Blog de Florent Appointaire

Blog sur les technologies Microsoft (Windows Server, System Center, Azure, Windows Azure Pack/Azure Stack, etc;)

Préparant actuellement la CCNP Route, j'ai commencé par le premier chapitre qui est "EIGRP Overview and Neighbor Relationships" avec le livre Cisco Press écrit par Wendell Odom.
J'ai découvert dans ce premier chapitre comment paramétrer l'authentification entre plusieurs routeurs qui échangent leur table de routage via EIGRP. Nous allons donc découvrir via cet article comment mettre en place cette authentification.

Tout d'abord, pour faire simple, j'ai installé 3 routeurs 2691 (sur GNS3), connectés entre eux via des liaisons séries avec un AS de 100.

 Screen-Shot-2012-03-02-at-18.39.40

Une fois notre configuration de base terminée (adresse ip, eigrp avec un AS de 100...) nous pouvons commencer à mettre en place notre authentification pour EIGRP (vous pouvez télécharger cette configuration ici). Il faut savoir que l'authentification va se passer à chaque message EIGRP envoyé par un routeur. Les routeurs vont utiliser la même clé PSK (pre-shared key) pour générer une clé en MD5.

Dans un premier temps, nous allons créer des clés, que nous allons rentrer sur chaque routeur :

R1(config)#key chain florent-appointaire.fr
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string ciscotechnologies
R1(config-keychain)#key 2
R1(config-keychain-key)#key-string cisco
R2(config)#key chain florent-appointaire.fr
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string ciscotechnologies
R2(config-keychain)#key 2
R2(config-keychain-key)#key-string cisco
R1(config)#key chain florent-appointaire.fr
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string ciscotechnologies
R3(config-keychain)#key 2
R3(config-keychain-key)#key-string cisco

Vous pouvez ajouter un temps de vie pour chaque clé en utilisant la commande accept-lifetime.
Pour vérifier que vos clés sont bien présentes sur le routeur ainsi que leur durée de vie, il vous suffit de faire un show key chainpour avoir une liste complète :

R2#show key chain
Key-chain florent-appointaire.fr:
    key 1 -- text "ciscotechnologies"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]
    key 2 -- text "cisco"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]

Une fois la configuration des clés sur les routeurs terminée, nous pouvons activer l'authentification EIGRP sur les interfaces des routeurs :

R1(config)#interface serial 0/0
R1(config-if)#ip authentication mode eigrp 100 md5
*Mar  1 00:17:59.079: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.1 (Serial0/0) is down: authentication mode changed

On peut voir ici que notre lien eigrp vient de tomber, chose normal puisque nous n'avons pas activé l'authentification sur le lien série du routeur R2, par conséquent, les 2 routeurs ne peuvent plus communiquer entre eux et cette route est supprimée de la table de routage. Continuons notre configuration sur R1 avant de passer aux 2 autres routeurs.

R1(config-if)#ip authentication key-chain eigrp 100 florent-appointaire.fr

Ici, on ajoute notre chaine que nous avons créé auparavant.
Si nous faisons un debug eigrp packet, nous obtenons ceci :

*Mar  1 00:23:57.263: EIGRP: Serial0/0: ignored packet from 192.168.1.1, opcode = 5 (missing authentication)

Nous pouvons voir ici que l'authentification a échoué. Configurons maintenant notre interface série 0/0 sur le routeur R2 pour qu'il y ait une authentification :

R2(config)#interface serial 0/0
R2(config-if)#ip authentication mode eigrp 100 md5
R2(config-if)#ip authentication key-chain eigrp 100 florent-appointaire.fr
*Mar  1 00:03:53.451: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.2 (Serial0/0) is up: new adjacency

Maintenant que notre lien est monté, on peut voir que les deux routeurs s'envoient leur table de routage via EIGRP et qu'ils sont de nouveau voisin.

R2#show ip eigrp neighbors
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.1.9             Se0/1             11 00:00:44   31   200  0  17
1   192.168.1.2             Se0/0             14 00:06:11   31   200  0  12

Il ne vous reste plus qu'à faire de même sur les autres liens séries de R1, R2 et R3.
Vous pourrez trouver le projet GNS complet avec les bonnes configurations ici.

Auth_EIGRP_finished.zip
Facebook Like
Anonymous