Por que debe utilizar autenticar el proceso EIGRP?
Con esto protegemos la red de ataques de intruso. El uso de Passive-interface, ACL y de autenticacion MD5 aumenta al máximo la protección en un AS( ingles : Sistema Autónomo) con EIGRP. Si un Equipo de Borde en EIGRP no tiene configurada la autenticacion no usa passive-interface y no tiene filtros ACL cualquier intruso puede pegar un equipo que maneje EIGRP aprendiendo y distribuyendo rutas en el AS.
Escenario
Laboratorio con GNS3 con dos Router 1700 previamente configurado EIGRP de forma Básica.
Configuración de Autenticación en EIGRP
Configuracion R1
Configuracion R2
Para su funcionamiento debemos tener en cuenta los siguiente:
Configuracion R1
R1(config)#key chain llavero_R1 R1(config-keychain)#key 1 R1(config-keychain-key)#key-string clave R1(config)#interface f0/0 R1(config-if)#ip authentication mode eigrp 10 md5 R1(config-if)#ip authentication key-chain eigrp 10 llavero_R1 |
Configuracion R2
R2(config)#key chain llavero_R2 R2(config-keychain)#key 1 R2(config-keychain-key)#key-string clave R2(config)#interface f0/0 R2(config-if)#ip authentication mode eigrp 10 md5 R2(config-if)#ip authentication key-chain eigrp 10 llavero_R2 |
Para su funcionamiento debemos tener en cuenta los siguiente:
- los Key chain no tienen necesidad de ser iguales en los router.
- El numero del KEY debe ser igual en los router
- El key-string debe ser la igual en los router.
- se debe utilizar ambos comandos sobre las interfaces Ip authentication ( mode eigrp [AS] md5) y ( key-chain eigrp [AS] [nombre del llavero])
- Sobre las interfaces que no se configure autenticacion seguirá trabajando con EIGRP de forma normal.
Esquema símil del Key chain en EIGRP
se tiene una idea clara de los objetos utilizados en la autenticacion.
Con el comando debug eigpr packets podemos observar el correcto funcionamiento de la autenticacion.
R2#debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R2# *Mar 1 01:00:35.343: EIGRP: Sending HELLO on FastEthernet0/0 *Mar 1 01:00:35.343: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar 1 01:00:37.035: EIGRP: Sending HELLO on Loopback20 *Mar 1 01:00:37.035: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar 1 01:00:37.039: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1 *Mar 1 01:00:37.043: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 *Mar 1 01:00:37.043: EIGRP: Packet from ourselves ignored *Mar 1 01:00:37.515: EIGRP: received packet with MD5 authentication, key id = 1 *Mar 1 01:00:37.515: EIGRP: Received HELLO on FastEthernet0/0 nbr 192.168.1.1 *Mar 1 01:00:37.515: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 |
Si en R1 cambiamos el key-string entonces el debug nos arrojara un error de la siguiente forma.
R2#debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R2# *Mar 1 01:07:09.999: EIGRP: Sending HELLO on Loopback20 *Mar 1 01:07:09.999: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar 1 01:07:09.999: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1 *Mar 1 01:07:09.999: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 *Mar 1 01:07:09.999: EIGRP: Packet from ourselves ignored *Mar 1 01:07:11.423: EIGRP: Sending HELLO on FastEthernet0/0 *Mar 1 01:07:11.423: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar 1 01:07:11.531: EIGRP: pkt key id = 1, authentication mismatch *Mar 1 01:07:11.531: EIGRP: FastEthernet0/0: ignored packet from 192.168.1.1, opcode = 5 (invalid authentication) *Mar 1 01:07:14.855: EIGRP: Sending HELLO on Loopback20 *Mar 1 01:07:14.855: AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 |
Seudotag
MD5 EIGRP , autenticacion EIGRP , authentication EIGRP , key chain , key EIGRP , key-string , contraseña en EIGRP , cifrar EIGRP
Tengo problemas al configurar la autenticacion no me reconoce el primer comando:
ResponderBorrarkey chain llavero_R1
el router dice::
% Invalid input detected at '^' marker.
si me pudieran ayudar lo agradeceria mucho Gracias
Hola
ResponderBorrarSi estas colocando
Router(config)#key chain llavero_R1
<> y no te reconoce el comando key chain pude ser el IOS.
Este comando funciona para Cisco IOS Software Release 11.2 y superior.
Saludos
el packet tracer 5.3 no tiene varios comandos como hold-time key chan supervista y varios mas que se usan en ccnp. a medida que pasa el tiempo se le agrega alguno que otro de a poco.
ResponderBorrarEl Packettracert es muy limitado, para realizar estos laboratorios se debe utilizar GNS3.
ResponderBorrarSaludos.
Hola una consulta alli donde esta en EIRPG 10 en el grafico ESO VENDRIA SER EL SISTEMA AUTONOMO CUANDO VAS A ENRUTAR???
ResponderBorrarde paso se puede poner su key alas wan(seriales)?
ResponderBorrarMuy bueno el aporte, mejor aun el sistema de esquema con los dibujos, me quedo clarisimo.
ResponderBorrarsaludos desde chile.
atte Joel Alvarez