242 第5章 MPLS VPN骨干网安全防护
居路由器之间在交换路由更新消息时,hash值会附着于其一并交换,这便确保了未经授权的数据包嗅探行为无法“弄到”路由协议认证密钥1。
注意:执行路由协议认证时,启用MD5认证是服务提供商应当奉行的铁律。因此,本章后文所有示例都将围绕MD5认证展开讨论。 5.2.1 PE和CE间认证
本节会举一个在PE/CE互连电路上,启用动态路由协议的MD5认证实例。显而易见,只要在PE/CE互连电路上互指静态路由,服务提供商就能严控注入VRF路由表的路由,因此认证便是画蛇添足。
本节所举示例,仍基于读者已经熟悉的SuperCom网络,如图5-3所示。在FastFoods和EuroBank CE路由器上,配置动态路由协议与SuperCom PE路由器建立连通性。EuroBank和FastFoods分别用RIPv2和OSPF作为PE/CE路由协议。
SuperCom为保障其骨干网设备与CE路由器之间控制层面协议的安全性,针对FastFoods和EuroBank所使用的路由协议启用了MD5认证功能。接下来,会细谈如何在邻居路由器间启用路由协议认证功能。
1.EuroBank RIPv2认证
例5-4所示为在连接EuroBank CE路由器的PE路由器上,开启RIPv2认证的配置。
图5-3 在SuperCom网络中运行PE/CE路由协议
译者注:以上两句原文是“Plain text, as the name implies, sends the authenticating key as a clear text transmission over the circuit. MD5 does not send the key; instead, it creates a message digest by using the key and the message as a hash to MD5. The resulting message digest is then exchanged among neighbors, which ensures that the key cannot be learned through unauthorized monitoring”。译文酌改,如有不妥,请指正。
1
5.2.1 PE和CE间认证[共3页]
