CCNP ROUTE 2: EIGRP - Router STUB

El termino Router STUB se refiere a un router aislado que no aprende y enviá información como los demás router. Los Router STUB  enviá información limitada de sus redes.

En EIGRP se pueden configurar el Router en modo STUB con diferentes opciones con le comando eigrp stub [receive-only|connected|static|summary|redistributed],

El comando eigrp stub por defecto propaga las rutas conectadas y sumarizada. se pueden Utilizar combinaciones para adaptarlo a nuestras necesidades.

El proceso EIGRP en modo STUB  consume menos recursos del router al propagar menos rutas y al restringir la propagación de rutas.

El router STUB no crea una ruta por defecto.


Escenario

Realizamos pruebas con dos Router 1700 , R1 simula la nube EIGRP y el R3 es el Router Stub.

En el Router R2 corroboramos que este funcionando como STUB

R2#sh ip protocols Routing Protocol is "eigrp 10"   Outgoing update filter list for all interfaces is not set   Incoming update filter list for all interfa ces is not set   Default networks flagged in outgoing updates   Default networks accepted from incoming updates   EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0   EIGRP maximum hopcount 100   EIGRP maximum metric variance 1   EIGRP stub, receive-only   Redistributing: eigrp 10   EIGRP NSF-aware route hold timer is 240s   Automatic network summarization is in effect   Automatic address summarization:     192.168.20.0/24 for FastEthernet0/0       Summarizing with metric 128256

En el R1 podemos observar que el router vecino esta configurado en modo STUB.

R1#sh ip eigrp neighbors detail IP-EIGRP neighbors for process 10 H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq                                             (sec)         (ms)       Cnt Num 0   192.168.1.2             Fa0/0             13 00:05:59  580  3480  0  8    Version 12.3/1.2, Retrans: 0, Retries: 0    Receive-Only Peer Advertising ( No ) Routes    Suppressing queries

Seudotag
stub eigrp. area trozo en eigrp.

CCNP ROUTER 2: EIGRP Autenticacion

EIGRP permite autenticacion cifrada para intercambiar mensajes EIGRP, el modo de encriptacion es MD5.

Por que debe utilizar autenticar el proceso EIGRP?

Con esto protegemos la red de ataques de intruso. El uso de Passive-interface, ACL y  de autenticacion MD5 aumenta al máximo la protección en un AS( ingles : Sistema Autónomo) con EIGRP. Si un Equipo de Borde en EIGRP no tiene configurada la autenticacion no usa passive-interface y no tiene filtros ACL cualquier intruso puede pegar un equipo que maneje EIGRP aprendiendo y distribuyendo rutas en el AS.

Escenario
Laboratorio con GNS3 con dos Router 1700 previamente configurado EIGRP de forma Básica.

Configuración de Autenticación en EIGRP

Configuracion R1

R1(config)#key chain llavero_R1 R1(config-keychain)#key 1 R1(config-keychain-key)#key-string clave R1(config)#interface f0/0 R1(config-if)#ip authentication mode eigrp 10 md5 R1(config-if)#ip authentication key-chain eigrp 10 llavero_R1

Configuracion R2

R2(config)#key chain llavero_R2 R2(config-keychain)#key 1 R2(config-keychain-key)#key-string clave R2(config)#interface f0/0 R2(config-if)#ip authentication mode eigrp 10 md5 R2(config-if)#ip authentication key-chain eigrp 10 llavero_R2

Para su funcionamiento debemos tener en cuenta los siguiente:

• los Key chain no tienen necesidad de ser iguales en los router.
• El numero del KEY debe ser igual en los router
• El key-string debe ser la igual en los router.
• se debe utilizar ambos comandos sobre las interfaces Ip authentication ( mode eigrp [AS] md5)  y ( key-chain eigrp [AS] [nombre del llavero])
• Sobre las interfaces que no se configure autenticacion seguirá trabajando con EIGRP de forma normal.

Esquema  símil del Key chain en EIGRP
se tiene una idea clara de los objetos utilizados en la autenticacion.

Monitorizar el funcionamiento

Con el comando debug eigpr packets podemos observar el correcto funcionamiento de  la autenticacion.

R2#debug eigrp packets EIGRP Packets debugging is on     (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R2# *Mar  1 01:00:35.343: EIGRP: Sending HELLO on FastEthernet0/0 *Mar  1 01:00:35.343:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 01:00:37.035: EIGRP: Sending HELLO on Loopback20 *Mar  1 01:00:37.035:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 01:00:37.039: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1 *Mar  1 01:00:37.043:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 *Mar  1 01:00:37.043: EIGRP: Packet from ourselves ignored *Mar  1 01:00:37.515: EIGRP: received packet with MD5 authentication, key id = 1 *Mar  1 01:00:37.515: EIGRP: Received HELLO on FastEthernet0/0 nbr 192.168.1.1 *Mar  1 01:00:37.515:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0

Si en R1 cambiamos el key-string   entonces el debug nos arrojara un error de la siguiente forma.

R2#debug eigrp packets EIGRP Packets debugging is on     (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R2# *Mar  1 01:07:09.999: EIGRP: Sending HELLO on Loopback20 *Mar  1 01:07:09.999:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 01:07:09.999: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1 *Mar  1 01:07:09.999:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 *Mar  1 01:07:09.999: EIGRP: Packet from ourselves ignored *Mar  1 01:07:11.423: EIGRP: Sending HELLO on FastEthernet0/0 *Mar  1 01:07:11.423:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 01:07:11.531: EIGRP: pkt key id = 1, authentication mismatch *Mar  1 01:07:11.531: EIGRP: FastEthernet0/0: ignored packet from 192.168.1.1, opcode = 5 (invalid authentication) *Mar  1 01:07:14.855: EIGRP: Sending HELLO on Loopback20 *Mar  1 01:07:14.855:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0

Seudotag
MD5 EIGRP , autenticacion EIGRP , authentication EIGRP , key chain , key EIGRP , key-string , contraseña en EIGRP ,  cifrar EIGRP