Configuración de Autenticación y Parámetros Avanzados en EIGRP

By /

El Enhanced Interior Gateway Routing Protocol (EIGRP) es un protocolo de enrutamiento dinámico desarrollado por Cisco, que se basa en el Interior Gateway Routing Protocol (IGRP) pero con mejoras significativas. Una de las características cruciales para la seguridad y estabilidad de las redes que utilizan EIGRP es la autenticación de sus mensajes de enrutamiento. Además, la configuración de parámetros avanzados como la ID del router, el uso de máscaras wildcard y la gestión de interfaces pasivas son fundamentales para optimizar su funcionamiento. Este artículo profundiza en la configuración de EIGRP, centrándose en la autenticación MD5 y SHA, la correcta identificación de los routers y la optimización de la propagación de rutas.

Habilitación y Configuración Básica de EIGRP

Para iniciar el proceso de EIGRP en un router Cisco, se utiliza el comando de configuración global router eigrp <autonomous-system-number>. El autonomous-system-number (ASN) no es el número de sistema autónomo asignado por la IANA, sino un identificador de proceso interno de EIGRP. Este número es crucial, ya que todos los routers dentro del mismo dominio de enrutamiento EIGRP deben compartir el mismo ASN para poder formar adyacencias y intercambiar información de enrutamiento. Para los ejemplos presentados, se utilizará el ASN 10.

Diagrama de red con routers R1, R2, R3 y un ISP

Una vez habilitada la instancia de EIGRP, es necesario especificar qué interfaces participarán en el intercambio de actualizaciones. Esto se logra mediante el comando network <network-address> [wildcard-mask]. Este comando tiene dos funciones principales:

  • Habilitar interfaces: Activa las interfaces del router que coinciden con la dirección de red especificada para enviar y recibir actualizaciones de EIGRP.
  • Incluir redes en actualizaciones: Asegura que la red de la interfaz habilitada sea anunciada a los vecinos EIGRP.

La diferencia entre usar el comando network con o sin máscara wildcard radica en la granularidad del control. Si se usa solo la dirección de red, EIGRP habilita todas las interfaces que pertenecen a esa red con clase. Sin embargo, al emplear una máscara wildcard, se puede especificar de forma precisa qué subredes dentro de una red mayor deben ser habilitadas para EIGRP. La máscara wildcard es el inverso de la máscara de subred; por ejemplo, para la máscara de subred 255.255.255.252, la máscara wildcard correspondiente es 0.0.0.3.

Comandos de Verificación Inicial

Tras configurar el proceso EIGRP y habilitar las interfaces, es fundamental verificar si las adyacencias de vecinos se han establecido correctamente. El comando show ip eigrp neighbors proporciona información detallada sobre los vecinos EIGRP detectados, incluyendo:

  • H (Handle): El orden en que se descubrieron los vecinos.
  • Address: La dirección IPv4 del vecino.
  • Interface: La interfaz local por la cual se recibió el paquete "hello" del vecino.
  • Hold (Hold-time): El tiempo de espera actual antes de que un vecino sea considerado inactivo. Este valor se actualiza con cada paquete "hello" recibido.
  • Uptime: El tiempo transcurrido desde que se estableció la vecindad con este equipo.
  • SRTT/RTO (Smooth Round Trip time/Retransmission Timeout): Utilizados por el Reliable Transport Protocol (RTP) para gestionar la entrega confiable de paquetes EIGRP.
  • Q Cnt (Queue Count): Debe ser cero. Un valor superior a cero indica que hay paquetes EIGRP esperando ser enviados.
  • Seq Num (Sequence Number): Se utiliza para rastrear paquetes de actualización, consulta y respuesta.

Captura de pantalla de la salida del comando

Para visualizar las redes que un router conoce, se utiliza el comando show ip route. Si se desea ver específicamente las redes aprendidas a través de EIGRP, se añade eigrp al final del comando: show ip route eigrp. Las rutas aprendidas por EIGRP se identifican en la tabla de enrutamiento con la letra "D".

ID del Router EIGRP

La ID del router EIGRP es un identificador único de 32 bits que se utiliza para identificar a cada router dentro del dominio de enrutamiento EIGRP. Si bien su uso es más crítico en OSPF, en EIGRP para IPv4 se emplea para identificar el origen de las rutas externas redistribuidas.

Los routers Cisco derivan la ID del router siguiendo un orden de prioridad:

  1. Comando eigrp router-id <ipv4-address>: Si se configura explícitamente, esta dirección IPv4 se utiliza como la ID del router.
  2. Dirección IPv4 de interfaz Loopback: Si no se configura explícitamente una ID de router, el router selecciona la dirección IPv4 más alta de sus interfaces loopback configuradas. Las interfaces loopback son virtuales y permanecen activas mientras el router esté operativo, lo que las convierte en una opción preferida para una ID de router estable.
  3. Dirección IPv4 de interfaz física: Si no hay interfaces loopback configuradas, el router elige la dirección IPv4 activa más alta de sus interfaces físicas.

Diagrama que ilustra el proceso de selección de la ID del router EIGRP.

La configuración de la ID del router se realiza en el modo de configuración del router EIGRP:

Router(config)# router eigrp <autonomous-system-number>Router(config-router)# eigrp router-id <ipv4-address>

Es importante notar que la dirección IPv4 utilizada para la ID del router no tiene que ser una dirección de red válida o enrutada; es simplemente un identificador. Las direcciones 0.0.0.0 y 255.255.255.255 no pueden ser utilizadas como ID de router.

Verificación de la ID del Router

El comando show ip protocols muestra información detallada sobre los parámetros y el estado de los protocolos de enrutamiento activos, incluyendo la ID del router EIGRP configurada.

Autenticación de Protocolos de Routing

En el panorama actual de las redes, la seguridad es primordial. Los routers, al igual que los dispositivos de usuario final, son susceptibles a ataques. Un atacante podría interceptar información de enrutamiento mediante herramientas como Wireshark o intentar falsificar información de enrutamiento para redirigir tráfico, crear bucles o descartar paquetes.

Para mitigar estos riesgos, EIGRP soporta la autenticación de sus mensajes de enrutamiento. El método de autenticación más común es el algoritmo de síntesis de mensaje 5 (MD5). Posteriormente, se introdujo el soporte para SHA-256, que ofrece una seguridad mejorada.

Autenticación MD5

La autenticación MD5 permite a los routers comparar "firmas" generadas a partir de los paquetes de enrutamiento y una clave secreta compartida. Si las firmas coinciden, se confirma que el paquete proviene de un origen legítimo. Los tres componentes clave de este sistema son:

  1. Algoritmo de cifrado: Generalmente de conocimiento público (MD5).
  2. Clave: Un secreto compartido entre los routers que se autentican.
  3. Contenido del paquete: La información de enrutamiento que se está autenticando.

La configuración de la autenticación MD5 en EIGRP consta de dos pasos principales:

Paso 1: Crear un Llavero y una Clave

Se crea un "llavero" (key chain) que contendrá una o más claves. Dentro del llavero, se define una clave con un identificador (key-id) y una cadena de clave (key-string), que actúa como la contraseña secreta.

Router(config)# key chain <name-of-chain>Router(config-keychain)# key <key-id>Router(config-keychain-key)# key-string <key-string-text>

Es fundamental que la key-id y la key-string sean idénticas en todos los routers que participan en el intercambio de mensajes autenticados.

Paso 2: Configurar la Autenticación en las Interfaces

Una vez definido el llavero y la clave, se aplica a las interfaces habilitadas para EIGRP.

Router(config)# interface <type-number>Router(config-if)# ip authentication mode eigrp <as-number> md5Router(config-if)# ip authentication key-chain eigrp <as-number> <name-of-chain>

El comando ip authentication mode eigrp <as-number> md5 especifica que se utilizará el hash MD5 para la autenticación en la interfaz para el ASN dado. Luego, ip authentication key-chain eigrp <as-number> <name-of-chain> asocia el llavero creado previamente con la interfaz.

Cada clave tiene su propio ID, y la combinación de la ID de clave y la interfaz identifica de manera única el algoritmo de autenticación y la clave MD5 en uso.

Diagrama de topología de red con dos routers conectados por una interfaz, mostrando la configuración de autenticación MD5.

Autenticación SHA-256

EIGRP también soporta la autenticación SHA-256, que proporciona una seguridad más robusta que MD5. La configuración de SHA-256 es similar, pero generalmente se realiza en el modo de configuración "named" (nombrado) de EIGRP, que ofrece mayor flexibilidad.

En el modo nombrado, la configuración de autenticación SHA-256 puede incluir el uso de un llavero con claves rotatorias, lo que permite cambiar las contraseñas sin interrumpir la vecindad con los routers. Alternativamente, se puede configurar una contraseña simple directamente en la interfaz.

Router(config)# router eigrp <named-configuration-name>Router(config-eigrp)# address-family ipv4 unicast autonomous-system <as-number>Router(config-eigrp-af)# authentication sha-256 <interface-name> <key-chain-name>

O para una configuración más simple con una sola contraseña:

Router(config)# router eigrp <named-configuration-name>Router(config-eigrp)# address-family ipv4 unicast autonomous-system <as-number>Router(config-eigrp-af)# authentication sha-256 <interface-name> password <password>

Verificación de la Autenticación

Después de configurar la autenticación, es crucial verificar que las adyacencias EIGRP se hayan formado correctamente. El comando show ip eigrp neighbors se utiliza nuevamente, ya que una configuración de autenticación incorrecta (claves o IDs que no coinciden) impedirá la formación de adyacencias. Si las adyacencias se pierden o no se forman, se debe revisar la configuración de autenticación en ambos extremos de la conexión.

Autenticación MD5 EIGRP IPv6 Cisco IOS

Configuración Avanzada de Interfaces

Máscaras Wildcard y el Comando network

Como se mencionó anteriormente, el comando network puede utilizar máscaras wildcard para un control más preciso sobre qué interfaces se habilitan para EIGRP. Esto es particularmente útil en redes donde no se desea que todas las interfaces de un rango de direcciones sean parte del proceso EIGRP.

Por ejemplo, si un router tiene las interfaces S0/0/1 con la dirección 192.168.10.8 255.255.255.252 y se desea habilitar EIGRP solo para esta subred específica, se usaría:

Router(config-router)# network 192.168.10.8 0.0.0.3

Algunas versiones de Cisco IOS también permiten el uso de la máscara de subred directamente en el comando network, y el IOS la convierte internamente al formato de máscara wildcard.

Interfaces Pasivas

El comando passive-interface <interface-name> se utiliza para evitar que un router envíe y reciba actualizaciones de EIGRP en una interfaz específica, aunque la red de esa interfaz se siga anunciando a otros vecinos. Las razones principales para configurar una interfaz como pasiva incluyen:

  • Reducir tráfico innecesario: En interfaces LAN donde no hay otros routers conectados, no tiene sentido enviar paquetes "hello" o actualizaciones.
  • Aumentar la seguridad: Evita que dispositivos no autorizados o desconocidos reciban actualizaciones de enrutamiento.

Si se desea configurar todas las interfaces como pasivas por defecto, se utiliza passive-interface default. Para habilitar nuevamente el intercambio de actualizaciones en una interfaz específica, se usa no passive-interface <interface-name>.

Mecanismos de Confiabilidad y Métricas en EIGRP

Reliable Transport Protocol (RTP)

EIGRP utiliza el Reliable Transport Protocol (RTP) para garantizar la entrega confiable y ordenada de sus paquetes. RTP maneja la transmisión de paquetes EIGRP a través de multicast y unicast.

Algunos paquetes EIGRP, como los paquetes "hello" y los paquetes de actualización que no requieren reconocimiento, pueden ser enviados sin garantía de entrega. Otros paquetes, como las actualizaciones de rutas, requieren un reconocimiento explícito. RTP tiene la capacidad de enviar paquetes de forma rápida y eficiente, reconociendo los paquetes que lo necesitan y enviando sin reconocimiento aquellos que no.

Métricas de EIGRP

EIGRP utiliza un algoritmo propietario para calcular la métrica de ruta, basándose en cinco componentes: ancho de banda, retardo, fiabilidad, carga y MTU. Sin embargo, los valores de ancho de banda y retardo son los más comúnmente utilizados y configurados.

La fórmula de métrica por defecto es:

Métrica = [256 * (Ancho de Banda + Retardo)]

Donde:

  • Ancho de Banda: Se refiere al ancho de banda mínimo de la ruta en kilobits por segundo.
  • Retardo: Es el retardo total acumulado a lo largo de la ruta en microsegundos.

Los valores de los pesos K (K-values) determinan qué componentes de la métrica se utilizan y su importancia relativa. Los valores por defecto suelen ser: K1 (ancho de banda) = 1, K2 (retardo) = 1, y los demás K = 0. Cambiar estos valores puede afectar drásticamente el rendimiento de la red y el proceso de selección de la mejor ruta.

Gráfico que compara la métrica de EIGRP con la de otros protocolos de enrutamiento.

Resumen de Rutas

EIGRP soporta el resumen automático de rutas de subred en rutas de nivel de red en las interfaces. Esto ayuda a reducir el tamaño de la tabla de enrutamiento. Por ejemplo, las subredes 172.16.1.0/24 y 172.16.3.0/30 pueden ser resumidas a 172.16.0.0.

También es posible configurar un resumen manual de rutas utilizando el comando summary-address. Esto es útil para crear rutas por defecto o para controlar de manera más granular qué rutas se anuncian.

Rutas de Stub

En topologías de red radiales, donde un router "stub" (o remoto) se conecta a uno o más routers "hub" (o de distribución), puede ser ventajoso configurar los routers stub para que no anuncien rutas de vuelta a los routers de distribución. Esto simplifica la tabla de enrutamiento del router stub y reduce la carga de procesamiento.

Un router stub solo recibe información de enrutamiento de sus vecinos de distribución y no anuncia ninguna ruta aprendida de vuelta a ellos. Esto se configura con el comando eigrp stub en el modo de configuración del router.

Control de Horizonte y Mensajes de Adiós

Control de Horizonte (Split Horizon)

El control de horizonte es un mecanismo que previene que un router anuncie una ruta de vuelta por la misma interfaz por la que la aprendió. Esto ayuda a evitar bucles de enrutamiento, especialmente en redes con topologías más complejas o enlaces troncales. En la mayoría de las redes EIGRP, el control de horizonte está habilitado por defecto y optimiza las comunicaciones.

Mensajes de Adiós (Goodbye Messages)

Los mensajes de adiós son una característica diseñada para mejorar la convergencia de la red EIGRP. Cuando un router se apaga o reinicia, puede enviar un mensaje de adiós a sus vecinos para informarles sobre un cambio inminente en la topología. Esto permite a los vecinos actualizar sus tablas de enrutamiento más rápidamente, reduciendo el tiempo de inactividad.

Consideraciones de Seguridad y Mejores Prácticas

La autenticación de EIGRP es una capa de seguridad esencial. Al asegurar que solo los routers autorizados intercambien información de enrutamiento, se previene la inyección de rutas maliciosas o incorrectas que podrían desestabilizar la red.

La correcta configuración de la ID del router, el uso de interfaces loopback para este fin, y la aplicación de máscaras wildcard en el comando network son prácticas recomendadas para una gestión eficiente y predecible de EIGRP.

La configuración de interfaces pasivas y el uso de rutas stub en topologías radiales son técnicas avanzadas que contribuyen a la optimización del rendimiento y la estabilidad de la red. En resumen, una configuración cuidadosa y bien planificada de EIGRP, incluyendo sus mecanismos de seguridad y optimización, es fundamental para el buen funcionamiento de las redes IP modernas.

tags: #configuracion #de #la #autentificacion #de #eigrp

Publicaciones populares:

  • Conoce el cable UTP y su papel en redes
  • Administración de dispositivos conectados con DHCP
  • Conexión de Fibra Óptica en Valparaíso
  • Análisis profundo de Modbus y BACnet
  • Entiende el impacto global de la banda ancha móvil