RIPV2不是一个新的协议,它只是在RIPV1协议的基础上增加了一些扩展特性,以适应现代网络的路由选择环境。
这些扩展的特性有:
- 每个路由条目都将携带自己的子网掩码
- 路由选择更新具有认证功能
- 每个路由条目都将携带下一跳地址
- 外部路由标识
- 组播路由更新
RIPv2的基本原理与实现
RIPv2的消息格式结构和RIPv1相同,所有扩展特性都是由未使用字段提供。和RIPv1一样,RIPv2的更新消息中最大可包含25条路由条目。RIPv2的操作也是基于UDP端口520,并且数据包的大小最大为512字节。
命令(command)——取值1、2. 1为请求消息,2为响应消息
版本(version)——版本2.当取值为0或1时,错误的V1数据包会被丢弃,RIPv2只处理正确的RIPv1数据包。
地址族标识(address family identifier)——IPv4地址为2.当需要请求路由器或主机的整个路由表是,该字段置为0.
路由标记(route tag)——用于标记外部路由或重发布进RIPv2的路由。这个字段可以将外部路由编成“组”,以便在RIP域中更容易的控制这些路由。
IP地址(IP address)——路由条目IP地址。
子网掩码(subnet mask)——32位子网掩码,用于标识IPV4的网络号和子网号。
下一跳(next hop)——若存在的话,它标识了一个比通告路由更好的下一跳。换句话说,它指出的下一跳的度量值比同一子网上通告路由器更靠近目的地址。如果这个字段为0,说明通告路由器就是最佳下一跳。
度量(metric)——1到16的跳数。
RIPV2 可以向后兼容RIPV1。
无类别路由选择协议:
无类别路由选择协议最根本的特点是,在路由通告中具有携带子网掩码的能力。每条路由拥有子网掩码的一个好处就是,全0和全1的子网可以利用了。有类别路由协议不能区分全0子网(172.16.0.0/24和172.16.0.0/16无法区分),同样,也不能区分全1子网广播(172.16.255.255/24)和全部子网的广播(172.16.255.255/16)。
默认条件下,即使运行的是无类别路由选择协议,CISCO IOS 软件也拒绝去把一个全0的子网配置为有效的地址/掩码组合。为了让全0子网有效,我们可以使用Ip subnet-zero 命令修改默认条件。
而每条路由拥有子网掩码的另一个好处就是,可以使用可变长子网掩码(VLSM)进行子网划分和路由汇总。
可变长子网掩码技术的关键之处就是,当一个网络地址依据某种标准方式被划分成子网后,那么子网本身还可以被进一步子网化。
这样我们在规划网络地址时,可以按需分配,节约地址资源。
认证:
一台路由器可能会接收到非法路由选择更新消息。非法的路由更新消息可能是来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据包到一个错误的目的地的方法来捕获数据包。但更普遍的有害更新消息来自出现故障的路由器。
RIPv2协议能通过更新消息所包含的口令来验证某个路由消息源的合法性。
RIPv2使用更新消息中第一个路由条目字段来携带认证信息。所以在含有认证的单个更新消息中,最大可以被携带的路由条目为24个。
认证是通过设置地址族标识字段为全1来标识的,对于简单的口令认证,认证类型为2,剩余的16个字节携带最多有16个字符的口令,可由数字和字母混合组成。口令字段中按照左对齐的方式,少于16字节的用0填充。
使用简单类型,口令以明文方式传输,安全性不高。
我们还可以进行MD5方式认证。
Cisco中使用更新消息中的第一个和最后一个路由条目字段的空间,来实现MD5认证的目的。
MD5摘要算法(或散列算法)具有以下特点:
- 单向不可逆性
- 不等长输入等长输出(恒为128位)
- 雪崩效应
MD5算法是通过一个随意长度的明消息或口令计算出一个128位的hash值,这个hash值会随消息一起传送。拥有相同口令的接收者会计算自己的hash值。如果消息内容没有被更改,接收者的hash值应该和消息中发送这的hash值相匹配。
MD5的认证类型为3,且不再传口令,而是传认证数据包的大小等参数信息和128位的hash值。