Настройка EIGRP на Cisco часть 8 [подготовка к CCNP]

Cisco

8. Аутентификация в EIGRP


Это восьмая и последняя часть моей статьи по настройке EIGRP в рамках экзамена CCNP
Перейти к первой части
Перейти ко второй части
Перейти к третьей части
Перейти к четвертой части
Перейти к пятой части
Перейти к шестой части
Перейти к седьмой части

]Аутентификация в EIGRP бывает двух типов.
• Null аутентификация – без аутентификации. применяется по умолчанию.
• Аутентификация md5.
Я покажу как настроить md5 аутентификацию с двумя ключами. Первый ключ будет работать первый месяц, затем автоматически маршрутизаторы перейдут на использование второго ключа.
Для корректного использования данной функции на всех маршрутизаторах должно быть установлено одинаковое время. Обычно это делается с помощью серверов ntp. Но в моей сети такого сервера нет. Пусть в качестве такого сервера выступает R4.

R4#clock set 10:00:00 10 June 2013 – устанавливаем текущее время на маршрутизаторе
R4#
*Jun 10 10:00:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:11:20 UTC Fri Mar 1 2002 to 10:00:00 UTC Mon Jun 10 2013, configured from console by console.
R4#conf t
R4(config)#ntp master – делаем маршрутизатор ntp мастером.


На всех остальных маршрутизаторах нужно настроить синхронизацию времени с R4: (config)#ntp server 4.4.4.1.
Проверить правильность установки часов можно командой show clock.

R1(config)#key chain for_eigrp
R1(config-keychain)#key 1 – первый ключ
R1(config-keychain-key)#key-string 12345
R1(config-keychain-key)#send-lifetime 10:00:00 10 June 2013 10:00:00 10 July 2013 – время работы ключа на прием
R1(config-keychain-key)#accept-lifetime 10:00:00 10 June 2013 10:00:00 10 July 2013 – время работы ключа на передачу
R1(config-keychain-key)#key 2 – второй ключ
R1(config-keychain-key)#key-string 54321
R1(config-keychain-key)#send-lifetime 10:00:00 10 July 2013 infinite
R1(config-keychain-key)#accept-lifetime 10:00:00 10 July 2013 infinite
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config)#int fa0/0
R1(config-if)#ip authentication mode eigrp 100 md5 — включаем md5 аутентификацию (соседство прекращается)
R1(config-if)#
Jun 10 10:17:21.924: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.10.10.8 (FastEthernet0/0) is down: authentication mode changed
Jun 10 10:17:21.944: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.10.10.2 (FastEthernet0/0) is down: authentication mode changed
Jun 10 10:17:21.972: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.10.10.3 (FastEthernet0/0) is down: authentication mode changed
R1(config-if)#ip authentication key-chain eigrp 100 for_eigrp – привязываем ключи.


Эти команды необходимо ввести на всех маршрутизаторах, с учетом правильного интерфейса и зоны.
Если все правильно настроено, то отношения смежности должны восстановиться и сеть вернется в первоначальное состояние. Если к сети подключить еще один маршрутизатор, он не сможет установить соседство с существующими маршрутизаторами без дополнительных настроек аутентификации.
Сконфигурированные ключи и какие ключи сейчас активны можно посмотреть командой:

Через месяц на всех маршрутизаторах изменятся ключи на 54321.
Более подробно процесс аутентификации можно проинспектировать командой debug ip packets.
Увидеть сконфигурирована аутентификация на интерфейсе или нет можно командой:

К слову, сконфигурированные пароли можно легко посмотреть в show run. Поэтому рекомендуется применить (config)#service password-encryption.

На этом наша сеть настроена, попробуем пропинговать с интерфейса Lo1 R1 интерфейс Lo1 R6.

Успех!

Всем спасибо за внимание, если у Вас есть вопросы или замечания смело пишите их в комментариях, постараюсь ответить на все.
Надеюсь, данный пост поможет Вам внедрить EIGRP у себя на предприятии или успешно сдать секцию по EIGRP на экзамене ROUTE.">

4 комментария

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.