RIP认证
一、RIPv2报文结构分析及认证
1. RIPv2认证
RIP认证可以防止路由欺骗和错误路由注入,认证一般加载在外界接口,内部一般是安全的
2. 配置
2.1 明文认证
- 进入接口使用命令:rip authentication-mode simple xxx
2.2 抓包分析
2.2 MD5认证
- 进入接口使用命令:rip authentication-mode md5 xxx
3. 报文分析
- 版本信息为RIPv2
- Route Tag:路由标签字段,适用于RIPv2,用于区分内部路由(RIP学习到的)和外部路由(使用重分发通告的其他路由)
- 路由信息包含目的网段、距离、掩码、和下一跳
- RIPv2支持可变长子网和CIDER
4. RIPv1和RIPv2对比
4.1 RIPv1的特点
- 通过广播更新报文
- 不支持连续子网
- 不支持CIDER和可变子网掩码
- 不支持认证、自动聚合
4.2 RIPv2特点
- 组播更新报文(224.0.0.9)
- 支持不连续协议
- 支持认证,支持手动汇总
- 支持CIDER和可变子网掩码
5. RIP协议定时器
-
更新定时器:当定时器超时时,立即发送路由更新报文,默认30s
-
老化定时器:当老化定时器超时时,仍没有收到邻居发来的路由更新报文,就默认该路由不可达,如果开启了防环机制,就会在RIP路由表中两其标记为16跳,并开启垃圾收集定时器,当收到路由更新报文时就重置老化定时器,默认时间180s
-
垃圾收集定时器:在垃圾收集器定时器内仍没有收到邻居发来的路由更新报文,就会将路由表中的相应路由删除,默认时间为120s
-
抑制失效定时器:在开启防环机制时,当路由器收到度量值为16的路由更新信息时,对应的路由就会进去抑制状态并开启抑制定时器,默认180s,在该定时器超时前不会接收任何对应路由的更新
二、参考资料
- 华为路由器RIP简单配置
- RIPv2认证
- 有关其他问题可以关注我的个人博客点击这里