Authentifier les routeurs Cisco EIGRP

Pour empêcher les mises à jour de routage non autorisées, le protocole EIGRP peut être configuré pour authentifier les homologues. La recette technique suivante explique comment procéder.


Pour cet exemple, deux routeurs, A et B, sont directement connectés avec Fast Ethernet. Le réseau IP est 10.1.1.0/24.

Entrez les mots de passe appropriés, puis entrez le mode de configuration suivant:conf t

Adresse les interfaces.

Routeur A:interface FastEthernet 0/0
adresse ip 10.1.1.1 255.255.255.0

Routeur B:interface FastEthernet 0/0
adresse ip 10.1.1.2 255.255.255.0

Configurez le protocole EIGRP (identique sur les deux routeurs):routeur eigrp 100
réseau 10.0.0.0

Ensuite, créez des trousseaux dans les deux routeurs.

Routeur A:porte-clés rtrA
clé 1
porte-clés 123
accepter à vie infini
envoyer à vie 00:00:01 1 Jan 2004 23:59:59 1 Jan 2005
sortie
touche 2
porte-clés abc
accepter à vie infini
envoyer à vie 00:00:01 1 Jan 2004 23:59:59 1 Jan 2005

Routeur B:porte-clés rtrB
clé 1
porte-clés 123
accepter à vie infini
envoyer à vie 00:00:01 1 Jan 2004 23:59:59 1 Jan 2005
sortie
touche 2
porte-clés abc
accepter à vie infini
envoyer à vie 00:00:01 1 Jan 2004 23:59:59 1 Jan 2005

Maintenant, configurez l'authentification. Le numéro de système autonome EIGRP est 100.

Routeur A:interface FastEthernet 0/0
mode d'authentification ip eigrp 100 md5
chaîne d'authentification ip eigrp 100 rtrA

Routeur B:interface FastEthernet 0/0
mode d'authentification ip eigrp 100 md5
chaîne d'authentification ip eigrp 100 rtrB

Maintenant, les routeurs doivent vérifier le hachage MD5 des paquets EIGRP, en supprimant ceux qui ne passent pas la vérification.

Dans la configuration des clés, le mot-clé «infini» peut être utilisé pour créer des clés sans expiration. Je recommanderais que la dernière paire de clés n'expire pas pour éviter les temps d'arrêt du réseau si l'administrateur oublie de mettre à jour les clés avant leur expiration.