Avez-vous un compte?
Ce document décrit comment configurer l'appliance de sécurité adaptable Cisco (ASA) afin d'apprendre des artères par le Protocole EIGPR (Enhanced Interior Gateway Routing Protocol), qui est prise en charge dans la version de logiciel 9.x ASA et plus tard, et exécuter l'authentification.
Cisco exige que vous remplissez ces conditions avant que vous tentiez cette configuration :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
La version 8.4.4.1 de code de Cisco ASA et synchronise plus tard les artères dynamiques à partir de l'unité D'ACTIVE à l'équipement de réserve. En outre, la suppression des artères est également synchronisée à l'équipement de réserve. Cependant, l'état de contiguïtés de pair n'est pas synchronisé ; seulement le périphérique ACTIF met à jour l'état de voisinage et participe activement au routage dynamique. Référez-vous à la Foire aux questions ASA : Que se produit après Basculement si des artères dynamiques sont synchronisées ? pour plus d'informations.
Cette section décrit comment configurer les caractéristiques couvertes dans ce document.
Ce document utilise la configuration réseau suivante :
En topologie du réseau qui est illustrée, l'adresse IP d'interface interne de Cisco ASA est 10.10.10.1/24. Le but est de configurer l'EIGRP sur Cisco ASA afin d'apprendre des artères aux réseaux internes (10.20.20.0/24, 172.18.124.0/24, et 192.168.10.0/24) dynamiquement par le routeur contigu (R1). R1 apprend les artères aux réseaux internes distants par les deux autres Routeurs (R2 et R3).
L'ASDM est une application navigateur utilisée afin de configurer et surveiller le logiciel sur des dispositifs de sécurité. L'ASDM est chargé des dispositifs de sécurité, et puis utilisé afin de configurer, surveiller, et gérer le périphérique. Vous pouvez également utiliser le lanceur ASDM afin de lancer l'application ASDM plus rapide que l'applet Java. Cette section décrit les informations que vous devez afin de configurer les caractéristiques décrites dans ce document avec l'ASDM.
Terminez-vous ces étapes afin de configurer l'EIGRP à Cisco ASA.
Se connecte par interface seulement à une adresse IP que les chutes dans les réseaux définis participent au processus de routage EIGRP. Si vous avez une interface que vous ne voulez pas participer au routage EIGRP mais cela est relié à un réseau que vous voulez annoncé, configurez une entrée de réseau sur l'onglet d'installation > de réseaux qui couvre le réseau auquel l'interface est reliée, et configurer alors cette interface comme interface passive de sorte que l'interface ne puisse pas envoyer ou recevoir des mises à jour EIGRP.
Cisco ASA prend en charge l'authentification de MD5 des mises à jour de routage du protocole de routage EIGRP. Le condensé MD5-keyed dans chaque paquet EIGRP empêche l'introduction des messages non autorisés ou faux de routage des sources inapprouvées. L'ajout de l'authentification à vos messages EIGRP s'assure que vos Routeurs et Cisco ASA reçoivent seulement des messages de routage d'autres périphériques de routage qui sont configurés avec la même clé pré-partagée. Sans cette authentification configurée, si quelqu'un introduit un autre périphérique de routage avec les informations différentes ou contraires d'artère en fonction au réseau, les tables de routage sur vos Routeurs ou Cisco ASA peuvent devenir corrompues et une attaque par déni de service peut s'ensuivre. Quand vous ajoutez l'authentification aux messages EIGRP envoyés entre vos périphériques de routage (qui inclut l'ASA), elle empêche les ajouts non autorisés des Routeurs EIGRP dans votre topologie de routage.
L'authentification d'artère EIGRP est par interface configuré. Tous les voisins EIGRP sur des interfaces configurées pour l'authentification de message EIGRP doivent être configurés avec la mêmes authentication mode et clé pour que des contiguïtés soient établies.
Terminez-vous ces étapes afin d'activer l'authentification MD5 EIGRP sur Cisco ASA.
Avec l'EIGRP, vous pouvez contrôler les mises à jour de routage qui sont envoyées et reçues. Dans cet exemple, vous bloquerez des mises à jour de routage sur l'ASA pour le préfixe réseau 192.168.10.0/24, qui est derrière R1. Pour artère-filtrer, vous pouvez seulement utiliser l'ACL STANDARD.
access-list eigrp standard deny 192.168.10.0 255.255.255.0
access-list eigrp standard permit any
router eigrp 10
distribute-list eigrp in
ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac
C'est la configuration de Cisco ASA CLI.
!outside interface configuration
interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!
!inside interface configuration
interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
!EIGRP authentication is configured on the inside interface
authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!
!management interface configuration
interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!
!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.
router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!
!This is the static default gateway configuration
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
C'est la configuration CLI de R1 (routeur interne).
!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.
interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!
! EIGRP Configuration
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary
Terminez-vous ces étapes afin de vérifier votre configuration.
ciscoasa# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 100.10.10.2 to network 0.0.0.0
C 198.51.100.0 255.255.255.0 is directly connected, outside
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
C 127.0.0.0 255.255.0.0 is directly connected, cplane
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
C 10.10.10.0 255.255.255.0 is directly connected, inside
C 10.10.20.0 255.255.255.0 is directly connected, management
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside
ciscoasa(config)# show route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
ciscoasa# show eigrp topology
EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
via 10.10.10.2 (28672/28416), GigabitEthernet0/1
P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
via Connected, GigabitEthernet0/1
P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
ciscoasa# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num
0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1
Voici l'écoulement de paquet.
Cette section inclut des informations sur mettent au point et les commandes show qui peuvent être utiles afin de dépanner des problèmes EIGRP.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'OIT afin d'afficher une analyse de la sortie de la commande show.
C'est la sortie de la commande de débogage dans scruter réussi avec R1. Vous pouvez voir chacune des routes différentes qui est avec succès installé sur le système.
EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0
Vous pouvez également utiliser l'ordre de debug eigrp neighbor. C'est la sortie de cette commande de débogage quand Cisco ASA a avec succès créé une nouvelle relation voisine avec R1.
ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
Vous pouvez également utiliser les debugs eigrp packets pour les informations détaillées d'échange de message EIGRP entre Cisco ASA et ses pairs. Dans cet exemple, la clé d'authentification a été changée sur le routeur (R1), et la sortie de débogage te prouve que le problème est une non-concordance d'authentification.
ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)
L'ASA relâche la proximité EIGRP quand tous les changements de la liste de distribution EIGRP sont faits. Ce message de Syslog est vu.
EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed
Avec cette configuration, toutes les fois qu'un nouveau rubrique de liste ACL est ajouté dans l'ACL, la proximité de l'Eigrp-réseau-liste EIGRP est remise à l'état initial.
router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static
access-list Eigrp-network-list standard permit any
Vous pouvez observer que les relations voisines sont en hausse avec le périphérique contigu.
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5
Maintenant vous pouvez ajouter la norme d'Eigrp-réseau-liste de liste d'accès refusez 172.18.24.0 255.255.255.0.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency
Ces logs peuvent être vus dans le debug eigrp fsm.
IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish
C'est comportement prévu dans toutes les nouvelles versions ASA de 8.4 et 8.6 à 9.1. Le même a été observé dans des Routeurs qui exécutent les 12.4 à 15.1 séries de code. Cependant, on n'observe pas ce comportement dans des versions de logiciel de la version 8.2 et antérieures ASA ASA parce que les modifications apportées à un ACL ne remettent pas à l'état initial les contiguïtés EIGRP.
Puisque l'EIGRP envoie la pleine table de topologie à un voisin quand le voisin monte d'abord, et puis il envoie seulement les modifications, configurer une liste de distribution avec la nature entraînée par les événements de l'EIGRP le rendrait difficile pour que les modifications s'appliquent sans pleine remise des relations voisines. Les Routeurs devraient maintenir chaque artère envoyée à et reçue d'un voisin afin de connaître quelle artère a changé (c'est-à-dire, ou ne serait pas envoyé/a été reçu) afin d'appliquer les modifications comme dicté par le courant distribuez la liste. Il est beaucoup plus facile de démolir simplement et rétablir la contiguïté entre les voisins.
Quand une contiguïté est démolie et rétablie, toutes les routes apprises entre les voisins particuliers sont simplement oubliées et la synchronisation entière entre les voisins est exécutée à nouveau - avec le nouveau distribuez la liste en place.
La plupart des techniques EIGRP que vous employez afin de dépanner des routeurs Cisco IOS peuvent être appliquées sur Cisco ASA. Afin de dépanner l'EIGRP, utilisez l'organigramme principal de dépannage ; début à la canalisation marquée de case.