分类: 系统运维
2011-10-20 10:56:07
前面说了,RIP协议有两个版本,而且两个版本所支持的功能不完全一样,所以在启用RIP协议时最好指定一下RIP版本。RIPv2支持认证,本节也将介绍启用RIPv2认证的方法。
指定RIP版本的命令是version,而且还可以针对具体接口指定发送或者可以接收的RIP消息包版本,所使用的命令分别是:ip rip send version和ip rip receive version。启用RIPv2认证的配置步骤包括两个命令,一是用于配置认证密钥链的“ip rip authentication key-chain”命令,另一个是指定认证方式的“ip rip authentication mode {text | md5}”命令。具体配置步骤如表7-5所示。
表7-5 指定RIP版本和启用RIP认证的配置步骤
步骤 |
命令 |
说明 |
Step 1 |
enable 例如: Router> enable |
进入特权模式。如果配置了特权模式密码,则要按提示输入正确的特权模式密码才能进入。 |
Step 2 |
configure terminal 例如: Router# configure terminal |
进入全局配置模式。 |
Step 3 |
router rip
Router(config)# router rip |
启用RIP路由进程,进入路由器配置模式。 |
Step 4 |
version {1 | 2}
Router(config-router)# version 1 |
配置路由器仅发送RIPv1版本包。 |
Step 5 |
exit
Router(config-router)# exit |
退出路由器配置模式,返回全局配置模式。 |
Step 6
|
key chain name-of-chain 例如: Router(config)# key chain rip-md5 |
指定认证所用的密钥链(仅在启用RIPv2时有效)。参数用来指定密钥名称。一个密钥链中可以最多有2147483647个密钥。 |
Step 7 |
key key-id 例如: Route (config-keychain)# key 1 |
指定密钥链中的一个密钥ID。参数的取值范围为0 ~ 2147483647,无需连续。可用“no key key-id”命令删除原来所配置的密钥ID。 |
Step 8 |
key-string text 例如: Router (config-keychain)# key-string winda |
指定用于认证的真正密钥字符串。可用“no key-string text”命令删除原来所配置的密钥字符串。 |
Step 9 |
accept-lifetime start-time {infinite | end-time | duration seconds} 例如: Router (config-keychain)# accept-lifetime 13:30:00 Jan 25 2010 duration 7200 |
指定密钥链中的密钥可以被有效接收的时间。命令的具体使用方法在本节后面介绍。 |
|
send-lifetime start-time {infinite | end-time | duration seconds} 例如: Router (config-keychain)#send-lifetime 15:00:00 Jan 25 2010 duration 3600 |
指定钥链中的密钥可以被有效发送的时间。命令的具体使用方法在本节后面介绍。 |
Step 9 |
exit 例如: Router(config-keychain-key)# exit |
退出密钥链密钥配置模式,返回密钥链配置模式。 |
Step 10 |
exit 例如: Router(config-keychain)# exit |
退出密钥链配置模式,返回全局配置模式。 |
Step 11 |
interface type number
Router(config)# interface Ethernet 3/0 |
指定要配置RIP认证的接口(可以是子接口),进入接口配置模式。该接口(或子接口)要事先配置好IP地址这些基本的参数。 |
Step 12 |
ip rip send version [1] [2]
Router(config-if)# ip rip send version 1 |
配置上述接口仅发送RIPv1版本包。它将覆盖通过“version {1 | 2}”全局配置模式命令所设置的RIP版本。 |
Step 13 |
ip rip receive version [1] [2]
Router(config-if)# ip rip receive version 1 |
配置上述个接口仅接收RIPv1版本包。它将覆盖通过“version {1 | 2}”全局配置模式命令所设置的RIP版本。 |
|
name-of-chain
(config-if)# ip rip authentication key-chain chainname |
RIP认证,指定在前面创建一个认证密钥链。 |
|
{text | md5}
(config-if)# ip rip authentication mode md5 |
text或者MD5认证方式。 |
|
(config-if)# end |
|
下面对上述配置中的一些复杂命令进行详细介绍。
1. accept-lifetime和send-lifetime命令
“accept-lifetime start-time {infinite | end-time | duration seconds}”密钥链密钥配置模式命令用来设置一个密钥链中的密钥有效被接收的期限,而“send-lifetime start-time {infinite | end-time | duration seconds}” 密钥链密钥配置模式命令用来设置一个密钥链中的密钥有效被发送的期限。可用最前面带“no”关键字选项的恢复到默认值。命令中的可选项和参数说明如下:
start-time:密钥可以被有效接收或者发送的起始时间,格式可以是如下两种:
Ø hh:mm:ss Month date year
Ø hh:mm:ss date Month year
infinite:指示密钥从起始时间开始可以被有效接收或者发送。 Key is valid to be received from the start-time value on.
end-time:密钥可以被有效接收或者发送的终止时间。
duration seconds:密钥可以被有效接收或者发送的时间长度(以秒为单位),取值范围为1~2147483646秒。
2. “ip rip authentication key-chain”命令
“ip rip authentication key-chain name-of-chain”接口配置模式命令是为RIP v2包启用认证,并为接口指定一可用的密钥集(密钥集构成一个密钥链)。要禁止认证,则要使用最前面带“no”关键字选项的该命令。命令中的参数用来指定一个有效的密钥链名称。如果前面没有用“key-chain”命令指定密钥链,则在接口上不进行认证。
以下示例是为接口配置一个名为trees的密钥链。
ip rip authentication key-chain trees
3. “ip rip authentication mode”命令
“ip rip authentication mode {text | md5}”接口配置模式命令为RIP v2包指定使用的认证模式。要恢复到默认的纯文本认证模式,则要使用最前面带“no”关键字选项的该命令。可选项用来指定接口采用纯文本认证;可选项用来指定接口采用MD5摘要认证。默认为纯文本认证模式。
以下示例配置接口采用MD5 RIP认证。
ip rip authentication mode md5
以下示例是配置一个名为的密钥链。密钥字符串的有效接收时间范围是1:30 p.m. ~ 3:30 p.m,有效被发送的时间范围为2:00 p.m. ~ 3:00 p.m;密钥字符串的有效接收时间范围是2:30 p.m. ~ 4:30 p.m,有效被发送的时间范围为3:00 p.m. ~ 4:00 p.m。
interface ethernet 0
ip rip authentication key-chain keychain1
ip rip authentication mode md5
!
router rip
network 172.19.0.0
version 2
!
key chain keychain1
key 1
key-string string1
accept-lifetime 13:30:00 Jan 25 2010 duration 7200
send-lifetime 14:00:00 Jan 25 2010 duration 3600
key 2
key-string string2
accept-lifetime 14:30:00 Jan 25 2010 duration 7200
send-lifetime 15:00:00 Jan 25 2010 duration 3600