使用EIGRP認(rèn)證機(jī)制保護(hù)路由安全

在部署路由協(xié)議的過(guò)程中，可能會(huì)出現(xiàn)一些惡意攻擊者，其會(huì)偽裝成網(wǎng)路中的合法用戶，并開(kāi)啟使用相關(guān)路由協(xié)議的路由器，之后和網(wǎng)絡(luò)建立關(guān)聯(lián)（例如連接到某條網(wǎng)線上等），向網(wǎng)絡(luò)傳送一些錯(cuò)誤的路由信息來(lái)破壞正常的路由表。為了防止出現(xiàn)這種情況，可以在網(wǎng)絡(luò)中路由協(xié)議之間的認(rèn)證機(jī)制，從而有效防止錯(cuò)誤路由來(lái)破壞正常的路由表，并忽略一些惡意的路由更新。

EIGRP的MD5認(rèn)證過(guò)程

對(duì)于EIGRP協(xié)議，只能使用安全的MD5認(rèn)證機(jī)制。此外，在EIGRP協(xié)議中對(duì)于MD5認(rèn)證功能進(jìn)行了優(yōu)化，在其中添加了一個(gè)KEY值（密鑰）。

例如當(dāng)路由器R1向路由器R2發(fā)送一段路由信息或EIGRP數(shù)據(jù)包，R1需要對(duì)該數(shù)據(jù)進(jìn)行認(rèn)證的計(jì)算，同時(shí)R2在接收后會(huì)對(duì)其進(jìn)行校驗(yàn)。具體過(guò)程是R1會(huì)使用一個(gè)Key密鑰對(duì)EIGRP數(shù)據(jù)包進(jìn)行哈希計(jì)算，得到一個(gè)驗(yàn)證碼，該驗(yàn)證碼不僅包含EIGRP數(shù)據(jù)包的哈希值，還結(jié)合了一個(gè)Key值。注意，在該認(rèn)證碼中是不包含Key的密鑰信息的。該驗(yàn)證碼和路由器信息被整合在一起發(fā)送給R2，其一為EIGRP的數(shù)據(jù)包，其二為認(rèn)證信息。R2不能將EIGRP數(shù)據(jù)包直接接收并放入拓?fù)浔恚仨毰袛嗥涫欠窈戏ǎ湟粸槭欠駷榭尚诺脑窗l(fā)送過(guò)來(lái)的，其二其內(nèi)容是否完整，在傳遞過(guò)程中是否被篡改過(guò)。

R2會(huì)結(jié)合自己所掌握的Key密鑰，通過(guò)MD5的哈希函數(shù)對(duì)該EIGRP數(shù)據(jù)包進(jìn)行計(jì)算，得到對(duì)應(yīng)校驗(yàn)信息。注意，MD5認(rèn)證機(jī)制對(duì)于路由信息是不加密的，其僅僅讓接收方來(lái)判斷其是否可靠。對(duì)于EIGRP認(rèn)證的Key來(lái)說(shuō)，如果兩臺(tái)路由器的Key是一致的，兩者就可以通過(guò)MD5認(rèn)證機(jī)制來(lái)認(rèn)證所有的EIGRP數(shù)據(jù)包，同時(shí)保持兩者是可信任的。……