라우터(Router) - EIGRP Authentication(인증)

EIGRP는 네트워크 보안을 강화하기 위해 EIGRP 패킷 인증을 사용한다. MD5 방식을 사용한 네이버간의 인증을 지원한다. 

명령어를 알아보자

R1(config)# key chain CISCO

-> key chain명령어와 적당한 이름을 사용하여 키 체인 설정모드로 들어간다. 키 체인 이름은 설정하는 해당 라우터에만 의미가 있으며 라우터간에 서로 동일하게 설정하지 않아도 된다.

 

R1(config-keychain)# key 1

-> 키 번호를 지정한다. 라우터 간에 키 번호는 동일해야 한다. 0-2147483647 사이의 값을 지정할 수 있다.

 

R1(config-keychain-key)# key-string CCNP
-> key-string명령어로 위에 입력한 키 번호에 해당하는 비밀번호를 입력한다.

 

R1(config)# int s 1/0.123
-> EIGRP 인증을 설정하고 싶은 인터페이스로 들어간다.

 

R1(config-if)# ip authentication mode eigrp 65000 md5
-> ip authentication mode를 입력하여 인증 방식을 설정한다. md5로 인증 방식을 적용하겠다는 의미.

 

R1(config-if)# ip authentication key eigrp 65000 CISCO 

-> ip authentication key를 사용하여 인증에 사용할 키 체인을 설정한다.(앞에서 우리가 만든 키 체인은 CISCO이다. CISCO체인을 입력하면된다.

 

<실습>

어제 실습한 EIGRP Unequal metric load balancing실습을 이어 그 토폴로지에 EIGRP 인증까지 해보겠다.

R1의 구성)

key chain CISCO
 key 1
  key-string CCNP

interface Loopback0
 ip address 10.10.15.1 255.255.255.0 secondary
 ip address 10.10.18.1 255.255.255.0 secondary
 ip address 10.10.10.1 255.255.255.0

 

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

 

interface Serial1/0.123 multipoint
 ip address 192.168.10.1 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 no ip split-horizon eigrp 65000
 ip summary-address eigrp 65000 10.10.0.0 255.255.224.0 5
 frame-relay map ip 192.168.10.2 102 broadcast
 frame-relay map ip 192.168.10.3 103 broadcast

 

router eigrp 65000
 passive-interface default
 no passive-interface Serial1/0.123
 network 10.0.0.0
 network 192.168.10.0
 no auto-summary

 

R2의 구성)

key chain CISCO
 key 1
  key-string CCNP

 

interface Loopback0
 ip address 10.10.110.1 255.255.255.0

 

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

 

interface Serial1/0.12 point-to-point
 ip address 192.168.10.2 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 frame-relay interface-dlci 201  

 

router eigrp 65000
 passive-interface default
 no passive-interface Serial1/0.12
 network 10.0.0.0
 network 192.168.10.0
 no auto-summary

 

R3의 구성)

key chain CISCO
 key 1
  key-string CCNP

 

interface Loopback0
 ip address 10.10.120.1 255.255.255.0

 

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

 

interface Serial1/0.13 point-to-point
 ip address 192.168.10.3 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 frame-relay interface-dlci 301  

 

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.1 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

 

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.1 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

 

router eigrp 65000
 variance 8
 passive-interface default
 no passive-interface Serial1/0.13
 no passive-interface Serial1/1
 no passive-interface Serial1/2
 network 10.0.0.0
 network 172.16.0.0
 network 192.168.10.0
 no auto-summary 

 

R4의 구성)

key chain CISCO
 key 1
  key-string CCNP

 

interface Loopback0
 ip address 10.10.130.1 255.255.255.0

 

interface Serial1/0
 no ip address
 shutdown
 serial restart-delay 0

 

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.2 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

 

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.2 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

 

router eigrp 65000
 variance 8
 passive-interface default
 no passive-interface Serial1/1
 no passive-interface Serial1/2
 network 10.0.0.0
 network 172.16.0.0
 no auto-summary

 

자 여기서, 서로 라우터끼리 ping이 잘 나가는 것을 알 수 있다.

여기서 라우터1의 EIGRP 인증을 끊고 다시 ping을 날려보겠다.

핑이 나가지 않는 것을 확인할 수 있다.