RIP V2安全认证特性描述与配置验证

摘要： GNS3模拟器组建试验环境，以此平台为基础分析了RIP V2安全认证特性原理，通过网络安全认证特性内容的配置、调试、验证，深入此新特性在网络环境中的应用及所带来的安全特性明显改善。并用实验证实了几个容易混淆的概念，提升了认证特性配置使用能力。

关键词：RIP；安全；认证；配置

中图分类号：TP313 文献标识码：A 文章编号：1009-3044（2013）04-0698-04

RIP路由协议是使用最早，技术最成熟的路由协议，具有配置操作简单，对硬件要求低，计算复杂度不高，技术成熟可靠等诸多优势，目前仍广泛使用于结构比较简单、路由指向相对比较清楚、中小规模的网络中[1]。适应网络技术的发展，RIP v2技术使用了一系列新技术，尤其在网络安全方面，较RIP V1版具有明显改善。

1 RIP V2的认证报文结构

RIP V2认证报文结构如图1所示（RFC2453）[2]。

[CMD命令＼&VER版本＼&MBZ（must be zero）即全0＼&FFFFH＼&authentication type（：simple password type=2）＼&

Authentication

（plaintex password）16字节

＼&AFI（address family identifier）地址家族标识＼&Route tag 路由标记＼&IP地址（IP address ）＼&子网掩码（Mask）＼&下一跳地址（Next hop）＼&度量（Metric）即跳数＼&]

一个RIP报文最长512字节，从AFI到Metric共20个字节为一条路由记录，故一个RIP报文最多可以包含25条路由记录。如果启用认证，则第一条路由记录为认证记录，其后为路由记录，最多只能包含有24条路由记录。所以一条没有启用认证特性的报文最多包含25条路由记录，而具有认证特性的报文最多只能包含有24条路由记录。[3-4]

2 RIP V2配置与验证

实验网络拓扑如图2所示。

r1的基本配置如下：

r1（config）#int s4/0

r1（config-if）#ip add 192.168.0.1 255.255.255.0

r1（config-if）#no shut

r1（config-if）#int lo 0

r1（config-if）#ip add 192.168.10.1 255.255.255.0

r1（config-if）#int lo 1

r1（config-if）#ip add 192.168.11.1 255.255.255.0

。。。。。。

r1（config）#router rip

r1（config-router）#ver 2

r1（config-router）#net 192.168.0.0

r1（config-router）#net 192.168.10.0

r1（config-router）#net 192.168.11.0

r2的基本配置如下。

r2（config）#int s4/0

r2（config-if）#ip add 192.168.0.2 255.255.255.0

r2（config-if）#no shut

r2（config-if）#int lo 0

r2（config-if）#ip add 192.168.20.1 255.255.255.0

r2（config-if）#int lo 1

r2（config-if）#ip add 192.168.21.1 255.255.255.0

。。。。。。

r2（config）#router rip

r2（config-router）#ver 2

r2（config-router）#net 192.168.0.0

r2（config-router）#net 192.168.20.0

r2（config-router）#net 192.168.21.0

2.1 认证特性配置

配置步骤：1、配置密钥链及密钥2、配置认证模式3、配置应用到某个端口[5]

r1（config）#key chain wwp1

r1（config-keychain）#key 1

r1（config-keychain-key）#key-string wwp

r1（config-keychain-key）#int s4/0

r1（config-if）#ip rip authentication mode md5

r1（config-if）#ip rip authentication key-chain wwp1

r2（config）#key chain wwp2

r2（config-keychain）#key 1

r2（config-keychain-key）#key-string wwp

r2（config-keychain-key）#int s4/0

r2（config-if）#ip rip authentication mode md5

r2（config-if）#ip rip authentication key-chain wwp2

2.2 认证特性配置的验证一

采用debug ip rip验证。

以上调试输出证明MD5认证成功，两边的路由器能够接收到相互之间的路由信息。

2.3 认证特性配置的验证二

采用Wireshark抓包软件，在R1到R2的链路上抓取RIP包，抓包分析如图3[6]。

从图3抓取的rip包可以看出，该报文由源地址192.168.0.1发送，故是R1发送到R2的RIP包。目的地址224.0.0.9，源和目的端口均为520，RIP版本2，认证类型为MD5，含有两条路由记录192.168.10.0和192.168.11.0，同理分析图4的RIP包信息。可以看出该报文由R2路由器发送，发往R1路由器。

2.4 认证配置中需要注意的问题

在进行RIPV2认证配置中，必须注意：1）每个密钥链可以容纳从key 0开始的多个密钥。2）发送RIP报文始终采用该密钥链中的第一个密钥加密。3）接收RIP报文可以选择其中任何一个匹配的密钥解密。

在两台路由器做如下表所示的配置，验证路由器间路由报文传输认证特性。

[＼&R1＼&R2＼&密钥链＼&Key chain＼&Wwp1＼&Key chain＼&Wwp2＼&密钥＼&Key 0＼&Wwp10＼&Key 0＼&Wwp20＼&Key 1＼&Wwp11＼&Key 1＼&Wwp21＼&Key 2＼&Wwp12＼&Key 2＼&Wwp22＼&Key 3＼&Wwp13＼&Key 3＼&Wwp23＼&Key 10＼&Wwp20＼&Key 9＼&Wwp10＼&认证类型＼&Authentication mode＼&Text＼&Authentication mode＼&Text＼&认证密钥链＼&Key-chain＼&Wwp1＼&Key-chain＼&Wwp2＼&]

通过debug ip rip和wireshark进行调试实验得到：两台路由器可以相互顺利交换路由，其中路由器R1发送的RIP包，采用密钥串wwp10加密要求认证，路由器R2采用key 9进行认证；路由器R2发送的RIP包，采用密钥串wwp20加密要求认证，路由器R1采用key 10进行认证。

3 结论

通过实验平台配置测试，可以看到RIP V2可以完成MD5和TEXT两种模式的认证，在密钥认证中，密钥串的认证选择非常灵活，不需要双方严格的对应，这种特性在实际工程中，维护人员可以很灵活改变路由认证，从而改变路由方向。同时介绍了两种较为常见的RIP路由报文调试手段，对于理解路由报文结构和路由信息收敛等工作原理具有重要意义。

参考文献：

[1] 贾波，胡文江.利用定制接口的方法RIPv1和RIPv2的协同工作[J].内蒙古大学学报：自然科学版，2003（1）：93-96.

[2] 李光亮路由设备优化有新招[J].网管员世界，2011（16）：45-45.

[3] 杨帆RIP路由协议分析及配置简述[J].硅谷，2012（14）：16-17.

[4] 王斌，龙侃.论RIP V1和RIP V2协议在网络应用中的差异[J].电脑与电信，2007（8）：32-33 .

[5] 傅伟，高海侠，熊平.RIP路由协议实验的设计与实现[J].实验技术与管理，2012（5）：127-129.

[6] 史创明，刘学莉.RIP路由协议及其漏洞攻击防范[J].微计算机信息，2006（2）：7-9.