实验名称:RIPv2的认证 实验编号:IPA-L0-C09
目录:
A部分:技术知识原理 ................................................................................................................... 2
A.1部分:技术知识原理 ........................................................................................................ 2 A.2部分:实验目的 ................................................................................................................ 2 A.3部分:实验环境准备 ........................................................................................................ 2 B部分:实验调试及验证 ............................................................................................................... 3
B.1部分:连接拓扑图 ............................................................................................................ 3 B.2部分:设备配置 ................................................................................................................ 3 B.3部分:调试和验证过程..................................................................................................... 3 C部分:实验结论 ........................................................................................................................... 6
C.1部分:实验结论 ................................................................................................................ 6 C.2部分:思考问题 ................................................................................................................ 6 D部分:参考文档和资料 ............................................................................................................... 7
D.1部分:参考文档 ................................................................................................................ 7 D.2部分:学习资料 ................................................................................................................ 7
http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
A部分:技术知识原理
A.1部分:技术知识原理
对于认证这个概念来说是一种特殊的需求,那么对于OSI七层模型来讲如果说对任何数据进行做认证的话只要任意一层实现认证就可以,不过对RIP而言比较尴尬,RIP的数据封装格式为IP上层是UDP,UDP上层就是RIP。IP层不具备认证功能,UDP亦不具备认证功能,那么想做认证的话只能在RIP的字段里面进行认证。等到IPv6的时候,在IP报文头里面自带认证位,那么以后所有协议的认证功能全部取消,在IP能做认证,其他的上层字段根本不需要再做认证。对于路由协议认证这个概念而言,有些协议在开发的时候设计好了专用的认证位,直接设置认证方式及密码即可;而还有一些协议专用的认证位,所以必须使用可选项的位置,这类认证的通用模式为:1、创建钥匙链 2、钥匙链上面创建钥匙 3、钥匙上面配置密码。RIP就是属于自身无专用的认证位,属于后者。
A.2部分:实验目的
XXX
A.3部分:实验环境准备
XXX
http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
B部分:实验调试及验证
B.1部分:连接拓扑图
B.2
部分:设备配置
R1: hostname R1 interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! interface Ethernet0/0 ip address 12.1.1.1 255.255.255.0 half-duplex router rip version 2 network 1.0.0.0 network 12.0.0.0 no auto-summary R2: hostname R2 interface Ethernet0/0 ip address 12.1.1.2 255.255.255.0 half-duplex router rip version 2 network 12.0.0.0 no auto-summary http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
B.3部分:调试和验证过程
那么此时R2的路由表中应该具有R1的1.1.1.0/24的路由条目: R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/24 is subnetted, 1 subnets
R 1.1.1.0 [120/1] via 12.1.1.1, 00:00:01, Ethernet0/0 12.0.0.0/24 is subnetted, 1 subnets
C 12.1.1.0 is directly connected, Ethernet0/0
下面我们开始配置认证,从认证的类型来说一共有三种认证方式:1、无认证 2、明文方式认证 3、密文方式认证,其中无认证是默认的做法,没有认证也是一种认证方式;明文方式认证比较简单两端发送就是密码,通过截获数据直接可以看到两端交换的密码;密文方式认证是把随机数、KID、密码等信息一同放进MD5生成器进行运算,最终得到的是HASH值也俗称叫做“密钥“,密文方式认证两端交换的是密钥,HASH有2个特点,唯一性、不可逆性。如果密钥一致那么密码一定是一致的,如果密钥不一致有可能是KID不一致,也有肯那个是密码不一致。
上面的路由输出就是无认证的情况,在新版本的IOS里面RIPv2启用的是密文的方式认证,明文的方式认证在其他的协议里面都有体现。 1、 先设置钥匙链:
R1(config)#int e0/0
R1(config-if)#ip rip authentication key-chain cisco------钥匙链的名称是cisco R2(config)#int e0/0
R2(config-if)#ip rip authentication key-chain xxxx-----钥匙链的名称是xxxx 钥匙链只具有本地意义,所以两端的钥匙链名称不一致没有关系。 2、 钥匙链上面配置钥匙:
R1(config)#key chain cisco R1(config-keychain)#key ?
<0-2147483647> Key identifier
R1(config-keychain)#key 1-----设置钥匙
R1(config-keychain-key)#key-string 123-----钥匙上面配置密码
R2(config)#key chain xxxx
http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
R2(config-keychain)#key 1 R2(config-keychain-key)#ke
R2(config-keychain-key)#key-string 123
配置钥匙及密码的过程当中的注意事项:key id必须一致,因为这个数值是参与HASH运算的,如果不一致直接导致密钥不一致,认证失败。另外就是密码必须一致。对于RIP而言一次最多传输25个路由条目,如果配置认证的话,认证会占用第一个路由条目的位置,也就是说最多可以传输24个路由条目。 3、 选择认证模式:
R1(config)#int e0/0
R1(config-if)#ip rip authentication mode md5
R2(config)#int e0/0
R2(config-if)#ip rip authentication mode md5
那么当配置完成认证之后,双方收到对端发送的路由更新后,先进行认证,如果认证通过了就接受,如果认证不能通过就不接受,那么我们把key id调成不一致看一下,以及密码不一致看一下结果。
R1(config)#key chain cisco R1(config-keychain)#key 2
R1(config-keychain-key)#key-string 123
R2(config)#key chain xxxx R2(config-keychain)#key 1
R2(config-keychain-key)#key-string 123
那么我们来看一下输出的信息: R1#debug ip rip
RIP protocol debugging is on
*Mar 1 00:38:28.419: RIP: received packet with MD5 authentication
R2#debug ip rip
RIP protocol debugging is on *Mar 1 00:39:28.271: RIP: ignored v2 packet from 12.1.1.1 (invalid authentication) 由于KEY ID不一致导致的认证失败,那么当KEYID一致密码不一致当然也是一样的结果。
http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
C部分:实验结论
C.1部分:实验结论
XXX
C.2部分:思考问题XXX
http://www.xuexizu.com ITAA学习情报组制作,仅供内部参考
D部分:参考文档和资料
D.1部分:参考文档
XXX
D.2部分:学习资料XXXX
因篇幅问题不能全部显示,请点此查看更多更全内容