Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX с примером конфигурации RIP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ объясняет, как настроить Cisco ASA, чтобы изучить маршруты через Протокол RIP, выполнить аутентификацию и перераспределение.

Обратитесь к PIX/ASA 8. X : EIGRP Настройки на устройстве адаптивной защиты Cisco (ASA) для получения дополнительной информации о конфигурации протокола EIGRP.

Примечание: Конфигурация этого документа основывается на Версии RIP 2.

Примечание: Асимметричная маршрутизация не поддерживается в ASA/PIX.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Cisco ASA / PIX должен выполнить Версию 7.x или позже.

  • RIP не поддерживается в режиме мультиконтекста; это поддерживается только в одном режиме.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство адаптивной защиты (ASA) серии 5500 Cisco, которое работает под управлением ПО версии 8.0 и позже.

  • Cisco Adaptive Security Device Manager (ASDM) версия программного обеспечения 6.0 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Сведения в этом документе также применимы к Cisco межсетевой экран PIX серии 500, который работает под управлением ПО версии 8.0 и позже.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

RIP является протоколом маршрутизации вектора пути, который использует счетчик переходов в качестве метрики для выбора пути. Когда RIP включен на интерфейсе, интерфейсных широковещательных сообщениях RIP обменов с соседними устройствами, чтобы динамично учиться об и объявить маршруты.

Поддержка устройства безопасности и Версия RIP 1 и Версия RIP 2. Версия RIP 1 не передает маску подсети с обновлением маршрута. Версия RIP 2 передает маску подсети с обновлением маршрута и поддерживает маски подсети переменной длины. Когда обновлениями маршрута обмениваются, Кроме того, Версия RIP 2 поддерживает проверку подлинности соседа. Эта аутентификация гарантирует, что устройство безопасности получает надежные сведения о маршрутизации от надежного источника.

Ограничения:

  1. Устройство безопасности не может передать обновления RIP между интерфейсами.

  2. Версия RIP 1 не поддерживает Маски подсети переменной длины (VLSM).

  3. RIP имеет максимальное количество транзитных участков 15. Маршрут со счетчиком переходов, больше, чем 15, считают недостижимым.

  4. Конвергенция RIP является относительно медленной по сравнению с другими протоколами маршрутизации.

  5. Можно только включить одиночный процесс RIP на устройстве безопасности.

Примечание: Эта информация применяется к Версии RIP 2 только:

  1. При использовании проверки подлинности соседа ключ проверки подлинности и ключевой ID должны быть тем же на всех соседних устройствах, которые предоставляют обновления Версии RIP 2 интерфейсу.

  2. С Версией RIP 2 устройство безопасности передает и получает обновления маршрута по умолчанию с использованием адреса групповой адресации 224.0.0.9. В пассивном режиме это получает маршрутные обновления в том адресе.

  3. Когда Версия RIP 2 настроена на интерфейсе, адрес групповой адресации 224.0.0.9 зарегистрирован на том интерфейсе. Когда конфигурация Версии RIP 2 удалена из интерфейса, тот адрес групповой адресации отменен регистрацию.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/107255/asa-8x-rip-config-ex-01.gif

Конфигурации

Эти конфигурации используются в данном документе:

Настройка посредством ASDM

Менеджер устройств адаптивной безопасности (ASDM) (ASDM) на основе браузера приложение, используемое, чтобы настроить и контролировать программное обеспечение на устройствах безопасности. ASDM загружается из устройства безопасности, и затем используется, чтобы настроить, контролировать, и управлять устройством. Можно также использовать Модуль запуска ASDM (только Windows�) для запуска приложения ASDM быстрее, чем приложение Java. В этом разделе описываются необходимую информацию для настройки функций, описанных в этом документе с ASDM.

Выполните эти шаги для настройки RIP в Cisco ASA:

  1. Войдите к Cisco ASA с ASDM.

  2. Выберите Configuration> Device Setup> Routing> RIP в интерфейсе ASDM, как показано в снимке экрана.

    /image/gif/paws/107255/asa-8x-rip-config-ex-02.gif

  3. Выберите Configuration> Device Setup> Routing> RIP> Setup для включения RIP, направляющего как показано.

    1. Выберите маршрутизацию флажка Enable RIP.

    2. Выберите Версию RIP флажка Enable с Версией 2 кнопки с зависимой фиксацией.

    3. Под вкладкой Networks добавьте сеть 10.1.1.0.

    4. Нажмите кнопку Apply.

      asa-8x-rip-config-ex-03.gif

      Поля

      1. Включите Маршрутизацию RIP — Проверка этот флажок inb заказ включить маршрутизацию RIP на устройстве безопасности. При включении RIP он включен на всех интерфейсах. При проверке этого флажка это также включает другие поля на этой области. Анчек этот флажок для отключения маршрутизации RIP на устройстве безопасности.

      2. Включите Автоуплотнение — снимают этот флажок для отключения автоматического объединения маршрутов. Проверьте этот флажок для реактивирования автоматического объединения маршрутов. Версия RIP 1 всегда использует автоматическое суммирование. Вы не можете отключить автоматическое суммирование для Версии RIP 1. При использовании Версии RIP 2 можно выключить автоматическое суммирование при снятии выделения с этим флажком. Отключите автоматическое суммирование, если необходимо выполнить маршрутизацию между разъединенными подсетями. Когда автоматическое суммирование отключено, подсети объявлены.

      3. Включите Версию RIP — Проверка этот флажок для определения версии RIP, используемого устройством безопасности. Если этот флажок снят, то устройство безопасности передает обновления Версии RIP 1 и принимает обновления Версии RIP 1 и Версии 2. Эта установка может быть отвергнута на поинтерфейсной основе в области Interface.

        • Версия 1 — Указывает, что устройство безопасности только передает и получает обновления Версии RIP 1. Любые полученные обновления версии 2 отброшены.

        • Версия 2 — Указывает, что устройство безопасности только передает и получает обновления Версии RIP 2. Любые полученные обновления версии 1 отброшены.

      4. Включите информацию по умолчанию, происходят — Проверка этот флажок для генерации маршрута по умолчанию в процесс маршрутизации RIP. Можно настроить Карту маршрутизации, которая должна быть удовлетворена, прежде чем сможет генерироваться маршрут по умолчанию.

        • Route-map — Введите имя Карты маршрутизации для применения. Если Карта маршрутизации удовлетворена, процесс маршрутизации генерирует маршрут по умолчанию.

      5. IP - сеть для Добавления — Определяет сеть для процесса маршрутизации RIP. Заданный номер сети не должен содержать сведения о подсети. Нет никакого предела количеству сети, которую можно добавить к настройке устройства защиты. Обновления маршрута RIP переданы и получены только через интерфейсы на указанных сетях. Кроме того, если сеть интерфейса не задана, интерфейс не объявлен ни в каких обновлениях RIP.

        • Add — Нажмите эту кнопку для добавления указанной сети к списку сетей.

        • Delete — Нажмите эту кнопку для удаления выбранной сети из списка сетей

      6. Настройте интерфейсы как пассивные глобально — Проверка этот флажок для установки всех интерфейсов на устройстве безопасности к пассивному режиму RIP. Устройство безопасности прислушивается к широковещательным сообщениям маршрутизации RIP на всех интерфейсах и использует ту информацию для начальной загрузки таблиц маршрутизации, но не передает обновления маршрута. Используйте таблицу Пассивных интерфейсов для установки определенных интерфейсов в пассивный RIP.

      7. Таблица Пассивных интерфейсов — Приводит настраиваемые интерфейсы на устройстве безопасности. Проверьте флажок в столбце Passive для тех интерфейсов, которыми вы хотите управлять в пассивном режиме. Другие интерфейсы все еще передают и получают широковещательные сообщения RIP.

Настройте аутентификацию RIP

Cisco ASA поддерживает Аутентификацию MD5 обновлений маршрута от протокола маршрутизации RIP v2. MD5 ввел, дайджест в каждом Пакете RIP предотвращает введение неавторизованных или ложных сообщений маршрутизации из неутвержденных источников. Добавление аутентификации к сообщениям RIP гарантирует, что маршрутизаторы и Cisco ASA только принимают сообщения маршрутизации от других устройств маршрутизации, которые настроены с тем же предварительным общим ключом. Без этой настроенной аутентификации, если вы начинаете другое устройство маршрутизации с других или противоположных сведений о маршруте в сети, таблицы маршрутизации на маршрутизаторах или Cisco ASA могут стать поврежденными, и атака типа отказ в обслуживании может последовать. Когда вы добавляете аутентификацию к сообщениям RIP, передаваемым между устройствами маршрутизации, который включает ASA, она предотвращает целеустремленное или случайное добавление другого маршрутизатора к сети и любой проблеме.

Аутентификация маршрута RIP настроена на поинтерфейсной основе. Все соседние узлы RIP на интерфейсах, настроенных для проверки подлинности сообщений RIP, должны быть настроены с тем же режимом аутентификации и ключом.

Выполните эти шаги для включения Аутентификации MD5 RIP на Cisco ASA.

  1. На ASDM выберите Configuration> Device Setup> Routing> RIP> Interface и выберите внутренний интерфейс с мышью. Нажмите Edit.

    asa-8x-rip-config-ex-04.gif

  2. Выберите флажок ключа проверки подлинности Enable и затем введите Значение параметра и Ключевое Значение идентификатора.

    /image/gif/paws/107255/asa-8x-rip-config-ex-05.gif

    Нажмите кнопку OK, а затем Apply.

Конфигурация интерфейса командой строки Cisco ASA

Cisco — ASA
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0


!--- RIP authentication is configured on the inside interface.


 rip authentication mode md5
 rip authentication key <removed> key_id 1
!


!--- Output Suppressed



!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0


!--- RIP Configuration


router rip
 network 10.0.0.0
 version 2


!--- This is the static default gateway configuration in
!--- order to reach the Internet.


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

Маршрутизатор Cisco IOS (R2) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R2)
interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip rip authentication mode md5
 ip rip authentication key-chain 1

!
router rip
 version 2
 network 10.0.0.0
 network 172.16.0.0
 no auto-summary

Маршрутизатор Cisco IOS (R1) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R1)
router rip
 version 2
 network 172.16.0.0
 no auto-summary

Маршрутизатор Cisco IOS (R3) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R3)
router rip
 version 2
 network 172.16.0.0
 no auto-summary

Перераспределите в RIP с ASA

Можно перераспределить маршруты от OSPF, EIGRP, статических, и связанных процессов маршрутизации в процесс маршрутизации RIP.

В данном примере показывают перераспределение маршрутов OSPF в RIP со схемой сети:

asa-8x-rip-config-ex-06.gif

Настройка посредством ASDM

Выполните следующие действия:

  1. Конфигурация OSPF

    1. Выберите Configuration> Device Setup> Routing> OSPF в интерфейсе ASDM, как показано в снимке экрана.

      /image/gif/paws/107255/asa-8x-rip-config-ex-07.gif

    2. Включите Процесс маршрутизации OSPF на вкладке Setup> Process Instances, как показано в снимке экрана. В данном примере процесс ID OSPF равняется 1.

      asa-8x-rip-config-ex-08.gif

    3. Нажмите Advanced на вкладке Setup> Process Instances для настройки дополнительных усовершенствованных параметров Процесса маршрутизации OSPF. Можно отредактировать специфичные для процесса параметры настройки, такие как Идентификатор маршрутизатора, Изменения Смежности, Административные Расстояния Маршрута, Таймеры, и информация По умолчанию инициирует параметры настройки.

      asa-8x-rip-config-ex-09.gif

      Нажмите кнопку ОК.

    4. После того, как вы выполните предыдущие шаги, определите сети и интерфейсы, которые участвуют в Маршрутизаторе OSPF на Настройке> вкладка области/Сетей. Нажмите Add, как показано на снимке экрана.

      /image/gif/paws/107255/asa-8x-rip-config-ex-10.gif

    5. Этот экран появляется. В данном примере единственная сеть, которую мы добавляем, является внешней сетью (192.168.1.0/24), так как OSPF включен только на внешнем интерфейсе.

      Примечание: Только интерфейсы с IP-адресом, которые находятся в пределах определенных сетей, участвуют в Процессе маршрутизации OSPF.

      /image/gif/paws/107255/asa-8x-rip-config-ex-11.gif

      Нажмите кнопку ОК.

    6. Нажмите кнопку Apply.

      asa-8x-rip-config-ex-12.gif

  2. Выберите Configuration> Device Setup> Routing> RIP> Redistribution> Add для перераспределения маршрутов OSPF в RIP.

    /image/gif/paws/107255/asa-8x-rip-config-ex-13.gif

  3. Нажмите кнопку OK, а затем Apply.

    asa-8x-rip-config-ex-14.gif

Эквивалентная конфигурация в интерфейсе командной строки

Конфигурация интерфейса командой строки ASA для перераспределяет OSPF в AS RIP
router rip
 network 10.0.0.0
 redistribute ospf 1 metric transparent
 version 2
!
router ospf 1
 router-id 192.168.1.1
 network 192.168.1.0 255.255.255.0 area 0
 area 0
 log-adj-changes

Вы видите таблицу маршрутизации соседнего маршрутизатора Cisco IOS (R2) после перераспределения маршрутов OSPF в AS RIP.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/24 is subnetted, 4 subnets
R       172.16.10.0 [120/1] via 172.16.1.2, 00:00:25, Ethernet1
R       172.16.5.0 [120/1] via 172.16.2.2, 00:00:20, Serial1
C       172.16.1.0 is directly connected, Ethernet1
C       172.16.2.0 is directly connected, Serial1
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       10.1.1.0/24 is directly connected, Ethernet0
R       10.77.241.128/26 [120/1] via 10.1.1.1, 00:00:06, Ethernet0
R    192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:05, Ethernet0
     192.168.2.0/32 is subnetted, 1 subnets
R       192.168.2.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0
     192.168.3.0/32 is subnetted, 1 subnets
R       192.168.3.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0

!--- Redistributed route advertised by Cisco ASA

Проверка.

Выполните эти шаги для подтверждения конфигурации:

  1. Если вы перешли к Мониторингу> Направляющий> Маршруты, можно проверить таблицу маршрутизации. В этом снимке экрана вы видите, что 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 и 172.16.10.0/24 сети изучены через R2 (10.1.1.2) с RIP.

    /image/gif/paws/107255/asa-8x-rip-config-ex-15.gif

  2. От CLI можно использовать команду show route для получения тех же выходных данных.

    ciscoasa#show route
    
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is not set
    
    R    172.16.10.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside
    R    172.16.5.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside
    R    172.16.1.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside
    R    172.16.2.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside
    C    10.1.1.0 255.255.255.0 is directly connected, inside
    C    10.77.241.128 255.255.255.192 is directly connected, dmz
    S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
    C    192.168.1.0 255.255.255.0 is directly connected, outside
    O    192.168.2.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside
    O    192.168.3.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside
    ciscoasa#

Устранение неполадок

Этот раздел включает информацию о командах отладки, которые могут быть полезными для устренения проблем OSPF.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • отладьте события rip — Включает отладку событий RIP

    ciscoasa#debug rip events
    rip_route_adjust for inside coming up
    RIP: sending request on inside to 224.0.0.9
    RIP: received v2 update from 10.1.1.2 on inside
         172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops
         172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops
    RIP: Update contains 4 routes
    RIP: received v2 update from 10.1.1.2 on inside
         172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops
         172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops
    RIP: Update contains 4 routes
    RIP: sending v2 flash update to 224.0.0.9 via dmz (10.77.241.142)
    RIP: build flash update entries
            10.1.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0
            172.16.1.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0
            172.16.2.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0
            172.16.5.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0
            172.16.10.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0
    RIP: Update contains 5 routes
    RIP: Update queued
    RIP: sending v2 flash update to 224.0.0.9 via inside (10.1.1.1)
    RIP: build flash update entries - suppressing null update
    RIP: Update sent via dmz rip-len:112
    RIP: sending v2 update to 224.0.0.9 via dmz (10.77.241.142)
    RIP: build update entries
            10.1.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0
            172.16.1.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0
            172.16.2.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0
            172.16.5.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0
            172.16.10.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0
            192.168.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0
            192.168.2.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0
            192.168.3.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0
    RIP: Update contains 8 routes
    RIP: Update queued
    RIP: sending v2 update to 224.0.0.9 via inside (10.1.1.1)
    RIP: build update entries
            10.77.241.128 255.255.255.192 via 0.0.0.0, metric 1, tag 0
            192.168.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0
            192.168.2.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0
            192.168.3.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0
    RIP: Update contains 4 routes
    RIP: Update queued
    RIP: Update sent via dmz rip-len:172
    RIP: Update sent via inside rip-len:92
    RIP: received v2 update from 10.1.1.2 on inside
         172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops
         172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops
         172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops
    RIP: Update contains 4 routes

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107255