摘要： GNS3模擬器組建試驗(yàn)環(huán)境，以此平臺(tái)為基礎(chǔ)分析了RIP V2安全認(rèn)證特性原理，通過網(wǎng)絡(luò)安全認(rèn)證特性內(nèi)容的配置、調(diào)試、驗(yàn)證，深入此新特性在網(wǎng)絡(luò)環(huán)境中的應(yīng)用及所帶來的安全特性明顯改善。并用實(shí)驗(yàn)證實(shí)了幾個(gè)容易混淆的概念，提升了認(rèn)證特性配置使用能力。

關(guān)鍵詞：RIP；安全；認(rèn)證；配置

中圖分類號(hào)：TP313 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）04-0698-04

RIP路由協(xié)議是使用最早，技術(shù)最成熟的路由協(xié)議，具有配置操作簡(jiǎn)單，對(duì)硬件要求低，計(jì)算復(fù)雜度不高，技術(shù)成熟可靠等諸多優(yōu)勢(shì)，目前仍廣泛使用于結(jié)構(gòu)比較簡(jiǎn)單、路由指向相對(duì)比較清楚、中小規(guī)模的網(wǎng)絡(luò)中[1]。適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展，RIP v2技術(shù)使用了一系列新技術(shù)，尤其在網(wǎng)絡(luò)安全方面，較RIP V1版具有明顯改善。

1 RIP V2的認(rèn)證報(bào)文結(jié)構(gòu)

RIP V2認(rèn)證報(bào)文結(jié)構(gòu)如圖1所示（RFC2453）[2]。

[CMD命令＼&VER版本＼&MBZ（must be zero）即全0＼&FFFFH＼&authentication type（：simple password type=2）＼&

Authentication

（plaintex password）16字節(jié)

＼&AFI（address family identifier）地址家族標(biāo)識(shí)＼&Route tag 路由標(biāo)記＼&IP地址（IP address ）＼&子網(wǎng)掩碼（Mask）＼&下一跳地址（Next hop）＼&度量（Metric）即跳數(shù)＼&]

一個(gè)RIP報(bào)文最長(zhǎng)512字節(jié)，從AFI到Metric共20個(gè)字節(jié)為一條路由記錄，故一個(gè)RIP報(bào)文最多可以包含25條路由記錄。如果啟用認(rèn)證，則第一條路由記錄為認(rèn)證記錄，其后為路由記錄，最多只能包含有24條路由記錄。所以一條沒有啟用認(rèn)證特性的報(bào)文最多包含25條路由記錄，而具有認(rèn)證特性的報(bào)文最多只能包含有24條路由記錄。[3-4]

2 RIP V2配置與驗(yàn)證

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

r1的基本配置如下：

r1（config）#int s4/0

r1（config-if）#ip add 192.168.0.1 255.255.255.0

r1（config-if）#no shut

r1（config-if）#int lo 0

r1（config-if）#ip add 192.168.10.1 255.255.255.0

r1（config-if）#int lo 1

r1（config-if）#ip add 192.168.11.1 255.255.255.0

。。。。。。

r1（config）#router rip

r1（config-router）#ver 2

r1（config-router）#net 192.168.0.0

r1（config-router）#net 192.168.10.0

r1（config-router）#net 192.168.11.0

r2的基本配置如下。

r2（config）#int s4/0

r2（config-if）#ip add 192.168.0.2 255.255.255.0

r2（config-if）#no shut

r2（config-if）#int lo 0

r2（config-if）#ip add 192.168.20.1 255.255.255.0

r2（config-if）#int lo 1

r2（config-if）#ip add 192.168.21.1 255.255.255.0

。。。。。。

r2（config）#router rip

r2（config-router）#ver 2

r2（config-router）#net 192.168.0.0

r2（config-router）#net 192.168.20.0

r2（config-router）#net 192.168.21.0

2.1 認(rèn)證特性配置

配置步驟：1、配置密鑰鏈及密鑰2、配置認(rèn)證模式3、配置應(yīng)用到某個(gè)端口[5]

r1（config）#key chain wwp1

r1（config-keychain）#key 1

r1（config-keychain-key）#key-string wwp

r1（config-keychain-key）#int s4/0

r1（config-if）#ip rip authentication mode md5

r1（config-if）#ip rip authentication key-chain wwp1

r2（config）#key chain wwp2

r2（config-keychain）#key 1

r2（config-keychain-key）#key-string wwp

r2（config-keychain-key）#int s4/0

r2（config-if）#ip rip authentication mode md5

r2（config-if）#ip rip authentication key-chain wwp2

2.2 認(rèn)證特性配置的驗(yàn)證一

采用debug ip rip驗(yàn)證。

以上調(diào)試輸出證明MD5認(rèn)證成功，兩邊的路由器能夠接收到相互之間的路由信息。

2.3 認(rèn)證特性配置的驗(yàn)證二

采用Wireshark抓包軟件，在R1到R2的鏈路上抓取RIP包，抓包分析如圖3[6]。

從圖3抓取的rip包可以看出，該報(bào)文由源地址192.168.0.1發(fā)送，故是R1發(fā)送到R2的RIP包。目的地址224.0.0.9，源和目的端口均為520，RIP版本2，認(rèn)證類型為MD5，含有兩條路由記錄192.168.10.0和192.168.11.0，同理分析圖4的RIP包信息。可以看出該報(bào)文由R2路由器發(fā)送，發(fā)往R1路由器。

2.4 認(rèn)證配置中需要注意的問題

在進(jìn)行RIPV2認(rèn)證配置中，必須注意：1）每個(gè)密鑰鏈可以容納從key 0開始的多個(gè)密鑰。2）發(fā)送RIP報(bào)文始終采用該密鑰鏈中的第一個(gè)密鑰加密。3）接收RIP報(bào)文可以選擇其中任何一個(gè)匹配的密鑰解密。

在兩臺(tái)路由器做如下表所示的配置，驗(yàn)證路由器間路由報(bào)文傳輸認(rèn)證特性。

[＼&R1＼&R2＼&密鑰鏈＼&Key chain＼&Wwp1＼&Key chain＼&Wwp2＼&密鑰＼&Key 0＼&Wwp10＼&Key 0＼&Wwp20＼&Key 1＼&Wwp11＼&Key 1＼&Wwp21＼&Key 2＼&Wwp12＼&Key 2＼&Wwp22＼&Key 3＼&Wwp13＼&Key 3＼&Wwp23＼&Key 10＼&Wwp20＼&Key 9＼&Wwp10＼&認(rèn)證類型＼&Authentication mode＼&Text＼&Authentication mode＼&Text＼&認(rèn)證密鑰鏈＼&Key-chain＼&Wwp1＼&Key-chain＼&Wwp2＼&]

通過debug ip rip和wireshark進(jìn)行調(diào)試實(shí)驗(yàn)得到：兩臺(tái)路由器可以相互順利交換路由，其中路由器R1發(fā)送的RIP包，采用密鑰串wwp10加密要求認(rèn)證，路由器R2采用key 9進(jìn)行認(rèn)證；路由器R2發(fā)送的RIP包，采用密鑰串wwp20加密要求認(rèn)證，路由器R1采用key 10進(jìn)行認(rèn)證。

3 結(jié)論

通過實(shí)驗(yàn)平臺(tái)配置測(cè)試，可以看到RIP V2可以完成MD5和TEXT兩種模式的認(rèn)證，在密鑰認(rèn)證中，密鑰串的認(rèn)證選擇非常靈活，不需要雙方嚴(yán)格的對(duì)應(yīng)，這種特性在實(shí)際工程中，維護(hù)人員可以很靈活改變路由認(rèn)證，從而改變路由方向。同時(shí)介紹了兩種較為常見的RIP路由報(bào)文調(diào)試手段，對(duì)于理解路由報(bào)文結(jié)構(gòu)和路由信息收斂等工作原理具有重要意義。

參考文獻(xiàn)：

[1] 賈波，胡文江.利用定制接口的方法RIPv1和RIPv2的協(xié)同工作[J].內(nèi)蒙古大學(xué)學(xué)報(bào)：自然科學(xué)版，2003（1）：93-96.

[2] 李光亮路由設(shè)備優(yōu)化有新招[J].網(wǎng)管員世界，2011（16）：45-45.

[3] 楊帆RIP路由協(xié)議分析及配置簡(jiǎn)述[J].硅谷，2012（14）：16-17.

[4] 王斌，龍侃.論RIP V1和RIP V2協(xié)議在網(wǎng)絡(luò)應(yīng)用中的差異[J].電腦與電信，2007（8）：32-33 .

[5] 傅偉，高海俠，熊平.RIP路由協(xié)議實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2012（5）：127-129.

[6] 史創(chuàng)明，劉學(xué)莉.RIP路由協(xié)議及其漏洞攻擊防范[J].微計(jì)算機(jī)信息，2006（2）：7-9.