пятница, февраля 24, 2017

Аутентификация EIGRP

Привет уважаемые читатели. Сегодня мы разберем такой вопрос - как аутентификация протокола EIGRP.  Не будем долго раскачиваться, просто начнем...

Для начала скажем пару слов о том, зачем вообще нужна аутентификация протокола EIGRP. Наверное вы предположите, что она нужна из соображений безопасности, и вы будете абсолютно правы. Представьте себе ситуацию, у вас есть маршрутизатор, на нем работает протокол EIGRP, что будет если в сети одного из его интерфейсов, появиться какой либо маршрутизатор, с работающим на нем протоколом EIGRP, и тем же номером автономной системы (Этот номер не является ни каким секретом, как мы видели в прошлой статье, он передается открытым текстом в  Hello сообщения протокола EIGRP, и легко может быть перехвачен)? Все верно, ваш маршрутизатор установит соседство с этим непонятным маршрутизатором по протоколу EIGRP, и будет обмениваться с ним маршрутной информацией, что может сулит целую кучу неприятностей.

Одним из способов, недопущения такой неприятности, как установление не санкционированного соседства, является использование аутентификации протокола EIGRP. Давайте попробуем ее настроить. Использовать будем всю туже, уже известную нам сеть, но в этот раз соберем ее в GNS3:
Схема для настройки аутентификации протокола EIGRP
Схема для настройки аутентификации протокола EIGRP
И так. Для начала выполним базовую настройку маршрутизатора 1:

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown 
R1(config)#router eigrp 200
R1(config-router)#network 192.168.1.0

Далее создадим на нем ключевую последовательность необходимую для процесса аутентификации:

R1(config)#key chain my_passw
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string strong_passw

Первой командой мы создаем ключевую последовательность с именем my_passw, второй командой создаем в ней ключ с номером 1, а третьей командой уже непосредственно задаем пароль strong_passw, который будет использоваться в процессе аутентификации. 

Теперь необходимо сказать протоколу EIGRP, чтобы он использовал ключевую последовательность my_passw для выполнения аутентификации, для этого выполним на маршрутизаторе следующие команды:

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip authentication mode eigrp 200 md5
R1(config-if)#ip authentication key-chain eigrp 200 my_passw

Первой командой, мы переходим к конфигурированию интерфейса, который смотрит в сторону второго маршрутизатора. Второй командой мы говорим, что для аутентификации в автономной системе с номером 200, необходимо использовать тип аутентификации md5. Третьей командой, мы говорим, что для аутентификации в автономной системе 200 необходимо использовать ключевую последовательность с именем my_passw.







Теперь перейдем к настройке маршрутизатора 2, сначала выполним на нем команды:

R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router eigrp 200
R2(config-router)#network 192.168.1.0

Выполним для интереса команду:

R2#show ip eigrp neighbors

Для того чтобы посмотреть имеющихся соседей EIGRP, как можно было бы предположить - их нет, так как не проходит аутентификация.

Выполним на маршрутизаторе 2 уже известные нам команды:

R2(config)#key chain my_passw
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string strong_passw

и

R2(config)#interface fastEthernet 0/0
R2(config-if)#ip authentication mode eigrp 200 md5
R2(config-if)#ip authentication key-chain eigrp 200 my_passw

Через пару секунд мы увидим сообщение вида:

*Mar  1 00:14:54.639: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 200: Neighbor 192.168.1.1 (FastEthernet0/0) is up: new adjacency

говорящее об установлении соседства EIGRP. Теперь если мы выполним команду 

R2#show ip eigrp neighbors

то увидим следующее:

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.1.1             Fa0/0             13 00:01:05   56   336  0  3

Данная информация подтверждает, что соседство EIGRP установлено.
И так аутентификация настроена. На сегодня это все. Надеюсь, что данная информация кому-то пригодиться.

2 коммент.:

Мини топики - супер. Егор не подскажете как eigrp в enterprise уровне живется. Поскольку данный протокол поддерживается только вендором cisco. OSPF лучше или EIGRP? Хотелось узнать ваше мнение

Добрый день. Работаю в третьей организации (все довольно крупные), ни разу EIGRP в живую не видел, только OSPF... делаем выводы... =)

Отправить комментарий