《RIP认证配置命令》由会员分享,可在线阅读,更多相关《RIP认证配置命令(2页珍藏版)》请在金锄头文库上搜索。
1、RIP 认证实验http:/ 认证第一步:定义密码库R2(config)#key chain R2 (本地有效,两端可以不相同)R2(config-keychain)#key 1 (建议两端一致)(可以定义多个 KEY值,按从小到大的顺序进行匹配,发送 KEY值时也是发送最小的一个,还可以设定 KEY值的有效时间。)R2(config-keychain-key)#key-string cisco第二步:在接口下应用密码库R2(config-if)#ip rip authentication key-chain R2第三步:在接口下指定认证模式R2(config-if)#ip rip authe
2、ntication mode md5|text R1#show key chain R1#debug ip rip 认证必须是在双方都配置的情况下,才能认证的.如果一台配置,一台不配置,结果两台都不能学到对方的路由.=如果 R1,R2 都配置了明文认证,则使用认证原则:明文认证的匹配原则:1.发送方(被认证方)将 key chain中 key ID最小的密码以明文的方式(不携带 key ID)发送给接收方(主认证方).2.接收方(主认证方)会和被调用 key chain中的所有密码进程匹配,如果匹配成功,则认证通过如果双方都通过认证,R1,R2 可以相互学到对方的路由.也有可能 R2通过 R1
3、的认证,但是 R1没有通过 R2的认证,那么 R1可以学习到 R2的路由,但 R2学习不到 R1的路由.=MD5R2配置了 MD5认证,但 R1没有配置任何认证,这时,R1 与 R2都学不到对方的路由.只有当双方都配置了 MD5认证时,才能相互学到对方的路由.R1-R2key1=ccie key1=cciekey2=ccnp两台路由器都有路由,都可以通过认证=key1=ccie key2=ccieR1能通过 R2的认证,所以 R2上能学到 R1的路由;R2 不能通过 R1的认证,所以 R1上学不到 R2的路由。=key2=ccie key1=ccie结果与上面的相反:R1不能通过 R2的认证,
4、所以 R2上学不到 R1的路由;但 R2可以通过 R1的认证,所以 R1上能学到 R2的路由。=key1=ccie key2=ccnakey3=ccnakey4=ccnpR1不能通过 R2的认证,所以 R2上学不到 R1的路由R2能通过 R1的认证,所以 R1上能学到 R2的路由(如果将 R1的 key3改为 ccnp,key4 改为 ccna,那么:R1不能通过 R2的认证,所以 R2上学不到 R1的路由R2也不能通过 R1的认证,所以 R1上也学不到 R2的路由)=k2=ccie key1=cciek3=ccnp key2=ccnpk5=ccna key3=ccieR1不能通过 R2的认证,所以 R2上学不到 R1的路由R2能通过 R1的认证,所以 R1上能学到 R2的路由规则:路由器只会将它的最小 key id及密码发送到对方进行认证,并且携带 key id.对方接收时:如果有 key id匹配,则检查密码,相同,则通过认证,不同,则认证失败.如果没有 key id匹配,则向下查找一次大的 key ID的密码,如果密码相同,则通过认证,不同,则认证失败.
