3.8 RIPv2的认证机制
2024-04-25 00:06:34
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
|
3.8 RIPv2的认证机制
|
|
|
|
|
|
实验连接图
|
|
|
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
|
|
|
提要描述
|
|
|
Cisco 实现RIPv2的消息认证包括两种选择—简单的明文认知和MD5认证。
配置RIPv2认证的步骤如下:
1:定义一个带名的钥匙链
2:定义在钥匙链的钥匙
3:在接口上启动认证并指定使用的钥匙链
4:指定这个接口使用明文认证还是MD5认证
5:还有其它的可选配置钥匙管理
实验目标: 通过实验调试出两种认证的各种情况
|
|
|
RIPv1基本配置
|
|
|
R1的配置
|
R2的配置
|
|
!
hostname R1
!
interface Loopback1
ip address 1.1.1.1 255.255.255.0
!
interface Loopback2
ip address 1.1.2.1 255.255.255.0
!
interface Loopback3
ip address 1.1.3.1 255.255.255.0
!
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
no shut
!
router rip
version 2
network 1.0.0.0
network 12.0.0.0
no auto-summary
!
|
!
hostname R2
!
interface Loopback1
ip address 2.2.1.1 255.255.255.0
!
interface Loopback2
ip address 2.2.2.1 255.255.255.0
!
interface Loopback3
ip address 2.2.3.1 255.255.255.0
!
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
no shut
!
router rip
version 2
network 2.0.0.0
network 12.0.0.0
no auto-summary
!
|
|
↓调试配置及监测步骤↓
|
|
完成以上基本配置常规情况下的路由表:
R1#show ip route
1.0.0.0/24 is subnetted, 3 subnets
C 1.1.1.0 is directly connected, Loopback1
C 1.1.2.0 is directly connected, Loopback2
C 1.1.3.0 is directly connected, Loopback3
2.0.0.0/24 is subnetted, 3 subnets
R 2.2.1.0 [120/1] via 12.1.1.2, 00:00:05, Serial1/1
R 2.2.2.0 [120/1] via 12.1.1.2, 00:00:05, Serial1/1
R 2.2.3.0 [120/1] via 12.1.1.2, 00:00:05, Serial1/1
12.0.0.0/24 is subnetted, 1 subnets
C 12.1.1.0 is directly connected, Serial1/1
R2#show ip route
1.0.0.0/24 is subnetted, 3 subnets
R 1.1.1.0 [120/1] via 12.1.1.1, 00:00:11, Serial1/0
R 1.1.2.0 [120/1] via 12.1.1.1, 00:00:11, Serial1/0
R 1.1.3.0 [120/1] via 12.1.1.1, 00:00:11, Serial1/0
2.0.0.0/24 is subnetted, 3 subnets
C 2.2.1.0 is directly connected, Loopback1
C 2.2.2.0 is directly connected, Loopback2
C 2.2.3.0 is directly connected, Loopback3
12.0.0.0/24 is subnetted, 1 subnets
C 12.1.1.0 is directly connected, Serial1/0
(一)明文认证
在R1上的配置:
R1(config)#key chain sharkii #----配置钥匙链
R1(config-keychain)#key 1 #----配置一把钥匙
R1(config-keychain-key)#key-string sharkii labing #----配置钥匙的密码
R1(config)#int s1/1
R1(config-if)#ip rip authentication key sharkii #---在接口上启动认证并调用钥匙链
R1(config-if)#ip rip authentication mode text #----------配置认证模式为明文,默认认证模式就是明文,所以也可以不用指定
在R2上同样配置:
R2(config)#key chain sharkii
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string sharkii labing
R2(config)#int s1/0
R2(config-if)#ip rip authentication key sharkii
R2(config-if)#ip rip authentication mode text
R1#show ip protocols
Interface Send Recv Triggered RIP Key-chain
Serial1/1 2 2 sharkii
R2#show ip protocols
Interface Send Recv Triggered RIP Key-chain
Serial1/0 2 2 sharkii
以上两行表明R1的S1/1和R2的S1/0接口都启用了认证
R1#debug ip rip
*Mar 23 04:12:03.799: RIP: received packet with text authentication sharkii labing #---收到密码为sharkii labing的明文认证数据包
*Mar 23 04:12:03.803: RIP: received v2 update from 12.1.1.2 on Serial1/1
*Mar 23 04:12:03.803: 2.2.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 04:12:03.807: 2.2.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 04:12:03.807: 2.2.3.0/24 via 0.0.0.0 in 1 hops
R2#debug ip rip
*Mar 23 04:11:59.035: RIP: received packet with text authentication sharkii labing
*Mar 23 04:11:59.035: RIP: received v2 update from 12.1.1.1 on Serial1/0
*Mar 23 04:11:59.035: 1.1.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 04:11:59.039: 1.1.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 04:11:59.039: 1.1.3.0/24 via 0.0.0.0 in 1 hops
在接收的更新中带有“text authentication”的字样,再次证明接口S1/1 和S1/0都启用了明文认证。
看看用软件在R1的S1/1接口抓包情况:
如图所示!当使用简单的密码认证是,密码是以明文方式传输的,因此很容易通过嗅探更新数据包就可以读出密码。
(二)MD5认证
关于MD5 认证,(在明文配置的基础上)只需要在接口下声明认证模式为MD5 即可:
在R1、R2上的配置:
R1(config)#int s1/1
R1(config-if)#ip rip authentication mode md5
R2(config)#int s1/0
R2(config-if)#ip rip authentication mode md5
看看R1、R2的debug信息:
R1#debug ip rip
*Mar 23 05:11:38.383: RIP: received packet with MD5 authentication
*Mar 23 05:11:38.387: RIP: received v2 update from 12.1.1.2 on Serial1/1
*Mar 23 05:11:38.387: 2.2.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 05:11:38.391: 2.2.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 05:11:38.391: 2.2.3.0/24 via 0.0.0.0 in 1 hops
R2#debug ip rip
*Mar 23 05:11:36.483: RIP: received packet with MD5 authentication
*Mar 23 05:11:36.487: RIP: received v2 update from 12.1.1.1 on Serial1/0
*Mar 23 05:11:36.487: 1.1.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 05:11:36.491: 1.1.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 05:11:36.491: 1.1.3.0/24 via 0.0.0.0 in 1 hops
在接收的更新中带有“MD5 authentication”的字样,已经看不到了被加密的密码。
再次看看用软件在R1的S1/1接口抓包情况:
如图所示!来自同样的更新,但使用是MD5认证,密码是以MD5加密传输的,因此看到的密码已经不是明文而是一大串经过128位hash的字符,这样就算通过嗅探包含更新的数据包也非常之难读出密码。因此明智的选择是用安全性能好得多的MD5认证。
总结:
钥匙链name只有本地有意义,两个路由器的key chain name可以不同,但宣告给对方的key-string必须相同,成功配置认证最明智的方法是:不要手动一条条配置,而是是写好脚本粘贴上路由器。
|
1: 明文认证的匹配原则是:
(1). 发送方发送最小Key ID的密钥(key-string)
(2). 不携带Key ID号码
(3). 接收方会和所有Key Chain 中的密钥(key-string)匹配,如果匹配成功,则通过认证。
|
【例如】
路由器R1 有一个Key ID,key1=sharkii01;
路由器R2 有两个Key ID,key1=sharkii02,key2=sharkii01
R1上的配置:
!
key chain sharkii01
key 1
key-string sharkii01
!
interface Serial1/1
ip rip authentication key-chain sharkii01
!
R2上的配置:
!
key chain sharkii02
key 1
key-string sharkii02
key 2
key-string sharkii01
!
interface Serial1/0
ip rip authentication key-chain sharkii02
!
R1#debug ip rip
*Mar 23 08:08:59.375: RIP: received packet with text authentication sharkii02
*Mar 23 08:08:59.379: RIP: ignored v2 packet from 12.1.1.2 (invalid authentication) #----接收来自R2的密钥(sharkii02)时认证失败。
R2#debug ip rip
*Mar 23 08:13:09.883: RIP: received packet with text authentication sharkii01
*Mar 23 08:13:09.887: RIP: received v2 update from 12.1.1.1 on Serial1/0
*Mar 23 08:13:09.887: 1.1.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 08:13:09.887: 1.1.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 08:13:09.891: 1.1.3.0/24 via 0.0.0.0 in 1 hops
根据上面的原则,R1 认证失败,R2 认证成功可以学到来自R1的全部路由,所以在RIP v2认证中,会有可能出现单边路由的现象。
|
2: MD5 认证的匹配原则是:
(1). 发送方发送最小Key ID的密钥(key-string)
(2). 携带Key ID号码
(3). 接收方首先会查找是否有相同的Key ID,如果有,只匹配一次,就可决定认证是否成功。如果没有该Key ID,只向下查找下一个key ID(只检查该KEY ID号中的密钥),匹配,认证成功;不匹配,认证失败。
|
【例如】
路由器R1 有三个Key ID,key1=sharkii02,key3=sharkii,key4=sharkii ;
路由器R2 有一个Key ID,key2=sharkii02
根据上面的原则,R1 认证失败,R2 认证成功。
R1上的配置:
!
key chain sharkii01
key 1
key-string sharkii02
key 3
key-string sharkii01
key 4
key-string sharkii02
!
interface Serial1/1
ip rip authentication mode md5
ip rip authentication key-chain sharkii01
!
R2上的配置:
!
key chain sharkii02
key 2
key-string sharkii02
!
interface Serial1/0
ip rip authentication mode md5
ip rip authentication key-chain sharkii02
!
R1#debug ip rip
*Mar 23 08:30:41.655: RIP: received packet with MD5 authentication
*Mar 23 08:30:41.659: RIP: ignored v2 packet from 12.1.1.2 (invalid authentication) #----认证失败
R2#debug ip rip
*Mar 23 08:31:16.815: RIP: received packet with MD5 authentication
*Mar 23 08:31:16.819: RIP: received v2 update from 12.1.1.1 on Serial1/0
*Mar 23 08:31:16.819: 1.1.1.0/24 via 0.0.0.0 in 1 hops
*Mar 23 08:31:16.823: 1.1.2.0/24 via 0.0.0.0 in 1 hops
*Mar 23 08:31:16.823: 1.1.3.0/24 via 0.0.0.0 in 1 hops
根据上面的MD5认证匹配的原则,R1 认证失败,R2 认证成功可以学到来自R1的全部路由。
转载于:https://blog.51cto.com/sharkii/67555
3.8 RIPv2的认证机制相关推荐
- jwt认证机制优势和原理_最详细的Spring Boot 使用JWT实现单点登录
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(S ...
- SSO 认证机制对比
2019独角兽企业重金招聘Python工程师标准>>> SSO 认证机制对比 博客分类: 架构 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单 ...
- 常用的认证机制之session认证和token认证
一.session认证 1.session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否 ...
- 基于JWT的Token认证机制实现
一.基于JWT的Token认证机制实现 1.什么是JWT JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 2.JWT组成 ...
- 深入详解windows安全认证机制ntlmKerberos
0x01 为什么要理解windows 安全认证机制: 加深对后续各种漏洞利用的理解深度,还是那句话,要知其然,更要知其所以然,不废话,咱们直接开始 0x02 windows认证协议主要有以下两种: 基 ...
- (golang)HTTP基本认证机制及使用gocolly登录爬取
内网有个网页用了HTTP基本认证机制,想用gocolly爬取,不知道怎么登录,只好研究HTTP基本认证机制 参考这里:https://www.jb51.net/article/89070.htm 下面 ...
- elasticsearch httpclient认证机制
转载自http://www.cnblogs.com/youran-he/p/7562870.html 最近公司单位搬迁,所有的服务都停止了,我负责的elasticsearch不知道怎么回事,一直不能运 ...
- web安全认证机制知多少
如今web服务随处可见,成千上万的web程序被部署到公网上供用户访问,有些系统只针对指定用户开放,属于安全级别较高的web应用,他们需要有一种认证机制以保护系统资源的安全,本文将探讨五种常用的认证机制 ...
- jwt重放攻击_【干货分享】基于JWT的Token认证机制及安全问题
一步一步教你基于JWT的Token认证机制实现,以及如何防范XSS攻击.Replay攻击和中间人攻击. 文章目录 一.几种常用的认证机制 1.1 HTTP Basic Auth HTTP Basic ...
最新文章
- RDChiral | 用于处理立体化学的RDKit封装器
- 微服务和容器技术有风险,望君三思而后行
- OutOfMemoryError与StackOverFlowError
- 三星note4 N9100刷回4.4.4系统后无法usb连接电脑
- 什么是 bootstrap 中的 break point
- matlab pca和逆pca函数,matlab_PCA,训练集与测试集分开,原理和用法
- html语言table,html中的table详解
- jquery解析XML
- 汉字识别原理、方法与实现
- 泰拉瑞亚试图加载不正确的_泰拉瑞亚Switch中文版将在12月19日发售|宝可梦 剑/盾大量细节公布 自动存档可关经验平均分配等...
- 多级放大电路的耦合方式
- 完全二叉树的权值——两种解法
- 关于部分积分,动能公式另一种推导
- 单片机c语言延时程序计算,单片机 计算延时子程序执行时间
- 大咖说开源|郑振宇:通过开源手段巩固基础软件供应链
- android拖拽 字体变形,17种文字变形的创意方法
- python 捕捉和模拟鼠标键盘操作
- ImageCompressor图片压缩
- 做自己的安卓拍照应用,其实很简单
- flash火焰燃烧的文字效果
热门文章
- 安装ps时无法验证订阅状态_免费申请office E5开发者订阅,附无限续期+私人网盘教程...
- java表单单击路径_Form表单中的action路径问题,form表单action路径《jsp---Servlet路劲问题》这个和上一个《jsp---Servlet》文章有关...
- android支付宝余额怎么做,android实现类似于支付宝余额快速闪动的效果
- java旅客接口_GitHub - s1mplecc/checkin-scheduler: 使用 Java 实现的旅客人数分布预估与值机排班调度算法...
- SQLite Tutorial 3 : Working with important SqLite Queries (SELECT, INSERT, DELETE, UPDATE,WHERE...)
- java获取http文件大小_Java开发网 - 关于通过HTTPUrlConnection获取一个文件的大小?...
- 服务器芯片组思维导图,服务器思维导图
- android充电器 充苹果,安卓充电器能给iPhone 12快充吗?实测小惊喜
- ubuntu联网_Ubuntu物联网操作系统新版发布,支持10年安全更新,镜像仅280M
- tcpdump显示udp包_TCPdump抓包命令详解