Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA 8.X: Настройка EIGRP на адаптивных устройствах защиты Cisco (ASA)

28 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (2 апреля 2007) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Настройка
     Схема сети
     Настройка адаптивного менеджера защитных устройств (ASDM)
     Настройка аутентификации EIGRP
     Конфигурация CLI Cisco ASA
     Конфигурация CLI маршрутизатора (R1) Cisco IOS
Проверка
Устранение неполадок
     Команды устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

ПО адаптивных устройств защиты Cisco (ASA) версии 8.0 и более поздних поддерживают усовершенствованный внутренний протокол маршрутизации шлюзов (EIGRP). В данном документе описаны способы настройки Cisco ASA, изучения маршрутов через EIGRP и выполнение аутентификации.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию.

  • Cisco ASA должны использовать версию 8.x или более поздние.

  • EIGRP не поддерживается в многоконтекстном режиме. EIGRP поддерживается только в однорежимных устройствах.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.

  • ПО адаптивных устройств защиты Cisco версии 8.0(2)

  • Адаптивный менеджер защитных устройств Cisco версии 6.0(2)

  • Маршрутизатор Cisco IOS®, использующий версию 12.4

Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, обладают ненастроенной (заданной по умолчанию) конфигурацией. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Настройка

В этом разделе приводится информация по настройке функций, описанных в данном документе.

Примечание. См. дополнительные сведения о командах, используемых в данном документе, в Средстве поиска команды (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая настройка сети.

eigrp1.gif

В представленной топологии сети Cisco ASA внутри IP-адреса интерфейса – 10.10.10.1/24. Целью является настройка EIGRP на Cisco ASA, изучение маршрутов к внутренним сетям (10.20.20.0/24, 172.18.124.0/24, и 192.168.10.0/24) динамически через смежный маршрутизатор (R1). R1 изучает маршруты к удаленным внутренним сетям через два другие маршрутизатора (R2 и R3).

Конфигурация адаптивного менеджера защитных устройств (ASDM)

ASDM – это приложение на основе обозревателя, которое используется для настройки и мониторинга ПО на устройствах защиты. ASDM загружается с устройства защиты, а затем используется для настройки, мониторинга и управления устройством. Также можно использовать средства запуска ASDM (только Windows®), чтобы запустить приложение ASDM быстрее чем Java-аплет. В разделе представлены сведения, необходимые для настройки функций, описанных в данном документе с ASDM.

Чтобы настроить EIGRP в Cisco ASA, выполните следующие действия.

  1. Выполните вход на Cisco ASA с помощью ASDM.

  2. Перейдите в область Configuration > Device Setup > Routing > EIGRP в интерфейсе ASDM, как показано на снимке экрана.

    eigrp2.gif

  3. Активируйте процесс маршрутизации EIGRP на вкладке Setup > Process Instances, как показано на снимке экрана. В данном примере процесс EIGRP – 10.

    eigrp3.gif

  4. Можно настроить дополнительные расширенные параметры процесса маршрутизации EIGRP. На вкладке Setup > Process Instances щелкните Advanced. Процесс маршрутизации EIGRP можно настроить в качестве шлейфного процесса маршрутизации, а также отключить автоматическое суммирование маршрутов, определить метрики по умолчанию для перераспределенных маршрутов, изменить административные расстояния для внутренних и внешних маршрутов EIGRP, настроить идентификатор статического маршрутизатора или отключить регистрацию изменений смежности.

    В данном примере идентификатор маршрутизатора EIGRP статически настроен с помощью IP-адреса внутреннего интерфейса (10.10.10.1). Кроме того, Auto-Summary также отключена. Все остальные параметры настроены со значениями по умолчанию.

    eigrp4.gif

  5. После выполнения предыдущих шагов определите сети и интерфейсы, которые участвуют в маршрутизации EIGRP на вкладке Setup > Networks. Нажмите Add, как показано на снимке экрана.

    eigrp5.gif

  6. Отображается данный экран. В этом примере единственная сеть, добавленная во внутреннюю сеть (10.10.10.0/24) с момента включения EIGRP, включена только на внутреннем интерфейсе.

    eigrp6.gif

    Только интерфейсы с IP-адресами, которые находятся в пределах определенных сетей, участвуют в процессе маршрутизации EIGRP. При наличии интерфейса, участие которого не требуется в маршрутизации EIGRP, но он подключен к сети, которую необходимо объявить, настройте сетевую запись на вкладке Setup > Networks. На вкладке рассматривается сеть, к которой подключен интерфейс в качестве пассивного интерфейса. Таким образом, интерфейс не может отправлять или получать обновления EIGRP.

    Примечание. Интерфейсы, настроенные как пассивные, не отправляют и не получают обновления EIGRP.

  7. На панели "Filter Rules" можно дополнительно определить фильтры маршрута. Фильтрация маршрута обеспечивает усиленный контроль маршрутов, которые разрешены для отправки и получения в обновлениях EIGRP.

  8. Можно дополнительно настроить перераспределение маршрутов. Cisco ASA может перераспределять маршруты, обнаруженные RIP и OSPF, в процессе маршрутизации EIGRP. В процессе маршрутизации EIGRP также можно распределять статические и подключенные маршруты. Перераспределять статические и подключенные маршруты не требуется, если они находятся в пределах диапазона сети, настроенной на вкладке Setup > Networks. Определите перераспределение маршрута на панели перераспределения.

  9. Пакеты приветствия EIGRP отправляются в качестве многоадресных пакетов. Если соседнее с EIGRP устройство расположено в нешироковещательной сети, необходимо вручную определить соседнее устройство. При определении соседнего с EIGRP устройства пакеты приветствия отправляются на данное устройство в качестве одноадресного сообщения. Чтобы определить статических соседей EIGR, перейдите на панель Static Neighbor.

  10. По умолчанию маршруты, используемые по умолчанию, отправляются и принимаются. Чтобы ограничить или отключить отправку и получение сведений о маршруте по умолчанию, откройте панель Configuration > Device Setup > Routing > EIGRP > Default Information. На панели сведений по умолчанию отображена таблица правил для управления отправкой и получением сведений о маршруте по умолчанию в обновлениях EIGRP.

    Примечание. Имеется одно правило in и одно правило out для каждого процесса маршрутизации EIGRP. (В настоящее время поддерживается только один процесс.)

Настройка аутентификации EIGRP

Cisco ASA поддерживает аутентификацию MD5 обновлений маршрутизации из протокола маршрутизации EIGRP. Ключевая выборка MD5 в каждом пакете EIGRP предотвращает внедрение несанкционированных или ложных сообщений маршрутизации из непроверенных источников. Добавление аутентификации к сообщениям EIGRP гарантирует, что маршрутизаторы и Cisco ASA принимают сообщения маршрутизации только от других устройств маршрутизации, настроенных с помощью аналогичного предварительного ключа. Если эта аутентификация не настроена, то при внедрении другого устройства маршрутизации с отличными или противоположными сведениями о маршрутизации в сети, таблицы маршрутизации на маршрутизаторах или Cisco ASA могут быть повреждены и может последовать атака типа "отказ в обслуживании". При добавлении аутентификации к сообщениям EIGRP, отправляемых между устройствами маршрутизации (включая ASA), происходит предотвращение целенаправленного или случайного добавления другого маршрутизатора к сети, а также других проблем.

Аутентификация маршрута EIGRP настроена на основе каждого интерфейса. Все соседние узлы EIGRP на интерфейсах, настроенные на аутентификацию сообщения EIGRP, должны быть настроены с аналогичным режимом аутентификации и ключом для установки смежностей.

Чтобы включить аутентификацию EIGRP MD5 на Cisco ASA, выполните следующие действия.

  1. В ASDM перейдите в Configuration > Device Setup > Routing > EIGRP > Interface, как показано ниже.

    eigrp7.gif

  2. В этом случае EIGRP включен на внутреннем интерфейсе (GigabitEthernet 0/1). Выберите интерфейс GigabitEthernet 0/1 и нажмите Edit.

  3. В области аутентификации выберите Enable MD5 authentication. Добавьте здесь информацию о параметрах аутентификации. В этом случае предварительный ключ – cisco123, а идентификатор ключа – 1.

    eigrp8.gif

Конфигурация CLI Cisco ASA

Конфигурация CLI Cisco ASA:

Конфигурация CLI Cisco ASA

!конфигурация внешнего интерфейса

interface GigabitEthernet0/0 
description outside interface connected to the Internet 
nameif outside 
security-level 0 
ip address 100.10.10.1 255.255.255.0
!
!конфигурация внутреннего интерфейса

interface GigabitEthernet0/1 
description interface connected to the internal network 
nameif inside 
security-level 100 
ip address 10.10.10.1 255.255.255.0
!
!аутентификация EIGRP настроена на внутренний интерфейс 

authentication key eigrp 10 cisco123 key-id 1 
authentication mode eigrp 10 md5
!
!конфигурация интерфейса управления

interface Management0/0 
nameif management 
security-level 99 
ip address 10.10.20.1 255.255.255.0 management-only
!
!
!Конфигурация EIGRP – конфигурация CLI очень похожа на 
!конфигурацию EIGRP маршрутизатора Cisco IOS.

router eigrp 10 
no auto-summary 
eigrp router-id 10.10.10.1 
network 10.10.10.0 255.255.255.0
!
!Это статическая конфигурация шлюза по умолчанию.

route outside 0.0.0.0 0.0.0.0 100.10.10.2 1

Конфигурация CLI маршрутизатора (R1) Cisco IOS

Это конфигурация CLI для R1 (внутренний маршрутизатор).

Конфигурация CLI маршрутизатора (R1) Cisco IOS

!
!Интерфейс, подключаемый к Cisco ASA. Обратите внимание на параметры аутентификации EIGRP.


interface FastEthernet0/0 
ip address 10.10.10.2 255.255.255.0 
ip authentication mode eigrp 10 md5 
ip authentication key-chain eigrp 10 MYCHAIN
!
!
!Конфигурация EIGRP

router eigrp 10 
network 10.10.10.0 0.0.0.255 
network 10.20.20.0 0.0.0.255 
network 172.18.124.0 0.0.0.255 
network 192.168.10.0 
no auto-summary    

Проверка

Чтобы проверить конфигурацию, выполните следующие действия.

  1. В ASDM перейдите на Monitoring > Routing > EIGRP Neighbor, чтобы увидеть все соседние с EIGRP устройства. На снимке экрана показан внутренний маршрутизатор (R1) в качестве активного соседнего устройства. Также можно увидеть интерфейс, на котором располагается соседнее устройство, время удержания и время активности соседнего устройства (UpTime).

    eigrp9.gif

  2. Кроме того, можно проверить таблицу маршрутизации, если перейти к Monitoring > Routing > Routes. На данном снимке экрана можно увидеть, что сети 192.168.10.0/24, 172.18.124.0/24 и 10.20.20.0/24 получены через R1 (10.10.10.2).

    eigrp10.gif

  3. С CLI можно использовать команду show route для получения аналогичных выходных данных.

    ciscoasa# show route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
    
    Gateway of last resort is 100.10.10.2 to network 0.0.0.0
    
    C    100.10.10.0 255.255.255.0 is directly connected, outside
       D    192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
       D    172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
       C    127.0.0.0 255.255.0.0 is directly connected, cplane
       D    10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
       C    10.10.10.0 255.255.255.0 is directly connected, inside
       C    10.10.20.0 255.255.255.0 is directly connected, management
       S*   0.0.0.0 0.0.0.0 [1/0] via 100.10.10.2, outside
       ciscoasa#
  4. Для получения сведений о полученных сетях и топологии EIGRP можно также использовать команду show eigrp topology.

    ciscoasa# show eigrp topology
    
    EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
    
    Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status
    
    P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
       via 10.10.10.2 (28672/28416), GigabitEthernet0/1
       P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
       via Connected, GigabitEthernet0/1
       P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
       via 10.10.10.2 (131072/130816), GigabitEthernet0/1
       P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
       via 10.10.10.2 (131072/130816), GigabitEthernet0/1
       ciscoasa#
  5. Команду show eigrp neighbors можно использовать для проверки активных соседних устройств и соответствующих сведений. В данном примере показаны сведения аналогичные сведениям, полученным из ASDM в шаге 1.

    ciscoasa# show eigrp neighbors
    EIGRP-IPv4 neighbors for process 10
    H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                                (sec)         (ms)       Cnt Num
    0   10.10.10.2              Gi0/1            12  00:39:12 107  642   0   1  

Поиск и устранение неполадок

В данном разделе предоставлены сведения о командах debug и show, которые необходимы для устранения неполадок в EIGRP.

Команды устранения неполадок

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

Примечание. Перед использованием команд debug ознакомьтесь со статьей Важные сведения о командах debug.

Чтобы отобразить сведения об отладке конечного автомата DUAL, используйте команду debug eigrp fsm в привилегированном режиме EXEC. Данная команда позволяет просматривать действия вероятных преемников EIGRP и определять, установлены ли или удалены обновления маршрутов процессом маршрутизации.

Это выходные данные команды отладки в пределах успешного равноправного обмена данными с R1. Можно видеть все маршруты, успешно установленные в системе.

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
   tEthernet0/1
   DUAL: dest(10.10.10.0 255.255.255.0) not active
   DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid
   0
   DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
   295 on topoid 0 found
   DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
   DUAL: Send update about 10.10.10.0 255.255.255.0.  Reason: metric chg on topoid
   0
   DUAL: Send update about 10.10.10.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(10.20.20.0 255.255.255.0) not active
   DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
   opoid 0
   DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
   295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0  ()
   DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 10.20.20.0 255.255.255.0.  Reason: metric chg on topoid
   0
   DUAL: Send update about 10.20.20.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(172.18.124.0 255.255.255.0) not active
   DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
   on topoid 0
   DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
   67295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0  ()
   DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 172.18.124.0 255.255.255.0.  Reason: metric chg on topoi
   d 0
   DUAL: Send update about 172.18.124.0 255.255.255.0.  Reason: new if on topoid 0
   DUAL: dest(192.168.10.0 255.255.255.0) not active
   DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
   on topoid 0
   DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
   67295 on topoid 0 found
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0  ()
   DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
   DUAL: Send update about 192.168.10.0 255.255.255.0.  Reason: metric chg on topoi
   d 0
   DUAL: Send update about 192.168.10.0 255.255.255.0.  Reason: new if on topoid 0

Также можно использовать команду debug eigrp neighbor. Это выходные данные команды отладки при успешном создании с помощью Cisco ASA взаимодействия новых соседних узлов с R1.

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
   tEthernet0/1
   EIGRP: New peer 10.10.10.2
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0  ()
   EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0  ()
 EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0  ()

Также можно использовать debug eigrp packets для получения подробных сведений об обмене сообщениями EIGRP между Cisco ASA и его равноправными узлами. В данном примере был изменен ключ аутентификации на маршрутизаторе (R1) и выходные данные отладки показывают, что проблема заключается в несоответствии аутентификации.

ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
 AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
 EIGRP: pkt key id = 1, authentication mismatch
 EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5 (invalid authentication)

Большинство технологий EIGRP, используемых для устранения неполадок на маршрутизаторах Cisco IOS, применимы к Cisco ASA. Чтобы устранить неполадки EIGRP, используйте блок-схему по данной ссылке; начните с окна, обозначенного как Main. В зависимости от симптомов, блок-схемы могут ссылаться на одну из трех блок-схем, приведенных далее в этом документе, или к другим соответствующим документам на Cisco.com. Возможно, имеется несколько проблем, которые здесь невозможно решить. В этом случае предоставлены ссылки на службу технической поддержки Cisco. Чтобы открыть запрос на обслуживание, необходимо иметь действительный контракт на обслуживание.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91264