RIPv2认证

RIP2认证--防止路由欺骗和错误路由注入
认证一般加载到边界接口上，内部一般是安全的。
实验步骤：
1、定义key chain（密钥链）--只在本地有意义
2、定义key值（密钥编号）
3、定义key的密码
4、接口指定认证类型
5、接口调用密钥链

(config)#key chain test   //配置钥匙链
(config-keychain)#key 1  //配置KEY ID （密钥编号
(config-keychain-key)#key-string cisco//配置KEY ID的密钥为cisco
(config)#interface S0/0/0
(config-if)#ip rip authentication key-chain test  //在接口上调用钥匙链
(config-if)#ip rip  triggered  //在接口上启用触发更新
#show ip protocols
//由于触发更新，显示 hold down 0。
 Default version control; send version 2， receive version 2
    Interface             Send  Recv  Triggered RIP  Key-chain
    Serial0/0/0             2     2      Yes          teset
    Serial0/0/1             2     2      Yes          teset
//以上两行表明s0/0/0和s0/0/1接口启用了认证和触发更新
实验调试：
    打开debug ip rip，但是由于采用触发更新，所以并没有看到每30 s更新一次的信息，而是清除了路由表这件事件解发了路由更新，而且所有的更新中都有”triggered”的字样，同时在接收的更新中带有”text authentication”字样，证明接口s0/0/0和s0/0/1启用了触发更新和明文认证。
MD5认证
//关于MD5认证，只需在接口下声明认证模式为MD5即可。
(config)#key chain test  //定义钥匙链
(config-keychain)#key 1
(config-keychain-key)#key-string cisco
(config)#interface s0/0/0
(config-if)#ip rip authentication  mode md5  //声明加密模式
(config-if)#ip rip authentication key-chain test //启用

注意：
1、在以太网接口下，不支持触发更新
2、触发更新需要协商，链路两端都需要配置；
3、在认证的过程中，如果定义了多个KEY ID ，明文认证和MD5认证的匹配原则是不一样的。
A·明文认证的匹配原则
*发送方发送最小KEY I的密钥；
*不携带KEY ID 号码；
*接收方和所有KEY CHAIN中的密钥匹配，如果匹配成功，在认证通过。
B·MD5认证的匹配原则
*发送方发送最小KEY ID的密钥；
*携带KEY id号码；
*接收方首先会查找是否有相同的KEY ID，如果有，只匹配一次，决定认证是否成功。如果没有该KEY ID ，只向下查找下一跳：若匹配，在认证成功；若不匹配，则认证失败。