Ejemplo de configuración de la autenticación de mensajes EIGRP Autor: Cliff Stewart (PBM IT Solutions) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Diagrama de la red Convenciones Antecedentes Configuración de la autenticación de mensajes EIGRP Creación de una cadena clave en Dallas Configuración de la autenticación en Dallas Configuración de Fort Worth Configuración de Houston Verificación Mensajes cuando sólo se configura Dallas Mensajes cuando se configuran todos los routers Resolución de problemas Introducción En este documento se muestra cómo agregar la autenticación de mensajes a los routers del Protocolo de enrutamiento de gateway interior mejorado (EIGRP) y proteger la tabla de enrutamiento de daños accidentales o intencionados. Con la adición de la autenticación a los mensajes EIGRP de los routers, se garantiza que los routers sólo acepten los mensajes de enrutamiento de otros routers que conozcan la misma clave previamente compartida. Sin esta autenticación configurada, si alguien introdujera otro router con información conflictiva o diferente en la red, las tablas de enrutamiento de los routers podrían resultar dañadas y se podría producir un ataque de negación de servicio. Si se incorpora la autenticación a los mensajes EIGRP enviados entre los routers, se evita que alguien agregue de forma intencionada o accidental otro router a la red y cause problemas. Precaución: cuando la autenticación de mensajes EIGRP se agrega a la interfaz de un router, éste deja de recibir mensajes de enrutamiento de sus pares hasta que ellos también se configuren para la autenticación. Con esta medida se interrumpen las comunicaciones de enrutamiento de la red. Para obtener más información, consulte Mensajes cuando sólo se configura Dallas. Requisitos previos Requisitos La hora debe estar configurada correctamente en todos los routers. Consulte Configuring NTP (Configuración de NTP) para obtener más información. Se recomienda una configuración de EIGRP que funcione. Componentes utilizados La información de este documento se basa en la versión 11.2 y posteriores del software Cisco IOS®. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando. Diagrama de la red Este documento utiliza esta configuración de red: Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento. Antecedentes En este escenario, un administrador de red desea configurar la autenticación para mensajes EIGRP entre el router concentrador en Dallas y los sitios remotos en Fort Worth y Houston. La configuración de EIGRP (sin autenticación) ya se ha completado en los tres routers. El siguiente resultado de ejemplo corresponde a Dallas: Dallas#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT (sec) (ms) 11 15:59:57 44 12 16:00:40 38 RTO Q Seq Type Cnt Num 264 0 2 228 0 3 1 192.169.1.6 Se0/0.2 0 192.169.1.2 Se0/0.1 Dallas#show cdp neigh Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Houston FortWorth Local Intrfce Ser 0/0.2 Ser 0/0.1 Holdtme 146 160 Capability R R Platform 2611 2612 Port ID Ser 0/0.1 Ser 0/0.1 Configuración de la autenticación de mensajes EIGRP El proceso consta de dos pasos: 1. La creación de una clave y una cadena clave. 2. La configuración de la autenticación de EIGRP para utilizar la clave y la cadena clave. En esta sección se muestran los pasos para configurar la autenticación de mensajes EIGRP en el router Dallas y los routers Fort Worth y Houston. Creación de una cadena clave en Dallas El funcionamiento de la autenticación de enrutamiento se basa en una clave de una cadena clave. Antes de habilitar la autenticación, se debe crear una cadena clave y al menos una clave. 1. Introduzca el modo de configuración global. Dallas#configure terminal 2. Cree la cadena clave. En este ejemplo se utiliza MYCHAIN. Dallas(config)#key chain MYCHAIN 3. Especifique el número de clave. En este ejemplo se usa 1. Nota: se recomienda que el número de clave sea el mismo en todos los routers incluidos en la configuración. Dallas(config-keychain)#key 1 4. Indique la cadena clave para la clave. En este ejemplo se utiliza securetraffic. Dallas(config-keychain-key)#key-string securetraffic 5. Termine la configuración. Dallas(config-keychain-key)#end Dallas# Configuración de la autenticación en Dallas Una vez creadas la cadena clave y la clave, debe configurar EIGRP para que realice la autenticación de mensajes con la clave. Esta configuración se completa en las interfaces en las que EIGRP está configurado. Precaución: cuando la autenticación de mensajes EIGRP se agrega a las interfaces de Dallas, éste deja de recibir mensajes de enrutamiento de sus pares hasta que ellos también se configuran para la autenticación. Con esta medida se interrumpen las comunicaciones de enrutamiento de la red. Para obtener más información, consulte Mensajes cuando sólo se configura Dallas. 1. Introduzca el modo de configuración global. Dallas#configure terminal 2. Desde el modo de configuración global, especifique la interfaz en la que desea configurar la autenticación de mensajes EIGRP. En este ejemplo, la primera interfaz es serial 0/0.1. Dallas(config)#interface serial 0/0.1 3. Habilite la autenticación. El valor 10 utilizado es el número de sistema autónomo de la red. md5 indica que hash md5 se empleará para la autenticación. Dallas(config-subif)#ip authentication mode eigrp 10 md5 4. Indique la cadena clave que debe usar para la autenticación. 10 es el número de sistema autónomo. MYCHAIN es la cadena clave que se creó en la sección Creación de una cadena clave en Dallas. Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Dallas(config-subif)#end 5. Complete la misma configuración en la interfaz serial 0/0.2. Dallas#configure terminal Dallas(config)#interface serial 0/0.2 Dallas(config-subif)#ip authentication mode eigrp 10 md5 Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Dallas(config-subif)#end Dallas# Configuración de Fort Worth En esta sección se muestran los comandos necesarios para configurar la autenticación de mensajes EIGRP en el router Fort Worth. Para obtener una explicación detallada de los comandos que aparecen aquí, consulte Creación de una cadena clave en Dallas y Configuración de la autenticación en Dallas. FortWorth#configure terminal FortWorth(config)#key chain MYCHAIN FortWorth(config-keychain)#key 1 FortWort(config-keychain-key)#key-string securetraffic FortWort(config-keychain-key)#end FortWorth# Fort Worth#configure terminal FortWorth(config)#interface serial 0/0.1 FortWorth(config-subif)#ip authentication mode eigrp 10 md5 FortWorth(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN FortWorth(config-subif)#end FortWorth# Configuración de Houston En esta sección se muestran los comandos necesarios para configurar la autenticación de mensajes EIGRP en el router Houston. Para obtener una explicación detallada de los comandos que aparecen aquí, consulte Creación de una cadena clave en Dallas y Configuración de la autenticación en Dallas. Houston#configure terminal Houston(config)#key chain MYCHAIN Houston(config-keychain)#key 1 Houston(config-keychain-key)#key-string securetraffic Houston(config-keychain-key)#end Houston# Houston#configure terminal Houston(config)#interface serial 0/0.1 Houston(config-subif)#ip authentication mode eigrp 10 md5 Houston(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN Houston(config-subif)#end Houston# Verificación Utilice esta sección para confirmar que la configuración funciona de manera adecuada. Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug. Mensajes cuando sólo se configura Dallas Una vez que la autenticación de mensajes EIGRP se configura en el router Dallas, éste comienza a rechazar mensajes de los routers Fort Worth y Houston, ya que en ellos aún no se ha configurado la autenticación. Esto se puede verificar ejecutando un comando debug eigrp packets en el router Dallas: Dallas#debug eigrp packets 17:43:43: EIGRP: ignored packet from 192.169.1.2 (invalid authentication) 17:43:45: EIGRP: ignored packet from 192.169.1.6 (invalid authentication) !--- Los paquetes de Fort Worth y Houston se ignoran, ya que !--- aún no se han configurado para la autenticación. Mensajes cuando se configuran todos los routers Una vez que la autenticación de mensajes EIGRP se configura en los tres routers, comienzan de nuevo a intercambiar mensajes. Esto se puede verificar ejecutando una vez más un comando debug eigrp packets. Se muestran los resultados de tiempo de los routers Fort Worth y Houston: FortWorth#debug eigrp packets 00:47:04: EIGRP: received packet with MD5 authentication, key id = 1 00:47:04: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.1 !--- Se reciben paquetes de Dallas con autenticación MD5. Houston#debug eigrp packets 00:12:50.751: EIGRP: received packet with MD5 authentication, key id = 1 00:12:50.751: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.5 !--- Se reciben paquetes de Dallas con autenticación MD5. Resolución de problemas Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 20 Junio 2008 http://www.cisco.com/cisco/web/support/LA/9/98/98032_eigrp-authentication.html