锐捷网管交换机配置密钥链,并在 RIP 报文认证中引用配置举例

一、 组网需求
Device A和Device B使用RIP路由协议互联,为提高安全性,Device A和Device B之间配置使用MD5加密算法来对RIP报文进行加密。
Device B与172.168.1.1/24通过静态路由访问。

二、组网图
密钥认证功能组网图

三、 配置要点
在所有路由设备上配置密钥。
● 在所有路由设备上配置RIP。
● 在所有路由设备上启用RIP认证。

四、 配置步骤
(1) 配置接口IP。

# Device A的配置。
Device A> enable
Device A# configure terminal
Device A(config)# interface gigabitEthernet 0/1
Device A(config-if)# ip address 192.168.27.1 255.255.255.0
Device A(config-if)# exit

# Device B的配置。
Device B> enable
Device B# configure terminal
Device B(config)# interface gigabitEthernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ip address 192.168.27.2 255.255.255.0
Device B(config-if-GigabitEthernet 0/1)# exit

(2) 配置密钥和密钥生存时间。
# Device A的配置。
Device A# configure terminal
Device A(config)# key chain ripchain
Device A(config-keychain)# key 1
Device A(config-keychain-key)# key-string Hello
Device A(config-keychain-key)# accept-lifetime 16:30:00 Oct 1 2013 duration 43200
Device A(config-keychain-key)# send-lifetime 16:30:00 Oct 1 2013 duration 43200
Device A(config-keychain-key)# exit
Device A(config-keychain)# key 2
Device A(config-keychain-key)# key-string World
Device A(config-keychain-key)# accept-lifetime 04:00:00 Oct 2 2013 infinite
Device A(config-keychain-key)# send-lifetime 04:00:00 Oct 2 2013 infinite
Device A(config-keychain-key)# exit

# Device B的配置。
Device B# configure terminal
Device B(config)# key chain ripchain
Device B(config-keychain)# key 1
Device B(config-keychain-key)# key-string Hello
Device B(config-keychain-key)# accept-lifetime 16:30:00 Oct 1 2013 duration 43200
Device B(config-keychain-key)# send-lifetime 16:30:00 Oct 1 2013 duration 43200
Device B(config-keychain-key)# exit
Device B(config-keychain)# key 2
Device B(config-keychain-key)# key-string World
Device B(config-keychain-key)# accept-lifetime 04:00:00 Oct 2 2013 infinite
Device B(config-keychain-key)# send-lifetime 04:00:00 Oct 2 2013 infinite
Device B(config-keychain-key)# exit

(3) RIP基础配置。
# Device A的配置。
Device A(config)# router rip
Device A(config-router)# version 2
Device A(config-router)# network 192.168.27.0
Device A(config-router)# exit
# Device B的配置。
Device B(config)# router rip
Device B(config-router)# version 2
Device B(config-router)# network 192.168.27.0
Device B(config-router)# redistribute static
Device B(config-router)# exit

(4) 接口配置认证模式为MD5,指定认证密钥链。
# Device A的配置。
Device A(config)# interface gigabitEthernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ip rip authentication key-chain ripchain
Device A(config-if)# ip rip authentication mode md5
# Device B的配置。
Device B(config)# interface gigabitEthernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ip address 192.168.27.2 255.255.255.0
Device B(config-if-GigabitEthernet 0/1)# ip rip authentication key-chain ripchain
Device B(config-if-GigabitEthernet 0/1)# ip rip authentication mode md5

 

五、验证配置结果
# 检查Device A是否能收到Router B发出的路由。
Device A# show ip route rip
R 172.168.0.0/16 [120/1] via 192.168.27.2, 00:05:16, GigabitEthernet 0/1

六、 配置文件
● Device A的配置文件。
!
key chain ripchain
key 1
key-string Hello
accept-lifetime 16:30:00 Oct 1 2013 duration 43200
send-lifetime 16:30:00 Oct 1 2013 duration 43200
key 2
key-string World
accept-lifetime 04:00:00 Oct 2 2013 infinite
send-lifetime 04:00:00 Oct 2 2013 infinite
!
interface gigabitEthernet 0/1
ip address 192.168.27.1 255.255.255.0
ip rip authentication key-chain ripchain
ip rip authentication mode md5
!
router rip
version 2
network 192.168.27.0
!

● DeviceB的配置文件。
!
key chain ripchain
key 1
key-string Hello
accept-lifetime 16:30:00 Oct 1 2013 duration 43200
send-lifetime 16:30:00 Oct 1 2013 duration 43200
key 2
key-string World
accept-lifetime 04:00:00 Oct 2 2013 infinite
send-lifetime 04:00:00 Oct 2 2013 infinite
!
interface gigabitEthernet 0/1
ip address 192.168.27.2 255.255.255.0
ip rip authentication key-chain ripchain
ip rip authentication mode md5
!
router rip
version 2
network 192.168.27.0
redistribute static
!

七、常见错误
● 密钥未正确关联到路由协议,导致认证不生效。
● 多台设备上配置的密钥不一致,导致认证失败。

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008