مثال تكوين مصادقة رسائل EIGRP
المحتويات
المقدمة
يوضح هذا المستند كيفية إضافة مصادقة الرسائل إلى موجهات بروتوكول توجيه البوابة الداخلية المحسنة (EIGRP) وحماية جدول التوجيه من التلف المتعمد أو غير المقصود.
تضمن إضافة المصادقة إلى رسائل EIGRP الخاصة بالموجه لديك قبول الموجهات الخاصة بك لرسائل التوجيه من الموجهات الأخرى التي تعرف المفتاح المشترك مسبقا نفسه. دون تكوين هذه المصادقة، إذا قام شخص ما بتقديم موجه آخر بمعلومات مسار مختلفة أو متعارضة على الشبكة، فقد تصبح جداول التوجيه على الموجهات لديك تالفة وقد ينتج عن ذلك هجوم لمنع الخدمة. لذلك، عند إضافة مصادقة إلى رسائل EIGRP المرسلة بين الموجهات لديك، فإنها تمنع شخصا من إضافة موجه آخر إلى الشبكة عمدا أو بطريق الخطأ مما يؤدي إلى حدوث مشكلة.
تحذير: عند إضافة مصادقة رسائل EIGRP إلى واجهة الموجه، يتوقف الموجه عن تلقي رسائل التوجيه من أقرانه حتى يتم تكوينهم أيضا لمصادقة الرسائل. يؤدي هذا إلى مقاطعة إتصالات التوجيه على الشبكة. راجع الرسائل عندما يتم تكوين دالاس فقط للحصول على مزيد من المعلومات.
المتطلبات الأساسية
المتطلبات
-
يجب تكوين الوقت بشكل صحيح على جميع الموجهات. راجع تكوين NTP للحصول على مزيد من المعلومات.
-
يوصى بتكوين EIGRP عامل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى برنامج Cisco IOS® Software، الإصدار 11.2 والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
معلومات أساسية
في هذا السيناريو، يريد مسؤول الشبكة تكوين مصادقة رسائل EIGRP بين الموجه المحوري في دالاس والمواقع البعيدة في فورت وورث وهيوستن. اكتمل تكوين EIGRP (بدون مصادقة) بالفعل على الموجهات الثلاثة جميعها. هذا المثال المخرج من دالاس:
Dallas#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq Type
(sec) (ms) Cnt Num
1 192.169.1.6 Se0/0.2 11 15:59:57 44 264 0 2
0 192.169.1.2 Se0/0.1 12 16:00:40 38 228 0 3
Dallas#show cdp neigh
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
Houston Ser 0/0.2 146 R 2611 Ser 0/0.1
FortWorth Ser 0/0.1 160 R 2612 Ser 0/0.1
تكوين مصادقة رسائل EIGRP
يتكون تكوين مصادقة رسائل EIGRP من خطوتين:
-
إنشاء سلسلة مفاتيح ومفتاح.
-
تكوين مصادقة EIGRP لاستخدام سلسلة المفاتيح هذه والمفتاح.
يوضح هذا القسم خطوات تكوين مصادقة رسائل EIGRP على موجه دالاس ثم موجهات فورت وورث وهيوستن.
إنشاء سلسلة مفاتيح على دالاس
تعتمد مصادقة التوجيه على مفتاح على سلسلة مفاتيح للعمل. قبل تمكين المصادقة، يجب إنشاء سلسلة مفاتيح ومفتاح واحد على الأقل.
-
دخلت شامل تشكيل أسلوب.
Dallas#configure terminal
-
قم بإنشاء سلسلة المفاتيح. يتم إستخدام MySeries في هذا المثال.
Dallas(config)#key chain MYCHAIN
-
حدد رقم المفتاح. يتم إستخدام ٪1 في هذا المثال.
ملاحظة: يوصى بأن يكون رقم المفتاح هو نفسه على جميع الموجهات المعنية بالتكوين.
Dallas(config-keychain)#key 1
-
حدد سلسلة المفاتيح للمفتاح. يتم إستخدام SecureTraffic في هذا المثال.
Dallas(config-keychain-key)#key-string securetraffic
-
قم بإنهاء التكوين.
Dallas(config-keychain-key)#end Dallas#
تكوين المصادقة على دالاس
بمجرد إنشاء سلسلة مفاتيح ومفتاح، يجب تكوين EIGRP لإجراء مصادقة الرسالة باستخدام المفتاح. يتم إكمال هذا التكوين على الواجهات التي تم تكوين EIGRP عليها.
تحذير: عند إضافة مصادقة رسالة EIGRP إلى واجهات Dallas، فإنها تتوقف عن تلقي رسائل التوجيه من نظيراتها حتى يتم تكوينها أيضا لمصادقة الرسائل. يؤدي هذا إلى مقاطعة إتصالات التوجيه على الشبكة. راجع الرسائل عندما يتم تكوين دالاس فقط للحصول على مزيد من المعلومات.
-
دخلت شامل تشكيل أسلوب.
Dallas#configure terminal
-
من وضع التكوين العام، حدد الواجهة التي تريد تكوين مصادقة رسالة EIGRP عليها. في هذا المثال، تكون الواجهة الأولى تسلسلية 0/0.1.
Dallas(config)#interface serial 0/0.1
-
تمكين مصادقة رسائل EIGRP. يمثل ال 10 المستخدمة هنا رقم النظام الذاتي للشبكة. MD5 يشير إلى أن تجزئة MD5 يجب إستخدامها للمصادقة.
Dallas(config-subif)#ip authentication mode eigrp 10 md5
-
حدد سلسلة المفاتيح التي يجب إستخدامها للمصادقة. 10 هو رقم النظام الذاتي. MySeries هي سلسلة المفاتيح التي تم إنشاؤها في قسم إنشاء سلسلة مفاتيح.
Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Dallas(config-subif)#end
-
أكمل نفس التكوين على الواجهة Serial 0/0.2.
Dallas#configure terminal Dallas(config)#interface serial 0/0.2 Dallas(config-subif)#ip authentication mode eigrp 10 md5 Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Dallas(config-subif)#end Dallas#
تكوين فورت وورث
يبدي هذا قسم الأمر ضروري أن يشكل EIGRP رسالة مصادقة على الحصن وورث مسحاج تخديد. للحصول على شرح أكثر تفصيلا للأوامر الموضحة هنا، راجع إنشاء سلسلة مفاتيح على دالاس وتكوين المصادقة على دالاس.
FortWorth#configure terminal FortWorth(config)#key chain MYCHAIN FortWorth(config-keychain)#key 1 FortWort(config-keychain-key)#key-string securetraffic FortWort(config-keychain-key)#end FortWorth# Fort Worth#configure terminal FortWorth(config)#interface serial 0/0.1 FortWorth(config-subif)#ip authentication mode eigrp 10 md5 FortWorth(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN FortWorth(config-subif)#end FortWorth#
تكوين هيوستن
يوضح هذا القسم الأوامر اللازمة لتكوين مصادقة رسائل EIGRP على موجه Houston. للحصول على شرح أكثر تفصيلا للأوامر الموضحة هنا، راجع إنشاء سلسلة مفاتيح على دالاس وتكوين المصادقة على دالاس.
Houston#configure terminal Houston(config)#key chain MYCHAIN Houston(config-keychain)#key 1 Houston(config-keychain-key)#key-string securetraffic Houston(config-keychain-key)#end Houston# Houston#configure terminal Houston(config)#interface serial 0/0.1 Houston(config-subif)#ip authentication mode eigrp 10 md5 Houston(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Houston(config-subif)#end Houston#
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.
رسائل عند تكوين دالاس فقط
بمجرد تكوين مصادقة رسائل EIGRP على موجه دالاس، يبدأ الموجه في رفض الرسائل من موجهات Fort Worth و Houston لأنه لم يتم تكوين المصادقة بعد. يمكن التحقق من هذا الإجراء من خلال إصدار أمر debug eigrp packet على موجه دالاس:
Dallas#debug eigrp packets 17:43:43: EIGRP: ignored packet from 192.169.1.2 (invalid authentication) 17:43:45: EIGRP: ignored packet from 192.169.1.6 (invalid authentication) !--- Packets from Fort Worth and Houston are ignored because they are !--- not yet configured for authentication.
الرسائل عند تكوين جميع الموجهات
بمجرد تكوين مصادقة رسائل EIGRP على الموجهات الثلاثة جميعها، فإنها تبدأ في تبادل رسائل EIGRP مرة أخرى. يمكن التحقق من هذا الإجراء بإصدار الأمر debug eigrp packet مرة أخرى. وهذه المرة تظهر النتائج من موجهات فورت وورث وهيوستن:
FortWorth#debug eigrp packets 00:47:04: EIGRP: received packet with MD5 authentication, key id = 1 00:47:04: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.1 !--- Packets from Dallas with MD5 authentication are received.
Houston#debug eigrp packets 00:12:50.751: EIGRP: received packet with MD5 authentication, key id = 1 00:12:50.751: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.5 !--- Packets from Dallas with MD5 authentication are received.
استكشاف الأخطاء وإصلاحها
إرتباط أحادي الإتجاه
يجب تكوين مؤقتات EIGRP Hello و Hold-time على كلا النهايتين. إذا قمت بتكوين وحدات التوقيت على طرف واحد فقط، يحدث إرتباط أحادي الإتجاه.
قد يكون الموجه على رابط أحادي الإتجاه قادرا على إستقبال حزم الترحيب. ومع ذلك، لا يتم إستلام حزم الترحيب التي يتم إرسالها في الطرف الآخر. تتم الإشارة إلى هذا الارتباط أحادي الإتجاه عادة بواسطة حد إعادة المحاولة الذي يتجاوز الرسائل في نهاية واحدة.
لعرض الرسائل التي تم تجاوز الحد لها إعادة المحاولة، أستخدم أوامر debug eigrp packet وdebug ip eigrp notifications.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
17-Feb-2007 |
الإصدار الأولي |
التعليقات