EIGRP认证

最新推荐文章于 2021-12-28 11:51:58 发布

wengene

最新推荐文章于 2021-12-28 11:51:58 发布

阅读量1.6k

点赞数

分类专栏：网络文章标签： authentication up

网络专栏收录该内容

11 篇文章 0 订阅

订阅专栏

一.实验目的:

1.掌握EIGRP认证的基本配置

2.了解EIGRP认证中KEY_CHAIN 不同也可以认证成功

3.了解EIGRP认证中有多个KEY时,发送认证时只发第一个KEY!而收KEY时,会跟据收到的KEY ID找自己有的相同的KEYID来认证

4.了解EIGRP认证中，有多个KEY时，可以指定在不同的时间发不同的KEY

二.实验拓朴图:

三.实验步骤:

1.如图所示配置好IP,并运行EIGRP,使R1和R2建立好EIGRP邻居

2.EIGRP的MD5认证的基本配置步骤：

在R1上作如下配置：

r1(config)#key chain ccna
r1(config-keychain)#key 1
r1(config-keychain-key)#key-string test
r1(config-keychain-key)#int s0
r1(config-if)#ip authentication key-chain ei 10 ccna
r1(config-if)#ip authentication mode eigrp 10 md5

在R2上作如下配置：

r2(config)#key chain ccna
r2(config-keychain)#key 1
r2(config-keychain-key)#key-string test
r2(config-keychain-key)#int s0
r2(config-if)#ip authentication key-chain ei 10 ccna
r2(config-if)#ip authentication mode ei 10 md5

r2(config-if)#
01:07:46: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.1 (Serial0) is up: new adjacency

配置完后发现邻居重新建起来了!

3.不同KEY CHAIN的配置：

把R1上的作如下修改：

r1(config)#key chain ccna
r1(config-keychain)#key 1
r1(config-keychain-key)#key-st test
r1(config-keychain-key)#int s0
r1(config-if)#ip authentication key-chain ei 10 ccna
01:31:06: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is down: keychain changed
01:31:07: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is up: new adjacency
r1(config-if)#ip authentication mo ei 10 md5
r1(config-if)#
01:31:15: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is down: authentication mode changed
r1(config-if)#
01:32:01: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is up: new adjacency
r1(config-if)#

R2：

r2(config)#key chain ccie
r2(config-keychain)#key 1
r2(config-keychain-key)#key
r2(config-keychain-key)#key-string test
r2(config-keychain-key)#int s0
r2(config-if)#ip au
r2(config-if)#ip authentication ke
r2(config-if)#ip authentication key-chain ei 10 ccie
r2(config-if)#ip au
r2(config-if)#ip authentication mo ei 10 md5
r2(config-if)#
r2(config-if)#
01:33:20: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.1 (Serial0) is up: new adjacency
r2(config-if)#

发现邻居还是可以起来！说明了，KEY CHAIN 不同，也可以认证成功！

4.多个KEY 时的情况：

在R1上加个KEY：

r1(config)#key chain ccna
r1(config-keychain)#key 2
r1(config-keychain-key)#key
r1(config-keychain-key)#key-string test

在R2上去掉KEY 1 加个KEY 2：

r2(config)#key chain ccie
r2(config-keychain)#no key 1
r2(config)#
01:38:28: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.1 (Serial0) is down: Auth failure
r2(config)#key chain ccie
r2(config-keychain)#key 2
r2(config-keychain-key)#key
r2(config-keychain-key)#key-string test
结果发现，R2这边邻居马上DOWN，再看R1上：r1#
01:38:43: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is down: retry limit exceeded
01:38:43: %DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 12.12.12.2 (Serial0) is up: new adjacency

R1对R2认证成功，邻居起来了！此时，R1和R2建立起了单向邻居！因R2对R1认证不成功，没有和R1建立起邻居！！！为什么R1对R2认证成功？因为，R2只有一个KEY 2，R2发KEY 2到R1后，R1找自己的KEY，发现第二个KEY 2能和R2发来的KEY 2认证成功！所以R1和R2建立了邻居；同时，R1有两个KEY，一个KEY 1一个KEY 2，默认情况下，R1只发第一个KEY 1 给R2，R2收到R1发来的KEY 1 后，找不到相同的KEY 1来做认证，所以，R2对R1认证失败，不能建立起邻居！！！

5.指定时间发KEY！

在上面的配置中，我们说过，R1默认只发KEY 1 给R2，导致R2对R1认证失败！那我们在上面的基础上做如下的配置：

r1(config)#key chain ccna
r1(config-keychain)#key 2
r1(config-keychain-key)#send-lifetime 16:06:00 Mar 5 2009 infinite

r2(config)#key chain ccie
r2(config-keychain)#key 2
r2(config-keychain-key)#acc
r2(config-keychain-key)#accept-lifetime 16:07:00 Mar 5 2009 infinite

这个意思就是说叫R1发KEY 2给R2，叫R2接收R1发来的KEY 2！！！按常理，此时，R2对R1认证应该能成功，但结果发现：

r2#
06:53:02: EIGRP: Sending HELLO on Serial0
06:53:02: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
06:53:03: EIGRP: pkt authentication key id = 1, key not defined or not live
06:53:03: EIGRP: Serial0: ignored packet from 12.12.12.1, opcode = 1 (invalid authentication)
r2# R1发的还是KEY 1 ！！！是哪里出问题了呢？

后来，在R1上做了这个配置：

r1(config)#key chain ccna
r1(config-keychain)#key 1
r1(config-keychain-key)#send-lifetime 16:30:00 Mar 5 2009 infinite

做完后，不久，R2就和R1建立起邻居了！！！再DEBUG 一看：

r2#
06:53:37: EIGRP: received packet with MD5 authentication, key id = 2
06:53:37: EIGRP: Received HELLO on Serial0 nbr 12.12.12.1
06:53:37: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0
r2# 发现R1现在发的是KEY 2 了！由此说明，我们只定义R1在某时间发第二个KEY，还不行，还得定义R1在什么时候发第一个KEY！，而且，得定义发第二个KEY 的时间应该比发第一个KEY的时间早！！！

四.实验总结：

1.通过实验我们知道了EIGRP认证的基本配置，首先配置KEY CHAIN，接着定义KEY ID，再接着定义KEY-STRING，然后到接口模式下引用KEY CHAIN，最后，在接口模式下把EIGRP的MD5认证功能打开！

2.通过实验，我们知道了KEY CHAIN 不同，只要KEY ID和KEY-STRING相同，也可以认证成功！

3.通过实验，我们知道了，如何在指定的时间里发不同的KEY ID！KEY 1 也要指定时间！否则不会发指定的KEY ID ！

wengene

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
2
评论
EIGRP认证

 一.实验目的: 1.掌握EIGRP认证的基本配置 2.了解EIGRP认证中KEY_CHAIN 不同也可以认证成功 3.了解EIGRP认证中有多个KEY时,发送认证时只发第一个KEY!而收KEY时,会跟据收到的KEY ID找自己有的相同的KEYID来认证 4.了解EIGRP认证中，有多个KEY时，可以指定在不同的时间发不同的KEY 二.实验拓朴图: 三.实验步骤: 1.如图所示配置好IP,并运行EIGRP
复制链接

扫一扫