1.实验目的
通过本实验可以掌握:
①RIPv2 明文认证的配置和匹配原则;
②RIPv2 MD5 认证的配置和匹配原则;
③RIPv2 触发更新。
2.拓扑结构
3.实验步骤
(1)步骤1:配置路由器R1配置IP地址(省略)
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.12.0
R1(config-router)#network 1.1.1.0
R1(config)#key chain ccna //配置钥匙链
R1(config-keychain)#key 1 //配置KEY ID
R1(config-keychain-key)#key-string ccnp //配置KEY ID 的密匙
R1(config)#interface s1/0
R1(config-if)#ip rip authentication mode text
//启用认证,认证模式为明文,默认认证模式就是明文,所以也可以不用指定
R1(config-if)#ip rip authentication key-chain ccna //在接口上调用钥匙链
R1(config-if)#ip rip triggered //在接口上启用触发更新
步骤2:配置路由器R2配置IP地址(省略)
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 192.168.13.0
R2(config-router)#network 192.168.12.0
(2)步骤2:配置路由器R2
R2(config)#key chain ccna
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string ccnp
R2(config)#interface s0/1
R2(config-if)#ip rip authentication key-chain test
R2(config-if)#ip rip triggered
R2(config)#interface s0/2
R2(config-if)#ip rip authentication key-chain test
R2(config-if)#ip rip triggered
步骤3:配置路由器R3配置IP地址(省略)
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#network 192.168.13.0
R3(config-router)#network 192.168.14.0
(2)步骤3:配置路由器R3
R3(config)#key chain ccna
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string ccnp
R3(config)#interface s0/2
R3(config-if)#ip rip authentication key-chain test
R3(config-if)#ip rip triggered
R3(config)#interface s0/1
R3(config-if)#ip rip authentication key-chain test
R3(config-if)#ip rip triggered
步4:配置路由器R4配置IP地址(省略)
R4(config)#router rip
R4(config-router)#version 2
R4(config-router)#network 4.4.4.0
R4(config-router)#network 192.168.14.0
(4)步骤4:配置路由器R4
R4(config)#key chain ccna
R4(config-keychain)#key 1
R4(config-keychain-key)#key-string ccnp
R4(config)#interface s1/0
R4(config-if)#ip rip authentication key-chain test
R4(config-if)#ip rip triggered
show R2的show ip proctocl,发现hold down 0.说明再链路出现故障之后不用等待30秒,立即发送更新!
关于MD5 认证,只需在接口下声明认证模式为MD5 即可。例如,在R1 上的配置如下:
R1(config)#key chain ccna //定义钥匙链
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string ccnp
R1(config)#interface s1/0
R1(config-if)#ip rip authentication mode md5
R1(config-if)#ip rip authentication key-chain test
在R2、R3、R4上配置相同;(省略)
总结:
①在以太网接口下,不支持触发更新;
②触发更新需要协商,链路的两端都需要配置;
③在认证的过程中,如果定义多个Key ID,明文认证和MD5 认证的匹配原则是不一样的。
A.明文认证的匹配原则
? 发送方发送最小Key ID 的密钥;
? 不携带Key ID 号码;
? 接收方会和所有Key Chain 中的密钥匹配,如果匹配成功,则通过认证。
A.明文认证的匹配
发送方发生最小KeyID 的密钥:
不携带KeyID 号码:
接收方会和所有Key Chain 中的密钥匹配,如果匹配成功,则通过认证。
【实例1】
路由器R1 有1 个Key ID,key1=ccnp
路由器R2 有2 个Key ID,key1=ccie,key2=ccnp
根据上面的原则,R1 认证失败,R2 认证成功。所以,在RIP 中出现单边路由并不稀奇。
B.MD5 认证的匹配原则
? 发送方发送最小Key ID 的密钥;
? 携带Key ID 号码;
? 接收方首先会查找是否有相同的Key ID,如果有,只匹配一次,决定认证是否成功。如果没有该Key ID,只向下
查找下一跳:若匹配,则认证成功;若不匹配,则认证失败。
【实例2】
路由器R1 有3 个Key ID,key1=cisco,key3=ccie,key5=cisco
路由器R2 有1 个Key ID,,key2=cisco
根据上面的原则,R1 认证失败,R2 认证成功。