RIP支持两种认证方式:
1、明文认证
2、md5认证
第一步:定义密码库
R2(config)#key chain R2 (本地有效,两端可以不相同)
R2(config-keychain)#key 1 (建议两端一致)(可以定义多个KEY值,按从小到大
的顺序进行匹配,发送KEY值时也是发送最小的一个,还可以设定KEY值的有效时间
。)
R2(config-keychain-key)#key-string cisco
第二步:在接口下应用密码库
R2(config-if)#ip rip authentication key-chain R2
第三步:在接口下指定认证模式
R2(config-if)#ip rip authentication mode [md5|text]
R1#show key chain
R1#debug ip rip
认证必须是在双方都配置的情况下,才能认证的.如果一台配置,一台不配置,结果两
台都不能学到对方的路由.
==============================================================
如果R1,R2都配置了明文认证,则使用认证原则:
明文认证的匹配原则:
1.发送方(被认证方)将key chain中key ID最小的密码以明文的方式(不携带key ID)
发送给接收方(主认证方).
2.接收方(主认证方)会和被调用key chain中的所有密码进程匹配,如果匹配成功,
则认证通过.
如果双方都通过认证,R1,R2可以相互学到对方的路由.
也有可能R2通过R1的认证,但是R1没有通过R2的认证<<R1有多个key,而R2只有一个
key,R1的最小key不能与R2的key匹配,但R2的key可以与R1的其中一个key(不是最小
的key)相匹配>>,那么R1可以学习到R2的路由,但R2学习不到R1的路由.
==============================================================
MD5
R2配置了MD5认证,但R1没有配置任何认证,这时,R1与R2都学不到对方的路由.
只有当双方都配置了MD5认证时,才能相互学到对方的路由.
R1---------------------R2
key1=ccie key1=ccie
key2=ccnp
两台路由器都有路由,都可以通过认证
========================================
key1=ccie key2=ccie
R1能通过R2的认证,所以R2上能学到R1的路由;R2不能通过R1的认证,所以R1上学
不到R2的路由。
========================================
key2=ccie key1=ccie
结果与上面的相反:
R1不能通过R2的认证,所以R2上学不到R1的路由;但R2可以通过R1的认证,所以R1
上能学到R2的路由。
========================================
key1=ccie key2=ccna
key3=ccna
key4=ccnp
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
(如果将R1的key3改为ccnp,key4改为ccna,那么:
R1不能通过R2的认证,所以R2上学不到R1的路由
R2也不能通过R1的认证,所以R1上也学不到R2的路由)
========================================
k2=ccie key1=ccie
k3=ccnp key2=ccnp
k5=ccna key3=ccie
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
规则:
路由器只会将它的最小key id及密码发送到对方进行认证,并且携带key id.
对方接收时:
如果有key id匹配,则检查密码,相同,则通过认证,不同,则认证失败.
如果没有key id匹配,则向下查找一次大的key ID的密码,
如果密码相同,则通过认证,不同,则认证失败.