技术要领:(1)配置RIP报文认证
(2)关闭RIP的路由更新。
RIP简介:路由信息协议(Routing Information Protocol,RIP)是以跳数作为度量值的距离向量协议。RIP广泛用于全球因特网的路由,是一种内部网关协议(Interior Gateway Protocol,IGP),即在自治系统内部执行路由功能。
一.配置RIP报文认证:
RIP协议有两种版本:第一版(RIPv1)和第二版(RIPv2)。第一版没有使用认证机制并使用不可靠的UDP协议进行传输。第二版的分组格式中包含了一个选项,可以设置16个字符的明文密码字符串(容易被嗅探到)或者MD5认证。虽然RIP消息包可以很容易伪造,但在RIPv2中使用MD5认证将会使用欺骗的操作难度大大提高。
配置RIP报文认证的过程:
1.在路由器制定密钥链(Key chain)的名字
R(config)# key chain jam
2定义一个密钥,并设定这个密钥
R(config-keychain)# key 1
R(config-keychain-key)# key-string nike
3.进入需要认证的接口,并配置RIP认证信息。
R(config) # int s0
R(config-if)# ip rip anthentication key-chain jam //使用密钥链
4.默认情况下,加密方式使用明文方式;若要使用MD5认证,则
R(config-if)# ip rip authentication mode md5
5.配置后使用debug ip rip events命令,查看密钥是否匹配。
6.为了密码安全我们还可以在一个密钥链中定义多个密钥,并按一定的时间顺序进行修改。
key chain jam
key 1
key-string nike
accept-lifetime 16:30:00 May 28 2009 duration 43200 //持续43200秒
send-lifetime 16:30:00 May 28 2009 duration 43200
key 2
key-string love
accept-lifetime 04:00:00 May 29 2009 13:00:00 Nov 25 2009 //到期时间
send-lifetime 04:00:00 May 29 2009 13:00:00 Nov 25 2009
key 3
key-string baby
accept-lifetime 13:00:00 Nov 25 2009 infinite //永远
send-lifetime 13:00:00 Nov 25 2009 infinite
7.重复上述步骤,配置其他参与RIP路由协议的路由器.
二、关闭路由更新
1.将不需要转发路由信息的端口设置为被动端口。
R(config)#router rip
R(config-router)#passive-interface Ethernet0
2.将端口设置为被动端口之后,需要指定路由更新邻居,否则路由器之间无法接收到路由更新。
R(config-router)# neighbor 172.17.1.2
