24.EIGRP - 보안

< EIGRP MD5 방식을 사용한 네이버 인증 >

라우터간에 key chain은 달라도 상관없으나, key 와 key-string은 반드시 같아야 한다.
-  key chain - 열쇠고리
-  key - 열쇠
-  key-string 자물쇠

key chain [key chain name]
key [key number]
key-string [password]

int s0/0
ip authentication key-chain eigrp 100 [key chain name]
ip authentication mode eigrp 100 md5

< EIGRP SIA (Stuck In Active) >

• 경로를 잃은 라우터가 이웃장비에게 Query를 보내고 응답을 받기 위해 기다리는 상태를 Active 상태라고 한다.
• SIA 현상이란 라우터의 Active 상태가 길어지는 것을 의미한다.

Query가 날라간 후 3분안에 Reply가 도착해야 되는데 시간안에 응답이 돌아오지 못하면 Neighbor 관계가 끊어진다.

여기서 Hello 패킷을 교환하면 다시 Neighbor 관계를 구성 후 라우팅 테이블이 교환된다.

이것이 반복되면 해당 경로는 SIA 상태에 빠졌다고 한다.

불필요한 Neighbor 관계의 재생을 막기위해 SIA Query 와 SIA Reply 패킷을 만들었다.

 

#show ip eigrp neighbor
#show ip eigrp topology

=>  두 명령어를 통하여 상태를 확인할 수 있다.

 

<EIGRP SIA (Stuck In Active) 해결책>

- Topology 테이블에 해당 경로에 대한 정보가 없는 경우 (★)
- 해당 경로에 대한 Feasible Successor 가 존재하는 경우
- Neighbor 가 없는 경우 - 해당 경로가 Active 상태인 경우

SIA 방지법

• 타이머 조정에 의한 방법
• 축약에 의한 방법
• 네트워크 차단에 의한 방법
• 재분배에 의한 방법
• 스텁 라우팅에 의한 방법 (★)
• SIA 요청 과 SIA 응답 활용 Active 타임의 1/2시점에 SIA Query를 보내 SIA상태에 대한 Reply를 받으면 네이버 초기화 하지 않습니다

< EIGRP Stub >

[네이버 라우터는 스텁 라우터에게 어떤 쿼어리 패킷도 전송하지 않는다.]

(config-router)# eigrp stub (connected summary)

connected 현재의 라우터에 접속된 네트워크에 대한 라우팅 정보를 네이버에게 전송한다.

( EIGRP에 포함된 네트워크이어야 한다. 또는 EIGRP로 재분배 필요)

• eigrp stub receive-only(★)
  네이버에게서 새로운 네트워크 정보에 대한 라우팅 정보를 수신하기만 한다.
  이 옵션은 단독으로만 사용할 수 있다. 다른 옵션은 모두 조합으로 사용할 수 있다.
• eigrp stub redistributed
  재분배된 네트워크 정보를 네이버에게 전송시킨다.
• eigrp stub static
  정적인 경로에 대한 정보를 네이버에게 전송시킨다. (EIGRP로 재분배 필요)
• eigrp stub summary
  축약 경로에 대한 정보를 네이버에게 전송시킨다.

아무런 옵션도 지정하지 않으면 connected 와 summary 옵션을 사용한 것과 동일(★)