RIP认证实验
2009-04-29 01:11
609 查看
RIP支持两种认证方式:
1、明文认证
2、md5认证
第一步:定义密码库
R2(config)#key chain R2 (本地有效,两端可以不相同)
R2(config-keychain)#key 1 (建议两端一致)(可以定义多个KEY值,按从小到大
的顺序进行匹配,发送KEY值时也是发送最小的一个,还可以设定KEY值的有效时间
。)
R2(config-keychain-key)#key-string cisco
第二步:在接口下应用密码库
R2(config-if)#ip rip authentication key-chain R2
第三步:在接口下指定认证模式
R2(config-if)#ip rip authentication mode [md5|text]
R1#show key chain
R1#debug ip rip
认证必须是在双方都配置的情况下,才能认证的.如果一台配置,一台不配置,结果两
台都不能学到对方的路由.
==============================================================
如果R1,R2都配置了明文认证,则使用认证原则:
明文认证的匹配原则:
1.发送方(被认证方)将key chain中key ID最小的密码以明文的方式(不携带key ID)
发送给接收方(主认证方).
2.接收方(主认证方)会和被调用key chain中的所有密码进程匹配,如果匹配成功,
则认证通过.
如果双方都通过认证,R1,R2可以相互学到对方的路由.
也有可能R2通过R1的认证,但是R1没有通过R2的认证<<R1有多个key,而R2只有一个
key,R1的最小key不能与R2的key匹配,但R2的key可以与R1的其中一个key(不是最小
的key)相匹配>>,那么R1可以学习到R2的路由,但R2学习不到R1的路由.
==============================================================
MD5
R2配置了MD5认证,但R1没有配置任何认证,这时,R1与R2都学不到对方的路由.
只有当双方都配置了MD5认证时,才能相互学到对方的路由.
R1---------------------R2
key1=ccie key1=ccie
key2=ccnp
两台路由器都有路由,都可以通过认证
========================================
key1=ccie key2=ccie
R1能通过R2的认证,所以R2上能学到R1的路由;R2不能通过R1的认证,所以R1上学
不到R2的路由。
========================================
key2=ccie key1=ccie
结果与上面的相反:
R1不能通过R2的认证,所以R2上学不到R1的路由;但R2可以通过R1的认证,所以R1
上能学到R2的路由。
========================================
key1=ccie key2=ccna
key3=ccna
key4=ccnp
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
(如果将R1的key3改为ccnp,key4改为ccna,那么:
R1不能通过R2的认证,所以R2上学不到R1的路由
R2也不能通过R1的认证,所以R1上也学不到R2的路由)
========================================
k2=ccie key1=ccie
k3=ccnp key2=ccnp
k5=ccna key3=ccie
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
规则:
路由器只会将它的最小key id及密码发送到对方进行认证,并且携带key id.
对方接收时:
如果有key id匹配,则检查密码,相同,则通过认证,不同,则认证失败.
如果没有key id匹配,则向下查找一次大的key ID的密码,
如果密码相同,则通过认证,不同,则认证失败.
1、明文认证
2、md5认证
第一步:定义密码库
R2(config)#key chain R2 (本地有效,两端可以不相同)
R2(config-keychain)#key 1 (建议两端一致)(可以定义多个KEY值,按从小到大
的顺序进行匹配,发送KEY值时也是发送最小的一个,还可以设定KEY值的有效时间
。)
R2(config-keychain-key)#key-string cisco
第二步:在接口下应用密码库
R2(config-if)#ip rip authentication key-chain R2
第三步:在接口下指定认证模式
R2(config-if)#ip rip authentication mode [md5|text]
R1#show key chain
R1#debug ip rip
认证必须是在双方都配置的情况下,才能认证的.如果一台配置,一台不配置,结果两
台都不能学到对方的路由.
==============================================================
如果R1,R2都配置了明文认证,则使用认证原则:
明文认证的匹配原则:
1.发送方(被认证方)将key chain中key ID最小的密码以明文的方式(不携带key ID)
发送给接收方(主认证方).
2.接收方(主认证方)会和被调用key chain中的所有密码进程匹配,如果匹配成功,
则认证通过.
如果双方都通过认证,R1,R2可以相互学到对方的路由.
也有可能R2通过R1的认证,但是R1没有通过R2的认证<<R1有多个key,而R2只有一个
key,R1的最小key不能与R2的key匹配,但R2的key可以与R1的其中一个key(不是最小
的key)相匹配>>,那么R1可以学习到R2的路由,但R2学习不到R1的路由.
==============================================================
MD5
R2配置了MD5认证,但R1没有配置任何认证,这时,R1与R2都学不到对方的路由.
只有当双方都配置了MD5认证时,才能相互学到对方的路由.
R1---------------------R2
key1=ccie key1=ccie
key2=ccnp
两台路由器都有路由,都可以通过认证
========================================
key1=ccie key2=ccie
R1能通过R2的认证,所以R2上能学到R1的路由;R2不能通过R1的认证,所以R1上学
不到R2的路由。
========================================
key2=ccie key1=ccie
结果与上面的相反:
R1不能通过R2的认证,所以R2上学不到R1的路由;但R2可以通过R1的认证,所以R1
上能学到R2的路由。
========================================
key1=ccie key2=ccna
key3=ccna
key4=ccnp
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
(如果将R1的key3改为ccnp,key4改为ccna,那么:
R1不能通过R2的认证,所以R2上学不到R1的路由
R2也不能通过R1的认证,所以R1上也学不到R2的路由)
========================================
k2=ccie key1=ccie
k3=ccnp key2=ccnp
k5=ccna key3=ccie
R1不能通过R2的认证,所以R2上学不到R1的路由
R2能通过R1的认证,所以R1上能学到R2的路由
规则:
路由器只会将它的最小key id及密码发送到对方进行认证,并且携带key id.
对方接收时:
如果有key id匹配,则检查密码,相同,则通过认证,不同,则认证失败.
如果没有key id匹配,则向下查找一次大的key ID的密码,
如果密码相同,则通过认证,不同,则认证失败.
相关文章推荐
- RIP认证实验
- RIP实验总结之三rip v2的认证
- 实验十八、RIP-2 邻居认证配置
- RIP连通实验
- RIP实验学习(一)
- RIP实验学习(二)
- NA-NP-IE系列实验30:CHAP 认证
- 2009年锐捷网络工程师认证试题RCNA实验考试
- 网络工程师交换试验手册之九:RIP单播和被动接口实验
- ospf认证实验
- 【实验】综合实验(VLAN间通信,ACL技术,DNS/WEB服务器架设,RIP路由)
- 简单实验验证RIP的holddown timer
- RIP实验系列——第二波:RIP计时器(update/invalid/holddown/flush)的观察及值的修改实验
- RIP和IGRP实验
- RIP基本实验
- RIP的16跳防环机制和原理(实验)
- CCNA考试中实验题精讲(RIP,OSPF,VLAN)
- CISCO 配置实验--rip
- IEEE802.1X 的端口认证实验
- AAA协议tacacs认证简单实验