiatinessage-digest/區(qū)域采用密文認(rèn)證interfaeSerial1/0ipspfauthentiatin/鏈路采用的卻是明文認(rèn)證ipspfauthentiatin-keyis2/配置明文密碼假如鏈路

9、要采用密文認(rèn)證，以R1為例的配置如下：R1:interfaeSerial1/1ipspfauthentiatinessage-digest/鏈路采用的是密文認(rèn)證ipspfessage-digest-key1d5is/配置密文密碼2.1.3虛鏈路認(rèn)證虛鏈路的配置和鏈路的配置很類似，雖然也是繼承區(qū)域0的配置，但是可以在虛鏈路上進(jìn)展覆蓋。以下是在R3和R4之間的虛鏈路上進(jìn)展明文認(rèn)證：R3:ruterspf100area0authentiatinessage-digest/區(qū)域采用密文認(rèn)證area1virtual-link4.4.4.4authentiatin/虛鏈路卻采用明文認(rèn)證area1virtu

10、al-link4.4.4.4authentiatin-keyis3/配置明文認(rèn)證密碼以下是R3和R4之間的虛鏈路上進(jìn)展密文認(rèn)證：R3:ruterspf100area1virtual-link4.4.4.4authentiatinessage-digest/虛鏈路采用密文認(rèn)證area1virtual-link4.4.4.4essage-digest-key1d5is4/配置密文認(rèn)證密碼2.2密文認(rèn)證時(shí)的密碼SPF可以在修改密碼過程中仍然保持毗鄰關(guān)系正常，實(shí)現(xiàn)密碼的平穩(wěn)過渡，為了實(shí)現(xiàn)此目的，SPF會(huì)發(fā)送舊密碼。當(dāng)新參加key時(shí)，SPF把最后添加的key做為Yungestkey，把Yungestke

11、y發(fā)送給對(duì)方并攜帶了ID；對(duì)方收到后，把它和自己的全部key一一進(jìn)展比擬需要ID和密碼都一樣才算是匹配，并且是根據(jù)反順序進(jìn)展的；假如通過那么采用該key，否那么繼續(xù)采用舊的key。然而SPF假如發(fā)現(xiàn)當(dāng)前正在采用的key不是Yungest的key，那么會(huì)把全部key并攜帶ID全部發(fā)送給對(duì)方；假如當(dāng)前key是Yungest的key，那么只發(fā)送Yungest的key，之前的key不再進(jìn)展發(fā)送。表3是在R1和R2之間的鏈路上采用密文認(rèn)證時(shí)，不斷增加密碼的規(guī)律，用shipspfinterfae命令可以看到從接口上發(fā)送出去的密碼。表3SPF認(rèn)證密碼規(guī)律序號(hào)R1的密碼R2的密碼R1發(fā)送出的密碼R2發(fā)送出的密

12、碼形成鄰居？1ID1=isID1=isID1ID1是，采用ID12增加ID2is2不改變ID1=isID2is2ID1是，采用ID13不改變?cè)黾覫D2is2ID2is2ID2is2是，采用ID24增加ID4is34增加ID3is34ID1=isID2is2ID4is34ID1=isID2is2ID3is34是，采用ID25不改變?cè)黾覫D4is44ID4is34ID4is44不成功，ID4的key值不同EIGRP只支持d5認(rèn)證，也只是在接口上配置認(rèn)證，EIGRP也需要建立鄰居關(guān)系。同樣以圖1為例，R1的配置如下，R2參照即可：R1：interfaeSerial1/1ipauthentiatind

13、eeigrp90d5/采用密文認(rèn)證ipauthentiatinkey-haineigrp90eigrp-key-hain/配置鑰匙鏈keyhaineigrp-key-hainkey1key-stringis表4EIGRP密文認(rèn)證結(jié)果R1的keyhainR2的keyhain可以形成鄰居？key1=iskey2=is不可以key1=iskey2=iskey2=iskey1=abde不可以key1=iskey5=iskey2=is不可以key1=iskey2=12345key1=isKey2=abed可以EIGRP認(rèn)證時(shí)，路由器發(fā)送最低ID的key，并且攜帶ID，只有ID和key值完全一樣才能成功認(rèn)

14、證。圖1中R1和R2的鑰匙鏈配置如表4時(shí)，R1和R2的鄰居關(guān)系如表4中的規(guī)律。在RIP/SPF/EIGRP中，keyhain的名字都只是本地有效，keyhain名字的不同不影響認(rèn)證。BGP只能采用D5認(rèn)證，也需要建立鄰居關(guān)系，配置非常簡(jiǎn)單，配上密碼即可，以圖1中的R1為例，如下：R1:ruterbgp100bgplg-neighbr-hangesneighbr12.2.2.2rete-as100neighbr12.2.2.2passrdis/配置密文認(rèn)證的密碼BGP中，只有雙方的密碼一樣才能形成鄰居關(guān)系。不同路由協(xié)議的認(rèn)證方式雖然不同，但是只要是明文認(rèn)證，平安性均存在很大的隱患；而密文認(rèn)證的平安性在可預(yù)見的時(shí)間內(nèi)是可以得到保證的，雖然密文認(rèn)證會(huì)給路由器帶來一些微缺乏道的負(fù)擔(dān)