eigrp路由认证

fgfghh

在eigrp做路由认证的时候，一个KEYCHAIN上面可以配置多把key。那么是说只要在两台路由器上，只要有一对number相同，keystring相同的key就可以认证成功。还是number小的那个key，keystring相同就可以成功。还是必须所有的key的keystring相同才可以 。   在认证的时候到底用的是哪一把key是什么就定的

ezsimple

LZ做个小实验，开个debug就可以看到了。

紫川凌

md5认证匹配规则：
密文认证总结：
发送时：
只发送最小的KEY ID，并且携带KEY ID。
接受时：
当接收到时，先只匹配相同KEY ID密钥，如果不匹配，则通不过认证。
但如果没有相同KEY ID，只向下查找一次大的KEY ID密

lin0131

      正如楼上说的，可以搭一个简单的小实验。
如下图：

首先是 key chain 名，不在HELLO包中，本地有效，所以不匹配也没关系。
后面是key 以及key-string 的问题了
我们可以通过debug eigrp Packet hello 来查看hello包的状态（认证的内容是通过hello包发送的）
我们来一个个猜想来进行实验。
A.多对KEY中，有一组相同即可建立起邻居？
   
  我们在两台路由器上查看hello包
     可以发现

    路由器发送的是KEY 1 ，key-string mismatch。
    查看下邻居表，的确没有建成邻居
    那我们假设它是发送最小key，继续验证
B.如果R2上只有一个key 那是不是能建成邻居呢？

   这样做了之后，有看日志习惯的兄弟们，可能会发现，R1上跳出了一条

  R1 邻居起来了。
  可是真的起来了吗?我们看看路由表，除了直连网段，什么都没有
  我们到R2上show ip eigrp neighbor 发现压根就没有邻居
  继续查看hello包
   R1:
   
   R2:
   
   看来R1可以接收R2的hello包，因为R2的key 2与R1上的key 2相匹配，R1就将其收录到邻居表中
   但是R2呢，R2收到的R1发来的Hello包中，发现R1给的是Key 1，可是R2上类有key 1 所以无视了这个hello包
   而且在这种情况下在R1处会发现
   
   邻居一会UP一会DOWN  ，至于为什么暂时没想通。有待高手解答。
   好，看来路由器会发送最小key，那我们来考虑下最后的假设
C.如果有多组key，是不是要所有key 完全相同才可以？
   
    这个就不多说了，直接上最后效果
      

看来，EIGRP 的 MD5认证，认证成功条件就是最小KEY，内容相同。
希望对朋友你有所帮助
似乎OSPF 的MD5认证机制有所不同，也可以一样的试试~~

tea

非常热心的同志，顶楼上 以及楼上的楼上

ufd_苜

四楼的伙伴解释的好详细！佩服！

zyh_jn915

大家回复的好仔细哈，连我这个不懂的都想继续看了~

fgfghh

谢谢楼上回帖的好人啊    多多分享交流哈