cisco路由器RIP协议安全配置(上)

技术要领:(1)配置RIP报文认证
                     (2)关闭RIP的路由更新。
 
RIP简介:路由信息协议(Routing Information Protocol,RIP)是以跳数作为度量值的距离向量协议。RIP广泛用于全球因特网的路由,是一种内部网关协议(Interior Gateway Protocol,IGP),即在自治系统内部执行路由功能。
 
一.配置RIP报文认证:
RIP协议有两种版本:第一版(RIPv1)和第二版(RIPv2)。第一版没有使用认证机制并使用不可靠的UDP协议进行传输。第二版的分组格式中包含了一个选项,可以设置16个字符的明文密码字符串(容易被嗅探到)或者MD5认证。虽然RIP消息包可以很容易伪造,但在RIPv2中使用MD5认证将会使用欺骗的操作难度大大提高。
 
配置RIP报文认证的过程:
1.在路由器制定密钥链(Key chain)的名字
R(config)# key chain jam
 
2定义一个密钥,并设定这个密钥
R(config-keychain)#  key 1
R(config-keychain-key)# key-string nike
 
3.进入需要认证的接口,并配置RIP认证信息。
R(config)  # int s0
R(config-if)# ip rip anthentication key-chain jam   //使用密钥链
 
4.默认情况下,加密方式使用明文方式;若要使用MD5认证,则
R(config-if)# ip rip authentication mode md5
 
5.配置后使用debug ip rip events命令,查看密钥是否匹配。
 
6.为了密码安全我们还可以在一个密钥链中定义多个密钥,并按一定的时间顺序进行修改。
 
key chain jam
key 1
   key-string nike
  accept-lifetime 16:30:00 May 28 2009 duration 43200 //持续43200秒
  send-lifetime 16:30:00 May 28 2009 duration 43200
 
key  2
   key-string love
  accept-lifetime 04:00:00 May 29 2009  13:00:00 Nov 25 2009      //到期时间
  send-lifetime 04:00:00 May 29 2009 13:00:00 Nov 25 2009 
 
key  3
 key-string baby
  accept-lifetime 13:00:00 Nov 25 2009   infinite   //永远
  send-lifetime 13:00:00 Nov 25 2009   infinite 
 
 
7.重复上述步骤,配置其他参与RIP路由协议的路由器.
 
 
二、关闭路由更新
1.将不需要转发路由信息的端口设置为被动端口。
R(config)#router rip
R(config-router)#passive-interface Ethernet0
 
2.将端口设置为被动端口之后,需要指定路由更新邻居,否则路由器之间无法接收到路由更新。
R(config-router)# neighbor 172.17.1.2 
 
 

你可能感兴趣的:(职场,安全,休闲,rip协议,cisco路由器)