|
关于eigrpMD5认证中key id有趣的现象 首先给出拓扑图:
如图中给出的key chain,我们配置完后R0与R1之间是会形成邻接关系的。 当然我们先分别给出各自的基本配置: R0:
key chain 10 key 1 key-string ccnp key 2 key-string ccnp interface Loopback0 ip address 10.2.0.2 255.255.255.0 interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 10 router eigrp 100 network 10.2.0.0 0.0.255.255 network 192.168.1.0 no auto-summary R1: key chain 10 key 1 key-string ccnp accept-lifetime 00:38:50 Mar 1 2002 infinite key 2 key-string ccnp interface Loopback0 ip address 10.1.0.1 255.255.255.0 ! interface Serial0/0 ip address 192.168.1.2 255.255.255.0 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 10 serial restart-delay 0 router eigrp 100 network 10.1.0.0 0.0.255.255 network 192.168.1.0 no auto-summary 然后面是我们需要注意的地方,当我们将R0中的key 1去掉以后,R0将不能与R1形成邻接关系,用命令show ip ei neighbor将看不到R1,但是在R1中用sh ip ei neighbor 确实可以看到R0的,这是为什么呢?实验的有趣之处就出现了。 我们用debug ei packets分别查看R0与R1,记住,是在no掉R0的key 1前提下,现象如下: R0:
由此现象可以看出R0从s0/0收到R1的key1,但是本地没有key1,所以认证不成功。 R1: 可见R1收到R0发过来的key 2的认证,R1首先查自己的key chain 10中的key,从key1开始,key1因为key id不匹配,所以找key2,然后匹配就形成邻接了。然后在邻居表中就会存在R0。这就是为什么R0中邻居表中没有R1,但R1的邻居表中却有R0的原因。 同样在配置key的send-time的时候也该注意,相同key的send-time的结束时间最好相差不是太多,不然当某一方因为时间到期而失效后,而另外一方却还有很长寿命的时候,该方将不能与另一方建立邻居关系,而另一方的邻居表中却有该方,原因同上。
| 
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2010-10-14 16:51:02
提升卡
置顶卡
变色卡
显身卡