Olá galera!
Como todos sabem, o protocolo de roteamento EIGRP é proprietário Cisco e será cobrado na prova CCNA; tanto a sua configuração quanto o seu troubleshooting. Porém, no escopo desta, a cobrança é mais “simples” e direta. Vamos ver que, além da sua configuração básica, é possível aplicar segurança através do processo de autenticação. Este post aborda estas configurações. Lembrando que este conteúdo será cobrado apenas na prova de CCNP Route ( 642-902 ). Segue :
Este processo será divido em 3 fases :
1ªFase) Definir um nome global para o grupo de chaves, ou chave única, que será utilizado para a autenticação.
Obs.: Este nome não precisa combinar com os roteadores vizinhos.
(config)#key chain [nome_chave]
(config-keychain)#
Dentro do modo chave chain, criaremos uma key number para relacionar a respectiva chave. Caso queira, é possível criar outras keys numbers para variar as chaves de autenticação.
Obs.: Esta key number não precisa combinar com key number de seus roteadores vizinhos.
(config-keychain)#key [número]
(config-keychain-key)#
Finalmente criaremos a chave string que será avaliada no processo de autenticação. Esta chave string será transformada em uma sequência hash MD5 e, agora sim, precisa combinar com os respectivos vizinhos.
(config-keychain-key)#key-string [senha]
Obs.: Caso queira, é possível gerar um temporizador para estas chaves, ou seja, informar quando as mesmas entram em vigor e quando serão expiradas. Segue os comandos :
(config-keychain-key)#accept-lifetime [temporizador]
(config-keychain-key)#send-lifetime [temporizador]
2ªFase) Agora, vamos habilitar a autenticação EIGRP MD5 na interface que se conecta ao vizinho, ou seja, a interface pela qual serão realizadas as atualizações e enviadas as mensagens “EIGRP Hello”.
(config)#interface [interface]
(config-if)#ip authentication mode eigrp [nº AS] md5
3ªFase) Finalizando o processo, devemos associar a chave chain nesta mesma interface de vizinhança.
(config-if)#ip authentication key-chain eigrp [nº AS] [nome_chave]
Processo Completo :
(config)#key chain authent_eigrp
(config-keychain)#key 1
(config-keychain-key)#key-string mundotibrasil
(config-keychain-key)#accept-lifetime infinite
(config-keychain-key)#send-lifetime 20:30:00 Mar 4 2013 22:00:00 Mar 4 2014
(config)#interface serial0/0/0
(config-if)#ip authentication mode eigrp 200 md5
(config-if)#ip authentication key-chain eigrp 200 authent_eigrp
Já na questão de troubleshooting, os comandos utilizados são :
#show key chain
Obs.: Mostra chaves configuradas e as que estão em uso no momento.
#show key chain
Key-chain authent_eigrp
key 1 — text “mundotibrasil”
accept lifetime (always) – (always) [valid now]
send lifetime (20:30:00 Mar 4 2013) – (22:00:00 Mar 4 2014) [valid now]
#debug eigrp packet
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK,
STUB, SIAQUERY, SIAREPLY)
Mai 1 08:09:01.951: EIGRP: Sending HELLO on Serial0/0/0
Mai 1 08:09:01.951: AS 200, Flags 0x0,Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
Mai 1 08:09:01.967: EIGRP: pkt key id = 1, authentication mismatch
Mai 1 08:09:01.967: EIGRP: Serial0/0/0: ignored packet from 192.168.0.1,
opcode = 5 (invalid authentication)
Mai 1 08:09:02.287: EIGRP: Serial0/0/0: ignored packet from 192.168.0.2,
opcode = 5 (missing authentication)
Mai 1 08:09:03.187: EIGRP: Serial0/0/0: ignored packet from 192.168.0.5,
opcode = 5 (missing authentication)
Obs1: Optei por mostrar um problema muito comum…Como se pode ver através da mensagem AUTHENTICATION MISMATCH, houve uma incompatibilidade de senhas. Fatalmente elas não coincidem.
Obs2: Já a mensagem MISSING AUTHENTICATION aponta para o fato de não haver um hash MD5 na mesma.
Agora é só praticar! Lembre-se que o Packet Tracer não dá suporte para este recurso, ou seja, indico a utilização do GNS3.
Até a próxima!!
Ótimo artigo Alberto! Muito bom o conteúdo.