IT, FIRE, License and Daily life

EIGRP는 네트워크 보안을 강화하기 위해 EIGRP 패킷 인증을 사용한다. MD5 방식을 사용한 네이버간의 인증을 지원한다. 

명령어를 알아보자

R1(config)# key chain CISCO

-> key chain명령어와 적당한 이름을 사용하여 키 체인 설정모드로 들어간다. 키 체인 이름은 설정하는 해당 라우터에만 의미가 있으며 라우터간에 서로 동일하게 설정하지 않아도 된다.

R1(config-keychain)# key 1

-> 키 번호를 지정한다. 라우터 간에 키 번호는 동일해야 한다. 0-2147483647 사이의 값을 지정할 수 있다.

R1(config-keychain-key)# key-string CCNP
-> key-string명령어로 위에 입력한 키 번호에 해당하는 비밀번호를 입력한다.

R1(config)# int s 1/0.123
-> EIGRP 인증을 설정하고 싶은 인터페이스로 들어간다.

R1(config-if)# ip authentication mode eigrp 65000 md5
-> ip authentication mode를 입력하여 인증 방식을 설정한다. md5로 인증 방식을 적용하겠다는 의미.

R1(config-if)# ip authentication key eigrp 65000 CISCO 

-> ip authentication key를 사용하여 인증에 사용할 키 체인을 설정한다.(앞에서 우리가 만든 키 체인은 CISCO이다. CISCO체인을 입력하면된다.

<실습>

어제 실습한 EIGRP Unequal metric load balancing실습을 이어 그 토폴로지에 EIGRP 인증까지 해보겠다.

R1의 구성)

key chain CISCO
 key 1
  key-string CCNP

interface Loopback0
 ip address 10.10.15.1 255.255.255.0 secondary
 ip address 10.10.18.1 255.255.255.0 secondary
 ip address 10.10.10.1 255.255.255.0

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

interface Serial1/0.123 multipoint
 ip address 192.168.10.1 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 no ip split-horizon eigrp 65000
 ip summary-address eigrp 65000 10.10.0.0 255.255.224.0 5
 frame-relay map ip 192.168.10.2 102 broadcast
 frame-relay map ip 192.168.10.3 103 broadcast

router eigrp 65000
 passive-interface default
 no passive-interface Serial1/0.123
 network 10.0.0.0
 network 192.168.10.0
 no auto-summary

R2의 구성)

key chain CISCO
 key 1
  key-string CCNP

interface Loopback0
 ip address 10.10.110.1 255.255.255.0

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

interface Serial1/0.12 point-to-point
 ip address 192.168.10.2 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 frame-relay interface-dlci 201  

router eigrp 65000
 passive-interface default
 no passive-interface Serial1/0.12
 network 10.0.0.0
 network 192.168.10.0
 no auto-summary

R3의 구성)

key chain CISCO
 key 1
  key-string CCNP

interface Loopback0
 ip address 10.10.120.1 255.255.255.0

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

interface Serial1/0.13 point-to-point
 ip address 192.168.10.3 255.255.255.0
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 frame-relay interface-dlci 301  

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.1 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.1 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

router eigrp 65000
 variance 8
 passive-interface default
 no passive-interface Serial1/0.13
 no passive-interface Serial1/1
 no passive-interface Serial1/2
 network 10.0.0.0
 network 172.16.0.0
 network 192.168.10.0
 no auto-summary 

R4의 구성)

key chain CISCO
 key 1
  key-string CCNP

interface Loopback0
 ip address 10.10.130.1 255.255.255.0

interface Serial1/0
 no ip address
 shutdown
 serial restart-delay 0

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.2 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.2 255.255.255.252
 ip authentication mode eigrp 65000 md5
 ip authentication key-chain eigrp 65000 CISCO
 serial restart-delay 0

router eigrp 65000
 variance 8
 passive-interface default
 no passive-interface Serial1/1
 no passive-interface Serial1/2
 network 10.0.0.0
 network 172.16.0.0
 no auto-summary

자 여기서, 서로 라우터끼리 ping이 잘 나가는 것을 알 수 있다.

여기서 라우터1의 EIGRP 인증을 끊고 다시 ping을 날려보겠다.

핑이 나가지 않는 것을 확인할 수 있다.

EIGRP는 6개 ~ 16개 까지 동일한 메트릭 값을 갖는 경로에 대해 부하 분산을 지원한다. 그리고 메트릭 값이 같지 않은 경로에 대한 부하 분산을 지원하며 이것을 unequal cost load balancing(언이퀄 코스트 부하 분산)이라고 한다.  

unequal cost load balancing을 만족하기 위한 조건

1. AD < FD인 경로이여야 한다.

AD는 넥스트 홉 라우터부터 목적지까지의 메트릭을 말하고, FD는 현재 라우터부터 목적지까지의 메트릭을 말한다.

2. 부하분산 시키고자 하는 경로의 메트릭 값이 최적 FD * variance값보다 적어야 한다.

FD2(백업 경로) < FD1 (최적 경로)* variance

<실습>

Frame-relay로 네트워크를 구성한 뒤, EIGRP프로토콜을 이용하여 unequal cost load balancing을 구현할 것이다.

R3와 R4에 일부러 두 개의 링크를 줘서 unequal cost load balancing을 구현하도록 하겠다.

S1/1 - S1/1구간에는 Bandwidth를 512로 주고 S1/2 - S1/2구간에는 Bandwidth를 64로 주어 일부러 메트릭 값이 맞지 않게 구성하였다.

R3의 구성)

interface Loopback0
 ip address 10.10.120.1 255.255.255.0

interface Serial1/0
 no ip address
 encapsulation frame-relay
 serial restart-delay 0
 no frame-relay inverse-arp

interface Serial1/0.123 point-to-point
 ip address 1.1.123.3 255.255.255.0
 frame-relay interface-dlci 301  

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.1 255.255.255.0
 serial restart-delay 0

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.1 255.255.255.0
 serial restart-delay 0

router eigrp 65000
 variance 8
 network 1.0.0.0
 network 10.0.0.0
 network 172.16.0.0
 no auto-summary

R4의 구성)

interface Loopback0
 ip address 10.10.130.1 255.255.255.0
 

interface Serial1/1
 bandwidth 64
 ip address 172.16.1.2 255.255.255.0
 serial restart-delay 0

interface Serial1/2
 bandwidth 512
 ip address 172.16.2.2 255.255.255.0
 serial restart-delay 0

router eigrp 65000
 variance 8
 network 1.0.0.0
 network 10.0.0.0
 network 172.16.0.0
 no auto-summary

※ variance를 8로 입력한 이유는 무엇일까?

아까 위의 조건에서 FD2(백업 경로) < FD1 (최적 경로)* variance값이어야 unequl cost load balancing이 가능하다고 했다.

variance 8을 입력하기 전, show ip eigrp topology all-link를 해서 백업경로의 FD값다 최적경로의 FD값을 비교해서 8배를 해주었다.