RIP认证实例.docVIP

1.RIPv2新特性：RIPv2节点间传送信息的认证、子网掩码、下一跳IP地址、组播RIPv2更新2.RIPv2最多可以携带25条路由；但使用认证后，一个路由更新可以携带的最大路由条目将减少为24条3.RIPv2消息认证分为两种：简单口令认证和MD5认证4.RIPv2使用密码来认证路由更新的来源；“认证”是通过将认证信息放在RIP消息中第一个路由条目的位置实现5.作为代替简单口令认证的MD5认证利用第一个和最后一个路由条目的空间来存放MD5认证消息6.MD5是RSA数据安全公司设计的一种“单向消息摘要”可产生128位的HASH值7.RIPv2数据分组的缺省设置为“明文认证”认证在定义密钥链的时候，该链的名字是随意写的，认证双方，的密钥链的名字可以不相同。【技术要点】（1）在以太网接口下，不支持触发更新；（2）触发更新需要协商，链路的两端都需要配置；（3）在认证的过程中，如果定义多个key ID，明文认证和MD5 认证的匹配原则是不一样的： 明文认证的匹配原则是：A. 发送方发送最小Key ID的密钥B. 不携带Key ID号码C. 接收方会和所有Key Chain 中的密钥匹配，如果匹配成功，则通过认证。【实例1】路由器R1 有一个Key ID,key1=cisco；路由器R2 有两个Key ID,key1=ccie，key2=cisco根据上面的原则，R1 认证失败，R2 认证成功，所以在RIP 中，出现单边路由并不稀奇。 MD5 认证的匹配原则是：A. 发送方发送最小Key ID的密钥B. 携带Key ID号码C. 接收方首先会查找是否有相同的Key ID，如果有，只匹配一次，决定认证是否成功。如果没有该Key ID，只向下查找下一跳，匹配，认证成功；不匹配，认证失败。1、 实验目的：通过本次的使用，我们可以掌握如下技能1) RIPv2明文认证的配置和匹配原则。2) RIPv2 MD5认证的配置和匹配原则。3) RIPv2的触发更新。2、 实验拓扑图：3、 实验步骤：(1)根据网络拓扑图说明，配置各个接口的地址。R!(config)#hostname R1R1(config)#interface loopback 0R1(config-if)#ip adR1(config-if)#ip address 1.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#no shutdownR1(config)#interface serial 0/1R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#no shutdownR1(config-if)#endR1#Router(config)#hostname R2R2(config)#interface sR2(config)#interface serial 0/1R2(config-if)#clR2(config-if)#clock rR2(config-if)#clock rate 128000R2(config-if)#ip adR2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#no shR2(config-if)#no shutdownR2(config-if)#endR2(config)#interface serial 0/2R2(config-if)#ip adR2(config-if)#ip address 192.168.2.1 255.255.255.0R2(config-if)#no shR2(config-if)#no shutdownR2(config-if)#Router(config)#hosRouter(config)#hostname R3R3(config)#interface serial 0/2R3(config-if)#ip adR3(config-if)#ip address 192.168.2.2 255.255.255.0R3(config-if)#clock rate 128000R3(config-if)#no shR3(config-if)#no shutdownR3(config-if)#exitR3(config)#interface serial 0/3R3(config-if)#ip adR3(config-if)#ip address 192.168.3.1 255.255.255.0R3(config-if)#no shutdownR3(config-if)#R4(config)#intR4(config)#interface sR4(config)#interface serial 0/3R4(config-if)#ip adR4(config-if)#ip address 192.168.3.2 255.255.255.0R4(config-if)#no sR4(config-if)#no shR4(config-if)#no shutdownR4(config-if)#exit(2)启用RIPV2R1(config)#router ripR1(config-router)#verR1(config-router)#version 2R1(config-router)#network 1.0.0.0R1(config-router)#network 192.1681.0R1(config-router)#注：启用RIPv2，并将去网络发布出去R2(config)#router ripR2(config-router)#verR2(config-router)#version 2R2(config-router)#no auR2(config-router)#no auto-summaryR2(config-router)#netR2(config-router)#network 192.168.1.0R2(config-router)#network 192.168.2.0R2(config-router)#R3(config)#router ripR3(config-router)#veR3(config-router)#version 2R3(config-router)#netR3(config-router)#network 192.168.2.0R3(config-router)#network 192.168.3.0R3(config-router)#R4(config)#router ripR4(config-router)#veR4(config-router)#version 2R4(config-router)#no auR4(config-router)#no auto-summaryR4(config-router)#network 192.168.3.0(3)配置RIPv2的认证R1(config)#key chain xiaR1(config-keychain)#key 1R1(config-keychain-key)#key-string xiajiangR1(config-keychain-key)#exitR1(config)#interface serial 0/0R1(config-if)#ip rip authentication keR1(config-if)#ip rip authentication key-chain xiaR1(config-if)#ip rip triggeredR1(config-if)#注：启用RIPv2的认证R2(config)#key chain xiaR2(config-keychain)#key 1R2(config-keychain-key)#keR2(config-keychain-key)#key-string xiajiangR2(config-keychain-key)#endR2(config)#interface s0/0R2(config-if)#ip rip triR2(config-if)#ip rip triggeredR2(config-if)#ip rip authentication key-chain xiaR2(config-if)#exitR2(config)#interface serial 0/1R2(config-if)#ip rip authentication key-chain xiaR2(config-if)#ip rip triggeredR2(config-if)#R3(config)#key chain xiaR3(config-keychain)#key 1R3(config-keychain-key)#key-string xiajiangR3(config-keychain-key)#exitR3(config-keychain)#exitR3(config)#interface serial 0/1R3(config-if)#ip rip authentication key-chain xiaR3(config-if)#ip rip triggeredR3(config-if)#exitR3(config)#interface serial 0/2R3(config-if)#ip rip authentication key-chain xiaR3(config-if)#ip rip triggeredR3(config-if)#R4(config)#key chain xiaR4(config-keychain)#key 1R4(config)#interface serial 0/2R4(config-if)#ip rip authentication key-chain xiaR4(config-if)#ip rip triggeredR4(config-if)#(4)测试配置情况R1#show ip proR1#show ip protocolsRouting Protocol is ripSending updates every 30 seconds, next due in 1 secondsInvalid after 180 seconds, hold down 180, flushed after 240Outgoing update filter list for all interfaces is not setIncoming update filter list for all interfaces is not setRedistributing: ripDefault version control: send version 2, receive version 2Interface Send Recv Triggered RIP Key-chainSerial0/0 2 2 Yes xiaLoopback0 2 2Automatic network summarization is in effectMaximum path: 4Routing for Networks:1.0.0.0192.168.1.0Routing Information Sources:Gateway Distance Last Update192.168.1.2 120 00:00:19Distance: (default is 120)R1#注：由上面的“Serial0/0 2 2 Yes xia”表明已经在上Serial0/0启用了触发更新。R2#show ip rip datR2#show ip rip database1.0.0.0/8 auto-summary1.0.0.0/81 via 192.168.1.1, 00:02:48 (permanent), Serial0/0* Triggered Routes:- 1 via 192.168.1.1, Serial0/0192.168.1.0/24 auto-summary192.168.1.0/24 directly connected, Serial0/0192.168.2.0/24 auto-summary192.168.2.0/24 directly connected, Serial0/1192.168.3.0/24 auto-summary192.168.3.0/241 via 192.168.2.2, 00:01:13 (permanent), Serial0/1* Triggered Routes:- 1 via 192.168.2.2, Serial0/1R2#注：从路由器R2的rip数据值可以进一步的看出，在Serial0/0和Serial0/1启用了触发更新。如果想启用MD5认证，只要在接口下声明模式为MD5即可，具体配置命令如下：R1(config-keychain)#key 1R1(config-keychain-key)#key-string xiajiangR1(config)#interface serial 0/0R1(config-if)#ip rip authentication mode md5R1(config-if)#ip rip authentication key-chain xiaR1(config-if)#ip rip triggeredR1(config-if)#具体怎样去配置MD5认证，这里就不在多说了。OK，到此实验结束!RIP认证的配置(只V2支持认证）2009年03月15日 星期日 20:42要求：(zln1987.)三台路由器互通，都启动RIPV2，并且R1与R2的s1/2,s2/1接口都是明文认证；R2与R3的s2/3,s3/2是密文认证，这样三台路由器才能互通（它们的值和密码必须一致，才能通信）配置步骤：（在接口全部配置好后，再进行其它的设置）在R1上配置：zln1(zln1987.)987.R1(config)#router ripzln1987.R1(config-router)#version 2R1(config-router)#network 1.0 R1(config-router)#network 12.0.0.0R1(config-router)#exitR1(config)#key chainnorvel /指定key 名称.R1(config-keychain)#key 1 /指定key值R1(config-keychain-key)#key-string cisco /指定密码R1(config-keychain-key)#ctrl+c.R1(config)#int s1/2(zln1987.)R1(config-if)# ip rip authentication mode text/在接口模式下指定明文认证 R1(config-if)# ip rip authenticationkey-chain norvel /调用认证R1(config-if)# exit在R2上配置：zln1(zln1987.)987.R2(config)#router ripzln1987.R2(config-router)#version 2R2(config-router)#network 23.0.0.0 R2(config-router)#network 12.0.0.0R2(config-router)#exit(zln1987.)R2(config)#key chainnorvel /指定key 名称.R2(config-keychain)#key 1 /指定key值R2(config-keychain-key)#key-string cisco /指定密码R2(config-keychain-key)#ctrl+c.R2(config)#int s2/1(zln1987.)R2(config-if)# ip rip authentication mode text/在接口模式下指定明文认证 R2(config-if)# ip rip authenticationkey-chain norvel /调用认证R2(config-if)# exitR2(config)#key chainnorvel .R2(config-keychain)#key 1 R2(config-keychain-key)#key-string cisco R2(config-keychain-key)#ctrl+c.R2(config)#int s2/3R2(config-if)# ip rip authentication mode md5/在接口模式下指定密文认证 R2(config-if)# ip rip authenticationkey-chain norvel /调用认证R2(config-if)# exit (zln1987.)在R上配置：zln(zln1987.)1987.R3(config)#router ripzln1(zln1987.)987.R3(config-router)#version 2R3(config-router)#network 23.0.0.0 R3(config-router)#network 3.3.3.0R3(config-router)#exitR3(config)#key chainnorvel /指定key 名称.R3(config-keychain)#key 1 /指定key值R3(config-keychain-key)#key-string cisco /指定密码R3(config-keychain-key)#ctrl+c.(zln1987.)R3(config)#int s3/2(zln1987.)R3(config-if)# ip rip authentication mode md5/在接口模式下指定密文认证 R3(config-if)# ip rip authenticationkey-chain norvel /调用认证分析RIPv2的明文和密文两种认证方式 (2011-10-26 19:45:43)转载标签： rip杂谈 分析RIPv2的明文和密文两种认证方式 拓扑： 要求：分析RIPv2的明文和密文两种认证方式R1预配置：r1#conf tr1(config)#int lo 0r1(config-if)#ip ad 172.16.1.1 255.255.255.0r1(config-if)#int s1/2r1(config-if)#ip ad 10.0.0.1 255.255.255.0r1(config-if)#no shr1(config-if)#exitr1(config)#router ripr1(config-router)#ver 2r1(config-router)#net 10.0.0.1r1(config-router)#net 172.16.1.1r1(config-router)#endr1#R2预配置：r2#conf tr2(config)#int lo 0r2(config-if)#ip ad 172.16.2.2 255.255.255.0r2(config-if)#int s2/1r2(config-if)#ip ad 10.0.0.2 255.255.255.0r2(config-if)#no shr2(config-if)#exitr2(config)#router ripr2(config-router)#ver 2r2(config-router)#net 10.0.0.2r2(config-router)#net 176.2.2.2r2(config-router)#endr2#实验过程（明文认证）：第一步：在R1上配置密码r1#conf tr1(config)#key chain R1r1(config-keychain)#key 1r1(config-keychain-key)#key-string cisco r1(config-keychain-key)#exitr1(config-keychain)#key 2r1(config-keychain-key)#key-string norvel r1(config-keychain-key)#exitr1(config-keychain)#key 3r1(config-keychain-key)#key-string ccie r1(config-keychain-key)#exitr1(config-keychain)#exitr1(config)#int s1/2r1(config-if)#ip rip auth mode text r1(config-if)#ip rip auth key-chain R1 r1(config-if)#第二步：在R2上配置密码r2#conf tr2(config)#key chain R2r2(config-keychain)#key 1 r2(config-keychain-key)#key-string ccie r2(config-keychain-key)#exitr2(config-keychain)#exitr2(config)#int s2/1r2(config-if)#ip rip auth mode text r2(config-if)#ip rip auth key-chain R2 r2(config-if)#endr2#第三步：在R1上进行验证r1#ping 172.16.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:! Success rate is 100 percent (5/5), round-trip min/avg/max = 96/112/152 msr1#明文认证结论：RIP是距离矢量路由协议，不需要建立邻居关系，其认证是单向的，即R1认证了R2时（R2是被认证方），R1就接收R2发送来的路由；反之，如果R1没认证R2时（R2是被认证方），R1将不能接收R2发送来的路由；R1认证了R2（R2是被认证方）不代表R2认证了R1（R1是被认证方）。明文认证时，被认证方发送key chian时，发送最低ID值的key，并且不携带ID；认证方接收到key后，和自己key chain的全部key进行比较，只要有一个key匹配就通过对被认证方的认证。RIPv2明文认证例表R1的key chainR2的key chainR1可以接收路由？R2可以接收路由？key 1=ciscokey 2=cisco可以可以key 1=ciscokey 1=abcd key 2=cisco不可以可以key 1=cisco key 2=abcdkey 1=abcd key 2=cisco可以可以实验过程（密文认证）：第一步：在R1上配置密码r1#conf tr1(config)#key chain Ar1(config-keychain)#key 1r1(config-keychain-key)#key-string cisco r1(config-keychain-key)#exitr1(config-keychain)#key 2r1(config-keychain-key)#key-string norvel r1(config-keychain-key)#exitr1(config-keychain)#key 3r1(config-keychain-key)#key-string ccna r1(config-keychain-key)#exitr1(config-keychain)#exitr1(config)#int s1/2r1(config-if)#ip rip auth mod md5 r1(config-if)#ip rip auth key-chain A r1(config-if)#endr1#第二步：在R2上配置密码r2#conf tr2(config)#key chain Br2(config-keychain)#key 1r2(config-keychain-key)#key-string ccna r2(config-keychain-key)#exitr2(config-keychain)#exitr2(config)#int s2/1r2(config-if)#ip rip auth mod md5 r2(config-if)#ip rip auth key-chain B r2(config-if)#endr2#第三步：在R1上进行验证r1#ping 172.16.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.2.2, tim