計算機網(wǎng)絡(luò)實驗實踐教程 習(xí)題解答 王鴻運 -實驗6-14 路由器RIP-1配置-NAT地址轉(zhuǎn)換的配置

習(xí)題解答實驗六路由器RIP-1配置一、思考題為什么B沒有配置RIP協(xié)議時，A沒有出現(xiàn)RIP路由？解答：首先了解一下rip的工作原理：①：rip未啟動，路由表中只有一些直連路由，為了從鄰居盡快獲得rip路由，會以廣播（組播）向鄰居發(fā)送resquest請求報文。②：鄰居收到后，會發(fā)送response回復(fù)報文，報文中包括路由表信息。③：路由器收到response報文后，根據(jù)rip路由更新原則更新路由表。④：以后每過30秒路由器會發(fā)送response報文以保持鄰居關(guān)系。如果：B沒有配置RIP協(xié)議時，A就無法獲得自己以外的任何網(wǎng)絡(luò)信息，此時，A上能看到是自己的直連路由，所以沒有出現(xiàn)RIP路由。2、什么叫收斂？比如，在一個運行著RIP協(xié)議的路由網(wǎng)絡(luò)中，新添加進(jìn)來了一個網(wǎng)段，經(jīng)過了一段時間，這個新網(wǎng)段所有運行RIP協(xié)議的路由器都學(xué)習(xí)到了，這個過程，就稱為收斂。

收斂的時間是恒量動態(tài)路由協(xié)議的一個重要指標(biāo)，我們希望，收斂的時間越短越好。RIP中設(shè)置了哪些計時器？更新計時器：路由器每隔30秒從每個啟動RIP協(xié)議的接口發(fā)送出自己的路由信息。無效計時器：如果一條路由條目在180s內(nèi)沒有收到鄰居發(fā)來的關(guān)于此條目的信息，這條路由的跳數(shù)將記為16。刷新計時器：某條路由條目被無效計時器標(biāo)記為不可達(dá)之后，再過60秒，還沒有收到更新，則將這條路由從路由表中刪除。抑制計時器：如果一個網(wǎng)段變?yōu)椴豢蛇_(dá)，則此變化會通過一個觸發(fā)更新消息，立刻發(fā)出，遍及全網(wǎng)，接收到此觸發(fā)更新消息的路由器，啟動抑制計時器，時間為180秒，超過180秒之后，才接收關(guān)于不可達(dá)網(wǎng)段的路由更新消息。這樣，可以有效地防止（并不能杜絕）一條鏈路忽通忽斷而導(dǎo)致網(wǎng)絡(luò)內(nèi)所有路由器的路由表跟著它不停改變的現(xiàn)象。什么是水平分割？水平分割是在距離矢量路由協(xié)議中最常用的避免環(huán)路發(fā)生的解決方案之一。產(chǎn)生環(huán)路的一種情況是：路由器A將從路由器B學(xué)習(xí)到的路由信息又告訴給了路由器B。最終，路由器B認(rèn)為通過路由器A能夠到達(dá)目標(biāo)網(wǎng)絡(luò)，路由器A認(rèn)為通過路由器B能夠到達(dá)目標(biāo)網(wǎng)絡(luò)。路由數(shù)據(jù)包的時候，數(shù)據(jù)將在兩個路由器間不停地循環(huán)，直至TTL的值為0，將此數(shù)據(jù)包丟棄。水平分割的思想就是：在路由信息傳送過程中，不再把路由信息發(fā)送到接收到此路由信息的接口上。從而在一定程度上避免了環(huán)路的產(chǎn)生。什么是有類路由協(xié)議？什么是無類路由協(xié)議？有類路由協(xié)議，在向鄰居路由器宣告自己的路由信息時，不攜帶目標(biāo)網(wǎng)絡(luò)的子網(wǎng)掩碼。RIPv1是有類路由協(xié)議。無類路由協(xié)議，在向鄰居路由器宣告自己的路由信息時，攜帶目標(biāo)網(wǎng)絡(luò)的子網(wǎng)掩碼。RIPv2是無類路由協(xié)議。RIPv1和RIPv2的區(qū)別有哪些？RIPv1發(fā)送路由消息時，不攜帶子網(wǎng)掩碼；RIPv2則攜帶每個路由條目的子網(wǎng)掩碼。RIPv1發(fā)送路由消息時，采用廣播的方式，廣播地址為55；RIPv2發(fā)送路由消息時，采用組播的方式，組播地址為。RIPv1不支持不連續(xù)子網(wǎng)。從一個網(wǎng)絡(luò)ID劃分出來的子網(wǎng)如果分配在不同的路由器上，RIP宣告路由時又不攜帶子網(wǎng)掩碼，就會造成到達(dá)同一主網(wǎng)有多條路徑，從而發(fā)生錯誤的數(shù)據(jù)轉(zhuǎn)發(fā)。RIPv2支持不連續(xù)子網(wǎng)，因為其通告路由時攜帶子網(wǎng)掩碼，所以路由器能知道其準(zhǔn)確的子網(wǎng)絡(luò)ID。RIPv2具有驗證身份的功能。RIPv2發(fā)送路由消息時，不但攜帶路由條目的子網(wǎng)掩碼，還攜帶路由條目的下一跳地址。7RIP的廣播周期是多少？默認(rèn)為30秒異步更新為25~35秒同步更新為25.5~30秒

實驗七路由器RIP-2配置一、思考題RIP-1與RIP-2有什么不同？解答：RIPv1和RIPv2的區(qū)別在RIP動態(tài)協(xié)議中，有兩個版本及version1和version2，它們區(qū)別在于version1可以接收version1和version2發(fā)送的宣告，但是version2只能接收version2發(fā)送的宣告。還有就是version1是有類路由協(xié)議，它們宣告路由信息時不攜帶網(wǎng)絡(luò)掩碼;而version2是無類路由協(xié)議，它們在宣告路由信息時攜帶網(wǎng)絡(luò)掩碼。RIPv2支持認(rèn)證，RIPv1不支持。version1不支持部連續(xù)的子網(wǎng)。如果配置為version2需要配置各路由器不進(jìn)行路由匯總，因為version2默認(rèn)自動進(jìn)行匯總。配置version2的語法如下：Router(config)#routerripRouter(config-router)#version2Router(config-router)#noauot-summaryRouter(config-router)#networknetwork-numberNoauot-summary：關(guān)閉路由匯總功能。Ripv2的認(rèn)證：Router(config)#keychainA 配置鑰匙鏈ARouter(config-keychain)#key1 配置鑰匙1Router(config-keychain-key)#key-stringcisco 定義密碼Router(config-keychain-key)#exitRouter(config-keychain)#exitRouter(config)#intes1 進(jìn)入s1的接口Router(config-if)#ipripauthenticationkey-chainA 選擇A的鑰匙鏈Router(config-if)#ipripauthenticationmodemd5 密文認(rèn)證如果不是連續(xù)的子網(wǎng)，回出現(xiàn)什么結(jié)果？解答：一、連續(xù)子網(wǎng)與不連續(xù)子網(wǎng)我們經(jīng)常見到說RIPv1不支持不連續(xù)子網(wǎng)，僅支持連續(xù)子網(wǎng)，那么什么是連續(xù)子網(wǎng)，什么是不連續(xù)子網(wǎng)呢？不連續(xù)子網(wǎng)：指在一個網(wǎng)絡(luò)中，某幾個連續(xù)由同一主網(wǎng)劃分的子網(wǎng)在中間被多個其它網(wǎng)段的子網(wǎng)或網(wǎng)絡(luò)隔開了

【注意】如果中間只隔了一個網(wǎng)絡(luò)，則不屬于不連續(xù)子網(wǎng)，RIPv1是支持的。l

連續(xù)子網(wǎng)：由一主網(wǎng)劃分的多個子網(wǎng)連續(xù)，沒有被其它多個網(wǎng)絡(luò)隔開二、RIPv1不支持不連續(xù)子網(wǎng)的實驗由于RIPv1

會自動匯總有類網(wǎng)絡(luò)間各子網(wǎng)的路由，所以RIPv1不支持不連續(xù)子網(wǎng)。實驗拓?fù)浣Y(jié)構(gòu)如下：

由于RIPv1只通告有類網(wǎng)絡(luò)路由，所以兩個被隔離的連續(xù)子網(wǎng)（由同一主網(wǎng)劃分）會在同一路由器上生成到達(dá)同一匯聚類型的目的網(wǎng)絡(luò)（/24），但不同方向的路由表項。任何一側(cè)的主機發(fā)送一個到達(dá)目的網(wǎng)絡(luò)主機的數(shù)據(jù)包時，在到達(dá)這個路由器時都會按照路由表中由本側(cè)子網(wǎng)生成的匯聚路由表項返回到本地子網(wǎng)，根本不會到達(dá)目的網(wǎng)絡(luò)的主機。所以結(jié)果兩側(cè)同一主網(wǎng)下的子網(wǎng)中的主機不能相互通信。【說明】如果是以下這種結(jié)構(gòu)，R1又可以ping通R4，因為此時/24聚合路由不會在同一路由器（R2或者R3）上生成兩個不同方向的路由表項，因為在R1和R3上到達(dá)本鍘網(wǎng)絡(luò)的路由表項是優(yōu)先級更高的具體子網(wǎng)直連路由，不是RIP路由，也就不會被聚合成/24有類網(wǎng)絡(luò)路由。三、RIPv2對不連續(xù)子網(wǎng)的支持實驗

如果是RIPv2，則全都顯示明細(xì)路由，子網(wǎng)不會生成（可以強制生成）同一主網(wǎng)的有類聚合路由，所以在RIPv2中不連續(xù)子網(wǎng)下，兩個由同一主網(wǎng)劃分的子網(wǎng)側(cè)主機也可正常通信的。RIP-2的組播地址是什么？（可以通過debugipripprotocol查看，注意及時使用nodebugall關(guān)閉）解答：組播的地址是保留的D類地址從—55，而且一些地址有特定的用處如，—55只能用于局域網(wǎng)中路由器是不會轉(zhuǎn)發(fā)的，并且是所有主機的地址，所有路由器的地址，所有ospf路由器的地址，224.0.13事PIMv2路由器的地址；—55是私有地址（如192.168.x..x）；—55可以用與Internet上的。2層的MAC地址是如何與3層的IP地址進(jìn)行映射的呢？通過將MAC地址的前25位強行規(guī)定位0100.5e，而后23位對應(yīng)IP地址的后23位，而組播IP地址的前4位均相同如：IP地址：1110yyyy.yxxxxxxx.xxxxxxx.xxxxxxxxMAC地址：00000001.00000000.01011110.0xxxxxxx.xxxxxxx.xxxxxxxx顯然有32個IP地址（有5個y可以不一樣）對應(yīng)一個MAC地址，所以要避免在同一網(wǎng)絡(luò)中使用的多個組播IP地址對應(yīng)一個MAC地址。組播報文的目的地址使用d類ip地址，范圍是從到55。d類地址不能出現(xiàn)在ip報文的源ip地址字段。單播數(shù)據(jù)傳輸過程中，一個數(shù)據(jù)包傳輸?shù)穆窂绞菑脑吹刂仿酚傻侥康牡刂?，利用“逐跳”（hop-by-hop）的原理在ip網(wǎng)絡(luò)中傳輸。然而在ip組播環(huán)中，數(shù)據(jù)包的目的地址不是一個，而是一組，形成組地址。所有的信息接收者都加入到一個組內(nèi)，并且一旦加入之后，流向組地址的數(shù)據(jù)立即開始向接收者傳輸，組中的所有成員都能接收到數(shù)據(jù)包。組播組中的成員是動態(tài)的，主機可以在任何時刻加入和離開組播組。組播組可以是永久的也可以是臨時的。組播組地址中，有一部分由官方分配的，稱為永久組播組。永久組播組保持不變的是它的ip地址，組中的成員構(gòu)成可以發(fā)生變化。永久組播組中成員的數(shù)量都可以是任意的，甚至可以為零。那些沒有保留下來供永久組播組使用的ip組播地址，可以被臨時組播組利用?！?5為預(yù)留的組播地址（永久組地址），地址保留不做分配，其它地址供路由協(xié)議使用；～55為用戶可用的組播地址（臨時組地址），全網(wǎng)范圍內(nèi)有效；～55為本地管理組播地址，僅在特定的本地范圍內(nèi)有效。常用的預(yù)留組播地址列表如下：

基準(zhǔn)地址（保留）所有主機的地址所有組播路由器的地址不分配

dvmrp路由器

ospf路由器

ospfdr

st路由器

st主機

rip-2路由器

0igrp路由器

1活動代理

2dhcp服務(wù)器/中繼代理

3所有pim路由器

4rsvp封裝

5所有cbt路由器

6指定sbm

7所有sbms

8vrrp

以太網(wǎng)傳輸單播ip報文的時候，目的mac地址使用的是接收者的mac地址。但是在傳輸組播報文時，傳輸目的不再是一個具體的接收者，而是一個成員不確定的組，所以使用的是組播mac地址。組播mac地址是和組播ip地址對應(yīng)的。iana（internetassignednumberauthority）規(guī)定，組播mac地址的高24bit為0x01005e，mac地址的低23bit為組播ip地址的低23bit。

由于ip組播地址的后28位中只有23位被映射到mac地址，這樣就會有32個ip組播地址映射到同一mac地址上

實驗八靜態(tài)路由和直連路由引入配置一、思考題在配置RIP和OSPF協(xié)議時，為什么不宣告？解答：屬于直連路由，通過命令RipRouter-A_config_rip#redistributeconnect ！將直連的路由引入Router-A_config_rip#redistributestatic ！將靜態(tài)路由引入OspfRouter-A_config_ospf_1#redistributeconnectRouter-A_config_ospf_1#redistributestatic如果配置靜態(tài)路由時的下一跳是會導(dǎo)致什么結(jié)果？解答：配置靜態(tài)路由時的下一跳是，就需要通過能夠找到或者學(xué)習(xí)到，如果沒有直連或者學(xué)到的引入，這樣，看到路由表中有此網(wǎng)段，也不會通。二、課后練習(xí)請將靜態(tài)路由：/24via引入到RIP和OSPF中解答：命令參考教程詳細(xì)步驟，修改IP。

實驗九單區(qū)域OSPF基本配置一、思考題OSPF與RIP有哪些區(qū)別？理解1：ospf-openshortestpathfirst，開發(fā)最短路徑優(yōu)先協(xié)議，是一種基于鏈路狀態(tài)的路由協(xié)議。ospf與rip存在的本質(zhì)區(qū)別是：rip是基于距離矢量算法的路由協(xié)議，而ospf是基于鏈路狀態(tài)算法的路由協(xié)議。使用rip協(xié)議的網(wǎng)絡(luò)容易產(chǎn)生路由自環(huán)而使用ospf的網(wǎng)絡(luò)卻不會存在路由自環(huán)，這是為什么呢？1、經(jīng)過分析，rip產(chǎn)生路由自環(huán)的根本原因是路由器之間傳遞的路由信息中不攜帶該信息的創(chuàng)建者，而ospf協(xié)議傳遞的LSA中包含信息的創(chuàng)建者的標(biāo)識，這有助于消除路由自環(huán)。2、ospf使用spf算法，每個路由器都根據(jù)相同的LSDB按照spf算法，生成到達(dá)整個網(wǎng)絡(luò)的最短路徑樹，而這個路徑樹是單向的，所以ospf在算法上就保證了沒有路由自環(huán)。3、ospf使用觸發(fā)更新機制，只要路由出現(xiàn)了變化，發(fā)現(xiàn)該變化的路由器會立即的把更新信息（updateLSA）發(fā)送到整個網(wǎng)絡(luò)，這使ospf協(xié)議收斂很快，不容易產(chǎn)生路由自環(huán)。使用距離矢量路由協(xié)議的路由器之間傳遞的信息是實實在在的路由信息，而使用鏈路狀態(tài)路由協(xié)議的路由器之間傳遞的信息是網(wǎng)絡(luò)上各個交換機的自己周邊的網(wǎng)絡(luò)拓?fù)?。（ospf域間傳遞的是實實在在的路由信息）由于rip的收斂速度慢，所以他不適于大規(guī)模的網(wǎng)絡(luò)，因此rip路由的最大跳數(shù)是15，如果一條路由的跳數(shù)達(dá)到了16，那么認(rèn)為該路由是無效的。而ospf由于他的收斂速度快，所以適合大規(guī)模的網(wǎng)絡(luò)，最多可支持幾百臺路由器。ospf支持變長子網(wǎng)掩碼，因為ospf發(fā)送的路由描述中包含掩碼信息。ospf可以進(jìn)行區(qū)域劃分，主要是為了減少路由器的負(fù)荷以及占用的網(wǎng)絡(luò)帶寬。ospf支持等值路由，即到達(dá)同一個目的地可以同時使用多條路由。ospf支持基于接口的報文驗證以保證路由計算的安全。ospf可以使用組播發(fā)送協(xié)議報文，減少對其他網(wǎng)絡(luò)設(shè)備的干擾。rip通過udp廣播路由信息。理解2：rip協(xié)議是距離矢量路由選擇協(xié)議，它選擇路由的度量標(biāo)準(zhǔn)（metric)是跳數(shù)，最大跳數(shù)是15跳，如果大于15跳，它就會丟棄數(shù)據(jù)包。ospf協(xié)議是鏈路狀態(tài)路由選擇協(xié)議，它選擇路由的度量標(biāo)準(zhǔn)是帶寬，延遲。RIP的局限性在大型網(wǎng)絡(luò)中使用所產(chǎn)生的問題:RIP的15跳限制，超過15跳的路由被認(rèn)為不可達(dá)RIP不能支持可變長子網(wǎng)掩碼(VLSM)，導(dǎo)致IP地址分配的低效率周期性廣播整個路由表，在低速鏈路及廣域網(wǎng)云中應(yīng)用將產(chǎn)生很大問題收斂速度慢于OSPF，在大型網(wǎng)絡(luò)中收斂時間需要幾分鐘RIP沒有網(wǎng)絡(luò)延遲和鏈路開銷的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路由即使較長的路徑有低的延遲和開銷RIP沒有區(qū)域的概念，不能在任意比特位進(jìn)行路由匯總一些增強的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)相比RIP而言，OSPF更適合用于大型網(wǎng)絡(luò):沒有跳數(shù)的限制支持可變長子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快。具有認(rèn)證功能OSPF協(xié)議主要優(yōu)點：1、OSPF是真正的LOOP-FREE（無路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點。（鏈路狀態(tài)及最短路徑樹算法）2、OSPF收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)。3、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。4、將協(xié)議自身的開銷控制到最小。見下：1）用于發(fā)現(xiàn)和維護鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報文，非常短小。包含路由信息的報文時是觸發(fā)更新的機制。（有路由變化時才會發(fā)送）。但為了增強協(xié)議的健壯性，每1800秒全部重發(fā)一次。2）在廣播網(wǎng)絡(luò)中，使用組播地址（而非廣播）發(fā)送報文，減少對其它不運行ospf的網(wǎng)絡(luò)設(shè)備的干擾。3）在各類可以多址訪問的網(wǎng)絡(luò)中（廣播，NBMA），通過選舉DR，使同網(wǎng)段的路由器之間的路由交換（同步）次數(shù)由O（N*N）次減少為O（N）次。4）提出STUB區(qū)域的概念，使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由。5）在ABR（區(qū)域邊界路由器）上支持路由聚合，進(jìn)一步減少區(qū)域間的路由信息傳遞。6）在點到點接口類型中，通過配置按需播號屬性（OSPFoverOnDemandCircuits），使得ospf不再定時發(fā)送hello報文及定期更新路由信息。只在網(wǎng)絡(luò)拓?fù)湔嬲兓瘯r才發(fā)送更新信息。5、通過嚴(yán)格劃分路由的級別（共分四極），提供更可信的路由選擇。6、良好的安全性，ospf支持基于接口的明文及md5驗證。7、OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達(dá)數(shù)千臺。OSPF的缺點1、配置相對復(fù)雜。由于網(wǎng)絡(luò)區(qū)域劃分和網(wǎng)絡(luò)屬性的復(fù)雜性，需要網(wǎng)絡(luò)分析員有較高的網(wǎng)絡(luò)知識水平才能配置和管理OSPF網(wǎng)絡(luò)。2、路由負(fù)載均衡能力較弱。OSPF雖然能根據(jù)接口的速率、連接可靠性等信息，自動生成接口路由優(yōu)先級，但通往同一目的的不同優(yōu)先級路由，OSPF只選擇優(yōu)先級較高的轉(zhuǎn)發(fā)，不同優(yōu)先級的路由，不能實現(xiàn)負(fù)載分擔(dān)。只有相同優(yōu)先級的，才能達(dá)到負(fù)載均衡的目的，不象EIGRP那樣可以根據(jù)優(yōu)先級不同，自動匹配流量。環(huán)回接口有什么好處？解答：路由器的LOOPBACK詳解1作為一臺路由器的管理地址系統(tǒng)管理員完成網(wǎng)絡(luò)規(guī)劃之后，為了方便管理，會為每一臺路由器創(chuàng)建一個loopback接口，并在該接口上單獨指定一個IP地址作為管理地址，管理員會使用該地址對路由器遠(yuǎn)程登錄（telnet），該地址實際上起到了類似設(shè)備名稱一類的功能。但是通常每臺路由器上存在眾多接口和地址，為何不從當(dāng)中隨便挑選一個呢？原因如下：由于telnet命令使用TCP報文，會存在如下情況：路由器的某一個接口由于故障down掉了，但是其他的接口卻仍舊可以telnet，也就是說，到達(dá)這臺路由器的TCP連接依舊存在。所以選擇的telnet地址必須是永遠(yuǎn)也不會down掉的，而虛接口恰好滿足此類要求。由于此類接口沒有與對端互聯(lián)互通的需求，所以為了節(jié)約地址資源，loopback接口的地址通常指定為32位掩碼。2使用該接口地址作為動態(tài)路由協(xié)議OSPF、BGP的routerid動態(tài)路由協(xié)議OSPF、BGP在運行過程中需要為該協(xié)議指定一個Routerid，作為此路由器的唯一標(biāo)識，并要求在整個自治系統(tǒng)內(nèi)唯一。由于routerid是一個32位的無符號整數(shù)，這一點與IP地址十分相像。而且IP地址是不會出現(xiàn)重復(fù)現(xiàn)象的，所以通常將路由器的routerid指定為與該設(shè)備上的某個接口的地址相同。由于loopback接口的IP地址通常被視為路由器的標(biāo)識，所以也就成了routerid的最佳選擇。3、使用該接口地址作為BGP建立TCP連接的源地址在BGP協(xié)議中，兩個運行BGP的路由器之間建立鄰居關(guān)系是通過TCP建立連接完成的。在配置鄰居時通常指定loopback接口為建立TCP連接的源地址（通常只用于IBGP，原因同2.1，都是為了增強TCP連接的健壯性）配置命令如下：routeridinterfaceloopback0ipaddress55routerbgp100neighborremote-as200neighborupdate-sourceLoopBack二、課后練習(xí)請將地址改為/24重復(fù)以上實驗解答：參考教程詳細(xì)步驟修改IP/24

實驗十RIP-2鄰居認(rèn)證配置一、思考題認(rèn)證有什么意義？由于RIP沒有鄰居的概念，所以自己并不知道發(fā)出去的路由更新是不是有路由器收到，同樣也不知道會被什么樣的路由器收到，因為RIP的路由更新是明文的，網(wǎng)絡(luò)中無論誰收到，都可以讀取里面的信息，這就難免會有不懷好意者竊聽RIP的路由信息。為了防止路由信息被非法竊取，RIPver2可以相互認(rèn)證，只有能夠通過認(rèn)證的路由器，才能夠獲得路由更新。RIPver2可以支持明文與MD5認(rèn)證。而RIPver1是不支持認(rèn)證的。路由器之間，當(dāng)一方開啟認(rèn)證之后，另一方也同樣需要開啟認(rèn)證，并且密碼一致，才能讀取路由信息。認(rèn)證是基于接口配置的，密碼使用keychain來定義，keychain中可以定義多個密碼，每個密碼都有一個序號，RIPver2在認(rèn)證時，只要雙方最前面的一組密碼相同，認(rèn)證即可通過，雙方密碼序號不一定需要相同，keychain名字也不需要相同，但在某些低版本IOS中，會要求雙方的密碼序號必須相同，才能認(rèn)證成功，所以建議大家配置認(rèn)證時，雙方都配置相同的序號和密碼。router(config)#keychainccie

#定義鑰匙串名稱router(config-keychain)#key1router(config-keychain-key)#key-stringabc

#定義鑰匙串上第一把鑰匙為abcrouter(config-keychain-key)#exitrouter(config-keychain)#key2router(config-keychain-key)#key-stringfghrouter(config-keychain-key)#exitrouter(config-keychain)#key3router(config-keychain-key)#key-stringcderouter(config)#intf0/0router(config-if)#ipripauthenticationmodemd5

#定義認(rèn)證模式router(config-if)#ipripauthenticationkey-chainccie

#定義認(rèn)證密碼2、為什么一定要是雙向的？RIP支持兩種認(rèn)證方式：1、明文認(rèn)證2、md5認(rèn)證第一步：定義密碼庫R2(config)#keychainR2（本地有效,兩端可以不相同）R2(config-keychain)#key1（建議兩端一致）(可以定義多個KEY值，按從小到大的順序進(jìn)行匹配，發(fā)送KEY值時也是發(fā)送最小的一個，還可以設(shè)定KEY值的有效時間。)R2(config-keychain-key)#key-stringcisco第二步：在接口下應(yīng)用密碼庫R2(config-if)#ipripauthenticationkey-chainR2第三步：在接口下指定認(rèn)證模式R2(config-if)#ipripauthenticationmode[md5|text]R1#showkeychainR1#debugiprip認(rèn)證必須是在雙方都配置的情況下,才能認(rèn)證的.如果一臺配置,一臺不配置,結(jié)果兩臺都不能學(xué)到對方的路由.=====================================================如果R1，R2都配置了明文認(rèn)證，則使用認(rèn)證原則：明文認(rèn)證的匹配原則:1.發(fā)送方(被認(rèn)證方)將keychain中keyID最小的密碼以明文的方式(不攜帶keyID)發(fā)送給接收方(主認(rèn)證方).2.接收方(主認(rèn)證方)會和被調(diào)用keychain中的所有密碼進(jìn)程匹配，如果匹配成功，則認(rèn)證通過．如果雙方都通過認(rèn)證，R1，R2可以相互學(xué)到對方的路由.也有可能R2通過R1的認(rèn)證但是R1沒有通過R2的認(rèn)證<<R1有多個key,而R2只有一個key,R1的最小key不能與R2的key匹配,但R2的key可以與R1的其中一個key(不是最小的key)相匹配>>,那么R1可以學(xué)習(xí)到R2的路由,但R2學(xué)習(xí)不到R1的路由.=====================================================MD5R2配置了MD5認(rèn)證,但R1沒有配置任何認(rèn)證,這時,R1與R2都學(xué)不到對方的路由.只有當(dāng)雙方都配置了MD5認(rèn)證時,才能相互學(xué)到對方的路由.R1---------------------R2key1=cciekey1=cciekey2=ccnp兩臺路由器都有路由，都可以通過認(rèn)證========================================key1=cciekey2=ccieR1能通過R2的認(rèn)證，所以R2上能學(xué)到R1的路由；R2不能通過R1的認(rèn)證，所以R1上學(xué)不到R2的路由。========================================key2=cciekey1=ccie結(jié)果與上面的相反：R1不能通過R2的認(rèn)證，所以R2上學(xué)不到R1的路由；但R2可以通過R1的認(rèn)證，所以R1上能學(xué)到R2的路由。========================================key1=cciekey2=ccnakey3=ccnakey4=ccnpR1不能通過R2的認(rèn)證，所以R2上學(xué)不到R1的路由;R2能通過R1的認(rèn)證，所以R1上能學(xué)到R2的路由(如果將R1的key3改為ccnp，key4改為ccna，那么:R1不能通過R2的認(rèn)證，所以R2上學(xué)不到R1的路由R2也不能通過R1的認(rèn)證，所以R1上也學(xué)不到R2的路由)========================================k2=cciekey1=cciek3=ccnpkey2=ccnpk5=ccnakey3=ccieR1不能通過R2的認(rèn)證，所以R2上學(xué)不到R1的路由R2能通過R1的認(rèn)證，所以R1上能學(xué)到R2的路由規(guī)則：路由器只會將它的最小keyid及密碼發(fā)送到對方進(jìn)行認(rèn)證，并且攜帶keyid.對方接收時:如果有keyid匹配,則檢查密碼,相同,則通過認(rèn)證,不同,則認(rèn)證失敗.如果沒有keyid匹配,則向下查找一次大的keyID的密碼,如果密碼相同,則通過認(rèn)證,