Аутентификация в EIGRP позволяет аутентифицировать каждое сообщение. Использовать это можно, как я понимаю, для предотвращения внедрения ложных маршрутизаторов с запущенным EIGRP-процессом.
Для аутентификации используется PSK (pre-shared key), который должен совпадать на всех маршрутизаторах, которые хотят установить соседство друг с другом. Алгоритм подписи сообщений - MD5.
Если аутентификация не прошла, то есть подпись сообщения не проходит проверку, сообщения просто сбрасываются, и соседство между маршрутизаторами не устанавливается.
Настройка аутентификации осуществляется в три шага:
1) Создаем PSK. Для этого необходимо создать ключевую цепочку с помощью команды key chain name. Далее в ней создаем ключ (один или несколько) key number. И далее вводим непосредственно само ключевое слово: key-string value.
2) Включаем аутентификацию с помощью MD5-алгоритма на интерфейсе. При этом используем соответствующий номер автономной системы:
ip authentication mode eigrp asn md5
3) Указываем на интерфейсе, какую цепочку ключей использовать:
ip authentication key-chain eigrp asn name-of-chain.
После того, как все настроено, самое время все проверить:
show ip eigrp neighbors - проверяем, установилось ли соседство
show key chain - если не установилось соседство, проверяем на маршрутизаторах, верно ли заданы ключи
debug eigrp packets - включаем дебаг и смотрим, как проходит процесс обмена Hello-сообщениями
Важные моменты:
1) В случае, если для ключей в цепочки задано время жизни, необходимо проверить состояние show clock на паре маршрутизаторов, чтобы убедиться, что ключи рабочие.
2) Имя ключевой цепи и номер ключа локальны, то есть не обязаны совпадать на обоих маршрутизаторах, устанавливающих соседство. Это не касается ключевого слова. Оно совпадать должно!
3)Шаги 2 и 3 при настройке так же должны быть применены обязательно. Иначе ничего работать не будет.
(с) Вольный перевод CCNP ROUTE 642-902 Official Cert Guide by Wendell Odom
Комментариев нет:
Отправить комментарий