- 积分
- 52
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2013-6-11
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
R1R2 预配置
r1(config)#int s1/2
r1(config-if)#no sh
r1(config-if)#ip ad 192.168.0.1 255.255.255.0
r1(config-if)#int lo0
r1(config-if)#ip ad 172.16.1.1 255.255.255.0
r1(config-if)#router rip
r1(config-router)#version 2
r1(config-router)#net 192.168.0.0
r1(config-router)#net 172.16.0.0
r2(config)#int s2/1
r2(config-if)#no sh
r2(config-if)#ip ad 192.168.0.2 255.255.255.0
r2(config-if)#int lo0
r2(config-if)#ip ad 172.16.2.2 25
r2(config)#router rip
r2(config-router)#version 2
r2(config-router)#net 192.168.0.0
r2(config-router)#net 172.16.0.0
明文认证
r1(config)#key chain r1
r1(config-keychain)#key 1
r1(config-keychain-key)#key-string cisco
r1(config)#int s1/2
r1(config-if)#ip rip authentication key-chain r1
r2(config)#key chain r2
r2(config-keychain)#key 1
r2(config-keychain-key)#key-string cisco
r2(config)#int s2/1
r2(config-if)#ip rip authentication key-chain r2
r2#sh ip route
C 192.168.0.0/24 is directly connected, Serial2/1
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
R 172.16.0.0/16 [120/1] via 192.168.0.1, 00:00:26, Serial2/1
C 172.16.2.0/24 is directly connected, Loopback0
R2 已经学习到
r1#sh ip route
C 192.168.0.0/24 is directly connected, Serial1/2
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
R 172.16.0.0/16 [120/1] via 192.168.0.2, 00:00:06, Serial1/2
C 172.16.1.0/24 is directly connected, Loopback0
R1 也学习到了
测试一下
r1#ping
:Target IP address: 172.16.2.2
Source address or interface: 172.16.1.1
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
64/133/212 ms ping 通
r2#ping
Target IP address: 172.16.1.1
Source address or interface: 172.16.2.2
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
128/140/156 ms ping 通
如果r1上有2 个密码呢,key 1 是ccie key 2 是cisco r2的key 1 是cisco
还能认证成功吗?
r1(config)#key chain r1
r1(config-keychain)#key 1
r1(config-keychain-key)#key-string ccie
r1(config-keychain-key)#key 2
r1(config-keychain-key)#key-string cisco
r1(config)#int s1/2
r1(config-if)#ip rip authentication key-chain r1
查一下配置上没有
r1#sh run
!key chain r1
key 1
key-string ccie
key 2
key-string cisco 已经配好了
r1#ping
Target IP address: 172.16.2.2
Source address or interface: 172.16.1.1
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
r2#ping
Target IP address: 172.16.1.1
Source address or interface: 172.16.2.2
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) 都不通
认证没有成功吗?看看路由表里有没有
r1#sh ip route
C 192.168.0.0/24 is directly connected, Serial1/2
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.1.0 is directly connected, Loopback0
没有学习到,说明认证没有成功
刚才的设置是:key 1 是ccie key 2 是cisco r2 的key 1 是cisco
认证的时候是给对方发自己最小key 号的密码,r2 把密码cisco 发给r1,r1 有
key 1 但密码不同,明文RIP 认证的时候只比较一次,即使r1 的key 2 是cisco,
但因为只比较一次,所以认证没有成功。现在把r1 的key 1 和key 2 的密码互
换,看看是不是就ping 通了
r1(config)#key chain r1
r1(config-keychain)#key 1
r1(config-keychain-key)#key-string cisco
r1(config-keychain-key)#key 2
r1(config-keychain-key)#key-string ccie
r1#sh run
key chain r1
key 1
key-string cisco
key 2
key-string ccie 已经换过来了
再ping 一下
r1#ping
Target IP address: 172.16.2.2
Source address or interface: 172.16.1.1
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
52/117/160 ms
r2#ping
Target IP address: 172.16.1.1
Source address or interface: 172.16.2.2
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
48/116/140 ms 通了,验证成功
明文总结:认证的时候是发送自己最小的key 号和密码给对方。要想通过认证,
发送方和接收方的key 号和密码必须都一样才可以,有一个不同,就不能通过认证。
密文认证
key 1 是cisco key 2 是ccie r2 的key 1 是ccie key 2 是cisco
r1 已配置好,只需要进行md5 加密就行了,
r1(config-if)#ip rip authentication mode md5
配置r2
r2(config)#key chain r2
r2(config-keychain)#key 1
r2(config-keychain-key)#key-string ccie
r2(config-keychain-key)#key 2
r2(config-keychain-key)#key-string cisco
r2(config)#int s2/1
r2(config-if)#ip rip authentication mode md5
r1#ping
Target IP address: 172.16.2.2
Source address or interface: 172.16.1.1
type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) 认证失败
刚才配置是:key 1 是cisco key 2 是ccie r2 的key 1 是ccie key 2 是
cisco
R1 发key 1 cisco 给R2,R2 上有key 1,但密码不一样,所以认证失败,不会
比较下一个,但如果r2 没有key 1,r2 会找下一个号key 2 看看key 2 的密码
和key 1 的cisco 是不是一样,如果一样则r2 对r1 认证成功,不一样就失败。
如果r2 没有key 2 也没有key 1,则不会再看别的了,认证失败。
现在r2 不要key1,r1 不变,看看是不是就通了
r2#sh run
key chain r2
key 2
key-string cisco
r2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
28/168/280 ms
现在的配置是r1 的key 1 是cisco key 2 是ccie r2 的key 2 是cisco
R1 上ping172.16.2.2 能通吗?
r1#ping 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
因为r2 把key 2 cisco 发给r1,r1 的key 2 密码不同,所以找key 3,r1 上
没有key 3,所以R1 上ping172.16.2.2 是不通的,所以认证失败。
密文总结:认证的时候也是发送自己最小的key 号和密码给对方,如果接收方
有相应的key 号,那就比较密码是不是一样。如果一样,认证通过,不一样,
认证失败。如果接收方没有相应的key 号,那就看有没有比这个key 号大1 的
key 号,如果有,比较密码,密码一样,认证通过,不一样,认证失败。如果也
没有大1 的key 号,则认证失败
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-6-11 02:00:56
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
学习了 写的很详细 很好
