IP : Routing IP

Ejemplo de configuración de la autenticación de mensajes EIGRP

20 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (1 Marzo 2007) | Comentarios

Autor: Cliff Stewart (PBM IT Solutions)


Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Diagrama de la red
     Convenciones
Antecedentes
Configuración de la autenticación de mensajes EIGRP
     Creación de una cadena clave en Dallas
     Configuración de la autenticación en Dallas
     Configuración de Fort Worth
     Configuración de Houston
Verificación
     Mensajes cuando sólo se configura Dallas
     Mensajes cuando se configuran todos los routers
Resolución de problemas

Introducción

En este documento se muestra cómo agregar la autenticación de mensajes a los routers del Protocolo de enrutamiento de gateway interior mejorado (EIGRP) y proteger la tabla de enrutamiento de daños accidentales o intencionados.

Con la adición de la autenticación a los mensajes EIGRP de los routers, se garantiza que los routers sólo acepten los mensajes de enrutamiento de otros routers que conozcan la misma clave previamente compartida. Sin esta autenticación configurada, si alguien introdujera otro router con información conflictiva o diferente en la red, las tablas de enrutamiento de los routers podrían resultar dañadas y se podría producir un ataque de negación de servicio. Si se incorpora la autenticación a los mensajes EIGRP enviados entre los routers, se evita que alguien agregue de forma intencionada o accidental otro router a la red y cause problemas.

Precaución Precaución: cuando la autenticación de mensajes EIGRP se agrega a la interfaz de un router, éste deja de recibir mensajes de enrutamiento de sus pares hasta que ellos también se configuren para la autenticación. Con esta medida se interrumpen las comunicaciones de enrutamiento de la red. Para obtener más información, consulte Mensajes cuando sólo se configura Dallas.

Requisitos previos

Requisitos

  • La hora debe estar configurada correctamente en todos los routers. Consulte Configuring NTP (Configuración de NTP) para obtener más información.

  • Se recomienda una configuración de EIGRP que funcione.

Componentes utilizados

La información de este documento se basa en la versión 11.2 y posteriores del software Cisco IOS®.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Diagrama de la red

Este documento utiliza esta configuración de red:

eigrp-authentication-1.gif

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Antecedentes

En este escenario, un administrador de red desea configurar la autenticación para mensajes EIGRP entre el router concentrador en Dallas y los sitios remotos en Fort Worth y Houston. La configuración de EIGRP (sin autenticación) ya se ha completado en los tres routers. El siguiente resultado de ejemplo corresponde a Dallas:

Dallas#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H   Address                 Interface   Hold Uptime   SRTT   RTO  Q  Seq Type
                                        (sec)         (ms)       Cnt Num
1   192.169.1.6             Se0/0.2       11 15:59:57   44   264  0  2
0   192.169.1.2             Se0/0.1       12 16:00:40   38   228  0  3
Dallas#show cdp neigh
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
Houston          Ser 0/0.2          146          R        2611      Ser 0/0.1
FortWorth        Ser 0/0.1          160          R        2612      Ser 0/0.1

Configuración de la autenticación de mensajes EIGRP

El proceso consta de dos pasos:

  1. La creación de una clave y una cadena clave.

  2. La configuración de la autenticación de EIGRP para utilizar la clave y la cadena clave.

En esta sección se muestran los pasos para configurar la autenticación de mensajes EIGRP en el router Dallas y los routers Fort Worth y Houston.

Creación de una cadena clave en Dallas

El funcionamiento de la autenticación de enrutamiento se basa en una clave de una cadena clave. Antes de habilitar la autenticación, se debe crear una cadena clave y al menos una clave.

  1. Introduzca el modo de configuración global.

    Dallas#configure terminal
                   
  2. Cree la cadena clave. En este ejemplo se utiliza MYCHAIN.

    Dallas(config)#key chain MYCHAIN
                   
  3. Especifique el número de clave. En este ejemplo se usa 1.

    Nota: se recomienda que el número de clave sea el mismo en todos los routers incluidos en la configuración.

    Dallas(config-keychain)#key 1
                   
  4. Indique la cadena clave para la clave. En este ejemplo se utiliza securetraffic.

    Dallas(config-keychain-key)#key-string securetraffic
                   
  5. Termine la configuración.

    Dallas(config-keychain-key)#end
    Dallas#

Configuración de la autenticación en Dallas

Una vez creadas la cadena clave y la clave, debe configurar EIGRP para que realice la autenticación de mensajes con la clave. Esta configuración se completa en las interfaces en las que EIGRP está configurado.

Precaución Precaución: cuando la autenticación de mensajes EIGRP se agrega a las interfaces de Dallas, éste deja de recibir mensajes de enrutamiento de sus pares hasta que ellos también se configuran para la autenticación. Con esta medida se interrumpen las comunicaciones de enrutamiento de la red. Para obtener más información, consulte Mensajes cuando sólo se configura Dallas.

  1. Introduzca el modo de configuración global.

    Dallas#configure terminal
                   
  2. Desde el modo de configuración global, especifique la interfaz en la que desea configurar la autenticación de mensajes EIGRP. En este ejemplo, la primera interfaz es serial 0/0.1.

    Dallas(config)#interface serial 0/0.1
                   
  3. Habilite la autenticación. El valor 10 utilizado es el número de sistema autónomo de la red. md5 indica que hash md5 se empleará para la autenticación.

    Dallas(config-subif)#ip authentication mode eigrp 10 md5
                   
  4. Indique la cadena clave que debe usar para la autenticación. 10 es el número de sistema autónomo. MYCHAIN es la cadena clave que se creó en la sección Creación de una cadena clave en Dallas.

    Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
    Dallas(config-subif)#end
                   
  5. Complete la misma configuración en la interfaz serial 0/0.2.

    Dallas#configure terminal
    Dallas(config)#interface serial 0/0.2
    Dallas(config-subif)#ip authentication mode eigrp 10 md5
    Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
    Dallas(config-subif)#end
    Dallas#

Configuración de Fort Worth

En esta sección se muestran los comandos necesarios para configurar la autenticación de mensajes EIGRP en el router Fort Worth. Para obtener una explicación detallada de los comandos que aparecen aquí, consulte Creación de una cadena clave en Dallas y Configuración de la autenticación en Dallas.

FortWorth#configure terminal
FortWorth(config)#key chain MYCHAIN
FortWorth(config-keychain)#key 1
FortWort(config-keychain-key)#key-string securetraffic
FortWort(config-keychain-key)#end
FortWorth#
Fort Worth#configure terminal
FortWorth(config)#interface serial 0/0.1
FortWorth(config-subif)#ip authentication mode eigrp 10 md5
FortWorth(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
FortWorth(config-subif)#end
FortWorth#

Configuración de Houston

En esta sección se muestran los comandos necesarios para configurar la autenticación de mensajes EIGRP en el router Houston. Para obtener una explicación detallada de los comandos que aparecen aquí, consulte Creación de una cadena clave en Dallas y Configuración de la autenticación en Dallas.

Houston#configure terminal
Houston(config)#key chain MYCHAIN
Houston(config-keychain)#key 1
Houston(config-keychain-key)#key-string securetraffic
Houston(config-keychain-key)#end
Houston#
Houston#configure terminal
Houston(config)#interface serial 0/0.1
Houston(config-subif)#ip authentication mode eigrp 10 md5
Houston(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
Houston(config-subif)#end
Houston#

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

Mensajes cuando sólo se configura Dallas

Una vez que la autenticación de mensajes EIGRP se configura en el router Dallas, éste comienza a rechazar mensajes de los routers Fort Worth y Houston, ya que en ellos aún no se ha configurado la autenticación. Esto se puede verificar ejecutando un comando debug eigrp packets en el router Dallas:

Dallas#debug eigrp packets
17:43:43: EIGRP: ignored packet from 192.169.1.2 (invalid authentication)
17:43:45: EIGRP: ignored packet from 192.169.1.6 (invalid authentication)

               !--- Los paquetes de Fort Worth y Houston se ignoran, ya que
!--- aún no se han configurado para la autenticación.
            
         

Mensajes cuando se configuran todos los routers

Una vez que la autenticación de mensajes EIGRP se configura en los tres routers, comienzan de nuevo a intercambiar mensajes. Esto se puede verificar ejecutando una vez más un comando debug eigrp packets. Se muestran los resultados de tiempo de los routers Fort Worth y Houston:

FortWorth#debug eigrp packets
00:47:04: EIGRP: received packet with MD5 authentication, key id = 1
00:47:04: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.1

               !--- Se reciben paquetes de Dallas con autenticación MD5.
            
         
Houston#debug eigrp packets
 00:12:50.751: EIGRP: received packet with MD5 authentication, key id = 1
 00:12:50.751: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.5

               !--- Se reciben paquetes de Dallas con autenticación MD5.
            
         

Resolución de problemas

Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82110