Monsterconfiguratie voor verificatie in RIPv2

Downloadopties

PDF (189.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (90.6 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (90.3 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:10 augustus 2005

Document-id:13719

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Configureren

Netwerkdiagram

Configuraties

Plain-tekstverificatie configureren

MD5-verificatie configureren

Verifiëren

Plafondtekstverificatie controleren

MD5-verificatie controleren

Problemen oplossen

Opdrachten voor troubleshooting

Gerelateerde informatie

Inleiding

Dit document toont voorbeelden van configuraties voor het echt maken van het routinginformatie-uitwisselingsproces voor het routeren van Informatieprotocol versie 2 (RIPv2).

Cisco-implementatie van RIPv2 ondersteunt twee methoden van authenticatie: onbewerkte tekstverificatie en berichtversie 5 (MD5)-verificatie. Ononderbroken tekstverificatiemodus is de standaardinstelling in elk RIPv2-pakket, wanneer verificatie is ingeschakeld. Onversleutelde tekstverificatie mag niet worden gebruikt wanneer de beveiliging een probleem is, omdat het niet-gecodeerde verificatiewachtwoord in elk RIPv2-pakket wordt verzonden.

Opmerking: RIP versie 1 (RIPv1) steunt geen authenticatie. Als u pakketten RIPv2 verzenden en ontvangt, kunt u de authenticatie van RIP op een interface toestaan.

Voorwaarden

Vereisten

Lezers van dit document zouden de volgende inzichten moeten hebben:

RIPv1 en RIPv2

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies. Vanaf Cisco IOS® Software versie 11.1 wordt RIPv2 ondersteund en daarom worden alle opdrachten in de configuratie ondersteund op Cisco IOS® Software versie 11.1 en hoger.

De configuratie in het document wordt getest en bijgewerkt met behulp van deze software en hardwareversies:

Cisco 2500 Series router
Cisco IOS-softwarerelease 12.3(3)S

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Achtergrondinformatie

Beveiliging is vandaag de dag een van de belangrijkste aandachtspunten van netwerkontwerpers. Het verzekeren van een netwerk omvat het verzekeren van de uitwisseling van routinginformatie tussen routers, zoals het verzekeren dat de informatie die in de routingtabel is ingevoerd geldig is en niet van oorsprong of vervalst door iemand die het netwerk probeert te ontwrichten. Een aanvaller zou kunnen proberen om ongeldige updates te introduceren om de router te bedriegen in het verzenden van gegevens naar de verkeerde bestemming, of om netwerkprestaties ernstig te degraderen. Daarnaast kunnen ongeldige routeupdates in de routingtabel eindigen vanwege slechte configuratie (zoals het niet gebruiken van de passieve interface-opdracht op de netwerkgrens) of door een slecht functionerende router. Vanwege dit is het verstandig om het routingupdate proces dat op een router wordt uitgevoerd voor authentiek te verklaren.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

N.B.: Als u aanvullende informatie wilt vinden over de opdrachten in dit document, gebruikt u het Opdrachtplanningprogramma (alleen geregistreerd klanten).

Netwerkdiagram

Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.

Het netwerk hierboven, dat voor de volgende configuratievoorbeelden wordt gebruikt, bestaat uit twee routers; router RA en router RB, die beide RIP in werking stellen en periodiek routeupdates uitwisselen. Deze uitwisseling van routeinformatie via de seriële link moet voor authentiek zijn.

Configuraties

Voer deze stappen uit om verificatie in RIPv2 te configureren:

Defineer een sleutelketen met een naam.

Opmerking: de sleutelketen bepaalt de reeks toetsen die op de interface kunnen worden gebruikt. Als een sleutelketen niet is ingesteld, wordt er op die interface geen verificatie uitgevoerd.
Bepaal de toets of de toetsen op de sleutelketen.
Specificeer het wachtwoord of de toets die in de toets moet worden gebruikt.

Dit is de authenticatiereeks die in de pakketten verzonden en ontvangen moet worden die het routingprotocol gebruikt dat voor authentiek wordt verklaard. (In het onderstaande voorbeeld is de waarde van de string 234.)
Verificatie op een interface inschakelen en de te gebruiken sleutelketen specificeren.

Aangezien verificatie per interface is ingeschakeld, kan een router die RIPv2 doorvoert voor verificatie op bepaalde interfaces worden geconfigureerd en zonder verificatie op andere interfaces werken.
Specificeer of de interface onbewerkte tekst of MD5 verificatie zal gebruiken.

De standaardverificatie die in RIPv2 wordt gebruikt is eenvoudige tekstverificatie, wanneer authenticatie in de vorige stap is ingeschakeld. Dus, als je gewone tekstverificatie gebruikt, is deze stap niet vereist.
Configureer sleutelbeheer (deze stap is optioneel).

Belangrijkste beheer is een methode om de echtheidscontroles te controleren. Dit wordt gebruikt om van de ene op de andere echtheidscontrole toets te migreren. Raadpleeg voor meer informatie het gedeelte "Verificatietoetsen beheren" van IP Routing Protocol-onafhankelijke functies.

Plain-tekstverificatie configureren

Een van de twee manieren waarop de updates van RIP voor authenticatie kunnen worden gebruikt is het gebruiken van duidelijke tekstauthenticatie. Dit kan worden ingesteld zoals in de onderstaande tabellen wordt weergegeven.

RA
key chain kal !--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router. key 1 !--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. key-string 234 !--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal !--- Enables authentication on the interface and configures !--- the key chain that will be used. ! router rip version 2 network 141.108.0.0 network 70.0.0.0

key chain kal

!--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router.


key 1

!--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. 

key-string 234

!--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. 

!

 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

ip rip authentication key-chain kal

!--- Enables authentication on the interface and configures !--- the key chain that will be used. 

!

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

RB
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0

key chain kal

key 1
key-string 234


!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

Raadpleeg voor gedetailleerde informatie over de opdrachten de referentie voor Cisco IOS IP-opdracht.

MD5-verificatie configureren

MD5-verificatie is een optionele verificatiemodus die door Cisco wordt toegevoegd aan de oorspronkelijke RFC 1723-gedefinieerde onbewerkte tekstverificatie. De configuratie is identiek aan die voor gewone tekstverificatie, behalve voor het gebruik van de aanvullende commando-ip-authenticatiemodus md5. De gebruikers moeten routerinterfaces aan beide kanten van de link configureren voor de MD5 authenticatiemethode, waarbij het sleutelnummer en de reekscode aan beide kanten moeten worden gekoppeld.

RA
key chain kal !--- Need not be identical on the remote router. key 1 !--- Needs to be identical on remote router. key-string 234 !--- Needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication mode md5 !--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command. ip rip authentication key-chain kal ! router rip version 2 network 141.108.0.0 network 70.0.0.0

key chain kal


!--- Need not be identical on the remote router.


 key 1


!--- Needs to be identical on remote router.


key-string 234


!--- Needs to be identical to the key-string on the remote router.


 !



 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

  ip rip authentication mode md5

!--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command.


  ip rip authentication key-chain kal

 !

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

RB
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0

key chain kal

key 1

key-string 234

!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication mode md5

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

Raadpleeg voor gedetailleerde informatie over de opdrachten de Cisco IOS-opdrachtreferentie.

Verifiëren

Plafondtekstverificatie controleren

Deze sectie verschaft informatie om te bevestigen dat uw configuratie correct werkt.

Door de routers te configureren zoals hierboven wordt getoond, zullen alle routingupdate uitwisselingen voor authentiek zijn voordat ze worden geaccepteerd. Dit kan worden geverifieerd door de uitvoer te observeren die is verkregen met de debug ip-rip en de route-opdrachten weer te geven.

Opmerking: Voordat u debug-opdrachten afgeeft, raadpleegt u Belangrijke informatie over Debug Commands.

RB#debug ip rip

 RIP protocol debugging is on

*Mar  3 02:11:39.207: RIP: received packet with text authentication 234

*Mar  3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops

RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

Gebruik van onbewerkte tekstverificatie verbetert het netwerkontwerp door de toevoeging van routingupdates te voorkomen die afkomstig zijn van routers die niet bedoeld zijn om deel te nemen aan het lokale routeuitwisselingsproces. Dit type van authenticatie is echter niet veilig. Het wachtwoord (234 in dit voorbeeld) wordt in onbewerkte tekst uitgewisseld. Het kan gemakkelijk worden opgenomen en zo worden geëxploiteerd. Zoals eerder vermeld, moet MD5-verificatie de voorkeur krijgen boven eenvoudige tekstverificatie wanneer de beveiliging een probleem is.

MD5-verificatie controleren

Door de RA- en RB-routers te configureren zoals hierboven wordt getoond, worden alle routingupdate-uitwisselingen gewaarmerkt voordat ze worden geaccepteerd. Dit kan worden geverifieerd door de uitvoer te observeren die is verkregen met de opdrachten debug ip-rip en IP-route weer te geven.

RB#debug ip rip   

 RIP protocol debugging is on

*Mar  3 20:48:37.046: RIP: received packet with MD5 authentication

*Mar  3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 20:48:37.050:  70.0.0.0/8 via 0.0.0.0 in 1 hops



RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

MD5-verificatie gebruikt het one-way, MD5 hash-algoritme, dat wordt erkend als een sterk hashing-algoritme. In deze modus van authenticatie heeft de routingupdate niet het wachtwoord voor authenticatie. Een bericht met 128 bits, gegenereerd door het MD5 algoritme op het wachtwoord in werking te stellen, en het bericht wordt verzonden langs voor authenticatie. Daarom wordt aanbevolen MD5-verificatie te gebruiken via onbewerkte tekstverificatie, omdat deze veiliger is.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opdrachten voor troubleshooting

Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.

Het debug ip rip opdracht kan worden gebruikt voor het oplossen van problemen die met RIPv2 verificatie te maken hebben.

Opmerking: Voordat u debug-opdrachten afgeeft, zie Belangrijke informatie over debug-opdrachten.

Opmerking: hierna is een voorbeeld van de debug ip-opdrachtoutput, wanneer een van de op verificatie betrekking hebbende parameters die identiek moeten zijn tussen de naburige routers niet bij elkaar past. Dit kan resulteren in één of beide routers die de ontvangen routes niet in hun routingtabel installeren.

RA#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:47:42.422: RIP: received packet with text authentication 234

   *Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication)


   RB#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:48:58.478: RIP: received packet with text authentication 235

   *Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)

De volgende output van het opdracht tonen IP route toont aan dat de router geen routes via RIP leert:

RB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP       
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set
		 
80.0.0.0/24 is subnetted, 1 subnets

   C 80.80.80.0 is directly connected, Loopback0

   	141.108.0.0/30 is subnetted, 1 subnets

   C 141.108.0.8 is directly connected, Serial0

   RB#

Opmerking 1: Wanneer u eenvoudige tekstverificatiemodus gebruikt, zorg er dan voor dat de volgende parameters op naburige routers worden afgestemd voor succesvolle verificatie.

Key-string
Verificatiemodus

Noot 2: Wanneer u MD5-verificatiemodus gebruikt, zorgt voor succesvolle verificatie dat de volgende parameters op naburige routers worden afgestemd.

Key-string
Sleutelnummer
Verificatiemodus

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	10-Aug-2005	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)