雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 2162|回复: 3

[讨论/求助] 关于eigrpMD5认证中key id有趣的现象

[复制链接]
发表于 2010-10-14 16:51:02 | 显示全部楼层 |阅读模式

关于eigrpMD5认证中key id有趣的现象

首先给出拓扑图:


如图中给出的key chain,我们配置完后R0R1之间是会形成邻接关系的。

当然我们先分别给出各自的基本配置:

R0:

key chain 10

key 1

  key-string ccnp

key 2

  key-string ccnp

interface Loopback0

ip address 10.2.0.2 255.255.255.0

interface Serial0/0

ip address 192.168.1.1 255.255.255.0

ip authentication mode eigrp 100 md5

ip authentication key-chain eigrp 100 10

router eigrp 100

network 10.2.0.0 0.0.255.255

network 192.168.1.0

no auto-summary

R1:

key chain 10

key 1

  key-string ccnp

  accept-lifetime 00:38:50 Mar 1 2002 infinite

key 2

  key-string ccnp

interface Loopback0

ip address 10.1.0.1 255.255.255.0

!

interface Serial0/0

ip address 192.168.1.2 255.255.255.0

ip authentication mode eigrp 100 md5

ip authentication key-chain eigrp 100 10

serial restart-delay 0

router eigrp 100

network 10.1.0.0 0.0.255.255

network 192.168.1.0

no auto-summary

然后面是我们需要注意的地方,当我们将R0中的key 1去掉以后,R0将不能与R1形成邻接关系,用命令show ip ei neighbor将看不到R1,但是在R1中用sh ip ei neighbor 确实可以看到R0的,这是为什么呢?实验的有趣之处就出现了。

我们用debug ei packets分别查看R0R1,记住,是在noR0key 1前提下,现象如下:

R0:


由此现象可以看出R0s0/0收到R1key1,但是本地没有key1,所以认证不成功。

R1

可见R1收到R0发过来的key 2的认证,R1首先查自己的key chain 10中的key,从key1开始,key1因为key id不匹配,所以找key2,然后匹配就形成邻接了。然后在邻居表中就会存在R0。这就是为什么R0中邻居表中没有R1,但R1的邻居表中却有R0的原因。

同样在配置keysend-time的时候也该注意,相同keysend-time的结束时间最好相差不是太多,不然当某一方因为时间到期而失效后,而另外一方却还有很长寿命的时候,该方将不能与另一方建立邻居关系,而另一方的邻居表中却有该方,原因同上。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2010-10-15 00:39:34 | 显示全部楼层
goo good
dfdssfffffffffff
发表于 2010-10-15 10:32:30 | 显示全部楼层
恩 新版的CCNP route上说过这事
发送时,使用编号最小的
接收时,用全部密钥检查
认证时key number必须一致,key number有可能参与MD5?这就母鸡了~
发表于 2010-10-31 13:41:15 | 显示全部楼层
恩。。实验效果能说明问题。。不错
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-23 17:57 , Processed in 0.086778 second(s), 20 queries , Gzip On.

快速回复 返回顶部 返回列表