Расширенные настройки EIGRP

Защищённый EIGRP

Сообщение аутентификации EIGRP гарантирует, что маршрутизаторы принимают сообщения маршрутизации только от других маршрутизаторов, которым известен один и тот же предварительно согласованный ключ. Если без настроенной аутентификации посторонний пользователь добавляет к сети другой маршрутизатор с иными или неверными сведениями маршрутизации, то могут возникнуть повреждения в таблицах маршрутизации на допустимых маршрутизаторах или атака отказа в обслуживании (DoS). Таким образом, настройка аутентификации на сообщениях EIGRP, отправляемых между маршрутизаторами, предотвратит преднамеренное или случайное добавление другого маршрутизатора к сети и возникновение связанных с этим добавлением неполадок.

EIGRP поддерживает аутентификацию протокола маршрутизации с помощью MD5. Настройка аутентификации сообщений EIGRP состоит из двух шагов: создание цепочки ключей и ключа и настройка аутентификации EIGRP для использования цепочки ключей и ключа.

Шаг 1. Создание цепочки ключей и ключа

Для аутентификации требуется ключ в цепочке ключей. Перед включением аутентификации создайте цепочку ключей и, по крайней мере, один ключ.

a. В режиме глобальной конфигурации создайте цепочку ключей. Несмотря на то, что можно настроить несколько ключей, в данном разделе рассматривается создание только одного ключа.

Router(config)# key chain name-of-chain

b. Укажите идентификатор ключа. Идентификатор ключа — это номер, используемый для определения ключ аутентификации в цепочке ключей. Диапазон ключей варьируется от 0 до 2 147 483 647. Рекомендуется назначать одинаковый идентификатор ключа на всех маршрутизаторах в конфигурации.

Router(config-keychain)# key key-id

c. Определите значение ключа. Значение ключа должно совпадать с паролем. На маршрутизаторах, обменивающихся ключами аутентификации, должно быть настроено одинаковое значение ключа.

Router(config-keychain-key )# key-string key-string-text

Шаг 2. Настройка аутентификации EIGRP с помощью цепочки ключей и ключа

Настройте EIGRP для настройки аутентификации сообщений с заранее заданным ключом. Выполните эту конфигурацию на всех интерфейсах, настроенных для EIGRP.

a. В режиме глобальной конфигурации укажите интерфейс, на котором будет настроена аутентификация сообщений EIGRP.

Router(config)# interface type number

b. Включите аутентификацию сообщений EIGRP. Ключевое слово md5 означает, что для аутентификации будет использоваться хэш MD5.

Router(config-if)# ip authentication mode eigrp as-number md5

c. Определите цепочку ключей, которая будет использоваться для аутентификации. Аргумент name-of-chain определяет цепочку ключей, созданную на шаге 1.

Router(config-if)# ip authentication key-chain eigrp as-number name-of-chain

Each key has its own key ID, which is stored locally. Сочетание ключевого идентификатора и интерфейса, связанного с сообщением, однозначно определяет алгоритм аутентификации и используемый ключ аутентификации MD5. Для создания уникальной подписи цепочка ключей и обновление маршрутизации обрабатываются с помощью алгоритма MD5.