eigrp路由认证
在eigrp做路由认证的时候,一个KEYCHAIN上面可以配置多把key。那么是说只要在两台路由器上,只要有一对number相同,keystring相同的key就可以认证成功。还是number小的那个key,keystring相同就可以成功。还是必须所有的key的keystring相同才可以 。 在认证的时候到底用的是哪一把key是什么就定的 LZ做个小实验,开个debug就可以看到了。 本帖最后由 紫川凌 于 2012-3-11 09:09 编辑md5认证匹配规则:
密文认证总结:
发送时:
只发送最小的KEY ID,并且携带KEY ID。
接受时:
当接收到时,先只匹配相同KEY ID密钥,如果不匹配,则通不过认证。
但如果没有相同KEY ID,只向下查找一次大的KEY ID密
本帖最后由 lin0131 于 2012-3-11 09:37 编辑
正如楼上说的,可以搭一个简单的小实验。
如下图:
首先是 key chain 名,不在HELLO包中,本地有效,所以不匹配也没关系。
后面是key 以及key-string 的问题了
我们可以通过debug eigrp Packet hello 来查看hello包的状态(认证的内容是通过hello包发送的)
我们来一个个猜想来进行实验。
A.多对KEY中,有一组相同即可建立起邻居?
我们在两台路由器上查看hello包
可以发现
路由器发送的是KEY 1 ,key-string mismatch。
查看下邻居表,的确没有建成邻居
那我们假设它是发送最小key,继续验证
B.如果R2上只有一个key 那是不是能建成邻居呢?
这样做了之后,有看日志习惯的兄弟们,可能会发现,R1上跳出了一条
R1 邻居起来了。
可是真的起来了吗?我们看看路由表,除了直连网段,什么都没有
我们到R2上show ip eigrp neighbor 发现压根就没有邻居
继续查看hello包
R1:
R2:
看来R1可以接收R2的hello包,因为R2的key 2与R1上的key 2相匹配,R1就将其收录到邻居表中
但是R2呢,R2收到的R1发来的Hello包中,发现R1给的是Key 1,可是R2上类有key 1 所以无视了这个hello包
而且在这种情况下在R1处会发现
邻居一会UP一会DOWN,至于为什么暂时没想通。有待高手解答。
好,看来路由器会发送最小key,那我们来考虑下最后的假设
C.如果有多组key,是不是要所有key 完全相同才可以?
这个就不多说了,直接上最后效果
看来,EIGRP 的 MD5认证,认证成功条件就是最小KEY,内容相同。
希望对朋友你有所帮助
似乎OSPF 的MD5认证机制有所不同,也可以一样的试试~~
非常热心的同志,顶楼上 以及楼上的楼上 四楼的伙伴解释的好详细!佩服!-woniu2- 大家回复的好仔细哈,连我这个不懂的都想继续看了~ 谢谢楼上回帖的好人啊 多多分享交流哈
页:
[1]