EIGRP信息认证配置示例.PDFVIP

EIGRP信息认证配置示例 目录 简介 先决条件 要求 使用的组件 网络图 规则 背景信息 配置 EIGRP 消息认证 在 Dallas 上创建密钥链 在 Dallas 上配置认证 配置 Fort Worth 配置 Houston 验证 仅配置 Dallas 时的消息 配置所有路由器时的消息 故障排除 单向链路 相关信息 简介 本文档说明了如何将消息认证添加到增强的内部网关路由选择协议 (EIGRP) 路由器，并保护路由表 免受蓄意或意外损坏。 您的路由器的 EIGRP 消息增加了认证内容，确保您的路由器只接受了解同一预共享密钥的其他路 由器的路由信息。在未配置此认证的情况下，如果有用户将其他包含不同或冲突的路由信息的路由 器引入网络，则可能损坏路由器上的路由表，并可能随之产生拒绝服务攻击。因此，当您将认证添 加到在您的路由器之间发送的 EIGRP 消息中时，它可防止有人有意或无意将另一个路由器添加到 网络，并引起问题。 警告： 当 EIGRP 消息认证添加到路由器的接口时，该路由器停止接收来自其对等体的路由消息 ，直到它们也配置消息认证。这的确中断了您网络上的路由通信。有关详细信息，请参阅仅配置 Dallas 时的消息。 先决条件 要求 必须正确配置所有路由器上的时间。有关详细信息，请参阅配置 NTP。 推荐一个工作 EIGRP 配置。 使用的组件 本文档中的信息基于 Cisco IOS® 软件版本 11.2 及以上。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 网络图 本文档使用以下网络设置： 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 在这种情况下，网络管理员要在 Dallas 的中心路由器与 Fort Worth 和 Houston 的远程站点之间配 置 EIGRP 消息认证。EIGRP 配置（无认证）已在所有的三个路由器上完成。此示例输出来自 Dallas： Dallas#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq Type (sec) (ms) Cnt Num 1 192.169.1.6 Se0/0.2 11 15:59:57 44 264 0 2 0 192.169.1.2 Se0/0.1 12 16:00:40 38 228 0 3 Dallas#show cdp neigh Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Houston Ser 0/0.2 146 R 2611 Ser 0/0.1 FortWorth Ser 0/0.1 160 R 2612 Ser 0/0.1 配置 EIGRP 消息认证 EIGRP 消息认证的配置包含两个步骤： 1. 密钥链和密钥的创建。 2. 使用该密钥链和密钥的 EIGRP 认证配置。 本部分说明了先在 Dallas 路由器上，然后在 Fort Worth 和 Houston 路由器上配置 EIGRP 消息认证 的步骤。 在 Dallas 上创建密钥链 路由认证依靠密钥链上的一个密钥起作用。在可以启用认证之前，必须创建一个密钥链和至少一个 密钥。 1. 进入全局配置模式。 Dallas#configure terminal 2. 创建密钥链。此示例中使用 MYCHAIN。 Dallas(config)#key chain MYCHAIN 3. 指定密钥编号。此示例中使用 1。注意： 建议密钥编号在配置涉及的所有路