EIGRP AUTHENTICATION
Xác thực lân cận EIGRP (còn được gọi là xác thực bộ định tuyến lân cận hoặc xác thực tuyến đường) cấu hình các bộ định tuyến EIGRP chỉ tham gia định tuyến dựa trên mật khẩu được xác định trước để ngăn bộ định tuyến EIGRP nhận các bản cập nhật định tuyến trái phép hoặc gian lận từ các nguồn không xác định. Một bộ định tuyến EIGRP được cấu hình với xác thực lân cận sẽ xác thực nguồn của tất cả các loại gói EIGRP ngoại trừ các gói ACK.
Cisco IOS hỗ trợ các loại xác thực sau cho các giao thức định tuyến:
Xác thực mật khẩu đơn giản Còn được gọi là xác thực văn bản thuần túy. Gửi khóa xác thực qua mạng và do đó dễ bị tấn công thụ động. Được hỗ trợ bởi RIPv2, OSPF, và IS-IS không được hỗ trợ với EIGRP
Xác thực Message Digest 5 (MD5)
Gửi thông báo hoặc băm thông báo thay vì khóa xác thực. Thông báo hoặc băm thông điệp được nối thêm vào các gói cập nhật định tuyến. Được hỗ trợ bởi RIPv2, EIGRP, OSPF và BGP.
Gửi thông báo hoặc băm thông báo thay vì khóa xác thực. Thông báo hoặc băm thông điệp được nối thêm vào các gói cập nhật định tuyến. Được hỗ trợ bởi RIPv2, EIGRP, OSPF và BGP.
Các khóa xác thực có thể được quản lý bằng các chuỗi khóa. Một khóa được xác định trong một chuỗi khóa có thể chỉ định khoảng thời gian mà khóa sẽ được kích hoạt, được gọi là thời gian tồn tại của khóa. Các gói cập nhật định tuyến sẽ được gửi cùng với khóa hợp lệ hoặc kích hoạt dựa trên thời gian tồn tại của khóa. Khóa hợp lệ đầu tiên được gặp trong chuỗi khóa có số ID khóa thấp nhất đến cao nhất sẽ được sử dụng cùng một lúc bất kể số lượng khóa hợp lệ. Số ID chính không cần phải liên tiếp. Tuy nhiên, ít nhất 1 khóa phải được xác định trong một chuỗi khóa.
EIGRP hỗ trợ xác thực MD5 ở chế độ cổ điển, và phương thức Xác thực Hash Algorithm-256 (HMAC-SHA-256) trong chế độ được đặt tên.
EIGRP hỗ trợ xác thực MD5 ở chế độ cổ điển, và phương thức Xác thực Hash Algorithm-256 (HMAC-SHA-256) trong chế độ được đặt tên.
EIGRP Authentication example
EIGRP Authentication topology
Cấu hình xác thực MD5
R1#configure terminal
R1(config)#interface Loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config)#interface Ethernet0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)# no shutdown
R1(config)# router eigrp 100
R1(config-router)#network 1.1.1.1 0.0.0.0
R1(config-router)#network 192.168.12.1 0.0.0.0
R1(config-router)#no auto-summary
R1(config)#key chain R12
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config)#interface Ethernet 0/0
R1(config-if)#ip authentication key-chain eigrp R12
R1(config-if)#ip authentication mode eigrp 100 md5
R1#configure terminal
R1(config)#interface Loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config)#interface Ethernet0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)# no shutdown
R1(config)# router eigrp 100
R1(config-router)#network 1.1.1.1 0.0.0.0
R1(config-router)#network 192.168.12.1 0.0.0.0
R1(config-router)#no auto-summary
R1(config)#key chain R12
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config)#interface Ethernet 0/0
R1(config-if)#ip authentication key-chain eigrp R12
R1(config-if)#ip authentication mode eigrp 100 md5