在做cisco路由選擇協議(RIPv2;EIGRP)認證的時候,遇到這樣一個問題:即在使用明文(普通認證)時,密鑰和key ID無關,而MD5認證時,密鑰和key ID 是相關的,即兩端的key ID 和密鑰須相同,
如:R1(config)#key chain key1
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)#int f0/0
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)#int f0/0
R1(config-if)#ip authentication key-chain eigrp 1 key1
R2(config)#key chain key2
R2(config-keychain)#key 2
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#int f0/1
R2(config-keychain)#key 2
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#int f0/1
R2(config-if)#ip authentication key-chain eigrp 1 key2
R2(config)#do ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/81/104 ms
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/81/104 ms
請注意我這裏的R1和R2的key ID不同,說明密鑰和key ID無關。
當我配置使用MD5認證時,根本就不能建立鄰居(EIGRP),後改成兩端key ID相同時,一切正常,發ping包,通!!!這就證明key ID和密鑰相關,且兩端須相同。這是因爲使用MD5驗證模式的時候,要同時交換key ID和密鑰。如果key ID不同,那麼將不會再去查看密鑰是否相同而宣告驗證失敗。可以使用debug命令查看該過程。