이 문서에서는 ASA 소프트웨어 버전 9.x 이상에서 지원되는 EIGRP(Enhanced Interior Gateway Routing Protocol)를 통해 경로를 학습하고 인증을 수행하기 위해 Cisco ASA(Adaptive Security Appliance)를 구성하는 방법에 대해 설명합니다.
Cisco에서는 이 구성을 시도하기 전에 다음 조건을 충족해야 합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
Cisco ASA 코드 버전 8.4.4.1 이상에서는 ACTIVE 유닛에서 STANDBY 유닛으로 동적 경로를 동기화합니다. 또한 경로 삭제는 STANDBY 유닛에도 동기화됩니다. 그러나 피어 인접성의 상태가 동기화되지 않습니다. ACTIVE 디바이스만 인접 상태를 유지하고 동적 라우팅에 적극적으로 참여합니다. ASA FAQ를 참조하십시오. 동적 경로가 동기화되면 장애 조치 후 어떻게 됩니까? 자세한 내용을 참조하십시오.
이 섹션에서는 이 문서에서 다루는 기능을 구성하는 방법에 대해 설명합니다.
이 문서에서는 다음 네트워크 설정을 사용합니다.
표시된 네트워크 토폴로지에서 Cisco ASA 내부 인터페이스 IP 주소는 10.10.10.1/24입니다. 목표는 인접 라우터(R1)를 통해 동적으로 내부 네트워크 경로(10.20.20.0/24, 172.18.124.0/24 및 192.168.10.0/24)을 학습하기 위해 Cisco ASA에서 EIGRP를 구성하는 것입니다. R1은 다른 두 라우터(R2 및 R3)를 통해 원격 내부 네트워크에 대한 경로를 학습합니다.
ASDM은 보안 어플라이언스에서 소프트웨어를 구성하고 모니터링하는 데 사용되는 브라우저 기반 애플리케이션입니다. ASDM은 보안 어플라이언스에서 로드되고 디바이스를 구성, 모니터링 및 관리하는 데 사용됩니다. 또한 ASDM Launcher를 사용하여 Java 애플릿보다 빠르게 ASDM 애플리케이션을 시작할 수 있습니다. 이 섹션에서는 ASDM을 사용하여 이 문서에 설명된 기능을 구성하기 위해 필요한 정보에 대해 설명합니다.
Cisco ASA에서 EIGRP를 구성하려면 다음 단계를 완료합니다.
정의된 네트워크에 속하는 IP 주소를 가진 인터페이스만 EIGRP 라우팅 프로세스에 참여합니다. EIGRP 라우팅에 참여하지 않으려는 인터페이스가 있지만 광고하려는 네트워크에 연결된 경우 인터페이스가 연결된 네트워크를 포함하는 Setup > Networks 탭에서 네트워크 항목을 구성한 다음 해당 인터페이스를 패시브 인터페이스로 구성하여 인터페이스가 EIGRP 업데이트를 보내거나 받을 수 없도록 구성합니다.
Cisco ASA는 EIGRP 라우팅 프로토콜에서 라우팅 업데이트의 MD5 인증을 지원합니다. 각 EIGRP 패킷의 MD5 키 다이제스트는 승인되지 않은 소스에서 승인되지 않은 또는 잘못된 라우팅 메시지를 유입하는 것을 방지합니다. EIGRP 메시지에 인증을 추가하면 라우터와 Cisco ASA가 동일한 사전 공유 키로 구성된 다른 라우팅 디바이스의 라우팅 메시지만 수락할 수 있습니다. 이 인증을 구성하지 않으면 다른 라우팅 디바이스가 네트워크에 서로 다르거나 반대 경로 정보를 제공하는 경우 라우터 또는 Cisco ASA의 라우팅 테이블이 손상될 수 있으며 서비스 거부 공격이 발생할 수 있습니다. 라우팅 디바이스(ASA 포함) 간에 전송되는 EIGRP 메시지에 인증을 추가하면 라우팅 토폴로지에 EIGRP 라우터가 무단으로 추가되는 것을 방지합니다.
EIGRP 경로 인증은 인터페이스별로 구성됩니다. EIGRP 메시지 인증을 위해 구성된 인터페이스의 모든 EIGRP 네이버는 인접성을 위해 동일한 인증 모드 및 키로 구성해야 합니다.
Cisco ASA에서 EIGRP MD5 인증을 활성화하려면 다음 단계를 완료합니다.
EIGRP를 사용하면 전송 및 수신된 라우팅 업데이트를 제어할 수 있습니다. 이 예에서는 R1 뒤에 있는 네트워크 접두사 192.168.10.0/24에 대해 ASA에서 라우팅 업데이트를 차단합니다. 경로 필터링의 경우 STANDARD ACL만 사용할 수 있습니다.
access-list eigrp standard deny 192.168.10.0 255.255.255.0
access-list eigrp standard permit any
router eigrp 10
distribute-list eigrp in
ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac
Cisco ASA CLI 컨피그레이션입니다.
!outside interface configuration
interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!
!inside interface configuration
interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
!EIGRP authentication is configured on the inside interface
authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!
!management interface configuration
interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!
!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.
router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!
!This is the static default gateway configuration
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
R1(내부 라우터)의 CLI 컨피그레이션입니다.
!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.
interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!
! EIGRP Configuration
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary
구성을 확인하려면 다음 단계를 완료하십시오.
ciscoasa# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 100.10.10.2 to network 0.0.0.0
C 198.51.100.0 255.255.255.0 is directly connected, outside
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
C 127.0.0.0 255.255.0.0 is directly connected, cplane
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
C 10.10.10.0 255.255.255.0 is directly connected, inside
C 10.10.20.0 255.255.255.0 is directly connected, management
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside
ciscoasa(config)# show route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
ciscoasa# show eigrp topology
EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
via 10.10.10.2 (28672/28416), GigabitEthernet0/1
P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
via Connected, GigabitEthernet0/1
P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
ciscoasa# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num
0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1
패킷 플로우입니다.
이 섹션에는 EIGRP 문제를 해결하는 데 유용한 debug 및 show 명령에 대한 정보가 포함되어 있습니다.
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. show 명령 출력의 분석을 보려면 OIT를 사용합니다.
이것은 debug 명령의 성공적인 R1 피어링 출력입니다. 시스템에 성공적으로 설치된 각 경로를 확인할 수 있습니다.
EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0
debug eigrp neighbor 명령을 사용할 수도 있습니다. Cisco ASA가 R1과 함께 새 네이버 관계를 성공적으로 생성한 경우 이 debug 명령의 출력입니다.
ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
Cisco ASA와 해당 피어 간의 자세한 EIGRP 메시지 교환 정보에 대해 디버그 EIGRP 패킷을 사용할 수도 있습니다. 이 예에서는 라우터(R1)에서 인증 키가 변경되었으며 디버그 출력에서는 문제가 인증 불일치임을 보여줍니다.
ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)
EIGRP 배포 목록의 변경 사항이 있을 경우 ASA는 EIGRP 인접 디바이스를 삭제합니다. 이 Syslog 메시지가 표시됩니다.
EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed
이 컨피그레이션에서는 새 acl 엔트리가 ACL에 추가될 때마다 Eigrp-network-list EIGRP 인접 디바이스가 재설정됩니다.
router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static
access-list Eigrp-network-list standard permit any
인접 디바이스 관계가 인접 디바이스와 일치하는지 확인할 수 있습니다.
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5
이제 access-list Eigrp-network-list 표준 deny 172.18.24.0 255.255.255.0을 추가할 수 있습니다.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency
이러한 로그는 debug eigrp fsm에서 볼 수 있습니다.
IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish
이는 8.4 및 8.6~9.1의 모든 새 ASA 버전에서 예상되는 동작입니다. 12.4~15.1 코드 트레인을 실행하는 라우터에서도 이러한 동작이 관찰되었습니다. 그러나 ACL을 변경해도 EIGRP 인접성이 재설정되지 않으므로 ASA 버전 8.2 및 이전 ASA 소프트웨어 버전에서는 이러한 동작이 관찰되지 않습니다.
EIGRP는 인접 디바이스가 처음 나타날 때 전체 토폴로지 테이블을 인접 디바이스로 전송한 다음 변경 사항만 전송하므로, EIGRP의 이벤트 중심 특성으로 배포 목록을 구성하면 인접 디바이스 관계의 전체 재설정 없이 변경 사항을 적용하기 어렵습니다. 라우터는 현재 배포 목록에 지정된 대로 변경 사항을 적용하려면 어떤 경로가 변경되었는지(즉, 전송/수락되지 않을 것인지) 확인하기 위해 네이버로 전송되거나 인접 디바이스에서 수신되는 모든 경로를 추적해야 합니다. 인접 디바이스 간의 인접성을 단순히 분리하고 재설정하는 것이 훨씬 쉽습니다.
인접성이 해제되고 다시 설정되면 특정 인접 디바이스 간에 학습된 모든 경로가 단순히 잊혀지고 인접 디바이스 간의 전체 동기화가 새로 수행되며 새로운 배포 목록이 적용됩니다.
Cisco IOS 라우터의 문제를 해결하기 위해 사용하는 대부분의 EIGRP 기술은 Cisco ASA에 적용할 수 있습니다. EIGRP의 문제를 해결하려면 주 트러블슈팅 흐름도를 사용합니다. Main으로 표시된 상자에서 시작합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
13-May-2015 |
최초 릴리스 |