نموذج تكوين للمصادقة في RIPv2

المقدمة

يعرض هذا المستند نماذج تكوينات لمصادقة عملية تبادل معلومات التوجيه للإصدار 2 من بروتوكول معلومات التوجيه (RIPv2).

يدعم تنفيذ Cisco ل RIPv2 وضعين للمصادقة: مصادقة النص العادي ومصادقة ملخص الرسالة 5 (MD5). وضع مصادقة النص العادي هو الإعداد الافتراضي في كل حزمة RIPv2، عند تمكين المصادقة. لا يجب إستخدام مصادقة النص العادي عندما يكون الأمان مشكلة، نظرا لأنه يتم إرسال كلمة مرور المصادقة غير المشفرة في كل حزمة RIPv2.

ملاحظة: لا يدعم الإصدار 1 من بروتوكول معلومات التوجيه (RIPv1) المصادقة. إذا كنت تقوم بإرسال حزم RIPv2 واستقبالها، فيمكنك تمكين مصادقة RIP على واجهة.

المتطلبات الأساسية

المتطلبات

يجب أن يكون لدى قراء هذا المستند الفهم الأساسي لما يلي:

• RIPv1 و RIPv2

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة. بدءا من برنامج Cisco IOS® الإصدار 11.1، يتم دعم RIPv2 وبالتالي يتم دعم جميع الأوامر المقدمة في التكوين على برنامج Cisco IOS® الإصدار 11.1 والإصدارات الأحدث.

يتم إختبار التكوين في المستند وتحديثه باستخدام إصدارات البرامج والمكونات المادية التالية:

• موجه سلسلة 2500 من Cisco

• برنامج IOS الإصدار 12.3(3) من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

معلومات أساسية

يعد الأمان أحد الهموم الأساسية لمصممي الشبكات في الوقت الحالي. يتضمن تأمين الشبكة تأمين تبادل معلومات التوجيه بين الموجهات، مثل التأكد من أن المعلومات التي تم إدخالها في جدول التوجيه صالحة ولم يتم إنشاؤها أو التلاعب بها من قبل شخص يحاول تعطيل الشبكة. قد يحاول المهاجم تقديم تحديثات غير صحيحة لخداع الموجه لإرسال البيانات إلى الوجهة الخطأ، أو للتقليل بشكل كبير من أداء الشبكة. بالإضافة إلى ذلك، قد تنتهي تحديثات المسار غير الصالحة في جدول التوجيه بسبب التكوين الضعيف (مثل عدم إستخدام أمر الواجهة الخاملة على حدود الشبكة)، أو بسبب عدم عمل الموجه. ولهذا السبب، من الحكمة مصادقة عملية تحديث التوجيه التي يتم تشغيلها على الموجه.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة الموضح في الرسم التخطيطي أدناه.

تتألف الشبكة الواردة أعلاه، والتي يتم إستخدامها لأمثلة التكوين التالية، من موجهين، وهما الموجه RA والموجه RB، حيث يقوم كل منهما بتشغيل RIP ويتبادل دوريا تحديثات التوجيه. يلزم مصادقة تبادل معلومات التوجيه هذا عبر الارتباط التسلسلي.

التكوينات

قم بتنفيذ هذه الخطوات لتكوين المصادقة في RIPv2:

1. قم بتحديد سلسلة مفاتيح باسم.

   ملاحظة: تحدد سلسلة المفاتيح مجموعة المفاتيح التي يمكن إستخدامها على الواجهة. في حالة عدم تكوين سلسلة مفاتيح، لا يتم إجراء أية مصادقة على هذه الواجهة.

2. قم بتعريف المفتاح أو المفاتيح في سلسلة المفاتيح.

3. حدد كلمة المرور أو سلسلة المفاتيح التي سيتم إستخدامها في المفتاح.

   هذه هي سلسلة المصادقة التي يجب إرسالها واستقبالها في الحزم باستخدام بروتوكول التوجيه الذي يتم مصادقته. (في المثال المعطى أدناه، قيمة السلسلة هي 234.)

4. قم بتمكين المصادقة على واجهة وحدد سلسلة المفاتيح التي سيتم إستخدامها.

   منذ تمكين المصادقة على أساس كل واجهة، يمكن تكوين موجه يشغل RIPv2 للمصادقة على واجهات معينة ويمكن أن يعمل دون أي مصادقة على الواجهات الأخرى.

5. حدد ما إذا كانت الواجهة ستستخدم النص العادي أو مصادقة MD5.

   المصادقة الافتراضية المستخدمة في RIPv2 هي مصادقة النص العادي عند تمكين المصادقة في الخطوة السابقة. لذلك، إذا كنت تستخدم مصادقة نص عادي، فإن هذه الخطوة غير مطلوبة.

6. تكوين إدارة المفاتيح (هذه الخطوة إختيارية).

   إدارة المفاتيح هي طريقة للتحكم في مفاتيح المصادقة. يستخدم هذا لترحيل مفتاح مصادقة واحد إلى آخر. لمزيد من المعلومات، ارجع إلى قسم "إدارة مفاتيح المصادقة" في تكوين ميزات بروتوكول توجيه IP غير المعتمدة على البروتوكول.

تكوين مصادقة النص العادي

أحد الطريقتين اللتين يمكن بهما مصادقة تحديثات RIP هي إستخدام مصادقة النص العادي. ويمكن تكوين هذا كما هو موضح في الجداول أدناه.

key chain kal

!--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router.


key 1

!--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. 

key-string 234

!--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. 

!

 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

ip rip authentication key-chain kal

!--- Enables authentication on the interface and configures !--- the key chain that will be used. 

!

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

key chain kal

key 1
key-string 234


!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0 

 

للحصول على معلومات تفصيلية حول الأوامر، ارجع إلى مرجع أمر Cisco IOS IP.

تكوين مصادقة MD5

مصادقة MD5 هي وضع مصادقة إختياري تتم إضافته بواسطة Cisco إلى مصادقة النص العادي الأصلية المعرفة وفقا لمعيار RFC 1723 . يماثل التكوين ذلك الخاص بمصادقة النص العادي، باستثناء إستخدام الأمر الإضافي ip rip authentication mode md5 . يجب على المستخدمين تكوين واجهات الموجهات على كلا جانبي الارتباط لطريقة مصادقة MD5، مع التأكد من مطابقة رقم المفتاح وسلسلة المفاتيح على كلا الجانبين.

key chain kal


!--- Need not be identical on the remote router.


 key 1


!--- Needs to be identical on remote router.


key-string 234


!--- Needs to be identical to the key-string on the remote router.


 !



 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

  ip rip authentication mode md5

!--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command.


  ip rip authentication key-chain kal

 !

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

key chain kal

key 1

key-string 234

!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication mode md5

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

للحصول على معلومات تفصيلية حول الأوامر، ارجع إلى مرجع أمر Cisco IOS .

التحقق من الصحة

التحقق من صحة مصادقة النص العادي

يوفر هذا القسم معلومات للتأكد من أن التكوين لديك يعمل بشكل صحيح.

من خلال تكوين الموجهات كما هو موضح أعلاه، ستتم مصادقة جميع عمليات تبادل تحديث التوجيه قبل قبولها. يمكن التحقق من هذا الإجراء من خلال مراقبة المخرجات التي يتم الحصول عليها من أوامر debug ip rip وshow ip route.

ملاحظة: قبل إصدار أوامر تصحيح الأخطاء، راجع المعلومات المهمة في أوامر تصحيح الأخطاء.

RB#debug ip rip

 RIP protocol debugging is on

*Mar  3 02:11:39.207: RIP: received packet with text authentication 234

*Mar  3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops

RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

يؤدي إستخدام مصادقة النص العادي إلى تحسين تصميم الشبكة عن طريق منع إضافة تحديثات التوجيه التي تم إنشاؤها بواسطة الموجهات التي لم يقصد بها المشاركة في عملية تبادل التوجيه المحلية. ومع ذلك، فإن هذا النوع من المصادقة غير آمن. يتم تبادل كلمة المرور (234 في هذا المثال) في نص عادي. ويمكن الاستيلاء عليه بسهولة وبالتالي إستغلاله. وكما تمت الإشارة مسبقا، يجب تفضيل مصادقة MD5 على مصادقة النص العادي عندما يكون الأمان مشكلة.

التحقق من مصادقة MD5

بتكوين موجهات RA و RB كما هو موضح أعلاه، ستتم مصادقة جميع عمليات تبادل تحديث التوجيه قبل قبولها. يمكن التحقق من هذا الإجراء من خلال مراقبة الإخراج الذي تم الحصول عليه من أوامر debug ip rip وshow ip route.

RB#debug ip rip   

 RIP protocol debugging is on

*Mar  3 20:48:37.046: RIP: received packet with MD5 authentication

*Mar  3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 20:48:37.050:  70.0.0.0/8 via 0.0.0.0 in 1 hops



RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

تستخدم مصادقة MD5 خوارزمية تجزئة MD5 أحادية الإتجاه، والتي تم الاعتراف بأنها خوارزمية تجزئة قوية. في وضع المصادقة هذا، لا يحمل تحديث التوجيه كلمة المرور لغرض المصادقة. وبدلا من ذلك، يتم إرسال رسالة من الإصدار 128 بت، تم إنشاؤها بواسطة تشغيل خوارزمية MD5 على كلمة المرور، ويتم إرسال الرسالة معها للمصادقة. وبالتالي، يوصى باستخدام مصادقة MD5 عبر مصادقة النص العادي نظرا لأنها أكثر أمانا.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

أوامر استكشاف الأخطاء وإصلاحها

يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.

يمكن إستخدام الأمر debug ip rip لاستكشاف أخطاء مصادقة RIPv2 وإصلاحها.

ملاحظة: قبل إصدار أوامر تصحيح الأخطاء، راجع المعلومات المهمة في أوامر تصحيح الأخطاء.

ملاحظة: فيما يلي مثال على إخراج الأمر debug ip rip، عند عدم تطابق أي من المعلمات ذات الصلة بالمصادقة التي يلزم أن تكون متطابقة بين الموجهات المجاورة. قد يؤدي ذلك إلى عدم تثبيت أحد الموجهات أو كليهما للمسارات المستلمة في جدول التوجيه الخاص بها.

RA#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:47:42.422: RIP: received packet with text authentication 234

   *Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication)


   RB#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:48:58.478: RIP: received packet with text authentication 235

   *Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)

يوضح الإخراج التالي من الأمر show ip route أن الموجه لا يعلم أي مسارات عبر RIP:

RB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP       
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set
		 
80.0.0.0/24 is subnetted, 1 subnets

   C 80.80.80.0 is directly connected, Loopback0

   	141.108.0.0/30 is subnetted, 1 subnets

   C 141.108.0.8 is directly connected, Serial0

   RB#

ملاحظة 1: عند إستخدام وضع مصادقة النص العادي، تأكد من تطابق المعلمات التالية على الموجهات المجاورة للمصادقة الناجحة.

• سلسلة المفاتيح

• وضع المصادقة

ملاحظة 2: عند إستخدام وضع مصادقة MD5، تأكد للمصادقة الناجحة من مطابقة المعلمات التالية على الموجهات المجاورة.

• سلسلة المفاتيح

• رقم المفتاح

• وضع المصادقة

معلومات ذات صلة

• مقدمة إلى بروتوكول معلومات التوجيه Routing Information Protocol (إختصاره RIP)
• تكوين بروتوكول معلومات التوجيه (RIP)
• تكوين ميزات غير معتمدة على بروتوكولات توجيه IP
• أوامر RIP
• مرجع أوامر Cisco IOS IP، الجزء 2 من 4: بروتوكولات التوجيه، الإصدار 12.3
• صفحة دعم تقنية بروتوكول معلومات التوجيه (RIP)
• صفحة دعم تقنية بروتوكولات توجيه IP
• الدعم الفني - Cisco Systems

محفوظات المراجعة