RIP的單播更新和Passive 以及rip的驗證

    RIP的單播更新和PASSIVE

1. 拓撲準備：（本次實驗只需要使用路由器HQ 跟Branch 就夠了）

2. 配置    

    Branch：

    router rip

    ver 2

    no au

    network 10.0.0.0

    net 192.168.1.0

    passive-interface default // passive 掉所有運行rip的接口，當然也可以單獨passive掉e0/1

   HQ:

    router rip 

    ver 2

    no au 

    net 172.16.0.0

    net 192.168.1.0

    passive-interface default

3.清路由表

    clear ip route *

4.現象  

    show ip route rip     

    發現沒有rip的任何路由    

5.單播指定鄰居

    Branch：neighbor 192.168.1.2

    HQ:   neighbor 192.168.1.1

6.開啓debug

    debug ip rip

發現log RIP:sending v2 update to 192.168.1.2 via Ethernet0/1 （192.168.1.1）  

7.實驗結論

   passive-interface 是指rip不發組播更新，可以接收更新，此時可以手動指定鄰居實現單播更新。同時兩臺設備必須全部passive掉運行rip端口後纔可以實現手工單播更新，否則不能實現單播更新。

      實驗2.  RIP的驗證

1. 理論基礎  

     RIPv1 不支持驗證

   RIPV2 支持明文跟MD5驗證 如果驗證不通過，則收不到來自鄰居的路由消息。

2.配置MD5

    Branch：

    key-chain tz  // 鑰匙串，只具有本地意義，即可與對端不一致

    key 1  // 任何的MD5的 key ID 必須一致 

    key-string cisco   // key 的兩端密碼要一樣

    int e0/1  

    ip rip authentication mode md5     // 開啓RIP認證的MD5模式

     ip rip authentication key-chain tz    // 調用key chain

    

    HQ:

    key-chain  tz

    key 1

    key-string cisco

    int e0/1

    ip rip authentication mode md5

    ip rip authentication key-chain tz 

    

3.現象

    在配置完Branch後可以查看一下路由表，會發現沒有路由了，因爲此時只有一段有驗證，另一端沒有驗證，不能夠交換路由信息

    而在配置完HQ之後，發現又有路由了，驗證通過。

4.MD5 認證改爲 明文驗證

    由於默認情況下RIPV2就是明文驗證，所以只要不開啓MD5認證就是明文認證了

  配置命令：（config-if）＃　no ip rip authentication mo md5  // 此時就開啓了text認證，切記兩端認證類型要一致，否則無法同步路由信息。

5.後續實驗總結

 明文

        Branch  ---------------------------    HQ

key1 =ccie     key2=ccie         都有路由可以通過

-----------------------------------------------------

key1=ccie                                           key1=ccnp       Branch上沒路由，HQ有路由  

    key2=ccie

------------------------------------------------------

key1=ccie key1=ccnp   都有路由

key2=ccnp   key2=ccie

----------------------------------------------------

key3=ccie key2=ccnp    Branch沒路由 HQ有路由

key5=ccna key6=ccna

key7=ccie

明文認證總結：

只發送Key id 最小的key，不攜帶key id

接收方和key列表裏所有key匹配，只要有一個匹配，就可以

***********************

密文認證

    Branch -------------------------HQ

k1 =ccie                       k1=ccie k2=ccnp                       都有路由通過驗證

-----------------------------------------------------

k1=ccie                         k2=ccie                                    Branch沒路由 HQ有

----------------------------------------------------

k1=ccie k3=ccnp k5=ccna        k2=ccna                                    都沒有

---------------------------------------------------

k2=ccie k3=ccnp k5=ccna        k1=ccie k2=ccna k3=ccie         Branch有，HQ沒有

總結：

只發送key id 最小的key  並且攜帶key id 當接收到的時候，之匹配相同key id 的密鑰， 如果不匹配就通不過。

但是，如果沒有相同的Key id， 只向下查找一次大的key id密鑰，如果有相同Key id 但是不匹配，也通不過，如果仍然沒有不是相同的key id 也沒辦法通過。