Escenario
La empresa TH-LAB está planeando optimizar la red WAN Empresarial para mejorar su rendimiento y robustecer la infraestructura, como Ingeniero de redes Jr. recibes peticiones de los ingenieros Sr para llevar a cabo poco a poco el proyecto.
Nota: TH-LAB cuenta con 5 sitios remotos (S1-S5) y una red Backbone (R1-R4). EIGRP Name mode es utilizado en toda la infraestructura.
Misión #1
Eres el ingeniero de redes Jr. en la empresa TH-LAB, te confían la primera misión del proyecto, debes asegurar que únicamente los Routers autorizados de las oficinas remotas pueden establecer adyacencia y compartir información de ruteo con los Routers de la red Backbone. Básicamente los paquetes EIGRP deben ser autenticados.
Posible solución
En este caso se requiere configurar EIGRP authentication en los enlaces especificados. EIGRP Auth es un mecanismo de protección que permite evitar que un equipo no autorizado pueda establecer una relación de adyacencia con un Router legítimo e inyectar rutas no deseadas en la red empresarial.
Hay que recalcar que EIGRP Auth solo cifra la contraseña que acompaña cada paquete EIGRP con MD5 o HMAC-SHA-256. Cuando un paquete llega al Router vecino primero se descifra la contraseña y la compara con la que tiene configurada, en caso de que no hacen match se descarta el paquete.
Configuración EIGRP Auth - R1
Para configurar EIGRP Auth primero se debe crear un un KEY CHAIN y después asociarlo a la interfaz de EIGRP.
1- Creación del KEY CHAIN
key chain TL_KEY (<-- nombre del key-chain)
key 50
key-string TH-LAB (<--contraseña)
exit
exit2- Habilitar Autenticación en la interfaz (EIGRP Name mode)
router eigrp th-lab
address-family ipv4 unicast autonomous-system 180
!
af-interface gigabitEthernet 0/8
authentication mode md5
authentication key-chain TL_KEY
!
af-interface gigabitEthernet 0/5
authentication mode md5
authentication key-chain TL_KEY
Proceso de Configuración EIGRP Auth S1_BR1
1- Creación del KEY CHAIN
key chain TL_KEY
key 50
key-string TH-LAB
exit
exit2- Habilitar Autenticación en la interfaz
router eigrp th-lab
address-family ipv4 unicast autonomous-system 180
!
af-interface gigabitEthernet 0/8
authentication mode md5
authentication key-chain TL_KEY
!
af-interface gigabitEthernet 0/5
authentication mode md5
authentication key-chain TL_KEYSe repite los mismos pasos en R2, R3, R4, S2_BR1, S3_BR1, S3_BR2, S4_BR1
Verificación
Después de realizar la configuración en ambos equipos, se valida la formación de la adyacencia entre R1 y S1_BR1.
Capturamos un paquete Hello EIGRP, y también ahí se pudo observar todo el mecanismo de autenticación que va acompañado el paquete.
Así completamos la primera misión del proyecto.
Para dudas y consultas no duden en contactarme.
Comments