ICND2_Vol2_RUS
.pdf
Настройка аутентификации EIGRP MD5 (прод.)
RouterX(config-keychain-key)#
key-string текст
Определяет строку ключа (пароль)
RouterX(config-keychain-key)#
accept-lifetime время_начала {infinite | время_окончания | duration секунды}
(Необязательно) Указывает, может ли ключ использоваться для принятых пакетов
RouterX(config-keychain-key)#
send-lifetime время_начала {infinite | время_окончания | duration секунды}
(Необязательно) Указывает, может ли ключ использоваться для отправки пакетов
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 20 |
Действие 3 С помощью команды key-string задайте строку ключа (пароль) (см рисунок). В таблице описывается параметр этой команды.
Параметр команды key-string
Параметр |
Описание |
|
|
текст |
Строка, используемая для аутентификации принимаемых |
|
и отправляемых пакетов EIGRP. Строка может содержать |
|
от 1 до 80 буквенно-цифровых символов в верхнем или |
|
нижнем регистре. Первый символ не может быть цифрой, |
|
строка вводится с учетом регистра. |
|
|
Действие 4 (Необязательно) Кроме того, можно использовать команду accept-lifetime, чтобы задать время, в течение которого допускается использование ключа для принимаемых пакетов (см. рисунок). Если вы не введете команду accept-lifetime, будет использоваться бесконечный период. В таблице описываются параметры этой команды.
© 2007 Cisco Systems, Inc. |
Внедрение EIGRP |
5-25 |
Параметры команды accept-lifetime
Параметр |
Описание |
|
|
|
|
время_начала |
Начало периода, в течение которого ключ, указанный с помощью |
|
|
команды key, можно использовать для принимаемых пакетов. |
|
|
Синтаксис может иметь следующий вид. |
|
|
чч:мм:сс месяц дата год |
|
|
чч:мм:сс дата месяц год |
|
|
— |
чч: часы |
|
— |
мм: минуты |
|
— |
сс: секунды |
|
— месяц: первые три буквы названия месяца |
|
|
— дата: дата (1 – 31) |
|
|
— год: год (4 цифры) |
|
|
Время начала по умолчанию. Самая ранняя допустимая дата: |
|
|
1 января, 1993 г. |
|
|
|
|
infinite |
Ключ можно использовать для принимаемых пакетов начиная |
|
|
с времени начала без ограничений по времени окончания. |
|
|
|
|
время_окончания |
Ключ можно использовать для принимаемых пакетов с времени |
|
|
начала до времени окончания. Синтаксис аналогичен параметру |
|
|
время начала. Время окончания должно быть позже времени |
|
|
начала. Значение по умолчанию – infinite. |
|
|
|
|
секунды |
Период времени (в секундах) в течение которого ключ можно |
|
|
использовать для принимаемых пакетов. Диапазон значений: |
|
|
1 – 2147483646. |
|
|
|
|
Действие 5 (Необязательно) Введите команду send-lifetime, чтобы задать время,
в течение которого допускается использование ключа для отправляемых пакетов (см. рисунок). Если вы не введете команду send-lifetime, будет использоваться бесконечный период. В таблице описываются параметры этой команды.
5-26 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Параметры команды send-lifetime
|
Параметр |
Описание |
|
|
|
|
|
|
|
|
время_начала |
Начало периода, в течение которого ключ, указанный с помощью |
|
|
|
|
команды key, можно использовать для отправляемых пакетов. |
|
|
|
|
Синтаксис может иметь следующий вид. |
|
|
|
|
чч:мм:сс месяц дата год |
|
|
|
|
чч:мм:сс дата месяц год |
|
|
|
|
— |
чч: часы |
|
|
|
— |
мм: минуты |
|
|
|
— |
сс: секунды |
|
|
|
— месяц: первые три буквы названия месяца |
|
|
|
|
— дата: дата (1 – 31) |
|
|
|
|
— год: год (4 цифры) |
|
|
|
|
Время начала по умолчанию и самая ранняя допустимая дата: |
|
|
|
|
1 января, 1993 г. |
|
|
|
|
|
|
|
|
infinite |
Ключ можно использовать для отправляемых пакетов начиная |
|
|
|
|
с времени начала без ограничений по времени окончания. |
|
|
|
|
|
|
|
|
время_окончания |
Ключ можно использовать для отправляемых пакетов с времени |
|
|
|
|
начала до времени окончания. Синтаксис аналогичен параметру |
|
|
|
|
время начала. Время окончания должно быть позже времени |
|
|
|
|
начала. Значение по умолчанию – infinite. |
|
|
|
|
|
|
|
|
секунды |
Период времени (в секундах) в течение которого ключ можно |
|
|
|
|
использовать для отправляемых пакетов. Диапазон значений: |
|
|
|
|
1 – 2147483646. |
|
|
|
|
|
|
|
|
|
|
|
|
Примечание Если при настройке аутентификации EIGRP не была использована команда service password-encryption, ключ будет сохранен в конфигурации маршрутизатора
в виде нешифрованного текста. Если команда service password-encryption была введена, ключ сохраняется и отображается в зашифрованном виде. Когда пароль выводится, перед ним отображается тип шифрования 7.
© 2007 Cisco Systems, Inc. |
Внедрение EIGRP |
5-27 |
Настройка аутентификации EIGRP MD5 (прод.)
RouterX(config-if)#
ip authentication mode eigrp автономная_система md5
Задает аутентификацию MD5 для пакетов EIGRP
RouterX(config-if)#
ip authentication key-chain eigrp автономная_система имя_цепочки
Включает аутентификацию пакетов EIGRP с использованием ключа в цепочке ключей
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 21 |
Чтобы настроить аутентификацию MD5 для EIGRP, выполните следующие действия:
Действие 1 Перейдите в режим конфигурации для интерфейса, на котором необходимо включить аутентификацию.
Действие 2 С помощью команды ip authentication mode eigrp md5 включите аутентификацию MD5 для пакетов EIGRP (см. рисунок). В таблице описывается параметр этой команды.
Параметр команды ip authentication mode eigrp md5
Параметр |
Описание |
|
|
автономная_система Номер автономной системы EIGRP, для которой будет использоваться аутентификация
Действие 3 Укажите цепочку ключей, которая будет использоваться для аутентификации пакетов EIGRP с помощью команды ip authentication key-chain eigrp. Параметры это команды описываются в таблице.
Параметры команды ip authentication key-chain eigrp
Параметр |
Описание |
|
|
автономная_система |
Номер автономной системы EIGRP, для которой |
|
будет использоваться аутентификация |
|
|
имя_цепочки |
Имя цепочки ключей аутентификации, из которой |
|
необходимо извлечь ключ |
|
|
5-28 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Пример конфигурации аутентификации EIGRP MD5
RouterX
<output omitted>
key chain RouterXchain key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006
key 2
key-string secondkey
accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite
<output omitted>
!
interface Serial0/0/1 bandwidth 64
ip address 192.168.1.101 255.255.255.224 ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 RouterXchain
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 22 |
Пример: Kонфигурация аутентификации MD5
На рисунке приводится конфигурация аутентификации EIGRP MD5 для маршрутизатора X.
Аутентификация MD5 настраивается на интерфейсе serial 0/0/1 с помощью команды ip authentication mode eigrp 100 md5. Команда ip authentication key-chain eigrp 100 RouterXchain активирует использование цепочки ключей RouterXchain для автономной системы EIGRP AS 100.
Команда key chain RouterXchain активирует режим конфигурации для цепочки ключей RouterXchain. Задаются два ключа. Ключ 1 задается в качестве «первого ключа»
с помощью команды key-string firstkey. Этот ключ будет использоваться для пакетов, принятых маршрутизатором X, начиная с 4:00 (0400) 1-го января 2006 г. (команда accept-lifetime 04:00:00 Jan 1 2006 infinite). Команда send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006 указывает, что этот ключ можно использовать для отправляемых пакетов только в течение одной минуты 1-го января 2006 г. После этого ключ станет недействительным для аутентификации отправляемых пакетов.
Ключ 2 задается в качестве «второго ключа» с помощью команды key-string secondkey. Этот ключ будет использоваться для пакетов, принятых маршрутизатором X, начиная с 4:00 (0400) 1-го января 2006 г. (команда accept-lifetime 04:00:00 Jan 1 2006 infinite). Кроме того, это ключ можно использовать для пакетов, отправленных с 4:00 (0400) 1-го января 2006 г. (команда send-lifetime 04:00:00 Jan 1 2006 infinite).
Таким образом маршрутизатор X принимает и пытается проверить подпись MD5 всех пакетов EIGRP с идентификатором ключа 1. Кроме того, маршрутизатор X примет пакет с идентификатором ключа 2. Все остальные пакеты MD5 будут отброшены. Маршрутизатор X отправляет все пакеты EIGRP с ключом 2, поскольку ключ 1 больше не действителен для отправки пакетов.
© 2007 Cisco Systems, Inc. |
Внедрение EIGRP |
5-29 |
Пример конфигурации аутентификации EIGRP MD5 (прод.)
RouterY
<output omitted>
key chain RouterYchain key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite
key 2
key-string secondkey
accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite
<output omitted>
!
interface Serial0/0/1 bandwidth 64
ip address 192.168.1.102 255.255.255.224 ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 RouterYchain
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 23 |
На рисунке приводится конфигурация аутентификации EIGRP MD5 для маршрутизатора Y.
Аутентификация MD5 настраивается на интерфейсе serial 0/0/1 с помощью команды ip authentication mode eigrp 100 md5. Команда ip authentication key-chain eigrp 100 RouterYchain активирует использование цепочки ключей RouterXchain для автономной системы EIGRP AS 100.
Команда key chain RouterYchain активирует режим конфигурации для цепочки ключей RouterXchain. Задаются два ключа. Ключ 1 задается в качестве «первого ключа» с помощью команды key-string firstkey. Этот ключ будет использоваться для пакетов, принятых маршрутизатором Y, начиная с 4:00 (0400) 1-го января 2006 г. (команда accept-lifetime 04:00:00 Jan 1 2006 infinite). Кроме того, это ключ можно использовать для пакетов, отправленных с 4:00 (0400) 1-го января 2006 г. (команда send-lifetime 04:00:00 Jan 1 2006 infinite).
Ключ 2 задается в качестве «второго ключа» с помощью команды key-string secondkey. Этот ключ будет использоваться для пакетов, принятых маршрутизатором Y, начиная с 4:00 (0400) 1-го января 2006 г. (команда accept-lifetime 04:00:00 Jan 1 2006 infinite). Кроме того, это ключ можно использовать для пакетов, отправленных с 4:00 (0400) 1-го января 2006 г. (команда send-lifetime 04:00:00 Jan 1 2006 infinite).
Таким образом маршрутизатор X принимает и пытается проверить подпись MD5 всех пакетов EIGRP с идентификатором ключа 1 или 2. Кроме того, маршрутизатор Y будет использовать ключ 1 для отправки всех пакетов EIGRP, так как это первый действующий ключ в цепочке ключей.
5-30 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Проверка аутентификации MD5
RouterX#
*Jan 21 16:23:30.517: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102 (Serial0/0/1) is up: new adjacency
RouterX#show |
ip |
eigrp |
neighbors |
|
|
|
|
|
|
||
IP-EIGRP neighbors for process 100 |
|
|
|
|
|
|
|||||
H |
Address |
|
|
Interface |
Hold |
Uptime |
SRTT |
RTO |
Q |
Seq |
|
|
|
|
|
|
|
(sec) |
|
(ms) |
|
Cnt |
Num |
0 |
192. |
168. |
1.102 |
Se0/0/1 |
12 |
00:03:10 |
17 |
2280 |
0 |
14 |
|
RouterX#show |
ip |
route |
|
|
|
|
|
|
|
||
<output |
omitted> |
|
|
|
|
|
|
|
|||
Gateway |
of last |
resort |
is not set |
|
|
|
|
|
|
||
D172.17.0.0/16 [90/40514560] via 192.168.1.102, 00:02:22, Serial0/0/1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
D172.16.0.0/16 is a summary, 00:31:31, Null0
C172.16.1.0/24 is directly connected, FastEthernet0/0
|
192.168 |
.1. |
0/24 is variably subnetted, 2 subnets, 2 masks |
C |
192. |
168 |
.1.96/27 is directly connected, Serial0/0/1 |
D192.168.1.0/24 is a summary, 00:31:31, Null0
RouterX#ping 172.17.2.2 |
|
Type escape sequence to abort. |
|
Sending 5, 100-byte ICMP Echos to 172.17.2.2, timeout is 2 seconds: |
|
!!!!! |
|
Success rate is 100 percent (5/5), round-trip min/avg/max |
= 12/15/16 ms |
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 24 |
Проверка аутентификации MD5
На рисунке приводится вывод команд show ip eigrp neighbors и show ip route.
Тот факт, что в таблице соседних узлов отображается IP-адрес маршрутизатора Y указывает на то, что два маршрутизатора успешно сформировали соседские отношения EIGRP. Таблица маршрутизации подтверждает, что маршрут 172.17.0.0 был получен по протоколу EIGRP с последовательного интерфейса. Таким образом аутентификация MD5 для EIGRP между маршрутизаторам X и Y выполнена успешно.
Также приводятся результаты отправки эхо-запроса в интерфейс Fast Ethernet маршрутизатора Y, чтобы доказать работоспособность канала.
© 2007 Cisco Systems, Inc. |
Внедрение EIGRP |
5-31 |
Резюме
В этом разделе приводится резюме основных вопросов, рассмотренных на занятии.
Резюме
EIGRP – усовершенствованный бесклассовый дистанционновекторный протокол, основанный на алгоритме DUAL.
Для EIGRP необходимо задать номер автономной системы, который должен совпадать на всех маршрутизаторах, выполняющих обмен маршрутами.
EIGRP поддерживает балансировку нагрузки по маршрутам с неравной стоимостью.
EIGRP поддерживает аутентификацию MD5 для предотвращения ввода в сеть несанкционированных, вредоносных маршрутов.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0—5- 26 |
5-32 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Занятие 2
Устранение неполадок EIGRP
Обзор
Будучи усовершенствованным дистанционно-векторным протоколом маршрутизации, EIGRP хорошо масштабируется с ростом сети. Но эта масштабируемость усложняет проектирование, настройку и обслуживание сети. В этом занятии описывается несколько общих проблем, возникающих в сети EIGRP, а также метод поиска и устранения этих проблем с помощью рабочей диаграммы.
Задачи
По окончании этого занятия вы сможете определять методы поиска и изоляции распространенных проблем EIGRP, а также предлагать решения этих проблем. Это значит, что вы сможете выполнять следующие задачи:
описывать основные составляющие процедуры поиска и устранения неполадок сети под управлением EIGRP;
выявлять и устранять проблемы соседских отношений EIGRP;
выявлять и устранять проблемы таблицы маршрутизации EIGRP;
выявлять и устранять проблемы аутентификации EIGRP.
Составляющие процедуры поиска
иустранения неполадок EIGRP
Вэтом разделе описываются основные составляющие процедуры поиска и устранения неполадок сети под управлением EIGRP.
Составляющие процедуры поиска и устранения неполадок EIGRP
© 2007 Cisco Systems, Inc. Все права защищены. |
ICND2 v1.0—5-2 |
Основные составляющие процедуры поиска и устранения неполадок EIGRP:
соседские отношения EIGRP;
маршруты EIGRP в таблице маршрутизации;
аутентификация EIGRP.
5-34 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |