heaven 发表于 2010-10-14 16:51:02

关于eigrpMD5认证中key id有趣的现象

关于eigrpMD5认证中key id有趣的现象首先给出拓扑图:
如图中给出的key chain,我们配置完后R0与R1之间是会形成邻接关系的。当然我们先分别给出各自的基本配置:R0:
key chain 10 key 1key-string ccnp key 2key-string ccnpinterface Loopback0 ip address 10.2.0.2 255.255.255.0interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 10 router eigrp 100 network 10.2.0.0 0.0.255.255 network 192.168.1.0 no auto-summaryR1:key chain 10 key 1key-string ccnpaccept-lifetime 00:38:50 Mar 1 2002 infinite key 2key-string ccnpinterface Loopback0 ip address 10.1.0.1 255.255.255.0!interface Serial0/0 ip address 192.168.1.2 255.255.255.0 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 10 serial restart-delay 0router eigrp 100 network 10.1.0.0 0.0.255.255 network 192.168.1.0 no auto-summary然后面是我们需要注意的地方,当我们将R0中的key 1去掉以后,R0将不能与R1形成邻接关系,用命令show ip ei neighbor将看不到R1,但是在R1中用sh ip ei neighbor 确实可以看到R0的,这是为什么呢?实验的有趣之处就出现了。我们用debug ei packets分别查看R0与R1,记住,是在no掉R0的key 1前提下,现象如下:R0:
由此现象可以看出R0从s0/0收到R1的key1,但是本地没有key1,所以认证不成功。R1:可见R1收到R0发过来的key 2的认证,R1首先查自己的key chain 10中的key,从key1开始,key1因为key id不匹配,所以找key2,然后匹配就形成邻接了。然后在邻居表中就会存在R0。这就是为什么R0中邻居表中没有R1,但R1的邻居表中却有R0的原因。同样在配置key的send-time的时候也该注意,相同key的send-time的结束时间最好相差不是太多,不然当某一方因为时间到期而失效后,而另外一方却还有很长寿命的时候,该方将不能与另一方建立邻居关系,而另一方的邻居表中却有该方,原因同上。

hnlaiyitong 发表于 2010-10-15 00:39:34

goo good
dfdssfffffffffff

dizhiwei 发表于 2010-10-15 10:32:30

恩 新版的CCNP route上说过这事
发送时,使用编号最小的
接收时,用全部密钥检查
认证时key number必须一致,key number有可能参与MD5?这就母鸡了~

SSDD126 发表于 2010-10-31 13:41:15

恩。。实验效果能说明问题。。不错
页: [1]
查看完整版本: 关于eigrpMD5认证中key id有趣的现象