Замчлалын протоколын баталгаажуулалт

Википедиагийн чанарын стандартад нийцүүлэхийн тулд энэ өгүүллийг хянан тохиолдуулах хэрэгтэй байна. Энэ талаар хэлэлцүүлгийн хуудас дээр юм уу энэ тэмдгийг илүү нарийвчилсан тэмдгээр солино уу.

Замчлалын протоколын баталгаажуулалтыг рөүтерүүд өөр хоорондоо хөршөө солилцход хэрэглэдэг. Энэ нь ялгаатай замчлалын протоколын баталгаажуулалт ашиглана. Замчлалын хүснэгтийн мэдээлэл шинэчлэгдэх үед баталгаажуулалт хийнэ. Эдгээр нь энгийн пасспорт баталгаажуулалт болон хаш баталгаажуулалт хэрэглэдэг. Authentication тохируулсан үед рөүтер нь замчлалын мэдээлэл шинэчлэгдэх үед хөршөө адилтган танилт хийдэг давуу талтай. Ингэснээр рөүтер нь эх үүсвэрээс найдвартай мэдээлэл хүлээн авах боломжтой болж байгаа юм. Хөршийн баталгаажуулалт хийхгүй бол замчлалын мэдээлэл шинэчлэгдэхэд өөр аюултай хаягын мэдээлэл орж ирэх аюултай.

OSPF, EIGRP, RIPv2, BGP дээр замчлалын протоколын баталгаажуулалт хийдэг.

• Үзүүлэлт
  • Link state routing protocol
  • Протоколын дугаар нь 89
  • Метрик – Үнэлгээ (cisco default - Bandwidth)
  • Замуудын төрөл (intra-area, inter-area, External type 1,2)
  • Authentication (md5, sha)
  • Administrative distance нь 110
  • 224.0.0.5 (Бүх рөүтерүүд), 224.0.0.6 (DR рөүтерүүд)
  • Том хэмжээний сүлжээнд ашиглах боломжтой. (Шаталсан олон шаталсан бус)         

OSPF authentication хийхдээ эх текстийг md5(hash) алгоритм ашиглан баталгаажуулалт хийдэг. Хаш утга нь түлхүүрйн дугаар болон буурах дарааллын дугаарыг пакеттай хамт дамжуулдаг. Замчлалын мэдээллийг үнэн зөв алдаагүй байлгах, энэ бол хэрэгтэй мэдээлийг аваад хэрэггүй хаягын мэдээлийг авдаггүй. Энэ нь рөүтер хоорондох замчлал өөрчлөгдвөл баталгаажуултыг хийдэг. MD5 баталгаажуулалт нь нэг сабнеттэй олон сүлжээ байвал замчлагч тус бүр дээр өөр өөр түлхүүрийн дугаар ашиглана.

Баталгаажуулалтын төрөл

• Null Authentication – Cisco router дээр default-аараа идэвхигүй байдаг.
• Clear text authentication--  Энэ нь баталгаажуулалтын функц ашигладаг, сүлжээн дэхь password өөрчлөгдвөл текстийг устгадаг.
• Cryptographic authentication—Cryptographic нь нээлттэй стандартын MD5 нууцлалын функцыг хэрэглэдэг.

• Үзүүлэлт
  • Hybrid протокол
  • Протоколын дугаар нь 88
  • Метрик – Зурвасын өргөн, саатал(default)
  • Bounded update (224.0.0.10)
  • Authentication – MD5
  • Fast convergence
  • Тэнцүү болон тэнцүү биш ачаалал тэнцвэржүүлэлт
  • Administrative distance нь дотоод 90, гадаад 170, нэгтгэсэн 5

Authentication хийхдээ key хэрэглэдэг. Интерфейсийн горимд MD5 authentication хамт тохируулж өгдөг.

Key chain болон key үүсгэх

Key number болон key string нь Key chainыг тохируулахад аль аль хэрэгтэй.

• Үзүүлэлт:
  • Distance vector routing protocol
  • Порт-520
  • Метрик – Хопын тоо(Хамгийн ихдээ-15, 16 замгүй)
  • Тогтмол хугацааны замчлалын шинэчлэл (30сек, 224.0.0.9)
  • Нэг RIP мэдээнд 25 хүртлэх замын мэдээлэл байна. (Authentication ашиглах бол 24)
  • Authentication, Split-horizon, Poison-reverse, triggered update
  • Administrative distance – 120

Энгийн баталгаажуулалт хийдэг протокол. RIPv2   нь Cisco төхөөрөмж дээр 2 төрлийн баталгаажуулалт дэмждэг.

• Plain text authentication
• Message digest (MD5)

Plain text authentication төрөл нь RIPv2 багц дээр хэзээд идэвхитэй байдаг. Plain text authentication нь нууцлалт хийдэггүй, яагаад гэвэл багцыг илгээхэд encrypt хийдэггүй .RIPv1 нь authentication хийдэггүй.Cisco IOS 11.1 болон түүнээс дээш хувилбар дээр дэмжиж ажилладаг.

• Үзүүлэлт
  • Path vector
  • BGPv4
  • TCP ажиллагаатай (tcp port 179)
  • Classless хаягчлал ашиглана.
  • Path atrribute ( сайн замыг сонгохдоо ашигладаг)

BGP нь хөршөө солилцохдоо peer ашигладаг. Хөршүүд хоорондоо холболт тогтоохын тулд эхлээд TCP connection үүсгэн холбогдосны  дараа хөршийн мэдээллээ солилцоно. Autonomous system хооронд замчлалын мэдээллээ солилцоно.

Cisco BGP-г хэрэгжүүлэхдээ TCP MD-5 шиг RFC 2385 г тодорхойлж хэрэгсэлэсэн. BGP нь MD-5 password authentication хэрэглэхдээ зөвхөн нэг л тохиргооны алхам хийх шаардлагатай. Энэ алхам нь password authentication дээр peer-by-peer хэрэглэдэг.

Команд	Тайлбар
Router(config)# interface interface-type interface-slot	Интерфейс сонгож орох
Router(config-if)# ip ospf authentication [message-digest]	OSPF сүлжээнд MD5 authentication тохируулах
Router(config-if)# ip ospf аuthentication-key key	OSPF authentication key тохируулах
Router(config-if)#ip ospf message-digest-key key-id md5 key	OSPF authentication key болон md5 тохируулах

Area хооронд authentication тохируулах

Команд	Тайлбар
Router(config)#router ospf process-id	OSPF process горимд орох
Router(config-router)#area area-id authentication [message-digest]	OSPF area хооронд MD5 authentication тохируулах

Интерфейсийн горимд:

Router(config)#interface interface-type interface-slot		Интерфейс сонгож орох
Router(config-if)# ip ospf authentication [message-digest]		Интерфейс дээр authentication тохируулах
Router(config-if)# ip ospf authentication-key key		Интерфейс дээр key authentication тохируулах
Router(config-if)#ip ospf message-digest-key key-id md5 key	Интерфейс дээр ospf authentication key болон md5 тохируулах

OSPFv3  нь authentication хийхдээ ipsec ашигладаг.

Kоманд	Тайлбар
Router(config)#interface interface-type interface-slot	Интерфейс сонгох
Router(config-if)#ipv6 ospf authentication|encryption ipsec spi [security_policy_index] md5 | sha1 | des | 3des | aes-cbc [key-string]	Ipv6 authentication идэвхижүүлэх Үүнд нууцлалын алгоритм сонгох

Area хооронд authentication хийх

Kоманд	Тайлбар
Router(config)# ipv6 router ospf 1	Ospfv3 router горимд орох
Router(config-router)#area [area_number] authentication|encryption ipsec spi [security_policy_index] md5 | sha1 | des | 3des | aes-cbc [key-string]	OSPFv3 area хооронд authentication тохируулах

Key chain үүсгэх:

Команд	Тайлбар
Router(config)# key chain [name]	key chain үүсгэх
Router(config-keychain)#key [number]	key  тодорхойлож үүсгэх
Router(config-keychain-key)# key-string [password]	authentication key-string тодорхойлох

Интерфейсийн горимд:

ip authentication key-chain eigrp <as-number> <key-chain>	EIGRP authentication хийх key-chain –г тодорхойлох
ip authentication mode eigrp <as-number> md5		Интерфейс дээр md5 төлөв тодорхойлох
accept-lifetime <start-time> {infinite | end-time | duration seconds}		Хүлээн авах хугацааг тодорхойлох
send-lifetime <start-time> {infinite | end-time | duration seconds}		Илгээх хугацааг тодорхойлох

ipv6 authentication key-chain eigrp <as-number> <key-chain>	EIGRP authentication хийх key-chain –г тодорхойлох
ipv6 authentication mode eigrp <as-number> md5		Интерфейс дээр md5 төлөв тодорхойлох

энэ тохиргоог төхөөрөхмжийн интерфейсийн горимд хийж гүйцэтгэнэ.

Команд	Тайлбар
Router(config)#interface interface-type interface-slot	Интерфейс сонгож орох
Router(config)# key chain [name]	key chain үүсгэх
Router(config-keychain)#key [number]	key  тодорхойлох үүсгэх
Router(config-keychain-key)# key-string [password]	Аuthentication string тодорхойлох
Router(config-if)#ip rip authentication mode{ text | md5 }	RIP authentication нь текст дэмждэг.Мөн md5 сонгож болно.

Команд	Тайлбар
Router(config)#Router bgp autonomous-system	BGP process тодорхойлох
Router(config-router)#neighbors {ip address | peer-group} password password-string	Peer-to-peer холболт дээр authentication хийх password тодорхойлох

• Дээрх дурьдсан замчлалын протоколуудын хэрэглээ
• Өөр замчлалын мэдээлэл байж болзошгүй үед
• Буруу замчлалын мэдээлэл авсанаар сүлжээ аюулд орох болно
• Аль хэдийн хөрш болсон байхад хөршийн баталгаажуулалт хийнэ.

Router—үүд нь хөршөө танихдаа түлхүүрээ дундаа адидлтган танилт хийх ёстой. Энэ нь замчлагч түлхүүрээ таних боломж олгодог. Зарим нэг протоколууд нь олон төрлийн түлхүүр ашигладаг. ( түлхүүрийн дугаараар нь ялгадаг.)

Алхам 1: Замчлалын шинэчлэлийн мэдээлийг хөрш рөүтерт түлхүүрийн дугаараар дамжуулан мэдээллээ өгдөг. Нэг л түлхүүр байж болно.

Алхам 2: Хүлээн авагч нь өөр дээр байгаа түлхүүрийн дугаарыг эсрэг талын замчлагчийн түлхүүрийн дугаартай тулгаж шалгана.

Алхам 3: Хоёр түлхүүр нь нийцсэн бол, хүлээн авагч нь замчлагчийн замчлалын мэдээллийн багцыг хүлээн авна. Харин түлхүүр таарахгүй бол замчлалын мэдээлийг хүлээн авахгүй.

Key chain хэрэглэснээр илүү нууцлалтай болно. Энэ нь өгөгдлийг encrypt хийж чадахгүй, ялгаатай түлхүүрийн дугаарлалт ашигладаг. Олон key тодорхойлж өгч болно.Мөн key нь Cisco IOS хувилбарын төхөөрөмж дээр амьдрах хугацааг тодорхойлж өгч болдог.

Hashing authentication

• MD5
• SHA

Hashing ажиллагаа

Алхам 1. Замчлагч дээр тохируулсан түлхүүрийн тусламжтайгаар hash алгоритм замчлалын мэдээлэл дээр ажиллаж hash digest-ийг үүсгээд замчлалын мэдээлэлд оруулан хөрш замчлагч руу дамжуулна.

Алхам 2. Хөрш нь замчлалын мэдээллийг хүлээж аваад мөн замчлалын мэдээлэл дээр өөрийн түлхүүрийн ашиглан hash digest-ийг үүсгэнэ.

Алхам 3. Хэрэв өөрийн үүсгэсэн hash digest-тай хүлээн авсан hash digest тохирч байвал замчлалын мэдээллийг хүлээн авна.

MD5 authentication

MD5 authentication нь цэвэр эх текстний өндөр түвшний нууцлалаар хангадаг.

• OSPF (Open shortest path protocol)
• EIGRP (Enhanced interior gateway routing protocol)
• BGP ( Border gateway protocol)
• RIPv2 (Routing information protocol)

ipv6 unicast-routing key chain MYCHAIN key 1 key-string cisco123 interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Loopback1 no ip address ipv6 address 2001:DB8:FEED:2::2/64 ipv6 enable ipv6 ospf 100 area 0 ! interface Serial1/0 ip address 10.10.1.13 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN ! interface Serial1/1 ip address 10.10.1.5 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ! interface Serial1/2 ip address 10.10.1.1 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ipv6 address 2001:DB8:CAFE:1::2/64 ipv6 enable ipv6 ospf 100 area 0 ipv6 ospf authentication ipsec spi 500 md5 ABCDEF1234567890ABCDEF1234567890 ! router eigrp 1 redistribute ospf 1 metric 1544 1000 10 255 1500 network 1.1.1.1 0.0.0.0 network 10.10.1.12 0.0.0.3 no auto-summary ! router ospf 1 area 0 authentication message-digest redistribute eigrp 1 subnets network 1.1.1.1 0.0.0.0 area 0 network 10.10.1.0 0.0.0.3 area 0 network 10.10.1.4 0.0.0.3 area 0 ! ipv6 router ospf 100 router-id 1.1.1.1

key chain MYCHAIN key 1 key-string cisco123 interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface Loopback1 ip address 192.168.1.2 255.255.255.0 ! interface Serial1/0 ip address 10.10.1.14 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN serial restart-delay 0 ! router eigrp 1 network 2.2.2.2 0.0.0.0 network 10.10.1.12 0.0.0.3 no auto-summary ! router bgp 65000 no synchronization bgp log-neighbor-changes network 192.168.1.0 neighbor 5.5.5.5 remote-as 65000 neighbor 5.5.5.5 password 1 cisco neighbor 5.5.5.5 update-source Loopback0 no auto-summary !

key chain MYRIPCHAIN key 1 key-string cisco12345 ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Serial1/0 ip address 10.10.1.10 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/1 ip address 10.10.1.6 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/2 ip address 10.10.1.22 255.255.255.252 ip rip authentication mode md5 serial restart-delay 0 ! router ospf 1 log-adjacency-changes area 0 authentication message-digest redistribute rip metric 5000 subnets network 3.3.3.3 0.0.0.0 area 0 network 10.10.1.4 0.0.0.3 area 0 network 10.10.1.8 0.0.0.3 area 0 ! router rip version 2 redistribute ospf 1 metric 5 network 3.0.0.0 network 10.0.0.0 no auto-summary !

ipv6 unicast-routing ! key chain MYCHAIN1 key 1 key-string cisco123 ! interface Loopback0 ip address 4.4.4.4 255.255.255.255 ! interface Loopback1 no ip address ipv6 address 2001:DB8:FEED:1::2/64 ipv6 enable ipv6 ospf 100 area 0 ! interface Serial1/0 ip address 10.10.1.9 255.255.255.252 ip ospf message-digest-key 1 md5 cisco serial restart-delay 0 ! interface Serial1/1 ip address 10.10.1.17 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN1 serial restart-delay 0 ! interface Serial1/2 ip address 10.10.1.2 255.255.255.252 ip ospf message-digest-key 1 md5 cisco ipv6 address 2001:DB8:CAFE:1::1/64 ipv6 enable ipv6 ospf 100 area 0 ipv6 ospf authentication ipsec spi 500 md5 ABCDEF1234567890ABCDEF1234567890 serial restart-delay 0 ! router eigrp 1 redistribute ospf 1 metric 1544 1000 10 255 1500 network 4.4.4.4 0.0.0.0 network 10.10.1.16 0.0.0.3 no auto-summary ! router ospf 1 log-adjacency-changes area 0 authentication message-digest redistribute eigrp 1 subnets network 4.4.4.4 0.0.0.0 area 0 network 10.10.1.0 0.0.0.3 area 0 network 10.10.1.8 0.0.0.3 area 0 ! ipv6 router ospf 100 router-id 4.4.4.4 log-adjacency-changes

key chain MYCHAIN1 key 1 key-string cisco123 ! interface Loopback0 ip address 5.5.5.5 255.255.255.255 ! interface Loopback1 ip address 192.168.2.2 255.255.255.0 ! interface Serial1/1 ip address 10.10.1.18 255.255.255.252 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 MYCHAIN1 serial restart-delay 0 ! router eigrp 1 network 5.5.5.5 0.0.0.0 network 10.10.1.16 0.0.0.3 no auto-summary ! router bgp 65000 no synchronization bgp log-neighbor-changes network 192.168.2.0 neighbor 2.2.2.2 remote-as 65000 neighbor 2.2.2.2 password 1 cisco neighbor 2.2.2.2 update-source Loopback0 no auto-summary

key chain MYRIPCHAIN key 1 key-string cisco12345 ! interface Loopback0 ip address 6.6.6.6 255.255.255.255 ! interface Serial1/2 ip address 10.10.1.21 255.255.255.252 ip rip authentication mode md5 serial restart-delay 0 ! router rip version 2 network 6.0.0.0 network 10.0.0.0 no auto-summary

PC1 : 192.168.1.10 255.255.255.0 gateway 192.168.1.1

PC1 : 192.168.2.10 255.255.255.0 gateway 192.168.2.1

CCNP Routing and Switching book

CCNA Routing and Switching book

J.IN12D029 Л.Мөнх-Эрдэнэ