In diesem Dokument wird beschrieben, wie Sie die Cisco Adaptive Security Appliance (ASA) konfigurieren, um Routen durch das Enhanced Interior Gateway Routing Protocol (EIGRP) zu erlernen, das von der ASA Software Version 9.x und höher unterstützt wird, und um eine Authentifizierung durchzuführen.
Cisco verlangt, dass Sie diese Bedingungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Cisco ASA Code Version 8.4.4.1 und höher synchronisiert dynamische Routen von der AKTIVEN Einheit zur STANDBY-Einheit. Darüber hinaus wird das Löschen von Routen auch mit der STANDBY-Einheit synchronisiert. Der Zustand der Peer-Adjacencies wird jedoch nicht synchronisiert. Nur das ACTIVE-Gerät behält den Nachbarstatus bei und beteiligt sich aktiv am dynamischen Routing. Siehe ASA FAQ: Was geschieht nach dem Failover, wenn dynamische Routen synchronisiert werden? für weitere Informationen.
In diesem Abschnitt wird beschrieben, wie Sie die in diesem Dokument behandelten Funktionen konfigurieren.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In der abgebildeten Netzwerktopologie lautet die IP-Adresse der Cisco ASA-internen Schnittstelle 10.10.10.1/24. Ziel ist es, EIGRP auf der Cisco ASA zu konfigurieren, um über den benachbarten Router (R1) dynamisch Routen zu den internen Netzwerken (10.20.20.0/24, 172.18.124.0/24 und 192.168.10.0/24) zu erfassen. R1 erfasst die Routen zu internen Remote-Netzwerken über die anderen beiden Router (R2 und R3).
ASDM ist eine browserbasierte Anwendung zur Konfiguration und Überwachung der Software auf Security Appliances. ASDM wird von der Sicherheits-Appliance geladen und anschließend zur Konfiguration, Überwachung und Verwaltung des Geräts verwendet. Sie können auch den ASDM Launcher verwenden, um die ASDM-Anwendung schneller als das Java-Applet zu starten. In diesem Abschnitt werden die Informationen beschrieben, die Sie benötigen, um die in diesem Dokument beschriebenen Funktionen mit ASDM zu konfigurieren.
Führen Sie diese Schritte aus, um EIGRP in der Cisco ASA zu konfigurieren.
Nur Schnittstellen mit einer IP-Adresse, die zu den definierten Netzwerken gehört, nehmen am EIGRP-Routing-Prozess teil. Wenn Sie eine Schnittstelle haben, die Sie nicht am EIGRP-Routing teilnehmen möchten, die aber an ein Netzwerk angeschlossen ist, das Sie weitergeben möchten, konfigurieren Sie einen Netzwerkeintrag auf der Registerkarte Setup > Networks (Setup > Netzwerke), der das Netzwerk abdeckt, an das die Schnittstelle angeschlossen ist, und konfigurieren Sie diese Schnittstelle dann als passive Schnittstelle, sodass die Schnittstelle keine EIGRP-Updates senden oder empfangen kann.
Die Cisco ASA unterstützt die MD5-Authentifizierung von Routing-Updates über das EIGRP-Routing-Protokoll. Der MD5-verschlüsselte Digest in jedem EIGRP-Paket verhindert die Einführung von nicht autorisierten oder falschen Routing-Nachrichten aus nicht genehmigten Quellen. Durch das Hinzufügen einer Authentifizierung zu Ihren EIGRP-Nachrichten wird sichergestellt, dass Ihre Router und die Cisco ASA nur Routing-Nachrichten von anderen Routing-Geräten akzeptieren, die mit demselben vorinstallierten Schlüssel konfiguriert sind. Wenn keine solche Authentifizierung konfiguriert ist und jemand ein anderes Routing-Gerät mit anderen oder gegenteiligen Routing-Informationen zum Netzwerk einführt, können die Routing-Tabellen auf Ihren Routern oder der Cisco ASA beschädigt werden und ein Denial-of-Service-Angriff durchgeführt werden. Wenn Sie den EIGRP-Nachrichten, die zwischen Ihren Routing-Geräten gesendet werden (einschließlich der ASA), Authentifizierung hinzufügen, werden nicht autorisierte Ergänzungen von EIGRP-Routern in Ihrer Routing-Topologie verhindert.
Die EIGRP-Routenauthentifizierung wird auf Schnittstellenbasis konfiguriert. Alle EIGRP-Nachbarn auf für die EIGRP-Nachrichtenauthentifizierung konfigurierten Schnittstellen müssen mit demselben Authentifizierungsmodus und -schlüssel konfiguriert werden, damit Nachbarschaften eingerichtet werden können.
Führen Sie diese Schritte aus, um die EIGRP MD5-Authentifizierung auf der Cisco ASA zu aktivieren.
Mit EIGRP können Sie Routing-Updates steuern, die gesendet und empfangen werden. In diesem Beispiel blockieren Sie Routing-Updates auf der ASA für das Netzwerkpräfix 192.168.10.0/24, das sich hinter R1 befindet. Für die Routenfilterung können Sie nur die STANDARD-ACL verwenden.
access-list eigrp standard deny 192.168.10.0 255.255.255.0
access-list eigrp standard permit any
router eigrp 10
distribute-list eigrp in
ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac
Dies ist die Cisco ASA CLI-Konfiguration.
!outside interface configuration
interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!
!inside interface configuration
interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
!EIGRP authentication is configured on the inside interface
authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!
!management interface configuration
interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!
!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.
router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!
!This is the static default gateway configuration
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
Dies ist die CLI-Konfiguration von R1 (interner Router).
!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.
interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!
! EIGRP Configuration
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary
Führen Sie diese Schritte aus, um Ihre Konfiguration zu überprüfen.
ciscoasa# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 100.10.10.2 to network 0.0.0.0
C 198.51.100.0 255.255.255.0 is directly connected, outside
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
C 127.0.0.0 255.255.0.0 is directly connected, cplane
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
C 10.10.10.0 255.255.255.0 is directly connected, inside
C 10.10.20.0 255.255.255.0 is directly connected, management
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside
ciscoasa(config)# show route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
ciscoasa# show eigrp topology
EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
via 10.10.10.2 (28672/28416), GigabitEthernet0/1
P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
via Connected, GigabitEthernet0/1
P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
ciscoasa# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num
0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1
Dies ist der Paketfluss.
Dieser Abschnitt enthält Informationen zum Debuggen und Anzeigen von Befehlen, die zur Behebung von EIGRP-Problemen nützlich sein können.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Dies ist die Ausgabe des Befehls debug im erfolgreichen Peering mit R1. Sie können die verschiedenen Routen sehen, die erfolgreich auf dem System installiert wurden.
EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0
Sie können auch den Befehl debug eigrp neighbor verwenden. Dies ist die Ausgabe dieses Debugbefehls, wenn die Cisco ASA erfolgreich eine neue Nachbarbeziehung mit R1 erstellt hat.
ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
Sie können auch die Debug-EIGRP-Pakete für detaillierte EIGRP-Nachrichtenaustauschinformationen zwischen der Cisco ASA und ihren Peers verwenden. In diesem Beispiel wurde der Authentifizierungsschlüssel auf dem Router (R1) geändert, und die Debug-Ausgabe zeigt Ihnen, dass das Problem eine Authentifizierungsungleichheit ist.
ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)
Die ASA verwirft die EIGRP-Nachbarschaft, wenn Änderungen in der EIGRP-Verteilerliste vorgenommen werden. Diese Syslog-Meldung wird angezeigt.
EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed
Bei dieser Konfiguration wird bei jedem Hinzufügen eines neuen ACL-Eintrags in der ACL die EIGRP-Netzwerkliste EIGRP-Nachbarschaft zurückgesetzt.
router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static
access-list Eigrp-network-list standard permit any
Sie können feststellen, dass die Nachbarbeziehung mit dem benachbarten Gerät besteht.
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5
Jetzt können Sie access-list Eigrp-network-list standard deny 172.18.24.0 255.255.255.0 hinzufügen.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency
Diese Protokolle können in debug eigrp fsm gesehen werden.
IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish
Dieses Verhalten wird in allen neuen ASA-Versionen von 8.4 und 8.6 bis 9.1 erwartet. Dasselbe wurde auch bei Routern beobachtet, die Codezüge 12,4 bis 15,1 betreiben. Dieses Verhalten wird jedoch in ASA Version 8.2 und früheren ASA-Softwareversionen nicht beobachtet, da Änderungen an einer ACL die EIGRP-Adjacencies nicht zurücksetzen.
Da EIGRP beim ersten Einschalten des Nachbarn die vollständige Topologietabelle an einen Nachbarn sendet und dann nur die Änderungen sendet, würde es beim Konfigurieren einer Verteilerliste mit der ereignisgesteuerten Natur von EIGRP schwierig, die Änderungen ohne vollständige Rücksetzung der Nachbarbeziehung anzuwenden. Die Router müssen jede Route verfolgen, die an einen Nachbarn gesendet und von diesem empfangen wird, um zu erfahren, welche Route sich geändert hat (d. h. welche Route geändert wurde, ob gesendet/akzeptiert wird oder nicht), um die in der aktuellen Verteilerliste festgelegten Änderungen anzuwenden. Es ist viel einfacher, die Nachbarschaft zwischen Nachbarn einfach abzureißen und wiederherzustellen.
Wenn eine Adjacency beendet und wiederhergestellt wird, werden alle erlernten Routen zwischen bestimmten Nachbarn einfach vergessen, und die gesamte Synchronisierung zwischen den Nachbarn wird neu durchgeführt - mit der neuen Verteilerliste.
Die meisten EIGRP-Techniken, die Sie zur Fehlerbehebung bei Cisco IOS-Routern verwenden, können auf die Cisco ASA angewendet werden. Verwenden Sie zur Fehlerbehebung für EIGRP das Hauptdiagramm zur Fehlerbehebung. an das Feld Main (Hauptmenü) anschließen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
13-May-2015 |
Erstveröffentlichung |