各类路由协议的认证总结.pdfVIP

各类路由协议认证情况总结 【技术要点】 RIP 认证规则 在认证的过程中，如果定义多个key ID，明文认证和MD5 认证的匹 配原则是不一 样的： ① 明文认证的匹配原则是： A. 发送方发送最小Key ID 的密钥 B. 不携带Key ID 号码 C. 接收方会和所有 Key Chain 中的密钥匹配，如果匹配成功，则通 过认证。 ② MD5 认证的匹配原则是： A. 发送方发送最小Key ID 的密钥 B. 携带Key ID 号码 C. 接收方首先会查找是否有相同的 Key ID，如果有，只匹配一次， 决定认证是否成功。如果没有该Key ID，只向下查找下一跳，匹配， 认证成功；不匹配，认证失败。 ＜RIP v2 Authentication＞ R2(config)#key chain R2 （定义一个钥匙链，本地有效） R2(config-keychain)#key 1 （建议两端一致）(可以定义多个KEY， 按从小到大的顺序进行匹配，发送KEY值时也是发送最小的一个，还 可以设定KEY值的有效时间。) R2(config-keychain-key)#key-string cisco R2(config-if)#ip rip authentication key-chain R2 （在接 口上调用钥匙链） R2(config-if)#ip rip authentication mode [md5|text] （可以 选择是MD5的还是明文的认证） R1#show key chain R1#debug ip rip RIP 中每一个路由更新最大可包含25 条路由,做了明文认证后只能包 含24 条，做了MD5 认证后只能包含23 条。 【技术要点】 EIGRP 认证 EIGRP 认证时，需要双方密码相同，并且号码相同，才能建立邻居， 而且必须是双方最上面的一组密码相同才可以。 注：有的文档会提示EIGRP 不用号码匹配也能建立邻居，所以不排除 某些IOS 版本可能是那样，但是为了保险起见，请一定保证双方第一 组号码和密码相同，否则结果不能保证。 命令： ＜EIGRP Authentication＞仅支持MD5,不支持明文认证 R2(config)#key chain R2 （本地有效）定义KEY 库名为R2 R2(config-keychain)#key 1 （两端一致）定义KEY 号为1 R2(config-keychain-key)#key-string cisco 定义KEY 值为cisco R2(config-if)#ip authentication key-chain eigrp 90 R2 指定使用哪个库 R2(config-if)#ip authentication mode eigrp 90 md5 开启认证 【技术要点】 OSPF 认证 密码要一致 认证分为两种情况，一种情况是直连接口的认证，与RIP,EIGRP 认证 类似，一种是基于某个区域的认证，凡是在这个区域的接口都要认证， 一次性开启，要注意区分。 命令： 直连链路认证：同一链路上的路由器之间，在接口下做 R1(config-router)#int s1 R1(config-if)#ip ospf authentication-key sovand （相当于key-string ） （配明文密码） R1(config-if)#ip ospf authentication （启动明文认证） R1(config-if)#ip ospf message-digest-key 1 md5 sovand （key 号）（MD5 加密）（key 内容） R1(config-if)#ip ospf authentication message-digest （启动密文认证） 注意：在 MD5 验证中，两边的 KEY 号必须一致，哈希时会用到KEY 号 Area 认证：进程下启动认证，接口下配密码 R1(config-router)#area 0 auth