关于RIPv2的认证

 

认证是RIPv2增加的一个功能（较RIPv1而言），其他的一些路由选择协议如：EIGRP OSPF IS-IS也都支持此功能，并且都支持明文认证和MD5认证（稍后赘述）。机理一致，大概应用也差不多。

 

认证涉及到路由选择协议的安全问题，认证能够通过更新消息中的口令来分辨该消息的合法性。Cisco提供的认证口令包括两种：明文认证和MD5加密认证。

 

明文口令因为安全性太差而并不推荐使用。当然，它也不是没有用处，有的时候，你想要重新配置时，旧的OSPF进程和新的OSPF进程本来并不应该通信，就可以配置不同的明文口令，用以阻止它们通信。

 

MD5是一个单向的，不可逆的消息摘要算法或者说是安全散列函数（secure hash function）,MD5算法是通过一个随意长度的明文消息和口令计算出一个128位的hash值，这个指纹随消息一同发送，接收端接到后，会使用本地的钥匙计算hash值，如果消息内容没有被改动，那么计算出来的hash值应该是一样的。hash算法的函数是公开的，但是基于其不可逆性以及长达128位的值，保证了现在的机器性能还无法破解。05年时，有人证明使用不同的输入值可以产生相同的hash值，这被称之为冲突，这使MD5在小范围内产生虚假签名成为可能，不过以当前的计算机性能还不用担心。

 

说到这个，想起在电子商务等系统中使用的数字签名。过程大概是下面这个图：（画的太长了 呵~）

 

 

其中，如果目的端做出的hash值和发送过来的不一样就会丢弃掉数据包。先加密再做数字签名是因为有些***的***纯属为了消耗你的资源，解密是很占CPU和内存的，所以先验证，再解密。

 

扯远了，回来，大概的过程就是这样，在配置的时候需要遵循下面的步骤，或者说下面的一定要有：

 

1)      定义一个带名字的钥匙链。

2)      定义钥匙链上的钥匙，包括key ID和口令。

3)      在接口上启动认证并指定使用的钥匙链。

4)      指定这个接口适用的是明文认证还是MD5认证。

5)      可选的一些配置。

 

大概的命令是在全局下：

 

Key chain name

Key id

Key-string 口令

 

在接口下：

 

Ip rip auth key-chain name

Ip rip auth mode text/md5

 

命令应该是没错，如果有错还请高手指出。

 

这里还有一些需要注意的问题：

 

1）  即使只有一个钥匙也要配钥匙链。

2）  一个协议的一个接口在某一时间只能使用一个钥匙链。

3）  钥匙链的名字只有本地意义。

4）  两端配不同的认证方式，不通，没有钥匙，不通。

5）  认证只是在数据包来的时候确认是不是自己的的过程。

6）  可以指定钥匙适用的时间，命令是在指定了key-string后使用accept-lifetime（接收时使用）和send-lifetime（发送时使用）指定，默认是always valid

7）  配置lifetime是最好能够适用ntp这样的时钟同步协议。

 

关于RIPv2的认证就想起来这么多，以后想到再补吧，累了，都夜里2点了……