Cisco CCNP EIGRP Authentication using Filtering

Topology

Router (BB)
interface Loopback0
ip address 172.30.0.1 255.255.255.0
interface Loopback1
ip address 172.30.1.1 255.255.255.0
interface Loopback2
ip address 172.30.2.1 255.255.255.0
interface Loopback3
ip address 172.30.3.1 255.255.255.0
interface Loopback4
ip address 172.30.4.1 255.255.255.0
interface Loopback5
ip address 172.30.5.1 255.255.255.0
interface Loopback10
ip address 1.1.1.1 255.255.255.255
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
interface Serial1/0
ip address 10.1.24.2 255.255.255.0
interface Serial1/1
ip address 10.1.34.2 255.255.255.252

router eigrp 100

network 1.1.1.1 0.0.0.0
network 10.1.0.0 0.0.255.255
network 172.30.0.0
network 192.168.1.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 192.168.1.12

Router (R2)
interface Loopback10
ip address 2.2.2.2 255.255.255.255
nterface FastEthernet0/1

[1]
Cisco CCNP EIGRP Authentication using Filtering

ip address 10.1.25.1 255.255.255.0

interface Serial1/0
ip address 10.1.24.1 255.255.255.252
!
router eigrp 100
network 2.2.2.2 0.0.0.0
network 10.1.0.0 0.0.255.255
no auto-summary

Router (R3)
interface Loopback10
ip address 3.3.3.3 255.255.255.255
interface Serial1/1
ip address 10.1.34.1 255.255.255.252
!
router eigrp 100
network 3.3.3.3 0.0.0.0
network 10.1.0.0 0.0.255.255
no auto-summary

Après la configuration du routage (eigrp) entre les 3 routeurs (BB, R2 et R3)

Routeur (BB)

[2]
Cisco CCNP EIGRP Authentication using Filtering

Routeur (R2)

Routeur (R3)

Une fois notre configuration de base terminée (adresse ip, eigrp avec un AS de 100...) nous pouvons
commencer à mettre en place notre authentification pour EIGRP.

[3]
Cisco CCNP EIGRP Authentication using Filtering

Il faut savoir que l'authentification va se passer à chaque message EIGRP envoyé par un routeur.

Les routeurs vont utiliser la même clé PSK (pre-shared key) pour générer une clé en MD5.

Dans un premier temps, nous allons créer des clés, que nous allons rentrer sur chaque routeur :

BB(config)#key chain settat.ma

BB(config-keychain)#key 1
BB(config-keychain-key)#key-string ciscotechnologies
BB(config-keychain)#key 2
BB(config-keychain-key)#key-string cisco

R2(config)#key chain casa.ma

R2(config-keychain)#key 1
R2(config-keychain-key)#key-string ciscotechnologies
R2(config-keychain)#key 2
R2(config-keychain-key)#key-string cisco

R3(config)#key chain rabat.ma

R3(config-keychain)#key 1
R3(config-keychain-key)#key-string ciscotechnologies
R3(config-keychain)#key 2
R3(config-keychain-key)#key-string cisco

Vous pouvez ajouter un temps de vie pour chaque clé en utilisant la commande accept-lifetime.
Pour vérifier que vos clés sont bien présentes sur le routeur ainsi que leur durée de vie, il vous suffit
de faire un show key chain pour avoir une liste complète :

BB#show key chain

Key-chain settat.ma:
key 1 -- text "ciscotechnologies"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
key 2 -- text "cisco"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]

R2#show key chain

Key-chain casa.ma:
key 1 -- text "ciscotechnologies"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
key 2 -- text "cisco"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]

R3#show key chain

Key-chain rabat.ma:
key 1 -- text "ciscotechnologies"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
key 2 -- text "cisco"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
Une fois la configuration des clés sur les routeurs terminée, nous pouvons activer l'authentification
EIGRP sur les interfaces des routeurs :

BB(config)#interface serial 1/0

BB(config-if)#ip authentication mode eigrp 100 md5

[4]
Cisco CCNP EIGRP Authentication using Filtering

*Mar 1 00:56:00.723: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.1.24.1

(Serial1/0) is down: authentication mode changed

On peut voir ici que notre lien eigrp vient de tomber, chose normal puisque nous n'avons pas activé
l'authentification sur le lien série du routeur R2, par conséquent, les 2 routeurs ne peuvent plus
communiquer entre eux et cette route est supprimée de la table de routage. Continuons notre
configuration sur BB avant de passer aux 2 autres routeurs.

R1(config-if)#ip authentication key-chain eigrp 100 settat.ma

Ici, on ajoute notre chaine que nous avons créé auparavant.

Si nous faisons un debug eigrp packet et nous obtenons ceci :

Nous pouvons voir ici que l'authentification a échoué. Configurons maintenant notre interface série
1/0 sur le routeur R2 pour qu'il y ait une authentification :
R2(config)#interface serial 1/0
R2(config-if)#ip authentication mode eigrp 100 md5

Maintenant que notre lien est monté, on peut voir que les deux routeurs s'envoient leur table de
routage via EIGRP et qu'ils sont de nouveau voisin.
R2#show ip eigrp neighbors

Il ne vous reste plus qu'à faire de même sur les autres liens séries de R1, R2 et R3.

EIGRP Authentification using Filtering

Q1 : Interdire le trafic (172.30.0.0) prevenant du routeur (BB) vers (R2)

Les politiques de routage sont utilisées pour :

 Remplacer des décisions issues du routage dynamique
 A voir un contrôle précis de la gestion du trafic des routeurs

EIGRP Distribute List with a Standard ACL

BB(config)#access-list 5 deny 172.30.0.0 0.0.255.255

BB(config)#access-list 5 permit any
BB(config)#router eigrp 100
BB(config-router)#distribute-list 5 out serial 1/0

*Mar 1 00:34:39.791: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.1.24.1

(Serial1/0) is resync: route configuration changed

[5]
Cisco CCNP EIGRP Authentication using Filtering

EIGRP Distribute List with a Prefix List

BB(config)# ip prefix-list cisco seq 10 deny 172.30.0.0/24 ge 30 le 30

BB(config)# ip prefix-list cisco seq 20 permit 0.0.0.0/0 le 32
BB(config)#router eigrp 100
BB(config-router)#distribute-list prefix cisco out serial 1/0

*Mar 1 00:34:39.791: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.1.24.1

(Serial1/0) is resync: route configuration changed

EIGRP Distribute List with a Route-map

La commande route-map est utilisée pour configurer une politique de routage, ce qui est souvent
une tâche complexe.

“Les politiques de routage sont des techniques pour que l'administrateur puisse indiquer au routeur
de transmettre des paquets selon une règle configurée au lieu d'utiliser l'adresse de destination et la
table de routage.” Alex Zinin

Un route map est défini avec la syntaxe suivante :

Router(config)# route-map map-tag [permit | deny] [sequence-number]
Router(config-map-route)#

 Par défaut les routes sont acceptées (permit)

 Deny est plus utilisé pour la redistribution de routes
 L'option sequence-number permet d'indiquer la position de la nouvelle règle dans la liste de
règles déjà configurées avec le même nom
 Si on ne donne pas un numéro, la première règle aura le numéro 10
Politiques de routage ne sont rien de plus que des routes statiques sophistiquées
Les politiques de routage peuvent être liées à des access lists étendues pour faire du routage aussi
selon le type de protocole et le numéro des ports.
BB(config)# access-list 5 permit 172.30.0.0 0.0.0.255
BB(config)# access-list 5 permit 172.30.1.0 0.0.0.255
BB(config)# access-list 5 permit 172.30.2.0 0.0.0.255
BB(config)# route-map cisco-map deny 10
BB(config-route-map)# match ip address 5
BB(config)# route-map cisco-map permit 20
BB(config)# router eigrp 100
BB(config-router)#distribute-list route-map cisco-map out serial 1/0

R1(config)# access-list 5 permit 172.30.5.0 0.0.0.255

!!
!!
R1(config)# #ip prefix-list ciscolist permit 172.30.4.0/24
!!
!!
R1(config)# route-map ciscomap deny 10
R1(config-route-map)# match ip address 5
R1(config)# route-map ciscomap permit 20
!!
R1(config)# route-map ciscomap deny 15
R1(config-route-map)# match ip address prefixlist ciscolist

[6]