RIP2认证--防止路由欺骗和错误路由注入
认证一般加载到边界接口上,内部一般是安全的。
实验步骤:
1、定义key chain(密钥链)--只在本地有意义
2、定义key值(密钥编号)
3、定义key的密码
4、接口指定认证类型
5、接口调用密钥链


(config)#key chain test   //配置钥匙链
(config-keychain)#key 1  //配置KEY ID (密钥编号
(config-keychain-key)#key-string cisco//配置KEY ID的密钥为cisco
(config)#interface S0/0/0
(config-if)#ip rip authentication key-chain test  //在接口上调用钥匙链
(config-if)#ip rip  triggered  //在接口上启用触发更新
#show ip protocols
//由于触发更新,显示 hold down 0。
 Default version control; send version 2, receive version 2
    Interface             Send  Recv  Triggered RIP  Key-chain
    Serial0/0/0             2     2      Yes          teset
    Serial0/0/1             2     2      Yes          teset
//以上两行表明s0/0/0和s0/0/1接口启用了认证和触发更新
实验调试:
    打开debug ip rip,但是由于采用触发更新,所以并没有看到每30 s更新一次的信息,而是清除了路由表这件事件解发了路由更新,而且所有的更新中都有”triggered”的字样,同时在接收的更新中带有”text authentication”字样,证明接口s0/0/0和s0/0/1启用了触发更新和明文认证。
MD5认证
//关于MD5认证,只需在接口下声明认证模式为MD5即可。
(config)#key chain test  //定义钥匙链
(config-keychain)#key 1
(config-keychain-key)#key-string cisco
(config)#interface s0/0/0
(config-if)#ip rip authentication  mode md5  //声明加密模式
(config-if)#ip rip authentication key-chain test //启用


注意:
1、在以太网接口下,不支持触发更新
2、触发更新需要协商,链路两端都需要配置;
3、在认证的过程中,如果定义了多个KEY ID ,明文认证和MD5认证的匹配原则是不一样的。
A·明文认证的匹配原则
*发送方发送最小KEY I的密钥;
*不携带KEY ID 号码;
*接收方和所有KEY CHAIN中的密钥匹配,如果匹配成功,在认证通过。
B·MD5认证的匹配原则
*发送方发送最小KEY ID的密钥;
*携带KEY id号码;
*接收方首先会查找是否有相同的KEY ID,如果有,只匹配一次,决定认证是否成功。如果没有该KEY ID ,只向下查找下一跳:若匹配,在认证成功;若不匹配,则认证失败。