确保路由协议的可靠性

先决条件：了解路由信息协议（RIP）的原理，熟悉EIGRP的基本概念，同时还需要了解OSPF协议的原理。
路由过程是指第3层设备（无论是路由器还是第3层交换机）在源网络和目标网络之间找到最佳路径的过程。动态路由协议的使用有助于减少管理员的工作负担，因为管理员需要配置的条目减少了。不过，默认情况下，所有的路由信息都是公开的，因为这些信息并未被加密，因此容易受到攻击。
我们可以通过为这些路由协议添加认证功能来确保其安全性。具体来说，就是创建密钥链，并将其应用于负责通告路由的接口上。在这里，我们不会讨论其他协议，而是重点介绍如何为RIP、EIGRP和OSPF协议添加认证功能。
路由信息协议（RIP）— 
RIP是一种距离矢量路由协议，它使用端口号520作为路由信息交换的通道，其管理距离为120。它是一种应用层协议，共有三个版本，其中只有其中一个版本支持身份验证功能。
配置 – 
 

有3台路由器，分别命名为router1（在eth0/0接口上使用的IP地址为192.168.1.1），router2（在eth0/0接口上使用的IP地址为192.168.1.2，在eth0/1接口上使用的IP地址为192.168.2.1），以及router3（在eth0/0接口上使用的IP地址为192.168.2.2）。由于router1没有通往192.168.2.0网络的路由路径，因此它无法与router3进行通信。为此，我们需要在所有路由器上启用RIP路由功能，并且为这些路由器添加身份验证功能。
首先，配置路由器1以支持RIP协议：

router1(config)#router riprouter1(config-router)#network 192.168.1.0router1(config-router)#no auto-summaryrouter1(config-router)#version 2

现在，我们来配置路由器2的RIP设置吧：

router2(config)#router riprouter2(config-router)#network 192.168.1.0router2(config-router)#network 192.168.2.0router2(config-router)#no auto-summaryrouter2(config-router)#version 2

现在，我们来配置路由器3的RIP设置吧：

router3(config)#router riprouter3(config-router)#network 192.168.2.0router3(config-router)#no auto-summary router3(config-router)#version 2

在这里，我们启用了版本2的RIP协议，因为它支持身份验证功能。现在，我们可以从路由器1（192.168.1.1）向路由器3（192.168.2.2）发送Ping请求。接下来，需要依次在所有的路由器上启用身份验证功能。首先，创建一个密钥链，然后将其应用到相应的接口上。
 

router1(config)#key chain ciscorouter1(config-keychain)#key 1router1(config-keychain-key)#key-string cisco1router1(config-keychain-key)#exitrouter1(config-keychain)#exitrouter1(config)#int ethernet0/0router1(config-if)#ip rip authentication mode md5router1(config-if)#ip rip authentication key-chain cisco

在这里，我们创建了一个名为“cisco”的钥匙链。该钥匙链的密钥为1，而密钥字符串则设置为“cisco1”。然后，我们将这个钥匙链连接到接口“ethernet0/0”上（该接口已经启用了RIP协议）。
现在正在路由器2上创建相同的钥匙链。
 

router2(config)#key chain ciscorouter2(config-keychain)#key 1router2(config-keychain-key)#key-string cisco1router2(config-keychain-key)#exitrouter2(config-keychain)#exitrouter2(config)#int ethernet0/0router2(config-if)#ip rip authentication mode md5router2(config-if)#ip rip authentication key-chain cisco

注意：钥匙链的配置、其ID以及键串在两台路由器上应该是相同的。
增强型内部网关路由协议 – 
EIGRP是一种高级的路由协议，它使用协议编号88，其管理距离值为90。这是一种网络层协议，支持明文传输和MD5认证方式。
配置 – 
 

采用相同的拓扑结构，有3台路由器：路由器1的IP地址为192.168.1.1，位于以太网0/0接口上；路由器2的IP地址分别为192.168.1.2和192.168.2.1，分别位于以太网0/0和以太网0/1接口上；路由器3的IP地址为192.168.2.2，同样位于以太网0/0接口上。不过，路由器1无法与路由器3进行通信，因为它没有通往192.168.2.0网络的路由。为了解决这个问题，我们需要在所有路由器上启用EIGRP路由功能，并对这些路由器进行身份验证。
在路由器1上配置EIGRP：

router1(config)#router eigrp 100router1(config-router)#network 192.168.1.0router1(config-router)#no auto-summary

在这里，使用的是自主系统编号100。
在 router2 上配置 EIGRP：

router2(config)#router EIGRP 100router2(config-router)#network 192.168.1.0router2(config-router)#network 192.168.2.0router2(config-router)#no auto-summary

在路由器3上配置EIGRP：

router3(config)#router eigrp 100router3(config-router)#network 192.168.2.0router3(config-router)#no auto-summary

现在，我们开始在路由器上使用EIGRP来进行身份验证。

router1(config)#key chain ciscorouter1(config-keychain)#key 1router1(config-keychain-key)#key-string cisco1router1(config-keychain-key)#exitrouter1(config-keychain)#exitrouter1(config)#int ethernet0/0router1(config-if)#ip authentication mode eigrp 100 md5router1(config-if)#ip authentication key-chain eigrp 100 cisco

在 Router2 上执行相同的配置操作：

router2(config)#key chain ciscorouter2(config-keychain)#key 1router2(config-keychain-key)#key-string cisco1router2(config-keychain-key)#exitrouter2(config-keychain)#exitrouter2(config)#int ethernet0/0router2(config-if)#ip authentication mode eigrp 100 md5router2(config-if)#ip authentication key-chain eigrp 100 cisco

注意：钥匙链的构造、其连接方式以及按键串在两台路由器上应该是相同的。
3. 开放最短路径优先（OSPF） 
OSPF是一种链路状态路由协议，其使用的协议编号为89，而管理距离则设为110。它是一种网络层协议，支持明文传输以及MD5认证方式。
配置 – 
 

采用相同的拓扑结构，有3台路由器：路由器1的IP地址为192.168.1.1，位于以太网接口0/0上；路由器2的IP地址分别为192.168.1.2，位于以太网接口0/0上，以及192.168.2.1，位于以太网接口0/1上；路由器3的IP地址为192.168.2.2，同样位于以太网接口0/0上。为了实现OSPF路由功能，我们需要在所有这些路由器上启用OSPF路由功能，同时还需要为它们添加认证机制。
在路由器1上配置OSPF：

router1(config)#router ospf 1router1(config-router)#network 192.168.1.0 0.0.0.255 area 0

在路由器2上配置OSPF：

router2(config)#router ospf 1router2(config-router)#network 192.168.1.0 0.0.0.255 area 0router2(config-router)#network 192.168.2.0 0.0.0.255 area 0

在路由器3上配置OSPF：

router3(config)#router OSPF 1router2(config-router)#network 192.168.2.0 0.0.0.255 area 0

在路由器1上配置身份验证：

router1(config)#key chain ciscorouter1(config-keychain)#key 1router1(config-keychain-key)#key-string cisco1router1(config-keychain-key)#exitrouter1(config-keychain)#exitrouter1(config)#int ethernet0/0router1(config-if)#ip ospf Authentication message-digestrouter1(config-if)#ip ospf authentication-key cisco1

在 router2 上配置身份验证：

router2(config)#key chain ciscorouter2(config-keychain)#key 1router2(config-keychain-key)#key-string cisco1router2(config-keychain-key)#exitrouter2(config-keychain)#exitrouter2(config)#int ethernet0/0router2(config-if)#ip ospf authentication message-digestrouter2(config-if)#ip ospf authentication-key cisco1

注意： 

• 钥匙链的构造、其连接方式以及键串的配置，在两台路由器上应该都是相同的。
• Md5密码容易受到暴力攻击，因此建议使用包含数字或特殊字符的密码，并且密码的长度应足够长。