EIGRP 消息身份验证可以确保路由器只接收由知道相同的预共享密钥的其他路由器发出的路由消息。 在没有配置身份验证的情况下,如果未经授权的人员将其他具有不同或冲突路由信息的路由器引入网络,那么合法路由器的路由表可能会损坏并会随之发生 DoS 攻击。 因此,当在路由器之间发送的 EIGRP 消息中添加身份验证时,它可防止有人有意或无意地将另一个路由器添加到网络中并引起问题。

EIGRP 支持使用 MD5 的路由协议身份验证。 EIGRP 消息身份验证的配置包含两个步骤:创建密钥链和密钥,以及配置 EIGRP 身份验证以便于使用该密钥链和密钥。

第 1 步: 创建密钥链和密钥

只有当密钥链上有密钥时,路由身份验证才能起作用。 在启用身份验证之前,请创建密钥链和至少一个密钥。

a. 在全局配置模式下,创建密钥链。 尽管可以配置多个密钥,但是此部分将着重介绍单一密钥的使用。

Router(config)# key chain name-of-chain

b. 指定密钥 ID。 密钥 ID 是用于在密钥链中确定身份验证密钥的数字。 密钥的范围从 0 到 2,147,483,647。 我们建议密钥编号在所有的路由器配置中都相同。

Router(config-keychain)# key key-id

c. 指定密钥的密钥字符串。 密钥字符串与密码类似。 交换身份验证密钥的路由器必须使用相同的密钥字符串进行配置。

Router(config-keychain-key )# key-string key-string-text

第 2 步: 使用密钥链和密钥配置 EIGRP 身份验证

使用之前定义的密钥来配置 EIGRP 以执行消息身份验证。 在所有启用 EIGRP 的接口上完成此配置。

a. 在全局配置模式下,指定一个接口来配置 EIGRP 消息身份验证。

Router(config)# interface type number

b. 启用 EIGRP 消息身份验证。 md5 关键字表示使用 MD5 哈希进行身份验证。

Router(config-if)# ip authentication mode eigrp as-number md5

c. 指定应该用于身份验证的密钥链。 name-of-chain 参数指定第 1 步中所创建的密钥链。

Router(config-if)# ip authentication key-chain eigrp as-number name-of-chain

每个密钥都有自己的密钥 ID,存储在本地。 与消息关联的密钥 ID 可与接口一起唯一标识所使用的身份验证算法和 MD5 身份验证密钥。 使用 MD5 算法来处理密钥和路由更新以生成唯一的签名。