RIP的单播更新和PASSIVE

  1. 拓扑准备:(本次实验只需要使用路由器HQ 跟Branch 就够了)

    RIP的单播更新和Passive 以及rip的验证_路由器

  2. 配置    

    Branch:

    router rip

    ver 2

    no au

    network 10.0.0.0

    net 192.168.1.0

    passive-interface default // passive 掉所有运行rip的接口,当然也可以单独passive掉e0/1

   HQ:

    router rip 

    ver 2

    no au 

    net 172.16.0.0

    net 192.168.1.0

    passive-interface default

3.清路由表

    clear ip route *

4.现象  

    show ip route rip     

    发现没有rip的任何路由    

5.单播指定邻居

    Branch:neighbor 192.168.1.2

    HQ:   neighbor 192.168.1.1

6.开启debug

    debug ip rip

发现log RIP:sending v2 update to 192.168.1.2 via Ethernet0/1 (192.168.1.1)  

7.实验结论

   passive-interface 是指rip不发组播更新,可以接收更新,此时可以手动指定邻居实现单播更新。同时两台设备必须全部passive掉运行rip端口后才可以实现手工单播更新,否则不能实现单播更新。

      实验2.  RIP的验证

  1. 理论基础  

      RIPv1 不支持验证

   RIPV2 支持明文跟MD5验证 如果验证不通过,则收不到来自邻居的路由消息。

2.配置MD5

    Branch:

    key-chain tz  // 钥匙串,只具有本地意义,即可与对端不一致

    key 1  // 任何的MD5的 key ID 必须一致 

    key-string cisco   // key 的两端密码要一样

    int e0/1  

    ip rip authentication mode md5     // 开启RIP认证的MD5模式

     ip rip authentication key-chain tz    // 调用key chain

    

    HQ:

    key-chain  tz

    key 1

    key-string cisco

    int e0/1

    ip rip authentication mode md5

    ip rip authentication key-chain tz 

    

3.现象

    在配置完Branch后可以查看一下路由表,会发现没有路由了,因为此时只有一段有验证,另一端没有验证,不能够交换路由信息

    而在配置完HQ之后,发现又有路由了,验证通过。

4.MD5 认证改为 明文验证

    由于默认情况下RIPV2就是明文验证,所以只要不开启MD5认证就是明文认证了

  配置命令:(config-if)# no ip rip authentication mo md5  // 此时就开启了text认证,切记两端认证类型要一致,否则无法同步路由信息。

5.后续实验总结

 明文

        Branch  ---------------------------    HQ

key1 =ccie     key2=ccie         都有路由可以通过

-----------------------------------------------------

key1=ccie                                           key1=ccnp       Branch上没路由,HQ有路由  

    key2=ccie

------------------------------------------------------

key1=ccie key1=ccnp   都有路由

key2=ccnp   key2=ccie

----------------------------------------------------

key3=ccie key2=ccnp    Branch没路由 HQ有路由

key5=ccna key6=ccna

key7=ccie


明文认证总结:

只发送Key id 最小的key,不携带key id

接收方和key列表里所有key匹配,只要有一个匹配,就可以

***********************

密文认证

    Branch -------------------------HQ

k1 =ccie                       k1=ccie k2=ccnp                       都有路由通过验证

-----------------------------------------------------

k1=ccie                         k2=ccie                                    Branch没路由 HQ有

----------------------------------------------------

k1=ccie k3=ccnp k5=ccna        k2=ccna                                    都没有

---------------------------------------------------

k2=ccie k3=ccnp k5=ccna        k1=ccie k2=ccna k3=ccie         Branch有,HQ没有


总结:

只发送key id 最小的key  并且携带key id 当接收到的时候,之匹配相同key id 的密钥, 如果不匹配就通不过。

但是,如果没有相同的Key id, 只向下查找一次大的key id密钥,如果有相同Key id 但是不匹配,也通不过,如果仍然没有不是相同的key id 也没办法通过。