关于eigrpMD5认证中key id有趣的现象

 关于eigrpMD5认证中key id有趣的现象

首先给出拓扑图：

 

如图中给出的key chain，我们配置完后R0与R1之间是会形成邻接关系的。

当然我们先分别给出各自的基本配置：

R0:         

key chain 10

 key 1

  key-string ccnp

 key 2

  key-string ccnp

interface Loopback0

 ip address 10.2.0.2 255.255.255.0

interface Serial0/0

 ip address 192.168.1.1 255.255.255.0

 ip authentication mode eigrp 100 md5

 ip authentication key-chain eigrp 100 10

 router eigrp 100

 network 10.2.0.0 0.0.255.255

 network 192.168.1.0

 no auto-summary

R1:

key chain 10

 key 1

  key-string ccnp

  accept-lifetime 00:38:50 Mar 1 2002 infinite

 key 2

  key-string ccnp

interface Loopback0

 ip address 10.1.0.1 255.255.255.0

!

interface Serial0/0

 ip address 192.168.1.2 255.255.255.0

 ip authentication mode eigrp 100 md5

 ip authentication key-chain eigrp 100 10

 serial restart-delay 0

router eigrp 100

 network 10.1.0.0 0.0.255.255

 network 192.168.1.0

 no auto-summary

然后面是我们需要注意的地方，当我们将R0中的key 1去掉以后，R0将不能与R1形成邻接关系，用命令show ip ei neighbor将看不到R1,但是在R1中用sh ip ei neighbor 确实可以看到R0的，这是为什么呢？实验的有趣之处就出现了。

我们用debug ei packets分别查看R0与R1，记住，是在no掉R0的key 1前提下，现象如下：

R0:

 

由此现象可以看出R0从s0/0收到R1的key1，但是本地没有key1，所以认证不成功。

R1：

可见R1收到R0发过来的key 2的认证，R1首先查自己的key chain 10中的key，从key1开始，key1因为key id不匹配，所以找key2，然后匹配就形成邻接了。然后在邻居表中就会存在R0。这就是为什么R0中邻居表中没有R1，但R1的邻居表中却有R0的原因。

同样在配置key的send-time的时候也该注意，相同key的send-time的结束时间最好相差不是太多，不然当某一方因为时间到期而失效后，而另外一方却还有很长寿命的时候，该方将不能与另一方建立邻居关系，而另一方的邻居表中却有该方，原因同上。