此实验前面小实验
实验
3
:
rip v2
的认证
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1、
清除以前的配置
2、
为方便配置,R1和R2之间使用明文,R3和R4之间使用MD5。都只使用串口。
R1(config)#key chain test
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)#int s1/1
R1(config-if)#ip rip authentication key-chain test
R1(config-if)#ip rip authentication mode text
R2的配置除应用于接口为s1/0外,其余与R1相同。
在R2上show看是否收到<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.1.1.0/24的路由。
R3与R4之间使用MD5认证,R3的配置:
R3(config)#key chain test
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string cisco
R3(config-keychain-key)#exit
R3(config-keychain)#int s1/1
R3(config-if)#ip rip authentication key-chain test
R3(config-if)#ip rip authentication mode md5
R4除应用于接口s1/0外,其余与R3相同。
3、
额外:使用key chain进行配置,并且可以配置多个key,那么匹配的机制是什么?
RIP明文认证匹配原则:
-发送方发送最小KeyID的密钥
-不携带KeyID号码
-接收方会和所有KeyChain中的密钥中匹配,如果匹配成功,则通过认证。
可能出现单边认证成功,而另一边认证不成功,如:r1有key 1=cisco,r2有key 1=ccie,key 2=cisco.则R1认证失败,因为它收到来自R2的密钥为ccie与它所有的密钥不匹配。R2认证成功,因为R1发送的cisco与R2的key2匹配成功
RIP MD5认证匹配原则:
-发送方发送最小Key ID的密钥;
-携带Key ID号码;
-接收方首先会查找是否有相同的Key ID,如果有,只匹配一次,决定是否成功。如果没有该KEY,只向下查找下一个ID号:若匹配,则认证成功;若不匹配,则认证失败。如:R1有key 1=cisco,key3=ccie,key5=cisco R2有1个key2=cisco,R1认证失败,R2认证成功。
这些实验很容易实现,就不做了,大家自己试试。
注:虽然Eigrp也使用KeyChain进行配置,但它在做md5时将keyid也一起包含进去,所以keyid和key-string必须完全匹配才能认证成功!
转载于:https://blog.51cto.com/hyhgd/204619
扫一扫
1425
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
