关于RIPv2的认证

 

认证是 RIPv2 增加的一个功能（较 RIPv1 而言），其他的一些路由选择协议如： EIGRP OSPF IS-IS 也都支持此功能，并且都支持明文认证和 MD5 认证（稍后赘述）。机理一致，大概应用也差不多。

 

认证涉及到路由选择协议的安全问题，认证能够通过更新消息中的口令来分辨该消息的合法性。 Cisco 提供的认证口令包括两种：明文认证和 MD5 加密认证。

 

明文口令因为安全性太差而并不推荐使用。当然，它也不是没有用处，有的时候，你想要重新配置时，旧的 OSPF 进程和新的 OSPF 进程本来并不应该通信，就可以配置不同的明文口令，用以阻止它们通信。

 

MD5 是一个单向的，不可逆的消息摘要算法或者说是安全散列函数（ secure hash function ） ,MD5 算法是通过一个随意长度的明文消息和口令计算出一个 128 位的 hash 值，这个指纹随消息一同发送，接收端接到后，会使用本地的钥匙计算 hash 值，如果消息内容没有被改动，那么计算出来的 hash 值应该是一样的。 hash 算法的函数是公开的，但是基于其不可逆性以及长达 128 位的值，保证了现在的机器性能还无法破解。 05 年时，有人证明使用不同的输入值可以产生相同的 hash 值，这被称之为冲突，这使 MD5 在小范围内产生虚假签名成为可能，不过以当前的计算机性能还不用担心。

 

说到这个，想起在电子商务等系统中使用的数字签名。过程大概是下面这个图：（画的太长了 呵 ~ ）

 

 

其中，如果目的端做出的 hash 值和发送过来的不一样就会丢弃掉数据包。先加密再做数字签名是因为有些黑客的攻击纯属为了消耗你的资源，解密是很占CPU和内存的，所以先验证，再解密。

 

扯远了，回来，大概的过程就是这样，在配置的时候需要遵循下面的步骤，或者说下面的一定要有：

 

1)      定义一个带名字的钥匙链。

2)      定义钥匙链上的钥匙，包括 key ID 和口令。

3)      在接口上启动认证并指定使用的钥匙链。

4)      指定这个接口适用的是明文认证还是 MD5 认证。

5)      可选的一些配置。

 

大概的命令是在全局下：

 

Key chain name

Key id

Key-string 口令

 

在接口下：

 

Ip rip auth key-chain name

Ip rip auth mode text/md5

 

命令应该是没错，如果有错还请高手指出。

 

这里还有一些需要注意的问题：

 

1）  即使只有一个钥匙也要配钥匙链。

2）  一个协议的一个接口在某一时间只能使用一个钥匙链。

3）  钥匙链的名字只有本地意义。

4）  两端配不同的认证方式，不通，没有钥匙，不通。

5）  认证只是在数据包来的时候确认是不是自己的的过程。

6）  可以指定钥匙适用的时间，命令是在指定了 key-string 后使用 accept-lifetime （接收时使用）和 send-lifetime （发送时使用）指定，默认是 always valid

7）  配置 lifetime 是最好能够适用 ntp 这样的时钟同步协议。

 

关于 RIPv2 的认证就想起来这么多，以后想到再补吧，累了，都夜里 2 点了……