RIP-Authentifizierung
Grundlegendes zur RIP-Authentifizierung
RIPv2 bietet Authentifizierungsunterstützung, sodass für RIP-Links Authentifizierungsschlüssel (Kennwörter) erforderlich sein können, bevor sie aktiv werden. Die Authentifizierung bietet eine zusätzliche Sicherheitsebene im Netzwerk, die über die anderen Sicherheitsfunktionen hinausgeht. Standardmäßig ist diese Authentifizierung deaktiviert.
Authentifizierungsschlüssel können entweder im Nur-Text- oder im MD5-Format angegeben werden. Für die Authentifizierung müssen auf allen Routern innerhalb des RIP-Netzwerks oder -Subnetzes derselbe Authentifizierungstyp und -schlüssel (Kennwort) konfiguriert sein.
Diese Art der Authentifizierung wird in RIPv1-Netzwerken nicht unterstützt.
Bei der MD5-Authentifizierung wird eine codierte MD5-Prüfsumme verwendet, die im übertragenen Paket enthalten ist. Damit die MD5-Authentifizierung funktioniert, müssen sowohl das empfangende als auch das sendende Routinggerät denselben MD5-Schlüssel haben. Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routingaktualisierungen nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Aktualisierungen abgelehnt. Das Routinggerät akzeptiert nur RIPv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert ist. Ab Junos OS Version 20.3R1 unterstützen wir mehrere MD5-Authentifizierungsschlüssel für RIPv2 für erhöhte Sicherheit. Dies unterstützt das Hinzufügen von MD5-Schlüsseln mit ihrer start-time. RIPv2-Pakete werden mit MD5-Authentifizierung unter Verwendung des ersten konfigurierten Schlüssels übertragen. Die RIPv2-Authentifizierung wechselt basierend auf dem konfigurierten Schlüssel start-timezum nächsten Schlüssel. Dies ermöglicht eine automatische Schlüsselumschaltung ohne Benutzereingriff, um die MD5-Tasten zu ändern, wie bei nur einer MD5-Taste.
Beachten Sie, dass die in diesem Thema beschriebene RIPv2-Authentifizierung in den Junos OS-Versionen 15.1X49, 15.1X49-D30 oder 15.1X49-D40 nicht unterstützt wird.
Siehe auch
Aktivieren der Authentifizierung mit Nur-Text-Kennwörtern
Um eine Authentifizierung zu konfigurieren, bei der ein Nur-Text-Kennwort in das übertragene Paket aufgenommen werden muss, aktivieren Sie die einfache Authentifizierung, indem Sie die folgenden Schritte auf allen RIP-Geräten im Netzwerk ausführen:
- Navigieren Sie zum Anfang der Konfigurationshierarchie.
- Führen Sie die in Tabelle 1 beschriebenen Konfigurationsaufgaben aus.
- Wenn Sie mit der Konfiguration des Routers fertig sind, bestätigen Sie die Konfiguration.
Aufgabe |
CLI-Konfigurations-Editor |
|---|---|
Navigieren Sie in der Konfigurationshierarchie zur Rip-Ebene . |
Geben Sie auf der Protokolle RIP bearbeiten |
Legen Sie den Authentifizierungstyp auf " Einfach" fest. |
Legen Sie den Authentifizierungstyp auf einfach fest:
|
Legen Sie den Authentifizierungsschlüssel auf ein einfaches Textkennwort fest. Das Kennwort kann zwischen 1 und 16 zusammenhängenden Zeichen lang sein und beliebige ASCII-Zeichenfolgen enthalten. |
Legen Sie den Authentifizierungsschlüssel auf ein einfaches Textkennwort fest:
|
Siehe auch
Beispiel: Konfigurieren der Routenauthentifizierung für RIP mit einem einzigen MD5-Schlüssel
In diesem Beispiel wird gezeigt, wie die Authentifizierung für ein RIP-Netzwerk konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
Sie können den Router so konfigurieren, dass RIP-Routenabfragen authentifiziert werden. Standardmäßig ist die Authentifizierung deaktiviert. Sie können eine der folgenden Authentifizierungsmethoden verwenden:
Einfache Authentifizierung: Verwendet ein Textkennwort, das im übertragenen Paket enthalten ist. Der empfangende Router verwendet einen Authentifizierungsschlüssel (Passwort), um das Paket zu verifizieren.
MD5-Authentifizierung: Erstellt eine codierte Prüfsumme, die im übertragenen Paket enthalten ist. Der empfangende Router verwendet einen Authentifizierungsschlüssel (Kennwort), um die MD5-Prüfsumme des Pakets zu überprüfen.
Dieses Beispiel zeigt die MD5-Authentifizierung.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
der RIP-Authentifizierung
Die CLI-Schnellkonfiguration zeigt die Konfiguration für alle Geräte in Abbildung 1. In Abschnitt #d59e69__d59e238 werden die Schritte auf Gerät R1 beschrieben.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
Gerät R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces lo0 unit 1 family inet address 172.16.0.1/32 set interfaces lo0 unit 1 family inet address 192.168.1.1/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Gerät R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set interfaces lo0 unit 2 family inet address 192.168.2.2/32 set interfaces lo0 unit 2 family inet address 172.16.2.2/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Gerät R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set interfaces lo0 unit 3 family inet address 192.168.3.3/32 set interfaces lo0 unit 3 family inet address 172.16.3.3/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die RIP-Authentifizierung:
Konfigurieren Sie die Netzwerkschnittstellen.
Dieses Beispiel zeigt mehrere Loopback-Schnittstellenadressen, um angeschlossene Netzwerke zu simulieren.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30 user@R1# set lo0 unit 1 family inet address 172.16.0.1/32 user@R1# set lo0 unit 1 family inet address 192.168.1.1/32
Erstellen Sie die RIP-Gruppe, und fügen Sie die Schnittstelle hinzu.
Um RIP in Junos OS zu konfigurieren, müssen Sie eine Gruppe konfigurieren, die die Schnittstellen enthält, auf denen RIP aktiviert ist. Sie müssen RIP nicht auf der Loopback-Schnittstelle aktivieren.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
Erstellen Sie die Routing-Richtlinie, um sowohl direkte als auch RIP-erlernte Routen anzukündigen.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Wenden Sie die Routing-Richtlinie an.
In Junos OS können Sie RIP-Exportrichtlinien nur auf Gruppenebene anwenden.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
MD5-Authentifizierung für RIP-Routenabfragen erforderlich, die auf einer Schnittstelle empfangen werden.
Die Kennwörter müssen auf benachbarten RIP-Routern übereinstimmen. Wenn das Kennwort nicht übereinstimmt, wird das Paket zurückgewiesen. Das Kennwort kann zwischen 1 und 16 zusammenhängenden Zeichen lang sein und beliebige ASCII-Zeichenfolgen enthalten.
Geben Sie das Passwort nicht wie hier gezeigt ein. Das hier angezeigte Kennwort ist das verschlüsselte Kennwort, das in der Konfiguration angezeigt wird, nachdem das eigentliche Kennwort bereits konfiguriert wurde.
[edit protocols rip] user@R1# set authentication-type md5 user@R1# set authentication-key "$ABC123$ABC123"
Konfigurieren Sie Ablaufverfolgungsvorgänge zum Nachverfolgen der Authentifizierung.
[edit protocols rip traceoptions] user@R1# set file rip-authentication-messages user@R1# set flag auth user@R1# set flag packets
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocolsund show policy-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 172.16.0.1/32;
address 192.168.1.1/32;
}
}
}
user@R1# show protocols
rip {
traceoptions {
file rip-authentication-messages;
flag auth;
flag packets;
}
authentication-type md5;
authentication-key $ABC123$ABC123; ## SECRET-DATA
group rip-group {
export advertise-routes-through-rip;
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Auf Authentifizierungsfehler prüfen
- Überprüfen, ob die MD5-Authentifizierung in RIP-Updatepaketen aktiviert ist
Auf Authentifizierungsfehler prüfen
Zweck
Stellen Sie sicher, dass keine Authentifizierungsfehler vorliegen.
Aktion
Geben Sie im Betriebsmodus den show rip statistics Befehl ein.
user@R1> show rip statistics
RIPv2 info: port 520; holddown 120s.
rts learned rts held down rqsts dropped resps dropped
5 0 0 0
fe-1/2/0.1: 5 routes learned; 2 routes advertised; timeout 180s; update interval 30s
Counter Total Last 5 min Last minute
------- ----------- ----------- -----------
Updates Sent 2669 10 2
Triggered Updates Sent 2 0 0
Responses Sent 0 0 0
Bad Messages 0 0 0
RIPv1 Updates Received 0 0 0
RIPv1 Bad Route Entries 0 0 0
RIPv1 Updates Ignored 0 0 0
RIPv2 Updates Received 2675 11 2
RIPv2 Bad Route Entries 0 0 0
RIPv2 Updates Ignored 0 0 0
Authentication Failures 0 0 0
RIP Requests Received 0 0 0
RIP Requests Ignored 0 0 0
none 0 0 0
Bedeutung
Die Ausgabe zeigt, dass keine Authentifizierungsfehler aufgetreten sind.
Überprüfen, ob die MD5-Authentifizierung in RIP-Updatepaketen aktiviert ist
Zweck
Verwenden Sie Ablaufverfolgungsvorgänge, um zu überprüfen, ob die MD5-Authentifizierung in RIP-Updates aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show log Befehl ein.
user@R1> show log rip-authentication-messages | match md5 Feb 15 15:45:13.969462 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:45:43.229867 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:13.174410 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:42.716566 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:47:11.425076 sending msg 0xb9a8c04, 3 rtes (needs MD5) ...
Bedeutung
Die Ausgabe (benötigt MD5) zeigt, dass für alle Routenaktualisierungen eine MD5-Authentifizierung erforderlich ist.
Beispiel: Konfigurieren der Routenauthentifizierung für RIP mit mehreren MD5-Schlüsseln
In diesem Beispiel wird gezeigt, wie die Authentifizierung für ein RIP-Netzwerk mit mehreren MD5-Schlüsseln konfiguriert wird und wie ein Übergang von MD5-Schlüsseln auf einer RIP-Schnittstelle konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:.
Drei Router der ACX-Serie
Junos OS Version 20.3 oder höher
Übersicht
Bei der MD5-Authentifizierung wird eine codierte MD5-Prüfsumme verwendet, die im übertragenen Paket enthalten ist. Damit die MD5-Authentifizierung funktioniert, müssen sowohl das empfangende als auch das sendende Routinggerät denselben MD5-Schlüssel haben.
Sie definieren für jede Schnittstelle einen MD5-Schlüssel. Wenn MD5 auf einer Schnittstelle aktiviert ist, akzeptiert diese Schnittstelle Routingaktualisierungen nur, wenn die MD5-Authentifizierung erfolgreich ist. Andernfalls werden Aktualisierungen abgelehnt. Das Routinggerät akzeptiert nur RIPv2-Pakete, die mit derselben Schlüsselkennung (ID) gesendet werden, die für diese Schnittstelle definiert ist.
Um die Sicherheit zu erhöhen, können Sie mehrere MD5-Schlüssel konfigurieren, jeder mit einer eindeutigen Schlüssel-ID, und das Datum und die Uhrzeit für den Wechsel zu einem neuen Schlüssel festlegen. Der Empfänger des RIPv2-Pakets verwendet die ID, um zu bestimmen, welcher Schlüssel für die Authentifizierung verwendet werden soll. RIPv2 mit mehreren MD5-Tasten unterstützt das Hinzufügen von MD5-Schlüsseln mit ihrer Startzeit. RIPv2-Pakete werden mit MD5-Authentifizierung unter Verwendung des ersten konfigurierten Schlüssels übertragen. Die RIPv2-Authentifizierung wechselt zum nächsten Schlüssel, basierend auf der konfigurierten jeweiligen Schlüsselstartzeit. Dies ermöglicht eine automatische Schlüsselumschaltung ohne Benutzereingriff, um die MD5-Tasten zu ändern, als ob nur eine MD5-Taste vorhanden wäre.
Dieses Beispiel zeigt die RIPv2-Authentifizierung mit mehreren MD5-Schlüsseln.
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
Die CLI-Schnellkonfiguration zeigt die Konfiguration für alle Geräte in Abbildung 2. Im Abschnitt CLI-Schnellkonfiguration werden die Schritte auf Gerät R1 beschrieben.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
Gerät R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces lo0 unit 1 family inet address 172.16.0.1/32 set interfaces lo0 unit 1 family inet address 192.168.1.1/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Gerät R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set interfaces lo0 unit 2 family inet address 192.168.2.2/32 set interfaces lo0 unit 2 family inet address 172.16.2.2/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip authentication-type md5 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Gerät R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set interfaces lo0 unit 3 family inet address 192.168.3.3/32 set interfaces lo0 unit 3 family inet address 172.16.3.3/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die RIP-Authentifizierung:
Konfigurieren Sie die Netzwerkschnittstellen.
Dieses Beispiel zeigt mehrere Loopback-Schnittstellenadressen, um angeschlossene Netzwerke zu simulieren.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 192.0.10.1/24 user@R1# set lo0 unit 1 family inet address 198.51.100.1/24 user@R1# set lo0 unit 1 family inet address 192.0.2.1/32
Erstellen Sie die RIP-Gruppe, und fügen Sie die Schnittstelle hinzu.
Um RIP in Junos OS zu konfigurieren, müssen Sie eine Gruppe konfigurieren, die die Schnittstellen enthält, auf denen RIP aktiviert ist. Sie müssen RIP nicht auf der Loopback-Schnittstelle aktivieren.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0
Erstellen Sie die Routing-Richtlinie, um sowohl direkte als auch RIP-erlernte Routen anzukündigen.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Wenden Sie die Routing-Richtlinie an.
In Junos OS können Sie RIP-Exportrichtlinien nur auf Gruppenebene anwenden.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
Sie können mehrere MD5-Schlüssel konfigurieren, indem Sie unterschiedliche Schlüssel-IDs verwenden. Die Schlüssel-IDs müssen mit den Schlüssel-IDs der benachbarten RIP-Router übereinstimmen. Wenn ein Router ein Paket mit einer Schlüssel-ID empfängt, die sich nicht innerhalb des konfigurierten Schlüsselsatzes befindet, wird das Paket zurückgewiesen und als Authentifizierungsfehler betrachtet.
Die Schlüssel-ID kann eine Zahl von 0 bis 255 sein, die einen MD5-Schlüssel eindeutig identifiziert, und der Schlüsselwert kann eine ASCII-Zeichenfolge mit einer Länge von bis zu 16 Zeichen sein.
Geben Sie das Passwort nicht wie hier gezeigt ein. Das hier angezeigte Kennwort ist das verschlüsselte Kennwort, das in der Konfiguration angezeigt wird, nachdem das eigentliche Kennwort bereits konfiguriert wurde.
[edit protocols rip] user@R1# set authentication-selective-md5 key-id key key-value start-time time user@R1# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01
Dies
authentication-selective-md5kann wiederholt werden, um mehrere Tasten zu konfigurieren.Wenn Sie von einem bestehenden MD5-Authentifizierungsschlüssel migrieren möchten, können Sie einen anderen Schlüssel mit einer Startzeit in der Zukunft konfigurieren, die genügend Spielraum bietet, um alle Router auf der Verbindung konfigurieren zu können. Der Übergang zum neuen Schlüssel basiert auf seiner Startzeit und erfolgt, sobald die Uhr die Startzeit erreicht. Sie können Schlüssel löschen, die nicht mehr gültig sind, indem Sie den folgenden Befehl eingeben:.
[edit protocols rip] user@host# delete authentication-selective-md5 key-id
Hinweis:Die Startzeit ist nur für die Übertragung und nicht für den Empfang von RIPv2-Paketen relevant. Die Annahme der empfangenen Pakete basiert auf den konfigurierten Schlüsseln.
Beispiel: Wenn die Uhrzeit jetzt der 1. Februar 2020 ist, 01:00 Uhr und der folgende Schlüssel konfiguriert ist:
[edit protocols rip] user@host# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01
Wenn Sie am 2. März um 02:00 Uhr von diesem Schlüssel zu einem anderen Schlüssel wechseln möchten und alle Router auf der Verbindung mit dem neuen Schlüssel gleichzeitig konfigurieren können, können Sie den folgenden Schlüssel konfigurieren:
[edit protocols rip] user@host# set authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01
Um 2:00 Uhr, sobald alle Router auf den neuen Schlüssel umgestellt haben, können Sie den Schlüssel mit der ID 2 sicher löschen, indem Sie den folgenden Befehl eingeben.
[edit protocols rip] user@host# delete authentication-selective-md5 2
Löschen des aktiven Schlüssels: Wenn Sie den letzten aktiven Schlüssel löschen, prüft das System, ob die aktuelle Konfiguration vorhanden ist, und verwendet den Schlüssel mit der neuesten Schlüssel-ID innerhalb der bestehenden Konfiguration für die RIPv2-Paketübertragung.
Beispiel: Wenn Sie die folgenden Schlüssel mit den key-ids konfiguriert haben:
[edit protocols rip] user@R1# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 user@R1#set authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 user@R1#set authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01
Der aktive Schlüssel in dieser Konfiguration ist der Schlüssel mit der Schlüssel-ID 4 und wird zum Senden des RIPv2-Pakets verwendet. Wenn Sie den aktiven Schlüssel ID 4 löschen, dann prüft das System die aktuelle Konfiguration und sucht nach dem Schlüssel mit der letzten Startzeit, also dem Schlüssel mit der ID 3, und verwendet ihn für die Paketübertragung.
Konfigurieren Sie Ablaufverfolgungsvorgänge zum Nachverfolgen der Authentifizierung.
[edit protocols rip traceoptions] user@R1# set file rip-authentication-messages user@R1# set flag auth user@R1# set flag packets
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocolsund show policy-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 192.0.10.1/24;
}
}
}
lo0 {
unit 1 {
family inet {
address 198.51.100.1/24;
address 192.0.2.1/32;
}
}
}
user@R1# show protocols
rip {
traceoptions {
file rip-authentication-messages;
flag auth;
flag packets;
}
authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 ## SECRET-DATA
authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 ## SECRET-DATA
authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 ## SECRET-DATA
group rip-group {
export advertise-routes-through-rip;
neighbor ge-0/0/5.0;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Auf Authentifizierungsfehler prüfen
- Prüfen, ob der aktuell aktive MD5-Schlüssel vorhanden ist.
- Überprüfen, ob die MD5-Authentifizierung in RIP-Updatepaketen aktiviert ist
Auf Authentifizierungsfehler prüfen
Zweck
So überprüfen Sie, ob Leistungsindikatoren für Authentifizierungsfehler vorliegen.
Aktion
Geben Sie im Betriebsmodus den show rip statistics Befehl ein.
user@R1> show rip statistics
RIPv2 info: port 520; holddown 120s.
rts learned rts held down rqsts dropped resps dropped
5 0 0 0
ge-0/0/5.0: 5 routes learned; 28 routes advertised; timeout 180s; update interval 30s
Counter Total Last 5 min Last minute
------- ----------- ----------- -----------
Updates Sent 53058 20 4
Triggered Updates Sent 2 0 0
Responses Sent 0 0 0
Bad Messages 0 0 0
RIPv1 Updates Received 0 0 0
RIPv1 Bad Route Entries 0 0 0
RIPv1 Updates Ignored 0 0 0
RIPv2 Updates Received 26538 10 2
RIPv2 Bad Route Entries 0 0 0
RIPv2 Updates Ignored 0 0 0
Authentication Failures 23853 0 0
RIP Requests Received 0 0 0
RIP Requests Ignored 0 0 0
none 0 0 0
Bedeutung
Der Authentication Failures Leistungsindikator zeigt die Anzahl der Authentifizierungsfehler an. Diese Ausgabe zeigt, dass die Anzahl der Authentifizierungsfehler 23853 beträgt.
Prüfen, ob der aktuell aktive MD5-Schlüssel vorhanden ist.
Zweck
So überprüfen Sie, ob der aktuell aktive Schlüssel verwendet wird.
Aktion
Geben Sie im Betriebsmodus den show rip neighbor fe-1/2/0 Befehl ein.
user@R1> show rip neighbor fe-1/2/0
Local Source Destination Send Receive In
Neighbor State Address Address Mode Mode Met
-------- ----- ------- ----------- ---- ------- ---
fe-1/2/0 Up 14.14.14.1 224.0.0.9 mcast both 1
Auth type: SELECTIVE-MD5, Active key ID: 2, Start time: 1970 Jan 1 05:30:00 IST
Überprüfen, ob die MD5-Authentifizierung in RIP-Updatepaketen aktiviert ist
Zweck
Verwenden Sie Ablaufverfolgungsvorgänge, um zu überprüfen, ob die MD5-Authentifizierung in RIP-Updates aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show log Befehl ein.
user@R1> show log rip-authentication-messages | match md5 Feb 15 15:45:13.969462 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:45:43.229867 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:13.174410 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:42.716566 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:47:11.425076 sending msg 0xb9a8c04, 3 rtes (needs MD5) ...
Bedeutung
Die Ausgabe (benötigt MD5) zeigt, dass für alle Routenaktualisierungen eine MD5-Authentifizierung erforderlich ist.