Este documento descreve como configurar o Cisco Adaptive Security Appliance (ASA) para aprender rotas através do Enhanced Interior Gateway Routing Protocol (EIGRP), que é suportado no software ASA versão 9.x e posterior, e executar a autenticação.
A Cisco exige que você atenda a estas condições antes de tentar esta configuração:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
O código Cisco ASA versão 8.4.4.1 e posterior sincroniza rotas dinâmicas da unidade ATIVE para a unidade STANDBY. Além disso, a exclusão de rotas também é sincronizada com a unidade STANDBY. No entanto, o estado das adjacências de peer não está sincronizado; somente o dispositivo ATIVE mantém o estado vizinho e participa ativamente do roteamento dinâmico. Consulte as Perguntas frequentes do ASA: O que acontece após o failover se as rotas dinâmicas forem sincronizadas? para obter mais informações.
Esta seção descreve como configurar os recursos abordados neste documento.
Este documento utiliza a seguinte configuração de rede:
Na topologia de rede ilustrada, o endereço IP da interface interna do Cisco ASA é 10.10.10.1/24. O objetivo é configurar o EIGRP no Cisco ASA para aprender rotas para as redes internas (10.20.20.0/24, 172.18.124.0/24 e 192.168.10.0/24) dinamicamente através do roteador adjacente (R1). O R1 aprende as rotas para redes internas remotas através dos outros dois roteadores (R2 e R3).
O ASDM é um aplicativo baseado em navegador usado para configurar e monitorar o software em dispositivos de segurança. O ASDM é carregado do Security Appliance e usado para configurar, monitorar e gerenciar o dispositivo. Você também pode usar o ASDM Launcher para iniciar o aplicativo ASDM mais rápido do que o miniaplicativo Java. Esta seção descreve as informações necessárias para configurar os recursos descritos neste documento com o ASDM.
Conclua estes passos para configurar o EIGRP no Cisco ASA.
Somente as interfaces com um endereço IP que se enquadra nas redes definidas participam do processo de roteamento EIGRP. Se você tiver uma interface que não deseja participar do roteamento EIGRP, mas que esteja conectada a uma rede que deseja anunciar, configure uma entrada de rede na guia Setup > Networks que cobre a rede à qual a interface está conectada e configure essa interface como uma interface passiva para que a interface não possa enviar ou receber atualizações do EIGRP.
O Cisco ASA suporta a autenticação MD5 de atualizações de roteamento do protocolo de roteamento EIGRP. O resumo de MD5 em cada pacote EIGRP impede a introdução de mensagens de roteamento não autorizadas ou falsas de fontes não aprovadas. A adição de autenticação às mensagens do EIGRP garante que seus roteadores e o Cisco ASA aceitem apenas mensagens de roteamento de outros dispositivos de roteamento configurados com a mesma chave pré-compartilhada. Sem essa autenticação configurada, se alguém introduzir outro dispositivo de roteamento com informações de rota diferentes ou contrárias na rede, as tabelas de roteamento em seus roteadores ou no Cisco ASA podem se tornar corrompidas e um ataque de negação de serviço pode ocorrer. Quando você adiciona autenticação às mensagens do EIGRP enviadas entre seus dispositivos de roteamento (que inclui o ASA), ele impede as adições não autorizadas dos roteadores do EIGRP na topologia de roteamento.
A autenticação de rota EIGRP é configurada por interface. Todos os vizinhos EIGRP em interfaces configuradas para autenticação de mensagem EIGRP devem ser configurados com o mesmo modo de autenticação e chave para que as adjacências sejam estabelecidas.
Conclua estes passos para habilitar a autenticação MD5 do EIGRP no Cisco ASA.
Com o EIGRP, você pode controlar as atualizações de roteamento que são enviadas e recebidas. Neste exemplo, você bloqueará as atualizações de roteamento no ASA para o prefixo de rede 192.168.10.0/24, que está atrás de R1. Para filtragem de rota, você só pode usar a ACL PADRÃO.
access-list eigrp standard deny 192.168.10.0 255.255.255.0
access-list eigrp standard permit any
router eigrp 10
distribute-list eigrp in
ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac
Esta é a configuração do Cisco ASA CLI.
!outside interface configuration
interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!
!inside interface configuration
interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
!EIGRP authentication is configured on the inside interface
authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!
!management interface configuration
interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!
!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.
router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!
!This is the static default gateway configuration
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
Esta é a configuração CLI de R1 (roteador interno).
!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.
interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!
! EIGRP Configuration
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary
Conclua estes passos para verificar sua configuração.
ciscoasa# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 100.10.10.2 to network 0.0.0.0
C 198.51.100.0 255.255.255.0 is directly connected, outside
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
C 127.0.0.0 255.255.0.0 is directly connected, cplane
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
C 10.10.10.0 255.255.255.0 is directly connected, inside
C 10.10.20.0 255.255.255.0 is directly connected, management
S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside
ciscoasa(config)# show route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is not set
D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
ciscoasa# show eigrp topology
EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
via 10.10.10.2 (28672/28416), GigabitEthernet0/1
P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
via Connected, GigabitEthernet0/1
P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
via 10.10.10.2 (131072/130816), GigabitEthernet0/1
ciscoasa# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num
0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1
Aqui está o fluxo do pacote.
Esta seção inclui informações sobre os comandos debug e show que podem ser úteis para solucionar problemas do EIGRP.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para visualizar uma análise da saída do comando show.
Esta é a saída do comando debug no peering bem-sucedido com R1. Você pode ver cada uma das diferentes rotas instaladas com êxito no sistema.
EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0
Você também pode usar o comando debug eigrp neighbor. Esta é a saída desse comando debug quando o Cisco ASA criou com êxito uma nova relação de vizinhança com R1.
ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
Você também pode usar a depuração de pacotes EIGRP para informações detalhadas de troca de mensagens do EIGRP entre o Cisco ASA e seus pares. Neste exemplo, a chave de autenticação foi alterada no roteador (R1) e a saída de depuração mostra que o problema é uma incompatibilidade de autenticação.
ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)
O ASA descarta a vizinhança do EIGRP quando qualquer alteração na lista de distribuição do EIGRP é feita. Esta mensagem de Syslog é exibida.
EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed
Com essa configuração, sempre que uma nova entrada de acl é adicionada na ACL, a vizinhança Eigrp-network-list EIGRP é redefinida.
router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static
access-list Eigrp-network-list standard permit any
Você pode observar que a relação de vizinhança está ativa com o dispositivo adjacente.
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5
ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5
Agora você pode adicionar lista de acesso Eigrp-network-list standard deny 172.18.24.0 255.255.255.0.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency
Esses registros podem ser vistos em debug eigrp fsm.
IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish
Esse comportamento é esperado em todas as novas versões do ASA de 8.4 e 8.6 para 9.1. O mesmo foi observado em roteadores que executam as trilhas de código 12.4 a 15.1. No entanto, esse comportamento não é observado no ASA versão 8.2 e nas versões anteriores do software ASA porque as alterações feitas em uma ACL não redefinem as adjacências do EIGRP.
Como o EIGRP envia a tabela de topologia completa para um vizinho quando o vizinho é ativado pela primeira vez, e depois envia apenas as alterações, configurar uma lista de distribuição com a natureza orientada a eventos do EIGRP dificultaria a aplicação das alterações sem uma redefinição completa do relacionamento vizinho. Os roteadores precisariam manter o controle de cada rota enviada e recebida de um vizinho para saber qual rota mudou (ou seja, seria ou não enviada/aceita) para aplicar as alterações conforme ditado pela lista de distribuição atual. É muito mais fácil simplesmente rasgar e restabelecer a adjacência entre vizinhos.
Quando uma adjacência é dividida e restabelecida, todas as rotas aprendidas entre vizinhos específicos são simplesmente esquecidas e toda a sincronização entre vizinhos é executada novamente - com a nova lista de distribuição em vigor.
A maioria das técnicas do EIGRP que você usa para solucionar problemas dos roteadores Cisco IOS pode ser aplicada no Cisco ASA. Para solucionar problemas do EIGRP, use o Fluxograma Principal de Troubleshooting; inicie na caixa marcada como Main.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
13-May-2015 |
Versão inicial |