Привет, привет, привет! Сегодня мы продолжаем общаться с Вами на тему протокола динамической маршрутизации RIP. А если точнее сегодня мы рассмотрим аспекты обеспечения безопасности данного протокола. Перед прочтением данной статьи рекомендую Вам ознакомиться со статьями о RIP-1 и RIP-2, для лучшего понимания процесса настройки данных протоколов.
Для начала восстановим так полюбившуюся сеть, которую мы использовали в предыдущих статьях.
Тестовая сеть для работы с протоколом RIP |
В данной сети, как и раньше запущен протокол динамической маршрутизации RIP. Пусть это будет протокол RIP версии 1. Далее заменим в ней компьютер PC0 еще на один маршрутизатор - Router 3, и получим сеть вот такого вида:
Новая тестовая сеть |
Настроим маршрутизатор 3, для связи с маршрутизатором 0 и присоединению к облаку динамической маршрутизации, для этого выполним на нем команды:
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.1.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 1
Router(config-router)#network 192.168.1.0
Проверяем связность сети и если все объекты сети видят друг друга идем дальше.
Теперь представьте себе такую ситуацию, что маршрутизаторы 0,1,2 принадлежат сети вашей организации, а маршрутизатор 3 принадлежит сети другой организации. Давайте заглянем в его таблицу маршрутизации, выполнив на маршрутизаторе 3 команду:
Router#show ip route
Её вывод будет иметь следующий вид:
Gateway of last resort is not set
R 172.20.0.0/16 [120/1] via 192.168.1.1, 00:00:18, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
R 192.168.2.0/24 [120/2] via 192.168.1.1, 00:00:18, FastEthernet0/0
R 192.168.4.0/24 [120/1] via 192.168.1.1, 00:00:18, FastEthernet0/0
R 192.168.5.0/24 [120/2] via 192.168.1.1, 00:00:18, FastEthernet0/0
Как мы видим, маршрутизатор 3 (а еще это, например, может быть не физический маршрутизатор, а просто компьютер с ОС поддерживающей функции маршрутизации, и поддерживающей протокол RIP), принадлежащий другой организации, прекрасно знает маршруты ко всем нашим сетям. Как вы сами понимаете в этом нет ничего хорошего.
Для того чтобы запретить маршрутизатору 0 анонсировать маршруты сети нашего предприятия на маршрутизатор 3, на нем необходимо выполнить следующие команды (интерфейс fastEthernet 0/0 маршрутизатор 0 используется для связки маршрутизаторов 0 и 3):
Router(config)#router rip
Router(config-router)#passive-interface fastEthernet 0/0
Команда passive-interface запрещает интерфейсу fastEthernet 0/0 рассылать обновления протокола динамической маршрутизации RIP, но она не запрещает их ему принимать. Теперь снова выполним на маршрутизаторе 3 команду:
Router#show ip route
В этот раз содержимое его таблицы маршрутизации будет следующим:
Gateway of last resort is not set
R 172.20.0.0/16 is possibly down, routing via 192.168.1.1, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
R 192.168.2.0/24 is possibly down, routing via 192.168.1.1, FastEthernet0/0
R 192.168.4.0/24 is possibly down, routing via 192.168.1.1, FastEthernet0/0
R 192.168.5.0/24 is possibly down, routing via 192.168.1.1, FastEthernet0/0
Как мы видим маршруты полученные ранее по протоколу RIP, стали недоступными. Подождем еще немного, для того чтобы дать отработать таймерам протокола RIP, и выполним команду show ip route еще раз, увидим следующий результат:
Gateway of last resort is not set
C 192.168.1.0/24 is directly connected, FastEthernet0/0
Как видим, все сделано верно, маршрутизатор 3 не знает о сетях известных маршрутизатору 0. Команда passive-interface поддерживается как протоколом RIP-1, так и RIP-2.
Теперь поговорим еще об одной фишке протокола RIP, которая повышает безопасность его использования. А именно о аутентификации сообщений протокола RIP. Сразу хочу сказать, что такая возможность поддерживается только для протокола RIP версии 2. Поэтому переводим все маршрутизаторы нашей сети на RIP-2.
К сожалению Packet tracer не поддерживает работу команд key chain, поэтому нам придется собрать сеть аналогичную, сети, приведенной в самом начале статьи, но уже в GNS3.
Собрали аналогичную сеть в GNS3 |
Настройки маршрутизатора 1:
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip address 192.168.4.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 172.20.20.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.1.0
R1(config-router)#network 192.168.4.0
R1(config-router)#network 172.20.20.0
Настройки маршрутизатора 2:
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.4.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface fastEthernet 0/1
R2(config-if)#ip address 192.168.5.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 192.168.4.0
R2(config-router)#network 192.168.5.0
Настройки маршрутизатора 3:
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip address 172.20.20.2 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface fastEthernet 0/1
R3(config-if)#ip address 192.168.5.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface fastEthernet 1/0
R3(config-if)#ip address 192.168.2.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#network 172.20.20.0
R3(config-router)#network 192.168.2.0
R3(config-router)#network 192.168.5.0
Для настройки аутентификации создадим на маршрутизаторе 1 ключевую последовательность, используя команды:
R1(config)#key chain RIP
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string MyRIPPassword
И включаем аутентификацию сообщений протокола RIP, на интерфейсе смотрящем в сторону R2:
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip rip authentication key-chain RIP
Далее на маршрутизаторе 2 выполняем команду:
R2#debug ip rip
Немного ждем, и видим следующее сообщение:
*Mar 1 05:14:47.546: RIP: ignored v2 packet from 192.168.4.1 (invalid authentication)
*Mar 1 05:14:57.686: RIP: received v2 update from 192.168.5.1 on FastEthernet0/1
*Mar 1 05:14:57.690: 172.20.0.0/16 via 0.0.0.0 in 1 hops
*Mar 1 05:14:57.690: 192.168.1.0/24 via 0.0.0.0 in 1 hops
*Mar 1 05:14:57.690: 192.168.2.0/24 via 0.0.0.0 in 1 hops
Как видим, маршрутизатор 2 не принимает обновления от протокола RIP отправленные маршрутизатором 1 из за проблем с аутентификацией. И это правильно, так как мы не настраивали аутентификацию на маршрутизаторе 2. В тоже время маршрутизатор 2 принимает обновления протокола RIP от маршрутизатора 3, так как аутентификация на участке маршрутизатор 2-3 не настраивалась вообще.
Настроим аутентификацию на маршрутизаторе 2 добавив в его конфиг строки аналогичные добавленным на маршрутизатор 1:
R2(config)#key chain RIP
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string MyRIPPassword
R2(config-keychain-key)#exit
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip rip authentication key-chain RIP
Немного подождем и посмотрим вывод дебага:
*Mar 1 05:20:24.998: RIP: received packet with text authentication MyRIPPassword
*Mar 1 05:20:24.998: RIP: received v2 update from 192.168.4.1 on FastEthernet0/0
*Mar 1 05:20:25.002: 172.20.0.0/16 via 0.0.0.0 in 1 hops
*Mar 1 05:20:25.002: 192.168.1.0/24 via 0.0.0.0 in 1 hops
*Mar 1 05:20:25.002: 192.168.2.0/24 via 0.0.0.0 in 1 hops
Как мы видим аутентификация успешно выполнена и обновления протокола RIP от маршрутизатора 1 успешно приняты маршрутизатором 2. Стоит отметить что при таком способе аутентификации пароль MyRIPPassword передается от маршрутизатора 1 к маршрутизатору 2, и обратно, открытым текстом. Защитить его можно используя MD5 хеширования. При таком способе аутентификации между маршрутизаторами будет передаваться не сам пароль, а его хеш. Для того чтобы включить данную функцию нужно добавить на интерфейсы маршрутизаторов 1 и 2 следующую команду:
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip rip authentication mode md5
Теперь если мы посмотрим выводы дебага протокола RIP то увидим:
*Mar 1 05:29:44.354: RIP: received packet with MD5 authentication
*Mar 1 05:29:44.358: RIP: received v2 update from 192.168.4.1 on FastEthernet0/0
*Mar 1 05:29:44.358: 172.20.0.0/16 via 0.0.0.0 in 1 hops
*Mar 1 05:29:44.358: 192.168.1.0/24 via 0.0.0.0 in 1 hops
*Mar 1 05:29:44.362: 192.168.2.0/24 via 0.0.0.0 in 1 hops
Думаю что на сегодня хватит! Удачи и до новых встреч!
2 коммент.:
Благодарю за замечательный материал! Очень нравятся ваши уроки: всегда пишете подробно и подкрепляете выводом консоли. Еще раз спасибо. Уверен, новички хорошо оценят Ваш труд и желание помогать. Дальнейших успехов во всем
Спасибо! Буду стараться и дальше вас радовать статьями!
Отправить комментарий