选择区域语言: EN CN HK

RIP特性典型配置 MD5认证配置指导

手册下载

 

RIP MD5报文认证

典型配置指导

Hangzhou H3C Technologies Co., Ltd.

杭州华三通信技术有限公司

All rights reserved

版权所有  侵权必究

 

关键词:RIP 路由信息协议 MD5

   要:RIP MD5报文认证主要用于设备使能了RIPv2以后,交互路由信息时对交互报文做认证。

缩略语:

缩略语

英文全名

中文解释

RIP

Routing Information Protocol

路由信息协议

MD5

Message Digest 5

报文摘要5

 

1         特性介绍

RIP MD5报文认证主要用于设备使能了RIPv2以后,交互路由信息时对交互报文做认证。RIPv1版本不支持报文的认证,所以要使用报文认证,首先要保证使用RIPv2的版本。RFC2082 RIPv2支持两种认证方式:明文(plain text)认证方式和MD5(Message Digest 5)密文认证方式。明文认证是每个RIPv2报文的默认认证方式,这种认证方式下未加密的认证字随报文一同传送,所以明文认证不能用于安全性要求较高的情况。如果对安全性要求较高的话,不能用明文认证,应该用MD5密文认证。

2         特性的优点

MD5报文认证能够保证路由器之间安全地交互路由信息,能够保证进入到路由表的路由信息是有效的,而不是经那些试图破坏的人所破坏过的,一个攻击者可能欺骗路由器发送一个无效的更新数据到错误的目的端,而MD5报文认证能够将不符合认证信息的报文丢弃。

3         使用指南

3.1        使用场合

MD5报文认证主要用于对于安全性要求较高的内部网络中。

3.2        配置步骤

MD5报文认证的配置主要分为以下几个步骤:

l       启动RIP,并且在指定网段使能RIP

l       配置接口的RIP版本

l       在接口上配置MD5的报文认证

1.     启动RIP

请在系统视图下进行下列配置。

1     启动rip

操作

命令

启动RIP,进入RIP视图

rip

停止RIP协议的运行

undo rip

缺省情况下不运行RIP

启动RIP后进入RIP视图,在RIP视图下指定网段使能RIP

2     使能指定网段

操作

命令

在指定的网络接口上应用RIP

network network-address

在指定的网络接口上取消应用RIP

undo network network-address

RIP只在指定网段上的接口运行;对于不在指定网段上的接口,RIP既不在它上面接收和发送路由,也不将它的接口路由转发出去。因此,RIP启动后必须指定其工作网段。network-address为使能或不使能的网络的地址,也可配置为各个接口IP网络的地址。

当对某一地址使用命令network时,效果是使能该地址的网段的接口。例如:network 129.102.1.1,用display current-configurationdisplay rip命令看到的均是network 129.102.0.0

2.     配置接口的RIP版本

RIPRIP-1RIP-2两个版本,可以指定接口所处理的RIP报文版本。但是RIP-1不支持报文的认证,所以要使能报文认证功能必须在接口上配置RIP-2的版本。

RIP-2有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文。RIP-2中组播地址为224.0.0.9。组播发送报文的好处是在同一网络中那些没有运行RIP的主机可以避免接收RIP的广播报文;另外,以组播方式发送报文还可以使运行RIP-1的主机避免错误地接收和处理RIP-2中带有子网掩码的路由。当接口运行RIP-2时,也可接收RIP-1的报文。

请在接口视图下进行下列配置。

3      配置接口的RIP版本

操作

命令

指定接口的RIP版本为RIP-2

rip version 2 [ broadcast | multicast ]

将接口运行的RIP版本恢复为缺省值

undo rip version  2

 

缺省情况下,接口接收和发送RIP-1报文;指定接口RIP版本为RIP-2时,缺省使用组播形式传送报文。

3.     在接口上配置MD5的报文认证

MD5密文认证的报文格式有两种:一种遵循RFC1723RIP Version 2 Carrying Additional Information),另一种遵循RFC2082RIP-2 MD5 Authentication)。

请在接口视图下进行下列配置。

4     配置MD5的报文认证

操作

命令

RIP-2进行通用的MD5认证

rip authentication-mode md5 usual key-string

RIP-2进行非标准兼容的MD5认证

rip authentication-mode md5 nonstandard key-string key-id

取消对RIP-2的认证

undo rip authentication-mode

 

如果配置MD5认证,则必须配置MD5的类型,其中usual类型支持RFC1723规定的报文格式,nonstandard类型支持RFC2082规定的报文格式。

3.3        注意事项

配置MD5认证时,要使运行RIP的路由器上配置相同的明文和密码,这样才能保证设备之间能够正常的交互路由信息。

3.4        举例

3.4.1       组网需求

AR28-30  AR46-40 分别通过以太口 E0/0 E0/0/0 相连,并且两个接口都在1.0.0.0网段,两个设备的 loopback 口分别配置ip地址:70.70.70.1/24 80.80.80.2/24

3.4.2       组网图

1        RIP MD5认证示例组网图

1.     使用的版本

1)    AR46-40 release信息和VRBD信息

Comware software, Version 3.40, Release RT-0100

Version AR46-40 8040V300R003B03D009 (COMWAREV300R002B14D004), RELEASE SOFTWARE  Compiled Jun  3 2005 15:22:46 by sunyu 

2)    AR28-30 release信息和VRBD信息

Comware software, Version 3.40, Release RT-0100

Version AR28-30 8040V300R003B03D009 (COMWAREV300R002B14D004), RELEASE SOFTWARE  Compiled Jun  3 2005 15:22:46 by sunyu

2.     配置路由器AR28-30

当前视图

配置命令

简单说明

[AR2830]

rip

启动RIP

[AR2830-rip]

network 1.0.0.0

network 70.0.0.0

1.0.0.0 70.0.0.0 网段使能RIP

[AR2830-rip]

quit

退出rip视图

[AR2830]

interface ethernet  0/0

进入以太口接口视图

[AR2830-Ethernet0/0]

rip version 2 multicast

在接口上配置RIP版本为2

[AR2830-Ethernet0/0]

rip authentication-mode md5 rfc2453 123

在接口上配置对面md5的认证方式为rfc2453,密钥为123.

AR2830-Ethernet0/0]

quit

退出以太口接口视图

[AR2830]

interface LoopBack 1

配置接口loopback 1

[AR2830-LoopBack1]

ip address 70.70.70.1 24

配置接口下的ip地址和掩码

 

3.     配置路由器AR46-40

当前视图

配置命令

简单说明

[AR4640] 

rip

启动RIP

[AR4640-rip]

network 1.0.0.0

network 80.0.0.0

1.0.0.0 80.0.0.0 网段使能RIP

AR4640-rip]

quit

退出rip视图

[AR4640] 

interface ethernet  0/0/0

进入以太口接口视图

[AR4640-Ethernet0/0/0]

rip version 2 multicast

在接口上配置RIP版本为2

[AR4640-Ethernet0/0/0]

rip authentication-mode md5 rfc2453 123

在接口上配置对面md5的认证方式为rfc2453,密钥为123.

[AR4640-Ethernet0/0/0]

quit

退出以太口接口视图

[AR4640]

Interface LoopBack 1

配置接口loopback 1

[AR4640-LoopBack1]

ip address 80.80.80.2 24

配置接口下的ip地址和掩码

 

3.4.3       验证结果

按照上述配置两台设备之间便可以交互路由信息了,打开设备的报文调试开关便可以看到设备之间交互路由信息的情况。

1.     验证AR28-30

<AR2830>display rip routing

#显示RIP协议的路由信息

RIP routing table: public net

Destination/Mask    Cost  NextHop           Age    SourceGateway

80.0.0.0/8          1     1.1.2.2           22s    1.1.2.2

#和对端交互了路由信息

#也可以通过查看路由表来查看是否添加了新的路由

<AR2830>display ip routing-table

#查看路由表的情况

 Routing Table: public net

Destination/Mask   Protocol Pre  Cost        Nexthop         Interface

1.0.0.0/8          DIRECT   0    0           1.1.2.1         Ethernet0/0

1.1.2.1/32         DIRECT   0    0           127.0.0.1       InLoopBack0

1.1.3.0/24         STATIC   60   0           1.1.2.2         Ethernet0/0

70.70.70.0/24      DIRECT   0    0           70.70.70.1      LoopBack1

70.70.70.1/32      DIRECT   0    0           127.0.0.1       InLoopBack0

80.0.0.0/8         RIP      100  1           1.1.2.2         Ethernet0/0

#新的路由被添加进来

127.0.0.0/8        DIRECT   0    0           127.0.0.1       InLoopBack0       

127.0.0.1/32       DIRECT   0    0           127.0.0.1       InLoopBack0       

<AR2830>

2.     验证AR46-40

<AR4640>display rip routing

#交互路由信息以后查看RIP协议路由信息

RIP routing table: public net

Destination/Mask    Cost  NextHop           Age    SourceGateway

70.0.0.0/8          1     1.1.2.1           8s     1.1.2.1

#得到了对端的路由信息

#通过命令查看路由表的更新情况

<AR4640>display  ip routing-table

#查看路由器的路由表

 Routing Table: public net

Destination/Mask   Protocol Pre  Cost        Nexthop         Interface

1.1.2.0/24         DIRECT   0    0           1.1.2.2         Ethernet0/0/0

1.1.2.2/32         DIRECT   0    0           127.0.0.1       InLoopBack0

70.0.0.0/8         RIP      100  1           1.1.2.1         Ethernet0/0/0

#交互了路由信息

80.80.80.0/24      DIRECT   0    0           80.80.80.1      LoopBack1

80.80.80.1/32      DIRECT   0    0           127.0.0.1       InLoopBack0

127.0.0.0/8        DIRECT   0    0           127.0.0.1       InLoopBack0

127.0.0.1/32       DIRECT   0    0           127.0.0.1       InLoopBack0

<AR4640>

3.4.4       故障排除

1.     打开调试开关以后,不能够正确接收对端路由更新报文,并出现下列错误提示:

*0.12794925 AR2830 RM/7/RTDBG:

 RIP: Receive Response from 1.1.2.2+520 via Ethernet0/0(224.0.0.9)

    Packet:vers 2, cmd Response, length 48

    Authentication: MD5 Digest: daced845.e2237879.8e3b3571.a6d7c744

    Sequence: e2237879 (16:40:05)

*0.12795230 AR2830 RM/7/RTDBG:

    dest 80.0.0.0    mask 255.0.0.0  , router 0.0.0.0    , metric 1, tag 0

*0.12795360 AR2830 RM/7/RTDBG:

ignoring RIP Response

         1 packet from 1.1.2.2+520 - authentication failure 

原因分析:配置MD5验证时两端的明文或者密码配置不一致

解决办法:由于通过命令行看不到所配置的明文和密码,建议在接口上把原来的认证配置删除,然后在两端的设备上配置相同的明文和密码。

 

4         相关资料

4.1        相关协议和标准

5     相关协议与标准

标准号

标题

RFC1723

RIP Version 2 Carrying Additional Information

RFC2082

RIP-2 MD5 Authentication

 

4.2        其它相关资料

Comware V3 操作手册-路由协议》

Comware V3 命令手册-路由协议》