13-EIGRP Authentication
والغرض منه عمل حماية للEigrp Packets بين الNeighbors بحيث لا يعرف أو لا يفهم الEigrp Packet المرسلة إلا الذي لدية كلمة سر لفك تشفير هذه الPacket
يوجد نوعين من الAuthentication
الأول
1-Simple password authentication (also called plain-text authentication)
ومعناها انك تستخدم Password لأكن غير مشفر وهذا خطر كبير ممكن واحد (Man in The Middle) يستخدم WireShark
أو اى برنامج لتحليل الpacket ويعرف الباسورد
والبروتوكولات التي تدعم هذا النوع هي
(IS-IS), (OSPF), (RIPv2)
2- Message Digest 5 (MD5) authentication
استخدام Password مشفرة
اخترع الMD5 عموما واحد أسمة Ron Rivest عام 1991 هذا الشخص الذي صمم الMD5 عموما وليس وضعه مع الEigrp
يقوم الMD5 باستخدام MD5 hashes يحول شكل الpassword لشئ مثل هذا d41d8cd98f00b204e9800998ecf8427e
البرتوكولات التي تدعمه
OSPF, RIPv2, BGP, and EIGRP
ملحوظة الEigrp يستخدم MD5 Authentication فقط أو لا يستخدم Authentication نهائي
Configuring EIGRP MD5 Authentication
سوف نستخدم إن شاء الله الخطوات التالية
1- ادخل على الinterface المراد عم Authentication عليها لاحظ هذا انك تعمل الAuthentication على interface محددا
2- اكتب الأمر التالي
Router(config-if)#ip authentication mode eigrp autonomous-system md5
لكي تحدد نوع الAuthentication المستخدم
3-تقوم بصنع سلسة مفاتيح وتقوم بتسميتها بالأمر التالي
Router(config)# key chain name-of-chain
4-تعرف الKey id الخاصة بالمفتاح في سلسة المفاتيح كترتيب
Router(config-keychain)# key key-id
5-تكتب الباسورد الخاصة بالمفتاح بهذا الأمر
Router(config-keychain-key)# key-string text
6-ممكن تحدد مدة زمنية للمفتاح وممكن أيضا انك تحدد هل هذا المفتاح فقط لقبول الEigrp Packets أم لإرسال Eigrp Packets
لجعل المفتاح مخصص لقبول الPacket المستقبلة فقط (Accept Eigrp Packet)
Router(config-keychain-key)#accept-lifetime start-time {infinite | end-time | durationseconds}
start-time : بداية عمل هذا المفتاح
Infinite: معناه أن يبدأ يقبل Eigrp Packet من أول الوقت المحدد اى دون تحديد وقت لانتهاء الKey
Durationseconds: تحديد المدة بالثواني بمعنى مثلا جعله يعمل مدة 25000 sec
end-time : تاريخ انتهاء عمل هذا المفتاح
لجعل المفتاح يوضع مع الPacket المرسلة فقط (Send eigrp Packet)
Router(config-keychain-key)#send-lifetime start-time {infinite | end-time | durationseconds}
نفس الشرح السابق
ملحوظة
إذا لم تحدد هل المفتاح للإرسال فقط أو للاستقبال اى بمعنى أخر لم تكتب الأمرين السابقين فان المفتاح سيعمل في الحالتين الإرسال والاستقبال
مثال عملي
في هذه الحالة الروترين 1,2 تم عمل Authentication بينهم طبعا MD5
أولا :الConfiguration الخاص بR1
R1#show running-config
<output omitted>
key chain R1chain
key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2006 infinite
send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006
key 2
key-string secondkey
accept-lifetime 04:00:00 Jan 1 2006 infinite
send-lifetime 04:00:00 Jan 1 2006 infinite
<output omitted>
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
!
interface Serial0/0/1
bandwidth 64
ip address 192.168.1.101 255.255.255.224
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 R1chain
!
router eigrp 100
network 172.16.1.0 0.0.0.255
network 192.168.1.0
auto-summary
لاحظ أن هناك أكثر من مفتاح وطبعا هذا شيء عادى
ملحوظة مهمة الAuthentication يكون بين الNeighbors فقط وممكن تعمل Authentication على interface وأخرى لا
ثانيا :الConfiguration الخاص بR2
R2#show running-config
<output omitted>
key chain R2chain
key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2006 infinite
send-lifetime 04:00:00 Jan 1 2006 infinite
key 2
key-string secondkey
accept-lifetime 04:00:00 Jan 1 2006 infinite
send-lifetime 04:00:00 Jan 1 2006 infinite
<output omitted>
interface FastEthernet0/0
ip address 172.17.2.2 255.255.255.0
!
interface Serial0/0/1
bandwidth 64
ip address 192.168.1.102 255.255.255.224
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 R2chain
!
router eigrp 100
network 172.17.2.0 0.0.0.255
network 192.168.1.0
auto-summary
وهذا الDebug تظهر عندما تنجح عمليه الاتصال مع الAuthentication
R1#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
*Apr 21 16:38:51.745: EIGRP: received packet with MD5 authentication, key id = 1
*Apr 21 16:38:51.745: EIGRP: Received HELLO on Serial0/0/1 nbr 192.168.1.102
*Apr 21 16:38:51.745: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/
rely 0/0
ماذا لو تم تغيير الPassword الخاصة بأحد الروترات
مثال
R1(config-if)#key chain R1chain
R1(config-keychain)#key 2
R1(config-keychain-key)#key-string wrongkey
سيظهر هذا في R2
R2#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
R2#
6 of 7
*Apr 21 16:50:18.749: EIGRP: pkt key id = 2, authentication mismatch
*Apr 21 16:50:18.749: EIGRP: Serial0/0/1: ignored packet from 192.168.1.101, opcode = 5
(invalid authentication)
*Apr 21 16:50:18.749: EIGRP: Dropping peer, invalid authentication
*Apr 21 16:50:18.749: EIGRP: Sending HELLO on Serial0/0/1
*Apr 21 16:50:18.749: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Apr 21 16:50:18.753: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.101
(Serial0/0/1) is down: Auth failure
R2#show ip eigrp neighbors
IP-EIGRP neighbors for process 100
لاحظ عندما تم تغيير كلمة السر في Router 1 وانه لما أرسل R1 الpacket الخاصة إلى R2 فارد أن يتحقق من كلمة السر فوجدها ليست مطابقة للموجودة عنده فقام بقطع العلاقة مع Router 1 وهذا واضح جدا عندما قمنا بكتابة الأمر مره أخري (show ip eigrp neighbors) فلم يجد Neighbors
14-Debug & Show Commands
أولا ال show commands
1- لمشاهدة الNeighbors
show ip eigrp neighbors
2-لمشاهدة الRouting Table اى أفضل المسارات لجميع أنواع البروتوكولات المستخدمة ومنها الEigrp
The show ip route
وإذا أردت المسارات الخاصة فقط بالEigrp تكتب الأمر التالي
show ip route eigrp
3-لمشاهدة معلومات عن الDynamic Protocol المستخدمة ومنها الEigrp
show ip protocols
4-لمشاهدة جميع الinterfaces التي يعمل عليها الEigrp
show ip eigrp interfaces
5- لمشاهدة اللTopology Table
The show ip eigrp topology
ملحوظة هامه عندما تكتب هذا الأمر تظهر لك المسارات مثل الأتي
P 172.17.0.0/16, 1 successors, FD is 40514560
via 192.168.1.102 (40514560/28160), Serial0/0/1
FD هو هذا الرقم 40514560
AD هو هذا الرقم 28160
6- إذا أردت أن تعرف عدد أنواع ال Eigrp Packet المرسلة والمستقبلة فعليك بهذا الأمر
The show ip eigrp traffic
ثانيا ال Debug commands
1- لمشاهدة الPackets المرسلة والمستقبلة
debug eigrp packets
3-لإظهار كل شيء عن الEigrp
debug ip eigrp
4- لعرض عمليات الخاصة بالSummary Route فقط
debug ip eigrp summary
5- لعرض العلاقة بين الneighbors مثل الHello Packet
debug eigrp neighbors
وهكذا نكون انتهينا من هذا الEigrp
حقيقة له العديد من المميزات التي أبهرت العديد من الناس
ولقد اطلعت على بعض المميزات التي هي على قيد الإنشاء مثل
1- EIGRP routed VLANs
2- EIGRP extended community support
3- EIGRP security enhancements
4- EIGRP “shutdown” command
5- Bandwidth scalability to10G and beyond…
6- Remote/multipoint summary support
7- MARP/BFD support
8- Better field debugs
الشرح اخذ منى وقت ومجهود لهذا اطلب منكم الاتى
1 انت تخصوا بالدعاء والدى رحمة الله
2 انت تدعو ان يحفظ امى من كل شر
3 ان تدعو لى ان يوفقنى الله فى مشوارى التقنى الذى لم ابداء بعد
4 وهذه مهمة
اولا انا لست معصوم قد يرد اخطاء فى ما كتبتة فاتمنى ان توضح اى خطاء وجدتها انت فى الشرح
بالنسبة لحقوق النشر فقد والله تعبت للغايه فى هذا الشرح فاذا اردت ان تنقل
فاذكر اسمى : احمد عمر محمود
وبريدى الالكترونى : Ahmed_it (at) windowslive.com
وتذكرهم بالدعاء لى
المفضلات