Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

RIP 身份验证

了解 RIP 身份验证

RIPv2 提供身份验证支持,因此 RIP 链路可以在它们变为活动之前要求身份验证密钥(密码)。除了其他安全功能之外,身份验证在网络上提供了额外的安全层。默认情况下,此身份验证处于禁用状态。

身份验证密钥可以纯文本或 MD5 形式指定。身份验证要求 RIP 网络或子网中的所有路由器配置相同的身份验证类型和密钥(密码)。

RIPv1 网络不支持这种身份验证。

MD5 身份验证使用传输数据包中包含的编码 MD5 校验和。要使 MD5 身份验证起作用,接收和传输路由设备必须具有相同的 MD5 密钥。您可以为每个接口定义一个 MD5 密钥。如果在某个接口上启用了 MD5,则只有在 MD5 身份验证成功的情况下,该接口才会接受路由更新。否则,更新将被拒绝。路由设备仅接受使用为该接口定义的相同密钥标识符 (ID) 发送的 RIPv2 数据包。从 Junos OS 20.3R1 版开始,我们为 RIPv2 支持多个 MD5 身份验证密钥,以提高安全性。这支持添加 MD5 密钥及其 start-time。RIPv2 数据包使用第一个配置的密钥通过 MD5 身份验证传输。RIPv2 身份验证根据其配置的密钥将其切换到下一个密钥 start-time。如果只有一个 MD5 密钥,则无需用户干预即可自动切换 MD5 密钥。

请注意,本主题中描述的 RIPv2 身份验证在 Junos OS 版本 15.1X49、15.1X49-D30 或 15.1X49-D40 中不受支持。

另请参阅

使用纯文本密码启用身份验证

要配置需要在传输的数据包中包含纯文本密码的身份验证,请在网络中的所有 RIP 设备上执行以下步骤,以启用简单的身份验证:

  1. 导航至配置层次结构的顶部。
  2. 执行 表 1 中描述的配置任务。
  3. 如果完成路由器配置,请提交配置。
表 1:配置简单 RIP 身份验证

任务

CLI 配置编辑器

导航至配置层次结构中的 Rip 级别。

在层级, [edit] 输入

编辑协议撕裂

将身份验证类型设置为 简单

将身份验证类型设置为 简单

set authentication-type simple

将身份验证密钥设置为简单文本密码。

密码长度可以是 1 到 16 个连续字符,可以包含任何 ASCII 字符串。

将身份验证密钥设置为简单文本密码:

set authentication-key password

另请参阅

示例:使用单个 MD5 密钥为 RIP 配置路由身份验证

此示例说明如何为 RIP 网络配置身份验证。

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

您可以配置路由器来验证 RIP 路由查询。默认情况下,身份验证是禁用的。您可以使用以下一种身份验证方法:

  • 简单身份验证 — 使用传输数据包中包含的文本密码。接收路由器使用身份验证密钥(密码)来验证数据包。

  • MD5 身份验证 — 创建传输数据包中包含的编码校验和。接收路由器使用身份验证密钥(密码)来验证数据包的 MD5 校验和。

此示例显示了 MD5 身份验证。

图 1 显示了此示例中使用的拓扑。

图 1:RIP 身份验证网络拓扑 RIP Authentication Network Topology

CLI 快速配置 显示了 图 1 中所有设备的配置。第 #d59e69__d59e238 节介绍了设备 R1 上的步骤。

拓扑

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

设备 R1

设备 R2

设备 R3

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置 RIP 身份验证:

  1. 配置网络接口。

    此示例显示了多个用于模拟附加网络的环路接口地址。

  2. 创建 RIP 组并添加接口。

    要在 Junos OS 中配置 RIP,必须配置一个包含启用了 RIP 的接口的组。无需在环路接口上启用 RIP。

  3. 创建路由策略以播发直接路由和 RIP 学习路由。

  4. 应用路由策略。

    在 Junos OS 中,只能在组级别应用 RIP 导出策略。

  5. 接口上接收的 RIP 路由查询需要 MD5 身份验证。

    密码必须在相邻的 RIP 路由器上匹配。如果密码不匹配,则数据包将被拒绝。密码长度可以是 1 到 16 个连续字符,可以包含任何 ASCII 字符串。

    请勿按此处所示输入密码。此处显示的密码是配置好实际密码后显示的加密密码。

  6. 配置跟踪操作以跟踪身份验证。

结果

在配置模式下,输入 、 show protocolsshow policy-options命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请在配置模式下输入 提交

验证

确认配置工作正常。

检查身份验证故障

目的

验证是否没有身份验证失败。

行动

在操作模式下,输入 show rip statistics 命令。

意义

输出显示,没有身份验证失败。

验证 RIP 更新数据包中是否启用了 MD5 身份验证

目的

使用跟踪操作验证 RIP 更新中是否启用了 MD5 身份验证。

行动

在操作模式下,输入 show log 命令。

意义

(需要 MD5) 输出显示,所有路由更新都需要 MD5 身份验证。

另请参阅

示例:使用多个 MD5 密钥为 RIP 配置路由身份验证

此示例说明如何使用多个 MD5 密钥为 RIP 网络配置身份验证,以及如何在 RIP 接口上配置 MD5 密钥的转换。

要求

此示例使用以下硬件和软件组件:。

  • 三个 ACX 系列路由器

  • Junos OS 20.3 或更高版本

概述

MD5 身份验证使用传输数据包中包含的编码 MD5 校验和。要使 MD5 身份验证起作用,接收和传输路由设备必须具有相同的 MD5 密钥。

您可以为每个接口定义一个 MD5 密钥。如果在某个接口上启用了 MD5,则只有在 MD5 身份验证成功的情况下,该接口才会接受路由更新。否则,更新将被拒绝。路由设备仅接受使用为该接口定义的相同密钥标识符 (ID) 发送的 RIPv2 数据包。

为了提高安全性,您可以配置多个 MD5 密钥,每个密钥都有一个唯一的密钥 ID,并设置切换到新密钥的日期和时间。RIPv2 数据包的接收方使用 ID 来确定要使用哪个密钥进行身份验证。具有多个 MD5 密钥功能的 RIPv2 支持添加具有启动时间的 MD5 密钥。RIPv2 数据包使用第一个配置的密钥通过 MD5 身份验证传输。RIPv2 身份验证会根据配置相应密钥的启动时间将其切换到下一个密钥。如果只有一个 MD5 密钥,则无需用户干预即可自动切换 MD5 密钥。

此示例显示了 RIPv2 多点 MD5 密钥身份验证。

图 2 显示了此示例中使用的拓扑。

图 2:使用多个 MD5 密钥 Network Topology for RIP Authentication using multiple MD5 keys进行 RIP 身份验证的网络拓扑

CLI 快速配置 显示了 图 2 中所有设备的配置。 CLI 快速配置 部分介绍了设备 R1 上的步骤。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

设备 R1

设备 R2

设备 R3

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置 RIP 身份验证:

  1. 配置网络接口。

    此示例显示了多个用于模拟附加网络的环路接口地址。

  2. 创建 RIP 组并添加接口。

    要在 Junos OS 中配置 RIP,必须配置一个包含启用了 RIP 的接口的组。无需在环路接口上启用 RIP。

  3. 创建路由策略以播发直接路由和 RIP 学习路由。

  4. 应用路由策略。

    在 Junos OS 中,只能在组级别应用 RIP 导出策略。

  5. 您可以使用不同的密钥 ID 配置多个 MD5 密钥。密钥 ID 必须与相邻 RIP 路由器的密钥 ID 匹配。如果路由器收到的数据包的密钥 ID 不在其配置的密钥集中,则数据包将被拒绝并被视为身份验证失败。

    密钥 ID 可以是 0 到 255 的数字,用于唯一标识 MD5 密钥,密钥值可以是长达 16 个字符的 ASCII 字符串。

    请勿按此处所示输入密码。此处显示的密码是配置好实际密码后显示的加密密码。

    可以 authentication-selective-md5 重复配置多个密钥。

  6. 如果要从现有 md5 身份验证密钥迁移,则可以在未来具有足够余地的开始时间配置另一个密钥,以便配置链路上的所有路由器。过渡到新密钥基于其开始时间,一旦时钟达到开始时间,它就会发生。您可以通过输入以下命令删除不再有效的密钥:

    注意:

    开始时间仅与传输相关,不适用于接收 RIPv2 数据包。接受接收的数据包基于配置的密钥。

    例如,如果现在是 2020 年 2 月 1 日上午 1:00,并且配置了以下密钥:

    如果您希望于 3 月 2 日上午 2:00 从此密钥过渡到另一个密钥,并且能够同时将链路上的所有路由器配置为新密钥,则可以配置以下密钥:

    凌晨 2:00,当所有路由器切换到新密钥后,输入以下命令即可安全地删除 ID 为 2 的密钥。

  7. 删除主动密钥:如果删除最近一个活动密钥,系统将检查当前配置,并将现有配置中具有最新密钥 ID 的密钥用于 RIPv2 数据包传输。

    例如,如果您使用密钥 ID 配置了以下密钥:

    此配置中的主动密钥是具有密钥 ID 4 的密钥,用于将 RIPv2 数据包发送出去。如果删除活动密钥 ID 4,则系统将检查当前配置并查找具有最新启动时间的密钥(即 ID 为 ID 3 的密钥),并使用它进行数据包传输。

  8. 配置跟踪操作以跟踪身份验证。

结果

在配置模式下,输入 、 show protocolsshow policy-options命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请在配置模式下输入 提交

验证

确认配置工作正常。

检查身份验证故障

目的

检查身份验证失败计数器。

行动

在操作模式下,输入 show rip statistics 命令。

意义

计数器 Authentication Failures 显示身份验证失败计数。此输出显示身份验证失败计数为 23853。

检查当前活动的 MD5 密钥。

目的

检查是否正在使用的当前活动密钥。

行动

在操作模式下,输入 show rip neighbor fe-1/2/0 命令。

验证 RIP 更新数据包中是否启用了 MD5 身份验证

目的

使用跟踪操作验证 RIP 更新中是否启用了 MD5 身份验证。

行动

在操作模式下,输入 show log 命令。

意义

(需要 MD5) 输出显示,所有路由更新都需要 MD5 身份验证。

另请参阅

版本历史记录表
释放
描述
20.3R1
从 Junos OS 20.3R1 版开始,我们为 RIPv2 支持多个 MD5 身份验证密钥,以提高安全性
15.1X49
请注意,本主题中描述的 RIPv2 身份验证在 Junos OS 版本 15.1X49、15.1X49-D30 或 15.1X49-D40 中不受支持。