Configurare l’autenticazione MD5 in EIGRP

Posted by admin | Posted on 04-03-2010

Category : Appunti & Laboratori

Tags: , , , , ,

L’autenticazione EIGRP per un corretto funzionamento comporta che ogni messaggio di protocollo (pacchetti Hello) abbiano lo stesso valore PSK (preshared key) al fine di instaurare una relazione di adiacenza sicura. Se un router configurato con autenticazione EIGRP riceve dal vicino un pacchetto EIGRP con valore MD5 non corretto, il router scarterà il pacchetto prevenendo la formazione della relazione di vicinanza (neighborships).

Configurando l’autenticazione in EIGRP possiamo prevenire attacchi di rete basati su tecniche DoS, ma non possiamo prevenire la cattura dei pacchetti da parte di un eventuale utente malintenzionato. L’eventuale hacker potrà comunque ricevere i pacchetti Hello di EIGRP, collegandosi fisicamente all’apparato o facendo il join al gruppo multcast 224.0.0.10 (indirizzo default utilizzato da EIGRP per inoltrare pacchetti Hello). L’hacker non potrà tuttavia formare un’adiacenza con il router in quanto l’autenticazione preverrà il formarsi della neighborship.

Vediamo ora i tre step necessari per una corretta configurazione di EIGRP Authentication :

  1. Creare un set di chiavi (key chain) : da configurazione globale (Configure Terminal) impostare il nome del valore key chain (key chain “name”). Creare una o più chiave usando il comando key “number” nella modalità configurazione key chain. Definire il valore della chiave usando il comando key-string “value” nella modalità key configuration. In via opzionale possiamo impostare il lifetime (Time Period) per sending e accepting di ogni key string.
  2. Abilitare l’autenticazione EIGRP MD5 per interfaccia (R(config-if)#) con il comando ip authentication mode eigrp “asn” md5
  3. Impostare la chiave corretta da utilizzare a livello interfaccia, con il comando ip authentication key-chain eigrp “asn” “name-of-chain” (impostato nel primo step).

Nel primo step possiamo definire un numero di chiavi che possono variare nel tempo. L’amministratore può migrare da una chiave all’altra durante un determinato lasso di tempo grazie alla possibilità di impostare più chiave, ognuna defnita da un numero. Se non viene definito un periodo temporale per chiave, esse vengono sempre riconosciute come valide.

Di seguito gli screen shot della CLI IOS :

I comandi riportati nello screen shot mostrano la configurazione del primo step, ovvero la definizione del “porta chiavi” (Key chain), la chiave e la key-string. In fine mostriamo anche la possibilità di impostare un valore temporale per accept e send. Se impostiamo una chiave con validità limitata nel tempo sarà necessario impostare un server NTP per sincronizzare l’orario dei router.

In basso la CLI relativa agli step 2 e 3 riferiti ai comandi di livello interfaccia :

Passiamo ora ai comandi necessari per verificare il corretto funzionamento dell’autenticazione EIGRP. Il primo sintomo di una probabile configurazione errata è il non formarsi di adiacenze tra i router vicini. Per verificare la configuraizone possiamo utilizzare i seguenti comandi :

  • Show ip eigrp neighbors : verifica la presenza di adiacenze
  • Show key chain : restituisce una lista del key chain configurati oltre che la lista delle chiave valide.
  • Debug eigrp packet : fornisce il dettaglio dei messaggi scambiati tra i router ed eventuali problemi di authentication mismatch e/o invalid authentication.

CCNP Route (642-902) nuove info

Posted by admin | Posted on 18-01-2010

Category : Dal Forum

Tags: , , ,

Pubblicato a questo indirizzo nel nostro forum, nuove interessante informazioni relative ai topic previsti per l’esame 642-902 CCNP Route, di prossima introduzione… Clicca su “read more” per tutti i dettagli.

Link correlati :

NUOVA CCNP 2010

Nuova CCNP 2010 [AGGIORNAMENTO]

Posted by admin | Posted on 11-01-2010

Category : News ICT da Web

Tags: , , , , , , ,

Salve a tutti, in questi ultimi giorni stanno saltando fuori sempre più insistentemente indiscrezioni relative al nuovo path di certificazione CCNP Routing & Switching, l’attuale infatti ha da poco compiuto tre anni.  Negli USA sembra che Cisco dia già la possibilità di effettuare i nuovi esami, ma non ho ancora la conferma definitiva.

Secondo le attuali indiscrezioni il nuovo percorso sarà composto da tre esami e non da quattro come quello attuale. Sembra inoltre che l’esame Composite (codice 642-892 BSCI+BCMSN), non verrà replicato nel nuovo percorso. Ripeto si tratta al momento di indiscrezioni, tuttavia è presumibile pensare che un aggiornamento degli esami a tra anni di distanza dall’introduzione dell’attuale CCNP sia molto attendibile.

Di seguito il probabile nuovo percorso CCNP R&S :

New Version Path to CCNP@ – Routing and Switching

  • Required: 642-902 ROUTE Exam v1.0 Implementing Cisco IP Routing (ROUTE) v1.0 is recommended training for individuals seeking the router based skills and knowledge used by  the enterprise network engineer. These skills and knowledge certification.âare validated in the Cisco CCNP The course instructs enterprise network engineers to plan, implement, verify, operate and troubleshoot routed networks.
  • Required: 642-813 SWITCH Exam v1.0 Implementing Cisco Switched Networks (SWITCH) v1.0 is recommended training for individuals seeking the switch based skills and knowledge used by the enterprise network engineer. These skills and knowledge are validated in the Cisco CCNP certification. The course instructs enterprise network engineers on the use of multilayer switches in building converged enterprise networks to support the delivery of rich services.
  • Required: 642-832 TSHOOT Exam v1.0 Troubleshooting Cisco Switched Networks (TSHOOT) v1.0 is recommended training for individuals seeking to enhance knowledge and troubleshooting skills used by the enterprise network engineer. These skills and knowledge are validated in the Cisco CCNP certification. The course instructs enterprise network engineers on monitoring and troubleshooting routed and switched networks through extensive use of hands-on  labexercises

Tutti coloro che hanno dato almeno 1 esame dei quattro del percorso attuale dovrebbero comunque beneficiare di una finestra temporale di oltre 1 anno per finire l’attuale  master CCNP  intrapreso.

[AGGIORNAMENTO 13 Gennaio 2010 15:55]

Sono disponibili nuovi dettagli che arrivano direttamente dal forum Learning di Cisco.. Cliccate qui per ulteriori informazioni.

OSPF : Design Multi-Area e Redistribution

Posted by admin | Posted on 04-01-2010

Category : Appunti & Laboratori

Tags: , , , , , , ,

Continuiamo la nostra guida ad OSPF, dopo le basi fondamentali del protocollo introdotte in questo intervento, vediamo oggi le regole guida per un design scalare multi area, le zone stub e la reditribuzione delle route.

Prima di iniziare un qualsiasi design OSPF è bene tenere a mente le seguenti linee guida consigliate da Cisco :

  • Un router non deve essere presente in più di tree aree.
  • Ogni area non deve contenere più di 50 router
  • Un router non deve avere più di 60 vicini direttamente connessi
  • Un router può essere sia Designated Router e Backup Designated Router per più di un segmento di rete.
  • Non attivare più di un processo OSPF per Area Border Router (ABR router di backbone)

Quando disegniamo un network OSPF teniamo presente che ogni area deve essere connessa all’area zero di backbone e tutto il traffico inter-area deve viaggiare attraverso essa.

Quali sono i vantaggi derivati da una corretta segmentazione in aree multiple di OSPF ?

Ecco alcuni buoni motivi :

  • Attraverso un approccio multi area e gerarchico possiamo effettuare in modo più pulito la summarization delle route
  • Creando aree multiple il flooding LSA diminuisce ed è localizzato. Per esempio i pacchetti LSA type 1 e 2 non lasceranno l’area di provenienza.
  • L’approccio layered multi area porta ad un minor ricalcolo dei protocollo Shortest Path Firft (SPF)

Area Stub e Total Stub.

In OSPF l’area 0 (zero) è la backbone area, ovvero l’area di transito che collega tutti i router di frontiera. Quando creiamo un network OSPF multi area, ogni router non backbone deve essere collegato fisicamente o logicamente all’area backbone. Tutto il traffico inter-area transiterà sul backbone (area zero), per questo ragione l’area di backbone si trova generalmente in una posizione centrale del network.

Passiamo ora agli esempi pratici di configurazione multi area. Partiamo da una configurazione di tre router interconnessi via frame relay :

Continue Reading

OSPF : Fondamenti e Single Area

Posted by admin | Posted on 03-01-2010

Category : Appunti & Laboratori

Tags: , , , , ,

OSPF (Open Shortest Path First) è un protocollo standard RFC 2328, si tratta di un protocollo “link state” di tipo IGP (Interior Routing Protocol). OSPF costruisce la propria topologia loop-free che converge velocemente in caso di failure, ma richiede molte risorse di processore e memoria in caso di ricalcolo dell’algoritmo SPF, rispetto ai protocolli distance vector.

OSPF può risultare inizialmente abbastanza complicato data la sua flessibilità in termini di design ed essendo uno standard aperto, può essere implementato da tutti i vendor del mercato e coesistere in ambienti eterogenei. In questa prima analisi, descriveremo la caratteristiche generali di OSPF e ci soffermeremo sulla configurazione single area.

OSPF è un sofisticato protocollo di routing basato sull’algoritmo di Dijkstra, lo Shortest Path First (SFP) :

“Edsger Wybe Dijkstra, formulò l’algoritmo SPF da da lui prese il nome. Questo algoritmo considera una rete come un insieme di nodi connessi da link punto-punto. Ciascun link presenta un determinato costo e ciascun nodo ha un nome univoco. Ogni nodo dispone di un database completo di tutti i link e, di conseguenza, di tutte le informazioni che riguardano la topologia fisica della rete. I database link state di tutti i router di una determinata area sono identici tra loro

STP colloca ciascun router alla base di una struttura ad albero calcolando il percorso più breve che consente di raggiungere ogni destinazione in funzione del costo cumulativo. Nell’area si esegue il flooding dei pacchetti LSA ( E’ il database topologia, ovvero il messaggio di protocollo che contiene la visione della rete a livello logico. Ogni router scambia con il proprio vicino di area i pacchetti LSA per determinare i migliori percorsi) utilizzando un algoritmo affidabile, che garantisca che tutti i router dell’area possano ricavare lo stesso database topologia. Ogni router ha un proprio punto di vista dell’area, condividendo con gli altri tutti i percorsi di rete dell’area. Quindi possiamo affermare che tutti i router di una determinata area dispongono delle stesse informazioni a livello topologia, ma ogni router ha una visione di insieme differente e ciascun router calcola il percorso considerando se stesso come il punto di partenza dell’abero logico.

Il costo (o metrica) di ogni interfaccia indica l’overhead richiesto per inviare i pacchetti da una determinata interfaccia. Il costo in OSPF è inversamente proporzionale alla larghezza di banda del link, quindi una maggiore ampiezza di banda corrisponde a un costo inferiore.”

  • OSPF è un protocollo classless e consente la summarization
  • OSPF è uno standard RFC, ed è supportato in ambienti caratterizzati da router di N vendor.
  • OSPF preserva la bandwith nello scambio dei propri messaggi
  • OSPF usa multicast per comunicare invece di broadcast
  • Inoltra messaggi incrementali basati sul cambiamento di rotte “change-based”
  • OSPF usa metrica inversamente proporzionale all’ampiezza di banda del link.

Continue Reading

EIGRP : Fondamenti

Posted by admin | Posted on 30-12-2009

Category : Appunti & Laboratori

Tags: , , , , ,

Un saluto a tutti i lettori, di seguito iniziamo un breve viaggio nel protocollo di routing EIGRP, protocollo IGP sviluppato da Cisco che introduce diverse migliorie rispetto al predecessore IGRP.

Le migliorie introdotte da EIGRP includono :

  • Supporto per i protocolli livello 3 Apple Talk, IP ed IPX di Novell
  • Supporto per variable-lenght subnet mask (VLSM)
  • Discovery dinamico via multicast 224.0.0.10
  • Convergenza veloce in seguito a cambiamenti di topologia. Attualmente la convergenza di EIGRP è più rapida del protocollo standard OSPF.

EIGRP a differenza di altri protocolli, non inoltra pacchetti di update ad intervalli regolari, questa caratteristica gli consente di consumare meno banda rispetto a RIP o IGRP. Gli update EIGRP non contengono l’intera tabella di routing, ma riflettono solo le route che hanno sbuito un cambiamento.

L’algoritmo di routing Diffusing Update Algoritm (DUAL) non solo calcola le rotte e assicura una topologia logica priva di loop, ma calcola anche delle backup route. Le backup route denominate “feasible successors,” sono presenti nella topology table. Le route primarie, “the successors”, sono presenti sia nella tabella topologia che nella tabella di routing. La terza tabella utilizzata da EIGRP è la tabella che contiene i “vicini”, la neighbors. La neighbors table è l’equivalente della tabella LSA di OSPF.

EIGRP è un protocollo “classless”, esso supporta VLSM e come tale, include nei pacchetti di routing update anche il prefisso della subnet mask. Vediamo ora la terminologia utilizzata in EIGRP :

  • Successor route : sta ad indicare il router adiacente caratterizzato dal minor costo per il raggiungimento di una determinata network. Possono coesistere più successor route per la stessa destinazione (4 di default in load balancing che possono estendersi fino a 16).
  • Feasible Successor : come suggerisce il termine, indica il secondo path con con il minor costo (subito dopo il successor route). Possiamo intendere il FS come un back up in caso di failure del successor.
  • Advertised Distance : indica il costo del path tra due router adiacenti ad una determinata destinazione.
  • Feasible Distance : costo del path che connette un router al suo vicino sommato al link esistente tra il router adiacente, considerata la rete di destinazione.

Continue Reading

Laboratorio CCDP / CCNP : Configurare EtherChannel

Posted by admin | Posted on 28-12-2009

Category : Appunti & Laboratori

Tags: , , , , , ,

Salve a tutti oggi continuiamo la nostra serie di laboratori dedicati allo switching avanzato, analizzando la tecnologia EtherChannel, confrontando pregi e difetti delle implementazioni a livello data link e IP.  Tipicamente le interfacce Ethernet interconnettono più apparati attraverso un link o più link ridondati ma bloccati da protocolli quali lo spanning tree. Con il passare del tempo le applicazioni basate sulla rete e l’informatizzazione dei servizi hanno portato alla necessità di banda sempre maggiore unitamente alla necessità di mantenere un up time dei servizi dai 5 nove… (99.999%).

La tecnologia EtherChannel sviluppata da Cisco Systems viene incontro a questo tipo di esigenze, consentendo di aumentare la banda (fino ad 8 link in aggregation) e la ridondanza. EtherChannel prevede che il link logico aggregato continui a funzionare anche in presenza di failure da parte di una o più interfacce che compongono il link aggregato. Gli switch della famiglia Catalyst di Cisco suopportano fino a 1600Mbps in FastEthernet full duplex e 16Gbps in GigaBit full duplex. EtherChannel non supporta interfacce a 10Mbps.

Continue Reading