在部署路由協(xié)議的過(guò)程中，可能會(huì)出現(xiàn)一些惡意攻擊者，其會(huì)偽裝成網(wǎng)路中的合法用戶(hù)，并開(kāi)啟使用相關(guān)路由協(xié)議的路由器，之后和網(wǎng)絡(luò)建立關(guān)聯(lián)（例如連接到某條網(wǎng)線上等），向網(wǎng)絡(luò)傳送一些錯(cuò)誤的路由信息來(lái)破壞正常的路由表。為了防止出現(xiàn)這種情況，可以在網(wǎng)絡(luò)中路由協(xié)議之間的認(rèn)證機(jī)制，從而有效防止錯(cuò)誤路由來(lái)破壞正常的路由表，并忽略一些惡意的路由更新。

EIGRP的MD5認(rèn)證過(guò)程

對(duì)于EIGRP協(xié)議，只能使用安全的MD5認(rèn)證機(jī)制。此外，在EIGRP協(xié)議中對(duì)于MD5認(rèn)證功能進(jìn)行了優(yōu)化，在其中添加了一個(gè)KEY值（密鑰）。

例如當(dāng)路由器R1向路由器R2發(fā)送一段路由信息或EIGRP數(shù)據(jù)包，R1需要對(duì)該數(shù)據(jù)進(jìn)行認(rèn)證的計(jì)算，同時(shí)R2在接收后會(huì)對(duì)其進(jìn)行校驗(yàn)。具體過(guò)程是R1會(huì)使用一個(gè)Key密鑰對(duì)EIGRP數(shù)據(jù)包進(jìn)行哈希計(jì)算，得到一個(gè)驗(yàn)證碼，該驗(yàn)證碼不僅包含EIGRP數(shù)據(jù)包的哈希值，還結(jié)合了一個(gè)Key值。注意，在該認(rèn)證碼中是不包含Key的密鑰信息的。該驗(yàn)證碼和路由器信息被整合在一起發(fā)送給R2，其一為EIGRP的數(shù)據(jù)包，其二為認(rèn)證信息。R2不能將EIGRP數(shù)據(jù)包直接接收并放入拓?fù)浔?，而必須判斷其是否合法，其一為是否為可信的源發(fā)送過(guò)來(lái)的，其二其內(nèi)容是否完整，在傳遞過(guò)程中是否被篡改過(guò)。

R2會(huì)結(jié)合自己所掌握的Key密鑰，通過(guò)MD5的哈希函數(shù)對(duì)該EIGRP數(shù)據(jù)包進(jìn)行計(jì)算，得到對(duì)應(yīng)校驗(yàn)信息。注意，MD5認(rèn)證機(jī)制對(duì)于路由信息是不加密的，其僅僅讓接收方來(lái)判斷其是否可靠。對(duì)于EIGRP認(rèn)證的Key來(lái)說(shuō)，如果兩臺(tái)路由器的Key是一致的，兩者就可以通過(guò)MD5認(rèn)證機(jī)制來(lái)認(rèn)證所有的EIGRP數(shù)據(jù)包，同時(shí)保持兩者是可信任的。

解析EIGRP認(rèn)證中的KEY

對(duì)于EIGRP的MD5認(rèn)證機(jī)制來(lái)說(shuō)，Key會(huì)攜帶在路由更新的Md5哈希值中，用來(lái)進(jìn)行相應(yīng)計(jì)算，并將生成的驗(yàn)證碼傳遞出去。例如對(duì)于R1和R2來(lái)說(shuō)，需要在同一個(gè)時(shí)間段內(nèi)使用同一個(gè)Key進(jìn)行認(rèn)證。因此在進(jìn)行配置時(shí)首先在路由器上配置Key，這就需要在路由器上創(chuàng)建一個(gè)Key Chain（鑰匙鏈），在一個(gè)Key Chain下可以定義多個(gè)Key，首先需要定義第一個(gè)Key，對(duì)于Key來(lái)說(shuō)存在多個(gè)參數(shù)，比較重要是Key String（即Key的密鑰串），兩臺(tái)路由器會(huì)直接比對(duì)該Key String，若匹配則驗(yàn)證通過(guò)。

對(duì) 于“Send Lifttime和“Accept Lifetime”參數(shù)來(lái)說(shuō)，分別用于接收數(shù)據(jù)進(jìn)行校驗(yàn)（即確定合適的時(shí)間范圍將Key附加在路由信息尾部），什么時(shí)候用來(lái)發(fā)送驗(yàn)證數(shù)據(jù)。這兩個(gè)參數(shù)就涉及到Key的生效時(shí)間問(wèn)題。在默認(rèn)情況下，可以永遠(yuǎn)進(jìn)行發(fā)送和校驗(yàn)。Key使用ID號(hào)進(jìn)行標(biāo)識(shí)，其順序從1開(kāi)始累加。路由器會(huì)使用Key Chain中尋找第一個(gè)可用的激活的Key來(lái)驗(yàn)證計(jì)算需要發(fā)送的路由信息，在路由器接收路由信息并對(duì)其進(jìn)行校驗(yàn)時(shí)，會(huì)檢測(cè)自身所有Key，確定一個(gè)匹配的Key進(jìn)行校驗(yàn)操作。

注意，在R1發(fā)送的驗(yàn)證碼中不包含Key的任何密鑰信息，即R1使用某個(gè)Key密鑰對(duì)EIGRP數(shù)據(jù)包進(jìn)行了MD5哈希計(jì)算，得到128位的驗(yàn)證碼，該驗(yàn)證碼是不包含密鑰的，也無(wú)法對(duì)其進(jìn)行逆向解析得到密鑰，當(dāng)將其發(fā)送給R2時(shí)，會(huì)攜帶一個(gè)Key的ID號(hào)，告訴R2其使用的Key Chain中的哪個(gè)Key密鑰，在R2對(duì)其進(jìn)行校驗(yàn)時(shí)，會(huì)自動(dòng)從自身的Key Chain中取出正確的Key密碼進(jìn)行校驗(yàn)?？梢钥闯觯瑢?shí)際傳遞的是Key的ID號(hào)，因此無(wú)需擔(dān)心Key密鑰的泄漏問(wèn)題。

配置EIGRP認(rèn)證的步驟

在配置EIGRP的認(rèn)證機(jī)制前需要檢測(cè)并確認(rèn)EIGRP的其他配置是否正常。然后定義認(rèn)證類(lèi)型，接下來(lái)需要考慮使用Key的數(shù)量，對(duì)于安全性要求較高的網(wǎng)絡(luò)來(lái)說(shuō)需要使用更多的Key來(lái)實(shí)現(xiàn)認(rèn)證要求。

例如對(duì)于本例中的R1和R2來(lái)說(shuō)，其連接兩個(gè)不同的網(wǎng)段。對(duì)于前者來(lái)說(shuō)，其Fa 0/0接連接的網(wǎng) 址 為172.16.1.1./24，S0/0/1接口的地址為192.168.1.101/24，對(duì) 于 后者來(lái)說(shuō)，其Fa 0/0接連接的網(wǎng)址為172.16.2.2./24，S0/0/1接口的地址為192.168.1.102/24。在路由器上執(zhí)行“show ip route”命令來(lái)查看網(wǎng)絡(luò)配置信息。在R1和R2分別執(zhí)行“Ping 192.168.1.102” 和“Ping 192.168.1.101”，來(lái)檢測(cè)連通性。執(zhí)行“configure t”命令，在R1中進(jìn)入全局配置模式。執(zhí)行“route eigrp 100”命令配置基本的EIGRP，其自治號(hào)為100。執(zhí)行“no auto-summary”命令關(guān)閉自動(dòng)匯總功能。執(zhí)行“network 172.16.1.0 0.0.0.0”，“network 192.168.1.0”命令將兩個(gè)直連網(wǎng)段發(fā)布進(jìn)去。在R2上執(zhí)行對(duì)應(yīng)的配置。這樣兩臺(tái)路由器就會(huì)建立鄰居關(guān)系。執(zhí)行“end”，“show ip eigrp”命令可查看鄰居關(guān)系信息。

在配置EIGRP認(rèn)證協(xié)議時(shí)，需要在對(duì)應(yīng)的接口下進(jìn)行配置，即對(duì)鄰居關(guān)系進(jìn)行認(rèn)證的接口，并將Key Chain綁定到該接口上。對(duì)于R1和R2來(lái)說(shuō)，可以在兩者的S0/0/1接口上進(jìn)行認(rèn)證配置。對(duì)于兩者的Fa 0/0接口來(lái)說(shuō)，并沒(méi)有連任何鄰居，對(duì)其開(kāi)啟安全認(rèn)證是沒(méi)有意義的，可以將其配置為被動(dòng)端口，禁止其向外發(fā)送EIGRP數(shù)據(jù)包。在兩臺(tái)路由器上需要?jiǎng)?chuàng)建Key Chain，其名稱(chēng)并不會(huì)跟隨校驗(yàn)信息進(jìn)行傳送，所以其名稱(chēng)可以任意設(shè)定。通過(guò)在Key Chain中配置所需的Key密鑰，并根據(jù)需要設(shè)置其生存時(shí)間。

實(shí)例配置EIGRP認(rèn)證機(jī)制

要開(kāi)啟了配置EIGRP的認(rèn)證，需要在建立鄰居關(guān)系的接口上執(zhí)行相關(guān)的指令。例如在R1的全局模式下執(zhí)行“interface Serial0/0/1” 命 令， 進(jìn)入 該 接 口。 執(zhí) 行“ip authentication mode eigrp 100 md5”命令，開(kāi)啟MD5認(rèn)證模式，此處AS自治號(hào)為100。對(duì)于R2執(zhí)行的是同樣的命令。一旦開(kāi)啟了MD5認(rèn)證，如不配置Key chain鄰居關(guān)系將無(wú)法建立。之后需創(chuàng)建Key chain，在R1上執(zhí)行“key chain chain01”，“key 1”，“key-string password1”，“key 2”，“keystring password2”命 令，創(chuàng)建名為“chain01”的Key chain，在其中創(chuàng)建兩個(gè)Key，密鑰分別為“password1”和“password2”。

對(duì)應(yīng)的，在R2上執(zhí)行相應(yīng)的命令，來(lái)創(chuàng)建對(duì)應(yīng)的Key chain和具體的密鑰。兩者的Key的名稱(chēng)和密鑰必須一致，Key chian的名稱(chēng)可以不同。對(duì)于不同的Key，可以指定其生存時(shí)間。例如執(zhí)行“show clock”命令，查看當(dāng)前時(shí)間。可以根據(jù)需要執(zhí)行“clock set”命令，來(lái)修改時(shí)間信息。在上述R1上可以將指令修改為 “key chain chain01”，“key 1”，“key-string password1”，“acceptlifetime 09:00:00 Jan 1 2017 infinite”，“sendlifetime 09:00:00 Jan 1 2017 09:00:00 Jan 31 2017”，“key 2”，“key-string password1”,“acceptlifetime 09:00:00 Jan 26 2017 infinite”，“sendlifetime 09:00:00 Jan 25 2017 infinite”，這 樣，對(duì)于Key1來(lái)說(shuō)，其可以在2017年1月1日的9點(diǎn)到永久時(shí)間之內(nèi)接收認(rèn)證信息，可以在2017年1月1日9點(diǎn)到2017年1月31日9點(diǎn)之間發(fā)送R2發(fā)來(lái)的認(rèn)證信息。

對(duì)應(yīng)的，在R2上可以設(shè)置對(duì)應(yīng)Key的生存時(shí)間參數(shù)。接下來(lái)需要將Key chain綁定到接口，在R1上執(zhí)行“interface Serial 0/0/1”，“ip authentication keychain eigrp 100 chain01”命令，完成綁定操作。對(duì)應(yīng)的在R2上執(zhí)行“interface S e r i a l 0/0/1”，“i p authentication key-chain eigrp 100 chain02”命令，完成綁定操作。這樣，EIGRP的認(rèn)證就配置完成了。在R1或R2上執(zhí)行“show key chain”命令，來(lái)檢查EIGRP的認(rèn)證配置信息。注意，在Key 的“Accept lifetime”和“Send lifetime”欄的右側(cè)如果沒(méi)顯示“Valid noe”項(xiàng)，表示其可以進(jìn)行接收和發(fā)送，否則表示其在當(dāng)前時(shí)間處于不可用狀態(tài)。

執(zhí) 行“show ip eigrp interfaces detail”命令可查看是否開(kāi)啟了Md5認(rèn)證及Key chain信息。執(zhí)行“debug eigrp packet”命令，了解其在傳遞EIGRP數(shù)據(jù)包的信息。在“received packet with MD5 authentication key id =X”欄中顯示在接收認(rèn)證信息是使用的Key的ID號(hào)，可以看到R1與R2使用相同的Key進(jìn)行校驗(yàn)。如果兩臺(tái)路由器的Key不匹配，會(huì)產(chǎn)生諸如“pkt key id=x,authentication mismathch”等內(nèi)容，說(shuō)明由于Key不匹配而忽略了在對(duì)對(duì)方的EIGRP數(shù)據(jù)包。顯示“invalid authentication”說(shuō)明認(rèn)證產(chǎn)生了錯(cuò)誤。執(zhí)行“show ip eigrp neighbors”命令，可以看到兩者的鄰居關(guān)系消失了，這就需要檢查兩者的Key chain配置信息是否存在問(wèn)題。