Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 8.X: Configurando o EIGRP no Cisco Adaptive Security Appliance (ASA)

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Abril 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configuração com o Adaptive Security Device Manager (ASDM)
      Configuração da Autenticação do EIGRP
      Configuração do Cisco ASA com a CLI
      Configuração do Cisco IOS Router (R1) com a CLI
Verificação
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O software Cisco Adaptive Security Appliance (ASA) versão 8.0 ou posterior oferece suporte ao Enhanced Interior Gateway Routing Protocol (EIGRP). Este documento explica como configurar o Cisco ASA para aprender rotas por meio do EIGRP e efetuar a autenticação.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • O Cisco ASA deve executar a versão 8.x ou posterior.

  • O EIGRP não é aceito no modo de contextos múltiplos, mas apenas no modo simples.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adaptive Security Appliance Software versão 8.0(2)

  • Cisco Adaptive Security Device Manager 6.0(2)

  • Cisco IOS® Router versão 12.4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa esta configuração de rede:

eigrp1.gif

Na topologia de rede ilustrada, o endereço IP da interface interna do Cisco ASA é 10.10.10.1/24. O objetivo é configurar o EIGRP no Cisco ASA para aprender rotas para as redes internas (10.20.20.0/24, 172.18.124.0/24 e 192.168.10.0/24) dinamicamente por meio do roteador adjacente (R1). R1 aprende as rotas para as redes internas remotas por meio de dois outros roteadores (R2 e R3).

Configuração com o Adaptive Security Device Manager (ASDM)

O Adaptive Security Device Manager (ASDM) é um aplicativo baseado em navegador utilizado na configuração e no monitoramento do software dos Security Appliances. O ASDM é carregado a partir do Security Appliance e, em seguida, utilizado para configurar, monitorar e gerenciar o dispositivo. Você também pode utilizar o ASDM Launcher (somente no Windows®) para iniciar o aplicativo ASDM mais rapidamente do que o applet Java. Esta seção descreve as informações necessárias para configurar os recursos descritos neste documento com o ASDM.

Execute estes passos para configurar o EIGRP no Cisco ASA.

  1. Faça login no Cisco ASA com o ASDM.

  2. Navegue até a área Configuration > Device Setup > Routing > EIGRP da interface do ASDM, conforme indicado na captura de tela.

    eigrp2.gif

  3. Habilite o processo de roteamento EIGRP na guia Setup > Process Instances, conforme mostrado na captura de tela. Neste exemplo, o processo do EIGRP é o 10.

    eigrp3.gif

  4. Você pode configurar parâmetros opcionais avançados do processo de roteamento EIGRP. Clique em Advanced na guia Setup > Process Instances. Você também pode configurar o processo de roteamento EIGRP como um processo de roteamento de stub, desabilitar o resumo de rotas automático, definir as métricas padrão para as rotas redistribuídas, alterar as distâncias administrativas para rotas internas e externas do EIGRP, configurar um ID de roteador estático e ativar ou desativar o log de alterações nas adjacências.

    Neste exemplo, o ID do roteador EIGRP é configurado estaticamente com o endereço IP da interface interna (10.10.10.1). Além disso, Auto-Summary também é desabilitado. Todas as outras opções são configuradas com seus valores padrão.

    eigrp4.gif

  5. Após a conclusão dos passos anteriores, defina as redes e interfaces que participam do roteamento EIGRP na guia Setup > Networks. Clique em Add conforme mostrado nesta captura de tela.

    eigrp5.gif

  6. Esta janela será exibida. Neste exemplo, a única rede que adicionamos foi a rede interna (10.10.10.0/24), já que o EIGRP está habilitado apenas na interface interna.

    eigrp6.gif

    Somente as interfaces com um endereço IP dentro das redes definidas participam do processo de roteamento EIGRP. Se houver uma interface que você não deseja que participe do roteamento EIGRP, mas que esteja conectada a uma rede que você deseja anunciar, configure uma entrada de rede na guia Setup > Networks que cubra a rede onde a interface está conectada e, em seguida, configure essa interface como passiva para que ela não possa enviar ou receber atualizações de EIGRP.

    Nota: As interfaces configuradas como passivas não enviam nem recebem atualizações de EIGRP.

  7. Você pode, opcionalmente, definir filtros de rota no painel Filter Rules. A filtragem de rotas proporciona um controle maior sobre as rotas permitidas para serem enviadas ou recebidas nas atualizações de EIGRP.

  8. Você pode, opcionalmente, configurar a redistribuição de rotas. O Cisco ASA pode redistribuir as rotas descobertas por RIP e OSPF no processo de roteamento EIGRP. Você também pode redistribuir as rotas estáticas e conectadas no processo de roteamento EIGRP. Não será necessário redistribuir as rotas estáticas ou conectadas se elas estiverem dentro do intervalo de uma rede configurada na guia Setup > Networks. Defina a redistribuição de rotas no painel Redistribution.

  9. Os pacotes hello do EIGRP são enviados como pacotes de multicast. Se um vizinho de EIGRP estiver localizado por trás de uma rede que não permita o broadcast, você deverá definir esse vizinho manualmente. Quando você define um vizinho de EIGRP manualmente, os pacotes de hello são enviados a esse vizinho como mensagens unicast. Para definir os vizinhos estáticos de EIGRP, vá para o painel Static Neighbor.

  10. Por padrão, as rotas padrão são enviadas e aceitas. Para restringir ou desabilitar o envio e a recepção de informações de rotas padrão, abra o painel Configuration > Device Setup > Routing > EIGRP > Default Information. O painel Default Information exibe uma tabela de regras para o controle do envio e da recepção de informações de rotas padrão nas atualizações do EIGRP.

    Nota: É possível haver uma regra “in” e uma regra “out” para cada processo de roteamento EIGRP. (No momento, apenas um processo é aceito.)

Configuração da Autenticação do EIGRP

O Cisco ASA oferece suporte à autenticação MD5 de atualizações de roteamento do protocolo de roteamento EIGRP. O digest com chave de MD5 em cada pacote EIGRP evita a introdução de mensagens de roteamento falsas ou não autorizadas a partir de fontes não aprovadas. A adição da autenticação às suas mensagens de EIGRP garante que seus roteadores e o Cisco ASA aceitem somente mensagens de roteamento de outros dispositivos de roteamento configurados com a mesma chave pré-compartilhada. Sem a configuração dessa autenticação, se alguém introduzir um outro dispositivo de roteamento com informações de rotas diferentes ou contrárias na rede, as tabelas de roteamento dos seus roteadores ou do Cisco ASA poderão ser corrompidas, e um ataque de negação de serviços poderá ocorrer. Quando você adiciona autenticação às mensagens de EIGRP enviadas entre seus dispositivos de roteamento (incluindo o ASA), ela impede a adição proposital ou acidental de uma outra rota à rede, evitando assim quaisquer problemas.

A autenticação de rotas do EIGRP é configurada interface a interface. Todos os vizinhos de EIGRP nas interfaces configuradas para autenticação de mensagens de EIGRP devem ser configurados com o mesmo modo e chave de autenticação para que as adjacências sejam estabelecidas.

Execute estes passos para ativar a autenticação MD5 do EIGRP no Cisco ASA.

  1. No ASDM, navegue para Configuration > Device Setup > Routing > EIGRP > Interface como indicado.

    eigrp7.gif

  2. Neste caso, o EIGRP está habilitado na interface interna (GigabitEthernet 0/1). Selecione a interface GigabitEthernet 0/1 e clique em Edit.

  3. Em Authentication, selecione Enable MD5 authentication. Adicione mais informações sobre os parâmetros de autenticação aqui. Neste caso, a chave pré-compartilhada é cisco123 e o ID da chave é 1.

    eigrp8.gif

Configuração do Cisco ASA com a CLI

Esta é a configuração do Cisco ASA com a CLI:

Configuração do Cisco ASA com a CLI


!Configuração da interface externa

interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 100.10.10.1 255.255.255.0
!

!Configuração da interface interna

interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!

!A autenticação EIGRP é configurada na interface interna 

authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!

!Configuração da interface de gerenciamento

interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!

!Configuração do EIGRP - A configuração da CLI é muito semelhante
!à configuração de EIGRP do Cisco IOS Router.

router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!

!Esta é a configuração do gateway padrão estático

route outside 0.0.0.0 0.0.0.0 100.10.10.2 1

Configuração do Cisco IOS Router (R1) com a CLI

Esta é a configuração de R1 (roteador interno) com a CLI.

Configuração do Roteador Cisco IOS (R1) com a CLI


!
!Interface que se conecta ao Cisco ASA. Observe os parâmetros de autenticação do EIGRP.


interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!

! Configuração do EIGRP

router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary

Verificação

Execute estes passos para verificar sua configuração.

  1. No ASDM, você pode navegar para Monitoring > Routing > EIGRP Neighbor para ver cada um dos vizinhos de EIGRP. Esta captura de tela mostra o roteador interno (R1) como um vizinho ativo. Você também pode ver a interface onde o vizinho reside, o tempo de manutenção e há quanto tempo a relação com o vizinho foi estabelecida (UpTime).

    eigrp9.gif

  2. Além disso, você pode verificar a tabela de roteamento ao navegar para Monitoring > Routing > Routes. Nesta captura de tela, você pode ver que as redes 192.168.10.0/24, 172.18.124.0/24 e 10.20.20.0/24 foram aprendidas por meio de R1 (10.10.10.2).

    eigrp10.gif

  3. Na CLI, você pode executar o comando show route para obter a mesma saída.

    ciscoasa# show route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
    
    Gateway of last resort is 100.10.10.2 to network 0.0.0.0
    
    C    100.10.10.0 255.255.255.0 is directly connected, outside
       D    192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
       D    172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
       C    127.0.0.0 255.255.0.0 is directly connected, cplane
       D    10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
       C    10.10.10.0 255.255.255.0 is directly connected, inside
       C    10.10.20.0 255.255.255.0 is directly connected, management
       S*   0.0.0.0 0.0.0.0 [1/0] via 100.10.10.2, outside
       ciscoasa#
  4. Você também pode executar o comando show eigrp topology para obter informações sobre as redes aprendidas e sobre a topologia do EIGRP.

    ciscoasa# show eigrp topology
    
    EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
    
    Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status
    
    P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
       via 10.10.10.2 (28672/28416), GigabitEthernet0/1
       P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
       via Connected, GigabitEthernet0/1
       P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
       via 10.10.10.2 (131072/130816), GigabitEthernet0/1
       P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
       via 10.10.10.2 (131072/130816), GigabitEthernet0/1
       ciscoasa#
  5. O comando show eigrp neighbors também é útil para verificar os vizinhos ativos e as informações correspondentes. Este exemplo mostra as mesmas informações obtidas com o ASDM no passo 1.

    ciscoasa# show eigrp neighbors
    EIGRP-IPv4 neighbors for process 10
    H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                                (sec)         (ms)       Cnt Num
    0   10.10.10.2              Gi0/1            12  00:39:12 107  642   0   1  

Troubleshooting

Esta seção inclui informações sobre os comandos debug e show que podem ser úteis no troubleshooting dos problemas do EIGRP.

Comandos de Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Para exibir as informações de depuração da máquina de estados finitos DUAL, use o comando debug eigrp fsm no modo privilegiado EXEC. Esse comando permite que você observe a atividade do sucessor viável de EIGRP e determine se as atualizações de rota estão sendo instaladas e excluídas pelo processo de roteamento.

Esta é a saída do comando debug em um peering bem-sucedido com R1. Você pode ver cada umas das diferentes rotas instaladas com êxito no sistema.

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
   tEthernet0/1
   DUAL: dest(10.10.10.0 255.255.255.0) not active
   DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid
   0
   DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
   295 on topoid 0 found
   DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
   DUAL: Send update about 10.10.10.0 255.255.255.0.  Reason: metric chg on topoid
   0
   DUAL: Send update about 10.10.10.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(10.20.20.0 255.255.255.0) not active
   DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
   opoid 0
   DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
   295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0  ()
   DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 10.20.20.0 255.255.255.0.  Reason: metric chg on topoid
   0
   DUAL: Send update about 10.20.20.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(172.18.124.0 255.255.255.0) not active
   DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
   on topoid 0
   DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
   67295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0  ()
   DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 172.18.124.0 255.255.255.0.  Reason: metric chg on topoi
   d 0
   DUAL: Send update about 172.18.124.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(192.168.10.0 255.255.255.0) not active
   DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
   on topoid 0
   DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
   67295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0  ()
   DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 192.168.10.0 255.255.255.0.  Reason: metric chg on topoi
   d 0
   DUAL: Send update about 192.168.10.0 255.255.255.0.  Reason: new if on topoid 0

Você também pode executar o comando debug eigrp neighbor. Esta é a saída desse comando debug quando o Cisco ASA criou com êxito uma nova relação de vizinho com R1.

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
   tEthernet0/1
   EIGRP: New peer 10.10.10.2
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0  ()
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0  ()
 EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0  ()

Você também pode utilizar debug eigrp packets para obter informações detalhadas de trocas de mensagens de EIGRP entre o Cisco ASA e seus peers. Neste exemplo, a chave de autenticação foi alterada no roteador (R1), e a saída de depuração mostra que o problema é um erro de autenticação.

ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
 AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
 EIGRP: pkt key id = 1, authentication mismatch
 EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5 (invalid authentication)

A maioria das técnicas de EIGRP utilizadas no troubleshooting dos roteadores Cisco IOS podem ser aplicadas no Cisco ASA. Para fazer o troubleshooting do EIGRP, use o fluxograma deste link; comece na caixa marcada por Main. Dependendo dos sintomas, o fluxograma poderá fazer referência a um dos três outros fluxogramas apresentados posteriormente neste documento ou a outros documentos relevantes em Cisco.com. Alguns problemas podem não ser resolvidos aqui. Nesses casos, são fornecidos links para o Suporte Técnico da Cisco. Para abrir uma solicitação de serviço, você deverá possuir um contrato de serviço válido.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 91264