Exemplo de configuração para autenticação em RIPv2

Opções de download

PDF (188.4 KB)
Ver no Adobe Reader em vários dispositivos
ePub (91.5 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (91.3 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:10 de agosto de 2005

ID do documento:13719

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Prerequisites

Requirements

Componentes Utilizados

Conventions

Informações de Apoio

Configurar

Diagrama de Rede

Configurações

Configurando uma autenticação de texto simples

Configurando a autenticação MD5

Verificar

Verificando a autenticação do texto simples

Verificando a autenticação MD5

Troubleshoot

Comandos para Troubleshooting

Informações Relacionadas

Introduction

Este documento mostra exemplos de configuração para autenticação do processo de troca de informações de roteamento para o RIPv2.

A implementação do RIPv2 pela Cisco aceita dois modos de autenticação: autenticação de texto simples e autenticação Message Digest 5 (MD5). O modo de autenticação de texto simples é a configuração padrão em cada pacote RIPv2 quando a autenticação é ativada. A autenticação de texto simples não deve ser usada quando a segurança é um problema, porque a senha de autenticação não criptografada é enviada em todos os pacotes RIPv2.

Observação: a versão RIP 1 (RIPv1) não é compatível com a autenticação. Se estiver enviando e recebendo pacotes RIPv2, você poderá ativar a autenticação RIP em uma interface.

Prerequisites

Requirements

Os leitores desse documento devem ter a compreensão básica do seguinte:

RIPv1 e RIPv2

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas. O RIPv2 é compatível a partir do software Cisco IOS® versão 11.1 e, portanto, todos os comandos dados na configuração são compatíveis no software Cisco IOS® Versão 11.1 e posterior.

A configuração no documento é testada e atualizada usando estas versões de software e hardware:

Cisco 2500 Series Router
Software Cisco IOS versão 12.3(3)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

Atualmente, segurança é uma das principais preocupações dos designers de rede. Proteger uma rede inclui proteger a troca de informações de roteamento entre os roteadores, como garantir que as informações inseridas na tabela de roteamento sejam válidas e não originadas ou violadas por alguém tentando corromper a rede. Um atacante pode tentar introduzir atualizações inválidas para enganar o roteador, fazendo com que ele envie dados para o destino errado, ou degradar gravemente o desempenho da rede. Além disso, atualizações de rota inválida podem acabar na tabela de roteamento devido à configuração insatisfatória (como, por exemplo, sem usar o comando de interface passiva no limite de rede) ou ao mau funcionamento do roteador. Por isso, é recomendado autenticar o processo de atualização de roteamento em execução em um roteador.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

A rede acima, que é usada para os seguintes exemplos de configuração, consiste em dois roteadores; roteador RA e roteador RB, ambos executam RIP e periodicamente trocam as atualizações de roteamento. É necessário que essa troca de informações de roteamento pelo enlace serial seja autenticada.

Configurações

Siga estas etapas para configurar a autenticação no RIPv2:

Defina uma cadeia de chaves com um nome.

Observação: a cadeia de chaves determina o conjunto de chaves que podem ser usadas na interface. Se uma cadeia de chaves não for configurada, a autenticação não será executada nessa interface.
Defina a chave ou as chaves na cadeia de chaves.
Especifique a senha ou a string de chaves que será usada na chave.

Esta é a string da autenticação que deve ser enviada e recebida nos pacotes que usam o protocolo do roteamento que está sendo autenticado. (No exemplo abaixo, o valor da string é 234.)
Ative a autenticação em uma interface e especifique a cadeia de chaves que será usada.

Como a autenticação é ativada de acordo com a interface, um roteador que executa o RIPv2 pode ser configurado para autenticação em determinadas interfaces e pode operar sem qualquer autenticação em outras interfaces.
Especifique se a interface usará texto simples ou autenticação MD5.

A autenticação padrão usada no RIPv2 é a autenticação de texto simples, quando a autenticação é ativada na etapa anterior. Portanto, se você usar a autenticação de texto simples, essa etapa não será necessária.
Configure o gerenciamento de chaves (esta etapa é opcional).

O gerenciamento de chaves é um método de controle das chaves de autenticação. É usado para migrar de uma chave de autenticação para outra. Para obter mais informações, consulte a seção "Gerenciar chaves de autenticação" em Configuração de recursos independentes do protocolo de roteamento IP.

Configurando uma autenticação de texto simples

Uma das duas maneiras pelas quais as atualizações de RIP podem ser autenticadas é usar a autenticação de texto simples. Isso pode ser configurado como mostrado nas tabelas abaixo.

RA
key chain kal !--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router. key 1 !--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. key-string 234 !--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal !--- Enables authentication on the interface and configures !--- the key chain that will be used. ! router rip version 2 network 141.108.0.0 network 70.0.0.0

key chain kal

!--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router.


key 1

!--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. 

key-string 234

!--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. 

!

 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

ip rip authentication key-chain kal

!--- Enables authentication on the interface and configures !--- the key chain that will be used. 

!

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

RB
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0

key chain kal

key 1
key-string 234


!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

Para obter informações detalhadas sobre os comandos, consulte a referência de comandos IP do Cisco IOS.

Configurando a autenticação MD5

A autenticação MD5 é um modo de autenticação opcional adicionado pela autenticação de texto sem formatação definido pelo RFC 1723 original da Cisco. A configuração é idêntica à da autenticação de texto simples, exceto pelo uso do comando adicional ip rip authentication mode md5. Os usuários devem configurar as interfaces do roteador em ambos os lados do link para o método de autenticação MD5, assegurando que o número de chaves e a string de chaves correspondam em ambos os lados.

RA
key chain kal !--- Need not be identical on the remote router. key 1 !--- Needs to be identical on remote router. key-string 234 !--- Needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication mode md5 !--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command. ip rip authentication key-chain kal ! router rip version 2 network 141.108.0.0 network 70.0.0.0

key chain kal


!--- Need not be identical on the remote router.


 key 1


!--- Needs to be identical on remote router.


key-string 234


!--- Needs to be identical to the key-string on the remote router.


 !



 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

  ip rip authentication mode md5

!--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command.


  ip rip authentication key-chain kal

 !

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

RB
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0

key chain kal

key 1

key-string 234

!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication mode md5

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

Para obter informações detalhadas sobre os comandos, consulte a referência de comandos do Cisco IOS.

Verificar

Verificando a autenticação do texto simples

Esta seção fornece informações para confirmar se a configuração está funcionando corretamente.

Ao configurar os roteadores da forma que foi exibido acima, todos os intercâmbios de atualização de roteamento serão autenticados antes de serem aceitos. Isso pode ser verificado observando a saída obtida dos comandos debug ip rip e show ip route.

Observação: antes de inserir o comando debug, consulte Informações importantes sobre os comandos debug.

RB#debug ip rip

 RIP protocol debugging is on

*Mar  3 02:11:39.207: RIP: received packet with text authentication 234

*Mar  3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops

RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

O uso de autenticação de texto simples melhora o design da rede, impedindo a adição de atualizações de roteamento originadas por roteadores que não devem participar do processo de troca de roteamento local. No entanto, este tipo de autenticação não é seguro. A senha (234, neste exemplo) é trocada em texto simples. Ela pode ser capturada facilmente e, então, explorada. Como já mencionado, a autenticação MD5 tem preferência sobre a autenticação de texto simples, quando há problemas com a segurança.

Verificando a autenticação MD5

Ao configurar os roteadores RA e RB, como mostrado acima, todas as trocas de atualização de roteamento serão autenticadas antes de serem aceitas. Isso pode ser verificado observando a saída obtida dos comandos debug ip rip e show ip route.

RB#debug ip rip   

 RIP protocol debugging is on

*Mar  3 20:48:37.046: RIP: received packet with MD5 authentication

*Mar  3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 20:48:37.050:  70.0.0.0/8 via 0.0.0.0 in 1 hops



RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

A autenticação MD5 usa o algoritmo de hash MD5 unidirecional, reconhecido como um algoritmo de hash forte. Nesse modo de autenticação, a atualização de roteamento não transporta a senha para fins de autenticação. Em vez disso, uma mensagem de 128 bits, gerada pela execução do algoritmo MD5 na senha, e a mensagem são enviadas juntamente com a autenticação. Portanto, recomenda-se usar a autenticação MD5 em vez da autenticação de texto simples, pois é mais segura.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

O comando debug ip rip pode ser usado para solucionar problemas relacionados à autenticação RIPv2.

Observação: antes de inserir o comando debug, consulte Informações importantes sobre os comandos debug.

Observação: veja a seguir um exemplo da saída do comando debug ip rip , quando os parâmetros relacionados à autenticação que precisam ser idênticos entre os roteadores vizinhos não correspondem. Isso pode fazer com que um ou ambos os roteadores não instalem as rotas recebidas na tabela de roteamento.

RA#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:47:42.422: RIP: received packet with text authentication 234

   *Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication)


   RB#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:48:58.478: RIP: received packet with text authentication 235

   *Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)

A seguinda saída do comando show ip route mostra que o roteador não está aprendendo as rotas por meio de RIP:

RB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP       
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set
		 
80.0.0.0/24 is subnetted, 1 subnets

   C 80.80.80.0 is directly connected, Loopback0

   	141.108.0.0/30 is subnetted, 1 subnets

   C 141.108.0.8 is directly connected, Serial0

   RB#

Nota 1: Ao usar o modo de autenticação de texto simples, assegure que os seguintes parâmetros sejam correspondentes nos roteadores do vizinho para realizar a autenticação com sucesso.

String de chaves
Modo de autenticação

Nota 2: Ao usar o modo de autenticação MD5, assegure que os seguintes parâmetros sejam correspondentes nos roteadores do vizinho para realizar a autenticação com sucesso.