Authendication - 路由器認證實作

墮夜

由於模擬器沒辦法這樣做

電腦前的各位如果在學校或者自己有實體教學用設備不妨參照一下

首先，認證的協定一般使用在RIPv2以及EIGRP

OSPF通常不採用，因為它是鍊路狀態取向協定

路由器間認證的方式採用Key - String Authendicated (關鍵字串認證)

此外，認證還有Key String加密的機制，防止路由器被侵入後經過Show run指令被查出密碼

--------------

實際操作：

路由器間連接的介面可以是Crossover也可以是Serial，視實際情形而定

(以下路由器都命名為R1且用Serial線連接)


RIPv2認證-

R1(config)#key chain ripauth
ripauth是自己給的認證專案名稱，可以隨意取名，但認證的路由器都必須設定同樣的名稱與密碼
R1(config-keychain)#key 1
基本上key之後的數字都可以換，以便連接不同路由器有不同的認證字串
R1(config-keychain-key)#key-string cisco
這裡的cisco就是認證字串，可自取
R1(config-keychain-key)#^Z
接著我們跳出到底層，進入連接介面套用認證專案
R1#conf t
R1(config)#interface serial 0/0
R1(config-if)#ip rip authentication key-chain ripauth
記不起這行密碼其實沒差，打到auth的時候按下TAB，路由器會自己幫你完成這個字
R1(config-if)#ip rip authentication mode md5
mode md5就是以MD5演算法加密字串，使之無法辨識

-----------------

EIGRP的認證：

大致上與RIPv2相似

唯套用部分有所不同

R1(config)#key chain Mykey
一樣，認證專案名稱自己訂
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 123456
我懶...打123456比較快...XD

然後我們回到介面下
R1(config)#interface serial 0/0
R1(config-if)#ip authentication key-chain eigrp 100 Mykey
R1(config-if)#ip authentication mode eigrp 100 md5

注意囉，RIPv2會將協定認證擺在前面(ip rip auth)

但是EIGRP則是擺在專案名稱前面(key-chain eigrp 100 MyKey)

那串100是什麼意思?

EIGRP的繞送設定本身需要一個ISP給的AS號碼，所以那個100是繞送指定AS號碼


※邊界路由器(兩個不同協定需要連接的狀態)不要使用認證

以上為各協定認證的使用與套用方法

建議各位借用教室的設備玩玩看

但是記得離開的時候一定要在底層使用 erase startup-config 將你的設定清除掉

不然下一班或者想練習的人會因為設定沒清除掉而出錯、讓路由器當機等等

[ 本文章最後由 墮夜 於 08-6-21 00:54 編輯 ]