SUR CETTE PAGE
Authentification RIP
Comprendre l’authentification RIP
Le RIPv2 prend en charge l’authentification afin que les liaisons RIP puissent exiger des clés d’authentification (mots de passe) avant qu’elles ne soient actives. L’authentification offre une couche de sécurité supplémentaire sur le réseau, au-delà des autres fonctionnalités de sécurité. Par défaut, cette authentification est désactivée.
Les clés d’authentification peuvent être spécifiées en texte brut ou sous forme MD5. L’authentification nécessite que tous les routeurs du réseau ou du sous-réseau RIP disposent du même type d’authentification et de la même clé (mot de passe).
Ce type d’authentification n’est pas pris en charge sur les réseaux RIPv1.
L’authentification MD5 utilise une somme de contrôle MD5 encodée incluse dans le paquet transmis. Pour que l’authentification MD5 fonctionne, les équipements de routage de réception et de transmission doivent avoir la même clé MD5. Vous définissez une clé MD5 pour chaque interface. Si md5 est activé sur une interface, cette interface accepte les mises à jour de routage uniquement si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. L’équipement de routage accepte uniquement les paquets RIPv2 envoyés à l’aide du même identifiant de clé (ID) défini pour cette interface. À partir de la version 20.3R1 de Junos OS, nous prenons en charge plusieurs clés d’authentification MD5 pour RIPv2 pour une sécurité accrue. Cela prend en charge l’ajout de clés MD5 avec leur start-time. Les paquets RIPv2 sont transmis avec l’authentification MD5 à l’aide de la première clé configurée. L’authentification RIPv2 passe à la clé suivante en fonction de sa clé start-timeconfigurée . Cela permet une commutation automatique de clé sans intervention de l’utilisateur pour modifier les clés MD5, comme dans le cas d’une seule clé MD5.
Notez que l’authentification RIPv2 décrite dans cette rubrique n’est pas prise en charge dans les versions 15.1X49, 15.1X49-D30 ou 15.1X49-D40.
Voir aussi
Activation de l’authentification avec des mots de passe en texte clair
Pour configurer l’authentification qui nécessite l’inclusion d’un mot de passe en texte clair dans le paquet transmis, activez l’authentification simple en effectuant ces étapes sur tous les équipements RIP du réseau :
- Accédez au sommet de la hiérarchie de configuration.
- Effectuez les tâches de configuration décrites dans le tableau 1.
- Si vous avez fini de configurer le routeur, validez la configuration.
Tâche |
Éditeur de configuration CLI |
|---|---|
Accédez au niveau Rip dans la hiérarchie de configuration. |
Au niveau de la modifier les protocoles rip |
Simplifiez le type d’authentification. |
Simplifiez le type d’authentification :
|
Définissez la clé d’authentification sur un mot de passe en texte simple. Le mot de passe peut comporter de 1 à 16 caractères contigus et peut inclure n’importe quelle chaîne ASCII. |
Définissez la clé d’authentification sur un mot de passe en texte simple :
|
Voir aussi
Exemple : configuration de l’authentification de routage pour RIP à l’aide d’une seule clé MD5
Cet exemple montre comment configurer l’authentification d’un réseau RIP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Aperçu
Vous pouvez configurer le routeur pour authentifier les requêtes de routage RIP. Par défaut, l’authentification est désactivée. Vous pouvez utiliser l’une des méthodes d’authentification suivantes :
Authentification simple : utilise un mot de passe texte inclus dans le paquet transmis. Le routeur de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Authentification MD5 : crée une somme de contrôle encodée incluse dans le paquet transmis. Le routeur de réception utilise une clé d’authentification (mot de passe) pour vérifier la somme de contrôle MD5 du paquet.
Cet exemple illustre l’authentification MD5.
La figure 1 illustre la topologie utilisée dans cet exemple.
du réseau d’authentification RIP
Configuration rapide cli affiche la configuration de tous les équipements en figure 1. La section #d59e69__d59e238 décrit les étapes sur l’équipement R1.
Topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
Équipement R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces lo0 unit 1 family inet address 172.16.0.1/32 set interfaces lo0 unit 1 family inet address 192.168.1.1/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set interfaces lo0 unit 2 family inet address 192.168.2.2/32 set interfaces lo0 unit 2 family inet address 172.16.2.2/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set interfaces lo0 unit 3 family inet address 192.168.3.3/32 set interfaces lo0 unit 3 family inet address 172.16.3.3/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip authentication-type md5 set protocols rip authentication-key "$ABC123$ABC123" set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer l’authentification RIP :
Configurez les interfaces réseau.
Cet exemple montre plusieurs adresses d’interface de bouclage pour simuler des réseaux connectés.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30 user@R1# set lo0 unit 1 family inet address 172.16.0.1/32 user@R1# set lo0 unit 1 family inet address 192.168.1.1/32
Créez le groupe RIP et ajoutez l’interface.
Pour configurer RIP dans Junos OS, vous devez configurer un groupe qui contient les interfaces sur lesquelles le RIP est activé. Vous n’avez pas besoin d’activer RIP sur l’interface de bouclage.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
Créez la stratégie de routage pour annoncer à la fois les routes directes et les routes apprises par RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Appliquez la stratégie de routage.
Dans Junos OS, vous pouvez uniquement appliquer des stratégies d’exportation RIP au niveau du groupe.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
Exigez l’authentification MD5 pour les requêtes de routage RIP reçues sur une interface.
Les mots de passe doivent correspondre sur les routeurs RIP voisins. Si le mot de passe ne correspond pas, le paquet est rejeté. Le mot de passe peut comporter de 1 à 16 caractères contigus et peut inclure n’importe quelle chaîne ASCII.
Ne saisissez pas le mot de passe comme indiqué ici. Le mot de passe affiché ici est le mot de passe chiffré affiché dans la configuration après que le mot de passe réel est déjà configuré.
[edit protocols rip] user@R1# set authentication-type md5 user@R1# set authentication-key "$ABC123$ABC123"
Configurez les opérations de traçage pour suivre l’authentification.
[edit protocols rip traceoptions] user@R1# set file rip-authentication-messages user@R1# set flag auth user@R1# set flag packets
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show policy-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 172.16.0.1/32;
address 192.168.1.1/32;
}
}
}
user@R1# show protocols
rip {
traceoptions {
file rip-authentication-messages;
flag auth;
flag packets;
}
authentication-type md5;
authentication-key $ABC123$ABC123; ## SECRET-DATA
group rip-group {
export advertise-routes-through-rip;
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des échecs d’authentification
- Vérifier que l’authentification MD5 est activée dans les paquets de mise à jour RIP
Vérification des échecs d’authentification
But
Vérifiez qu’il n’y a pas d’échecs d’authentification.
Action
Depuis le mode opérationnel, saisissez la show rip statistics commande.
user@R1> show rip statistics
RIPv2 info: port 520; holddown 120s.
rts learned rts held down rqsts dropped resps dropped
5 0 0 0
fe-1/2/0.1: 5 routes learned; 2 routes advertised; timeout 180s; update interval 30s
Counter Total Last 5 min Last minute
------- ----------- ----------- -----------
Updates Sent 2669 10 2
Triggered Updates Sent 2 0 0
Responses Sent 0 0 0
Bad Messages 0 0 0
RIPv1 Updates Received 0 0 0
RIPv1 Bad Route Entries 0 0 0
RIPv1 Updates Ignored 0 0 0
RIPv2 Updates Received 2675 11 2
RIPv2 Bad Route Entries 0 0 0
RIPv2 Updates Ignored 0 0 0
Authentication Failures 0 0 0
RIP Requests Received 0 0 0
RIP Requests Ignored 0 0 0
none 0 0 0
Sens
Le résultat montre qu’il n’y a pas d’échecs d’authentification.
Vérifier que l’authentification MD5 est activée dans les paquets de mise à jour RIP
But
Utilisez les opérations de traçage pour vérifier que l’authentification MD5 est activée dans les mises à jour RIP.
Action
Depuis le mode opérationnel, saisissez la show log commande.
user@R1> show log rip-authentication-messages | match md5 Feb 15 15:45:13.969462 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:45:43.229867 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:13.174410 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:42.716566 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:47:11.425076 sending msg 0xb9a8c04, 3 rtes (needs MD5) ...
Sens
La sortie (md5 nécessaire) indique que toutes les mises à jour de route nécessitent une authentification MD5.
Exemple : configuration de l’authentification de routage pour RIP à l’aide de plusieurs clés MD5
Cet exemple montre comment configurer l’authentification d’un réseau RIP à l’aide de plusieurs clés MD5 et comment configurer une transition de clés MD5 sur une interface RIP.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :.
Trois routeurs ACX Series
Junos OS Version 20.3 ou ultérieure
Aperçu
L’authentification MD5 utilise une somme de contrôle MD5 encodée incluse dans le paquet transmis. Pour que l’authentification MD5 fonctionne, les équipements de routage de réception et de transmission doivent avoir la même clé MD5.
Vous définissez une clé MD5 pour chaque interface. Si md5 est activé sur une interface, cette interface accepte les mises à jour de routage uniquement si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. L’équipement de routage accepte uniquement les paquets RIPv2 envoyés à l’aide du même identifiant de clé (ID) défini pour cette interface.
Pour plus de sécurité, vous pouvez configurer plusieurs clés MD5, chacune avec un ID de clé unique, et définir la date et l’heure pour passer à une nouvelle clé. Le récepteur du paquet RIPv2 utilise l’ID pour déterminer la clé à utiliser pour l’authentification. RIPv2 avec plusieurs fonctionnalités clés MD5 prend en charge l’ajout de clés MD5 avec leur heure de démarrage. Les paquets RIPv2 sont transmis avec l’authentification MD5 à l’aide de la première clé configurée. L’authentification RIPv2 passe à la clé suivante en fonction de l’heure de démarrage de la clé respective configurée. Cela permet une commutation automatique de clé sans intervention de l’utilisateur pour changer les clés MD5, comme dans le cas d’une seule clé MD5.
Cet exemple illustre l’authentification des clés MD5 par mutliple RIPv2.
La figure 2 illustre la topologie utilisée dans cet exemple.
MD5
La configuration rapide cli montre la configuration de tous les équipements dans la figure 2. La section Configuration rapide cli décrit les étapes sur l’équipement R1.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
Équipement R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces lo0 unit 1 family inet address 172.16.0.1/32 set interfaces lo0 unit 1 family inet address 192.168.1.1/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set interfaces lo0 unit 2 family inet address 192.168.2.2/32 set interfaces lo0 unit 2 family inet address 172.16.2.2/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip authentication-type md5 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set interfaces lo0 unit 3 family inet address 192.168.3.3/32 set interfaces lo0 unit 3 family inet address 172.16.3.3/32 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 set protocols rip authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 set protocols rip authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 set protocols rip traceoptions file rip-authentication-messages set protocols rip traceoptions flag auth set protocols rip traceoptions flag packets set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer l’authentification RIP :
Configurez les interfaces réseau.
Cet exemple montre plusieurs adresses d’interface de bouclage pour simuler des réseaux connectés.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 192.0.10.1/24 user@R1# set lo0 unit 1 family inet address 198.51.100.1/24 user@R1# set lo0 unit 1 family inet address 192.0.2.1/32
Créez le groupe RIP et ajoutez l’interface.
Pour configurer RIP dans Junos OS, vous devez configurer un groupe qui contient les interfaces sur lesquelles le RIP est activé. Vous n’avez pas besoin d’activer RIP sur l’interface de bouclage.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0
Créez la stratégie de routage pour annoncer à la fois les routes directes et les routes apprises par RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Appliquez la stratégie de routage.
Dans Junos OS, vous pouvez uniquement appliquer des stratégies d’exportation RIP au niveau du groupe.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
Vous pouvez configurer plusieurs clés MD5 à l’aide de différents IDs clés. Les CLÉS-DS doivent correspondre aux ID-clés des routeurs RIP voisins. Si un routeur reçoit un paquet avec un id de clé qui ne fait pas partie de son jeu de clés configuré, le paquet est rejeté et est considéré comme un échec d’authentification.
L’ID-clé peut être un nombre de 0 à 255 qui identifie une clé MD5 de manière unique et la valeur de la clé peut être une chaîne ASCII allant jusqu’à 16 caractères.
Ne saisissez pas le mot de passe comme indiqué ici. Le mot de passe affiché ici est le mot de passe chiffré affiché dans la configuration après que le mot de passe réel est déjà configuré.
[edit protocols rip] user@R1# set authentication-selective-md5 key-id key key-value start-time time user@R1# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01
Le
authentication-selective-md5peut être répété pour configurer plusieurs clés.Si vous souhaitez migrer d’une clé d’authentification md5 existante, vous pouvez configurer une autre clé avec une heure de démarrage à l’avenir avec suffisamment de marge de manœuvre pour pouvoir configurer tous les routeurs sur la liaison. La transition vers la nouvelle clé est basée sur son heure de démarrage et se produit dès que l’horloge atteint l’heure de début. Vous pouvez supprimer les clés qui ne sont plus valides en entrant la commande suivante :.
[edit protocols rip] user@host# delete authentication-selective-md5 key-id
Note:L’heure de début est pertinente uniquement pour la transmission et non pour la réception de paquets RIPv2. L’acceptation des paquets reçus repose sur les clés configurées.
Par exemple, si l’heure est le 1er février 2020 à 13 h 00 et que la clé suivante est configurée :
[edit protocols rip] user@host# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01
Si vous souhaitez passer de cette clé à une autre clé le 2 mars à 02h00, et que vous pouvez configurer tous les routeurs sur la liaison avec la nouvelle clé en même temps, vous pouvez configurer la clé suivante :
[edit protocols rip] user@host# set authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01
À 02h00, une fois que tous les routeurs passent à la nouvelle clé, vous pouvez supprimer la clé avec l’id 2 en entrant la commande suivante.
[edit protocols rip] user@host# delete authentication-selective-md5 2
Suppression de la clé active : si vous supprimez la dernière clé active, le système vérifie la configuration actuelle et utilise la clé avec la dernière clé-ID dans la configuration existante pour la transmission de paquets RIPv2.
Par exemple, si vous avez configuré les clés suivantes avec les key-ids :
[edit protocols rip] user@R1# set authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 user@R1#set authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 user@R1#set authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01
La clé active de cette configuration est la clé avec l’ID 4 de clé et est utilisée pour l’envoi du paquet RIPv2. Si vous supprimez l’ID 4 de la clé active, le système vérifie la configuration actuelle et recherche la clé avec la dernière heure de démarrage, c’est-à-dire la clé avec l’ID 3 et l’utilise pour la transmission des paquets.
Configurez les opérations de traçage pour suivre l’authentification.
[edit protocols rip traceoptions] user@R1# set file rip-authentication-messages user@R1# set flag auth user@R1# set flag packets
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show policy-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 192.0.10.1/24;
}
}
}
lo0 {
unit 1 {
family inet {
address 198.51.100.1/24;
address 192.0.2.1/32;
}
}
}
user@R1# show protocols
rip {
traceoptions {
file rip-authentication-messages;
flag auth;
flag packets;
}
authentication-selective-md5 2 key $ABC123$ABC123 start-time 2020-02-01.01:01 ## SECRET-DATA
authentication-selective-md5 3 key $MNO123$MNO123 start-time 2020-03-02.02:01 ## SECRET-DATA
authentication-selective-md5 4 key $XYZ123$XYZ123 start-time 2020-04-03.03:01 ## SECRET-DATA
group rip-group {
export advertise-routes-through-rip;
neighbor ge-0/0/5.0;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des échecs d’authentification
- Vérification de la clé MD5 active.
- Vérifier que l’authentification MD5 est activée dans les paquets de mise à jour RIP
Vérification des échecs d’authentification
But
Pour vérifier les compteurs d’échecs d’authentification.
Action
Depuis le mode opérationnel, saisissez la show rip statistics commande.
user@R1> show rip statistics
RIPv2 info: port 520; holddown 120s.
rts learned rts held down rqsts dropped resps dropped
5 0 0 0
ge-0/0/5.0: 5 routes learned; 28 routes advertised; timeout 180s; update interval 30s
Counter Total Last 5 min Last minute
------- ----------- ----------- -----------
Updates Sent 53058 20 4
Triggered Updates Sent 2 0 0
Responses Sent 0 0 0
Bad Messages 0 0 0
RIPv1 Updates Received 0 0 0
RIPv1 Bad Route Entries 0 0 0
RIPv1 Updates Ignored 0 0 0
RIPv2 Updates Received 26538 10 2
RIPv2 Bad Route Entries 0 0 0
RIPv2 Updates Ignored 0 0 0
Authentication Failures 23853 0 0
RIP Requests Received 0 0 0
RIP Requests Ignored 0 0 0
none 0 0 0
Sens
Le Authentication Failures compteur affiche le nombre de défaillances d’authentification. Ce résultat montre que le nombre d’échecs d’authentification est de 23853.
Vérification de la clé MD5 active.
But
Pour vérifier la clé active actuelle utilisée.
Action
Depuis le mode opérationnel, saisissez la show rip neighbor fe-1/2/0 commande.
user@R1> show rip neighbor fe-1/2/0
Local Source Destination Send Receive In
Neighbor State Address Address Mode Mode Met
-------- ----- ------- ----------- ---- ------- ---
fe-1/2/0 Up 14.14.14.1 224.0.0.9 mcast both 1
Auth type: SELECTIVE-MD5, Active key ID: 2, Start time: 1970 Jan 1 05:30:00 IST
Vérifier que l’authentification MD5 est activée dans les paquets de mise à jour RIP
But
Utilisez les opérations de traçage pour vérifier que l’authentification MD5 est activée dans les mises à jour RIP.
Action
Depuis le mode opérationnel, saisissez la show log commande.
user@R1> show log rip-authentication-messages | match md5 Feb 15 15:45:13.969462 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:45:43.229867 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:13.174410 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:46:42.716566 sending msg 0xb9a8c04, 3 rtes (needs MD5) Feb 15 15:47:11.425076 sending msg 0xb9a8c04, 3 rtes (needs MD5) ...
Sens
La sortie (md5 nécessaire) indique que toutes les mises à jour de route nécessitent une authentification MD5.