Kinzersky.ru

CCNP: EIGRP (часть 3)

Просмотров: 4900Комментарии: 0

Часть 1

Часть 2

Часть 4

Настройка конфигурации EIGRP

Для дополнительной настройки EIGRP имеет несколько возможностей - пассивные интерфейсы, уникастовые соседи, суммаризация маршрутов, неравнозначная балансировка и аутентификация. Познакомимся с каждой из них поподробнее

Пассивные интерфейсы

Команда passive-interface предотвращает отправка обновлений маршрутизации и hello-сообщений с указанного интерфейса.

При включенном пассивном интерфейсе RIP не отправляет обновления; EIGRP и OSPF не отправляют hello-сообщения, и, соотв-но, не обнаруживают соседей и не устанавливают с ними никаких отношений через пассивные интерфейсы. Чтобы включить пассивный интерфейс на одном интерфейсе, обычно используется команда в режиме конфигурации интерфейса:

passive-interface interface

Но чтобы включить пассивность по-умолчанию на всех интерфейсах, в режиме настройки протокола маршрутизации используем команду passive-interface default следующим образом:

Router(config)# router eigrp 55
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface s0/0/0

Уникастовые соседи (Unicast Neighbors)

Обычно EIGRP использует мультикаст-сообщения на адрес 224.0.0.10 для своих сообщений. Но Вы можете сконфигурировать его таким образом, чтобы он использовал уникаст-адреса (unicast) с помощью команды в режиме настройки протокола маршрутизации neighbor ip-address. IP-адрес соседа должен быть в той же подсети, что и интерфейс маршрутизатора.

Суммаризация маршрутов

По-умолчанию, EIGRP автоматически суммаризует маршруты по границам класса (/8, /16, /24). Довольно часто это мешает, поэтому отключить эту возможность можно следующей командой (в режиме конфигурирования EIGRP):

Router(config-router)# no auto-summary

Суммаризацию можно настроить на отдельном интерфейсе. При этом, если такая суммаризация настроена, в таблице маршрутов присутствует соответствующий маршрут, ведущий на null0. Это нужно для того, чтобы исключить петли.

Настройка суммарного маршрута на интерфейсе активируется командой ip summary-address eigrp autonomous_system. Данный пример публикует маршрут по-умолчанию через fa0/1 и суммарный маршрут к подсети 172.16.104.0/22 через serial0/0/0 для EIGRP AS 7:

Router(config)# int fa0/1
Router(config-if)# ip summary-address eigrp 7 0.0.0.0 0.0.0.0
!
Router(config)# int s0/0/0
Router(config-if)# ip summary-address eigrp 7 172.16.104.0 255.255.252.0

Балансировка нагрузки

EIGRP, как и большинство других потоколов маршрутизации, автоматический балансирует нагрузку между равнозначными маршрутами. Но! EIGRP делает уникальным то, что Вы можете настроить пропорциональную балансировку через неравные маршруты. Для этого используется команда variance, которая позволяет настроить балансировку между шестью беспетельными путями с метрикой, меньшей чем произведение variance и лучшей метрики.

R5(config)# router eigrp 7
R5(config-router)# variance 2

Картинка 2-9 показывает нам маршрутизаторы, публикующие путь к сети, подключенной к R1:

картинка

По-умолчанию, R5 использует путь через R4, потому что он предлагает метрику ниже (14,869,333). Чтобы настроить балансировку маршрута между неравными источниками, нужно присвоить variance значение 2 на роутере R5, что позволит балансировать все маршруты с метрикой меньше 14,869,333 * 2 = 29,738,666. Поэтому R5 использует беспетельные пути с метрикой меньше чем 29,738,666, т.е. включает еще и путь через R3. По-умолчанию, R5 балансирует между этими путями, отправляя трафик через каждый из них пропорционально их метрике.

Аутентификация в EIGRP

По-умолчанию, никакая аутентификация не используется ни для какого протокола. Такие протоколы динамической маршрутизации как RIPv2, IS-IS и OSPF, могут быть настроены на простую аутентификацию с помощью пароля между соседними роутерами. В этом типе аутентификации пароль отправляется в виде простого текста. EIGRP такую аутентификацию не поддерживает. Но зато он может быть настроен на аутентификацию каждого EIGRP-пакета, используя MD5-хэш, созданный с помощью заранее настроенного общего пароля. Это более безопасно, чем отправка паролей простым текстом, т.к. передается не сам пароль, а его хэш. Такие пароли в EIGRP называются ключами (key).

EIGRP аутентифицирует каждый пакет и проверяет источник, с которого пришло обновление маршрутов, в том числе хэш в каждом из пакетов. Если хэш-суммы не сходятся, пакет молча отбрасывается.

Чтобы начать использовать EIGRP-аутентификацию, сначала напишите план:

*Необходимо оценить текущую конфигурацию, чтобы узнать номера автономных систем EIGRP и интерфейсы, на которых он сконфигурирован

*Решить,какой тип аутентификации использовать (лично мне непонятен этот пункт, т.к. для EIGRP он всегда MD5).

*Придумать значения ключей, их количество.

*При желании определить срок жизни ключей (lifetime).


Для конфигурации EIGRP-аутентификации на маршрутизаторе, необходимо сделать следующие шаги:

Шаг 1. Создать связки ключей (key chain), чтобы сгруппировать в них ключи.

Шаг 2. Создать несколько ключей (key) в одной связке (key chain). Маршрутизатор будет проверять каждый EIGRP-пакет по списку ключей и будет использовать первый подошедший ключ.

Шаг 3. Настроить пароль или строку аутентификации для ключа. Повторить шаги 2 и 3 если ключей несколько.

Шаг 4. При желании настроить время жизни ключей (lifetime). При такой настройке необходимо быть уверенным, что время между маршрутизаторами синхронизировано.

Шаг 5. Включить аутентификацию и повесить связку ключей на интерфейс.

Шаг 6. Указать тип аутентификации - MD5.

В примере ниже показан листинг с маршрутизатора, на котором настроена EIGRP-аутентификация. На нем настроено время жизни для пакетов использующих ключ 1 - с 10:25 утра длительностью 300 секунд. Тут также показана настройка времени жизни пакетов, принимаемых через ключ 1 - с 10:00 до 10:10. Часы маршрутизаторов должны быть синхронизированы для использования lifetime-настроек через NTP-сервер. (Как настроить NTP на маршрутизаторах Cisco, можно почитать здесь

Router(config)# key chain KEYCHAIN1
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string MYKEY1
Router(config-keychain-key)# send-lifetime 10:25:00 600
Router(config-keychain-key)# accept-lifetime 10:00:00 10:10:00
!
Router(config)# interface fa4
Router(config-if)# ip authentication mode eigrp 10 md5
Router(config-if)# ip authentication key-chain eigrp 10 KEYCHAIN1

Проверить настройку можно с помощью команд show key chain. Также полезной будет show ip eigrp neighbors, потому что при проблемах с аутентификацией так же не установится и соседство. Используя дебаг-команду debug eigrp packets, Вы сможете увидеть пакеты, содержащие отправленные и полученные данные аутентификации, что может помочь при решении проблем с аутентификацией (будет выведено сообщение о том что authentication mismatch)

Продолжение следует.

Оставить комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

     

  

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)