雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1862|回复: 7

[讨论/求助] eigrp路由认证

[复制链接]
发表于 2012-3-10 21:17:54 | 显示全部楼层 |阅读模式
在eigrp做路由认证的时候,一个KEYCHAIN上面可以配置多把key。那么是说只要在两台路由器上,只要有一对number相同,keystring相同的key就可以认证成功。还是number小的那个key,keystring相同就可以成功。还是必须所有的key的keystring相同才可以 。   在认证的时候到底用的是哪一把key是什么就定的
发表于 2012-3-10 22:50:12 | 显示全部楼层
LZ做个小实验,开个debug就可以看到了。
发表于 2012-3-11 09:08:52 | 显示全部楼层
本帖最后由 紫川凌 于 2012-3-11 09:09 编辑

md5认证匹配规则:
密文认证总结:
发送时:
只发送最小的KEY ID,并且携带KEY ID。
接受时:
当接收到时,先只匹配相同KEY ID密钥,如果不匹配,则通不过认证。
但如果没有相同KEY ID,只向下查找一次大的KEY ID密

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2012-3-11 09:32:47 | 显示全部楼层
本帖最后由 lin0131 于 2012-3-11 09:37 编辑

      正如楼上说的,可以搭一个简单的小实验。
如下图:

首先是 key chain 名,不在HELLO包中,本地有效,所以不匹配也没关系。
后面是key 以及key-string 的问题了
我们可以通过debug eigrp Packet hello 来查看hello包的状态(认证的内容是通过hello包发送的)
我们来一个个猜想来进行实验。
A.多对KEY中,有一组相同即可建立起邻居?
   
  我们在两台路由器上查看hello包
     可以发现

    路由器发送的是KEY 1 ,key-string mismatch。
    查看下邻居表,的确没有建成邻居
    那我们假设它是发送最小key,继续验证
B.如果R2上只有一个key 那是不是能建成邻居呢?

   这样做了之后,有看日志习惯的兄弟们,可能会发现,R1上跳出了一条

  R1 邻居起来了。
  可是真的起来了吗?我们看看路由表,除了直连网段,什么都没有
  我们到R2上show ip eigrp neighbor 发现压根就没有邻居
  继续查看hello包
   R1:
   
   R2:
   
   看来R1可以接收R2的hello包,因为R2的key 2与R1上的key 2相匹配,R1就将其收录到邻居表中
   但是R2呢,R2收到的R1发来的Hello包中,发现R1给的是Key 1,可是R2上类有key 1 所以无视了这个hello包
   而且在这种情况下在R1处会发现
   
   邻居一会UP一会DOWN  ,至于为什么暂时没想通。有待高手解答。
   好,看来路由器会发送最小key,那我们来考虑下最后的假设
C.如果有多组key,是不是要所有key 完全相同才可以?
   
    这个就不多说了,直接上最后效果
      

看来,EIGRP 的 MD5认证,认证成功条件就是最小KEY,内容相同。
希望对朋友你有所帮助
似乎OSPF 的MD5认证机制有所不同,也可以一样的试试~~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2012-3-11 15:12:13 | 显示全部楼层
非常热心的同志,顶楼上 以及楼上的楼上
发表于 2012-3-12 00:14:40 | 显示全部楼层
四楼的伙伴解释的好详细!佩服!
发表于 2012-3-12 09:17:14 | 显示全部楼层
大家回复的好仔细哈,连我这个不懂的都想继续看了~
 楼主| 发表于 2012-3-13 17:50:59 | 显示全部楼层
谢谢楼上回帖的好人啊    多多分享交流哈
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 10:04 , Processed in 0.081559 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表