Замчлалын протоколын баталгаажуулалт
 | Википедиагийн чанарын стандартад нийцүүлэхийн тулд энэ өгүүллийг хянан тохиолдуулах хэрэгтэй байна. Энэ талаар хэлэлцүүлгийн хуудас дээр юм уу энэ тэмдгийг илүү нарийвчилсан тэмдгээр солино уу. |
Замчлалын протоколын баталгаажуулалтыг рөүтерүүд өөр хоорондоо хөршөө солилцход хэрэглэдэг. Энэ нь ялгаатай замчлалын протоколын баталгаажуулалт ашиглана. Замчлалын хүснэгтийн мэдээлэл шинэчлэгдэх үед баталгаажуулалт хийнэ. Эдгээр нь энгийн пасспорт баталгаажуулалт болон хаш баталгаажуулалт хэрэглэдэг. Authentication тохируулсан үед рөүтер нь замчлалын мэдээлэл шинэчлэгдэх үед хөршөө адилтган танилт хийдэг давуу талтай. Ингэснээр рөүтер нь эх үүсвэрээс найдвартай мэдээлэл хүлээн авах боломжтой болж байгаа юм. Хөршийн баталгаажуулалт хийхгүй бол замчлалын мэдээлэл шинэчлэгдэхэд өөр аюултай хаягын мэдээлэл орж ирэх аюултай.
Баталгаажуулалт хийдэг протоколууд[засварлах | кодоор засварлах]
OSPF, EIGRP, RIPv2, BGP дээр замчлалын протоколын баталгаажуулалт хийдэг.
1. OSPF (Link state routing protocol )[засварлах | кодоор засварлах]
- Үзүүлэлт
- Link state routing protocol
- Протоколын дугаар нь 89
- Метрик – Үнэлгээ (cisco default - Bandwidth)
- Замуудын төрөл (intra-area, inter-area, External type 1,2)
- Authentication (md5, sha)
- Administrative distance нь 110
- 224.0.0.5 (Бүх рөүтерүүд), 224.0.0.6 (DR рөүтерүүд)
- Том хэмжээний сүлжээнд ашиглах боломжтой. (Шаталсан олон шаталсан бус)
OSPF authentication хийхдээ эх текстийг md5(hash) алгоритм ашиглан баталгаажуулалт хийдэг. Хаш утга нь түлхүүрйн дугаар болон буурах дарааллын дугаарыг пакеттай хамт дамжуулдаг. Замчлалын мэдээллийг үнэн зөв алдаагүй байлгах, энэ бол хэрэгтэй мэдээлийг аваад хэрэггүй хаягын мэдээлийг авдаггүй. Энэ нь рөүтер хоорондох замчлал өөрчлөгдвөл баталгаажуултыг хийдэг. MD5 баталгаажуулалт нь нэг сабнеттэй олон сүлжээ байвал замчлагч тус бүр дээр өөр өөр түлхүүрийн дугаар ашиглана.
Баталгаажуулалтын төрөл
- Null Authentication – Cisco router дээр default-аараа идэвхигүй байдаг.
- Clear text authentication-- Энэ нь баталгаажуулалтын функц ашигладаг, сүлжээн дэхь password өөрчлөгдвөл текстийг устгадаг.
- Cryptographic authentication—Cryptographic нь нээлттэй стандартын MD5 нууцлалын функцыг хэрэглэдэг.
2. EIGRP (Enhanced interior gateway routing protocol)[засварлах | кодоор засварлах]
- Үзүүлэлт
- Hybrid протокол
- Протоколын дугаар нь 88
- Метрик – Зурвасын өргөн, саатал(default)
- Bounded update (224.0.0.10)
- Authentication – MD5
- Fast convergence
- Тэнцүү болон тэнцүү биш ачаалал тэнцвэржүүлэлт
- Administrative distance нь дотоод 90, гадаад 170, нэгтгэсэн 5
Authentication хийхдээ key хэрэглэдэг. Интерфейсийн горимд MD5 authentication хамт тохируулж өгдөг.
Key chain болон key үүсгэх
Key number болон key string нь Key chainыг тохируулахад аль аль хэрэгтэй.
3. RIP (Routing information protocol )[засварлах | кодоор засварлах]
- Үзүүлэлт:
- Distance vector routing protocol
- Порт-520
- Метрик – Хопын тоо(Хамгийн ихдээ-15, 16 замгүй)
- Тогтмол хугацааны замчлалын шинэчлэл (30сек, 224.0.0.9)
- Нэг RIP мэдээнд 25 хүртлэх замын мэдээлэл байна. (Authentication ашиглах бол 24)
- Authentication, Split-horizon, Poison-reverse, triggered update
- Administrative distance – 120
Энгийн баталгаажуулалт хийдэг протокол. RIPv2 нь Cisco төхөөрөмж дээр 2 төрлийн баталгаажуулалт дэмждэг.
- Plain text authentication
- Message digest (MD5)
Plain text authentication төрөл нь RIPv2 багц дээр хэзээд идэвхитэй байдаг. Plain text authentication нь нууцлалт хийдэггүй, яагаад гэвэл багцыг илгээхэд encrypt хийдэггүй .RIPv1 нь authentication хийдэггүй.Cisco IOS 11.1 болон түүнээс дээш хувилбар дээр дэмжиж ажилладаг.
4. BGP ( Border gatewaay protocol)[засварлах | кодоор засварлах]
- Үзүүлэлт
- Path vector
- BGPv4
- TCP ажиллагаатай (tcp port 179)
- Classless хаягчлал ашиглана.
- Path atrribute ( сайн замыг сонгохдоо ашигладаг)
BGP нь хөршөө солилцохдоо peer ашигладаг. Хөршүүд хоорондоо холболт тогтоохын тулд эхлээд TCP connection үүсгэн холбогдосны дараа хөршийн мэдээллээ солилцоно. Autonomous system хооронд замчлалын мэдээллээ солилцоно.
Cisco BGP-г хэрэгжүүлэхдээ TCP MD-5 шиг RFC 2385 г тодорхойлж хэрэгсэлэсэн. BGP нь MD-5 password authentication хэрэглэхдээ зөвхөн нэг л тохиргооны алхам хийх шаардлагатай. Энэ алхам нь password authentication дээр peer-by-peer хэрэглэдэг.
OSPF Тохиргоо[засварлах | кодоор засварлах]
OSPFv2 сүлжээнд баталгаажуулалт тохируулах[засварлах | кодоор засварлах]
| Команд | Тайлбар |
| Router(config)# interface interface-type interface-slot | Интерфейс сонгож орох |
| Router(config-if)# ip ospf authentication [message-digest] | OSPF сүлжээнд MD5 authentication тохируулах |
| Router(config-if)# ip ospf аuthentication-key key | OSPF authentication key тохируулах |
| Router(config-if)#ip ospf message-digest-key key-id md5 key | OSPF authentication key болон md5 тохируулах |
Area хооронд authentication тохируулах
| Команд | Тайлбар |
| Router(config)#router ospf process-id | OSPF process горимд орох |
| Router(config-router)#area area-id authentication [message-digest] | OSPF area хооронд MD5 authentication тохируулах |
Интерфейсийн горимд:
| Router(config)#interface interface-type interface-slot | Интерфейс сонгож орох | |
| Router(config-if)# ip ospf authentication [message-digest] | Интерфейс дээр authentication тохируулах | |
| Router(config-if)# ip ospf authentication-key key | Интерфейс дээр key authentication тохируулах | |
| Router(config-if)#ip ospf message-digest-key key-id md5 key | Интерфейс дээр ospf authentication key болон md5 тохируулах | |
OSPFv3 сүлжээнд баталгаажуулалт тохируулах[засварлах | кодоор засварлах]
OSPFv3 нь authentication хийхдээ ipsec ашигладаг.
| Kоманд | Тайлбар |
| Router(config)#interface interface-type interface-slot | Интерфейс сонгох |
| Router(config-if)#ipv6 ospf authentication|encryption ipsec spi [security_policy_index] md5 | sha1 | des | 3des | aes-cbc [key-string] | Ipv6 authentication идэвхижүүлэх
Үүнд нууцлалын алгоритм сонгох |
Area хооронд authentication хийх
| Kоманд | Тайлбар |
| Router(config)# ipv6 router ospf 1 | Ospfv3 router горимд орох |
| Router(config-router)#area [area_number] authentication|encryption ipsec spi [security_policy_index] md5 | sha1 | des | 3des | aes-cbc [key-string] | OSPFv3 area хооронд authentication тохируулах |
EIGRP Тохиргоо[засварлах | кодоор засварлах]
EIGRPv2 сүлжээнд баталгаажуулалт тохиргоо[засварлах | кодоор засварлах]
Key chain үүсгэх:
| Команд | Тайлбар |
| Router(config)# key chain [name] | key chain үүсгэх |
| Router(config-keychain)#key [number] | key тодорхойлож үүсгэх |
| Router(config-keychain-key)# key-string [password] | authentication key-string тодорхойлох |
Интерфейсийн горимд:
| ip authentication key-chain eigrp <as-number> <key-chain> | EIGRP authentication хийх key-chain –г тодорхойлох | |
| ip authentication mode eigrp <as-number> md5 | Интерфейс дээр md5 төлөв тодорхойлох | |
| accept-lifetime <start-time> {infinite | end-time | duration seconds} | Хүлээн авах хугацааг тодорхойлох | |
| send-lifetime <start-time> {infinite | end-time | duration seconds} | Илгээх хугацааг тодорхойлох | |
EIGRPv6 сүлжээнд баталгаажуулалт тохиргоо[засварлах | кодоор засварлах]
| ipv6 authentication key-chain eigrp <as-number> <key-chain> | EIGRP authentication хийх key-chain –г тодорхойлох | |
| ipv6 authentication mode eigrp <as-number> md5 | Интерфейс дээр md5 төлөв тодорхойлох | |
энэ тохиргоог төхөөрөхмжийн интерфейсийн горимд хийж гүйцэтгэнэ.
RIP Тохиргоо[засварлах | кодоор засварлах]
RIPv2 сүлжээнд баталгаажуулалт тохиргоо[засварлах | кодоор засварлах]
| Команд | Тайлбар |
| Router(config)#interface interface-type interface-slot | Интерфейс сонгож орох |
| Router(config)# key chain [name] | key chain үүсгэх |
| Router(config-keychain)#key [number] | key тодорхойлох үүсгэх |
| Router(config-keychain-key)# key-string [password] | Аuthentication string тодорхойлох |
| Router(config-if)#ip rip authentication mode{ text | md5 } | RIP authentication нь текст дэмждэг.Мөн md5 сонгож болно. |
BGP Тохиргоо[засварлах | кодоор засварлах]
| Команд | Тайлбар |
| Router(config)#Router bgp autonomous-system | BGP process тодорхойлох |
| Router(config-router)#neighbors {ip address | peer-group} password password-string | Peer-to-peer холболт дээр authentication хийх password тодорхойлох |
Хөршийн баталгаажуулалт[засварлах | кодоор засварлах]
- Дээрх дурьдсан замчлалын протоколуудын хэрэглээ
- Өөр замчлалын мэдээлэл байж болзошгүй үед
- Буруу замчлалын мэдээлэл авсанаар сүлжээ аюулд орох болно
- Аль хэдийн хөрш болсон байхад хөршийн баталгаажуулалт хийнэ.
Plain text authentication[засварлах | кодоор засварлах]
Router—үүд нь хөршөө танихдаа түлхүүрээ дундаа адидлтган танилт хийх ёстой. Энэ нь замчлагч түлхүүрээ таних боломж олгодог. Зарим нэг протоколууд нь олон төрлийн түлхүүр ашигладаг. ( түлхүүрийн дугаараар нь ялгадаг.)
Алхам 1: Замчлалын шинэчлэлийн мэдээлийг хөрш рөүтерт түлхүүрийн дугаараар дамжуулан мэдээллээ өгдөг. Нэг л түлхүүр байж болно.
Алхам 2: Хүлээн авагч нь өөр дээр байгаа түлхүүрийн дугаарыг эсрэг талын замчлагчийн түлхүүрийн дугаартай тулгаж шалгана.
Алхам 3: Хоёр түлхүүр нь нийцсэн бол, хүлээн авагч нь замчлагчийн замчлалын мэдээллийн багцыг хүлээн авна. Харин түлхүүр таарахгүй бол замчлалын мэдээлийг хүлээн авахгүй.
Key Management ( Key chains )[засварлах | кодоор засварлах]
Key chain хэрэглэснээр илүү нууцлалтай болно. Энэ нь өгөгдлийг encrypt хийж чадахгүй, ялгаатай түлхүүрийн дугаарлалт ашигладаг. Олон key тодорхойлж өгч болно.Мөн key нь Cisco IOS хувилбарын төхөөрөмж дээр амьдрах хугацааг тодорхойлж өгч болдог.
Hashing authentication
- MD5
- SHA
Hashing ажиллагаа
Алхам 1. Замчлагч дээр тохируулсан түлхүүрийн тусламжтайгаар hash алгоритм замчлалын мэдээлэл дээр ажиллаж hash digest-ийг үүсгээд замчлалын мэдээлэлд оруулан хөрш замчлагч руу дамжуулна.
Алхам 2. Хөрш нь замчлалын мэдээллийг хүлээж аваад мөн замчлалын мэдээлэл дээр өөрийн түлхүүрийн ашиглан hash digest-ийг үүсгэнэ.
Алхам 3. Хэрэв өөрийн үүсгэсэн hash digest-тай хүлээн авсан hash digest тохирч байвал замчлалын мэдээллийг хүлээн авна.
MD5 authentication
MD5 authentication нь цэвэр эх текстний өндөр түвшний нууцлалаар хангадаг.
- OSPF (Open shortest path protocol)
- EIGRP (Enhanced interior gateway routing protocol)
- BGP ( Border gateway protocol)
- RIPv2 (Routing information protocol)
Топологи[засварлах | кодоор засварлах]
Топологи дээрх төхөөрөмжүүдийн тохиргоо[засварлах | кодоор засварлах]
R1 тохиргоо[засварлах | кодоор засварлах]
| ipv6 unicast-routing
key chain MYCHAIN key 1 key-string cisco123 interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Loopback1 no ip address ipv6 address 2001:DB8:FEED:2::2/64 ipv6 enable ipv6 ospf 100 area 0 ! interface Serial1/0 ip address 10.10.1.13 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN ! interface Serial1/1 ip address 10.10.1.5 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ! interface Serial1/2 ip address 10.10.1.1 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ipv6 address 2001:DB8:CAFE:1::2/64 ipv6 enable ipv6 ospf 100 area 0 ipv6 ospf authentication ipsec spi 500 md5 ABCDEF1234567890ABCDEF1234567890 ! router eigrp 1 redistribute ospf 1 metric 1544 1000 10 255 1500 network 1.1.1.1 0.0.0.0 network 10.10.1.12 0.0.0.3 no auto-summary ! router ospf 1 area 0 authentication message-digest redistribute eigrp 1 subnets network 1.1.1.1 0.0.0.0 area 0 network 10.10.1.0 0.0.0.3 area 0 network 10.10.1.4 0.0.0.3 area 0 ! ipv6 router ospf 100 router-id 1.1.1.1 |
R2 тохиргоо[засварлах | кодоор засварлах]
| key chain MYCHAIN
key 1 key-string cisco123 interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface Loopback1 ip address 192.168.1.2 255.255.255.0 ! interface Serial1/0 ip address 10.10.1.14 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN serial restart-delay 0 ! router eigrp 1 network 2.2.2.2 0.0.0.0 network 10.10.1.12 0.0.0.3 no auto-summary ! router bgp 65000 no synchronization bgp log-neighbor-changes network 192.168.1.0 neighbor 5.5.5.5 remote-as 65000 neighbor 5.5.5.5 password 1 cisco neighbor 5.5.5.5 update-source Loopback0 no auto-summary ! |
R3 тохиргоо[засварлах | кодоор засварлах]
| key chain MYRIPCHAIN
key 1 key-string cisco12345 ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Serial1/0 ip address 10.10.1.10 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/1 ip address 10.10.1.6 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/2 ip address 10.10.1.22 255.255.255.252 ip rip authentication mode md5 serial restart-delay 0 ! router ospf 1 log-adjacency-changes area 0 authentication message-digest redistribute rip metric 5000 subnets network 3.3.3.3 0.0.0.0 area 0 network 10.10.1.4 0.0.0.3 area 0 network 10.10.1.8 0.0.0.3 area 0 ! router rip version 2 redistribute ospf 1 metric 5 network 3.0.0.0 network 10.0.0.0 no auto-summary ! |
R4 тохиргоо[засварлах | кодоор засварлах]
| ipv6 unicast-routing
! key chain MYCHAIN1 key 1 key-string cisco123 ! interface Loopback0 ip address 4.4.4.4 255.255.255.255 ! interface Loopback1 no ip address ipv6 address 2001:DB8:FEED:1::2/64 ipv6 enable ipv6 ospf 100 area 0 ! interface Serial1/0 ip address 10.10.1.9 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/1 ip address 10.10.1.17 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN1 serial restart-delay 0 ! interface Serial1/2 ip address 10.10.1.2 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ipv6 address 2001:DB8:CAFE:1::1/64 ipv6 enable ipv6 ospf 100 area 0 ipv6 ospf authentication ipsec spi 500 md5 ABCDEF1234567890ABCDEF1234567890 serial restart-delay 0 ! router eigrp 1 redistribute ospf 1 metric 1544 1000 10 255 1500 network 4.4.4.4 0.0.0.0 network 10.10.1.16 0.0.0.3 no auto-summary ! router ospf 1 log-adjacency-changes area 0 authentication message-digest redistribute eigrp 1 subnets network 4.4.4.4 0.0.0.0 area 0 network 10.10.1.0 0.0.0.3 area 0 network 10.10.1.8 0.0.0.3 area 0 ! ipv6 router ospf 100 router-id 4.4.4.4 log-adjacency-changes |
R5 тохиргоо[засварлах | кодоор засварлах]
| key chain MYCHAIN1
key 1 key-string cisco123 ! interface Loopback0 ip address 5.5.5.5 255.255.255.255 ! interface Loopback1 ip address 192.168.2.2 255.255.255.0 ! interface Serial1/1 ip address 10.10.1.18 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN1 serial restart-delay 0 ! router eigrp 1 network 5.5.5.5 0.0.0.0 network 10.10.1.16 0.0.0.3 no auto-summary ! router bgp 65000 no synchronization bgp log-neighbor-changes network 192.168.2.0 neighbor 2.2.2.2 remote-as 65000 neighbor 2.2.2.2 password 1 cisco neighbor 2.2.2.2 update-source Loopback0 no auto-summary |
R6 тохиргоо[засварлах | кодоор засварлах]
| key chain MYRIPCHAIN
key 1 key-string cisco12345 ! interface Loopback0 ip address 6.6.6.6 255.255.255.255 ! interface Serial1/2 ip address 10.10.1.21 255.255.255.252 ip rip authentication mode md5 serial restart-delay 0 ! router rip version 2 network 6.0.0.0 network 10.0.0.0 no auto-summary |
PC1[засварлах | кодоор засварлах]
| PC1 : 192.168.1.10 255.255.255.0 gateway 192.168.1.1 |
PC2[засварлах | кодоор засварлах]
| PC1 : 192.168.2.10 255.255.255.0 gateway 192.168.2.1 |
Ашигласан материал[засварлах | кодоор засварлах]
CCNP Routing and Switching book
CCNA Routing and Switching book
J.IN12D029 Л.Мөнх-Эрдэнэ