OSPFでは、不正なルータとネイバー関係にならないよう、認証を設定することができます。 認証にはプレーンテキストを使用した認証とMD5 認証があります。ここでは、MD5認証についてまとめます。
まず、OSPFの基本設定をします。
R2(config)# router ospf 1 R2(config-router)# network 192.168.23.0 0.0.0.255 area 0 R2(config-router)# network 2.2.2.2 0.0.0.0 area 0 R3(config)# router ospf 1 R3(config-router)# network 192.168.23.0 0.0.0.255 area 0 R3(config-router)# network 3.3.3.3 0.0.0.0 area 0
では、MD5認証を有効化し、認証キーをCISCOに設定します。
MD5認証の有効化
MD5認証の有効化はインターフェース単位の設定、もしくはエリア全体に設定の2通りがあります。
インタフェース単位に設定する方法
インタフェース単位で、OSPF MD5認証を有効化します。R2のインタフェースで認証を有効化します。
R2(config)# int fastEthernet 0/0.23 R2(config-subif)# ip ospf authentication message-digest
R2のOSPFインタフェース状態を確認します。
R2# show ip ospf interface
Loopback0 is up, line protocol is up
Internet Address 2.2.2.2/32, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type LOOPBACK, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Loopback interface is treated as a stub Host
FastEthernet0/0.23 is up, line protocol is up
Internet Address 192.168.23.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 2.2.2.2, Interface address 192.168.23.2
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:06
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
No key configured, using default key id 0
R2のHelloパケットを確認すると、Auth TypeがCryptographic となっています。
しばらくすると、ネイバーがダウンします。
*Jun 18 12:33:50.543: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 from FULL to DOWN, Neighbor Down: Dead timer expired
R2でdebug ip ospf adjを有効すると、R3と認証タイプが異なることで、ネイバーがダウンしてることがわかります。
R2#debug ip ospf adj
OSPF adjacency debugging is on
*Jun 18 12:40:25.367: OSPF-1 ADJ Fa0/0.23: Rcv pkt from 192.168.23.3 :
Mismatched Authentication type. Input packet specified type 1, we use type 2
では、R3のインタフェースでMD5認証を有効化します。
R3(config)# interface FastEthernet0/0.23 R3(config-subif)# ip ospf authentication message-digest
すると、ネイバーがアップします。
*Jun 18 12:41:40.495: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on FastEthernet0/0.23 from LOADING to FULL, Loading Done
エリア単位でのMD5認証の有効化
OSPFインタフェースが多い場合など、エリア単位で一括でMD5認証を有効化できます。R2のエリア0でMD5認証を有効化します。
R2(config)# router ospf 1 R2(config-router)# area 0 authentication message-digest
R2のOSPFインタフェースを確認します。
R2# show ip ospf interface
Loopback0 is up, line protocol is up
Internet Address 2.2.2.2/32, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type LOOPBACK, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Loopback interface is treated as a stub Host
FastEthernet0/0.23 is up, line protocol is up
Internet Address 192.168.23.2/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 2.2.2.2, Interface address 192.168.23.2
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
No key configured, using default key id 0
しばらくすると、ネイバーがダウンします。
*Jun 18 12:44:52.615: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 from FULL to DOWN, Neighbor Down: Dead timer expired
では、R3でもエリア0でMD5認証を有効化します
R3(config)# router ospf 1 R3(config-router)# area 0 authentication message-digest
しばらくすると、ネイバーがアップします。
*Jun 18 12:48:19.027: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 from LOADING to FULL, Loading Done
MD5認証キーの設定
R2でdebug ip ospf adjを有効にし、インタフェースにOSPF MD5認証キーとしてCISCOを設定します。
R2# debug ip ospf adj OSPF adjacency debugging is on R2(config)# int fastEthernet 0/0.23 R2(config-subif)# ip ospf message-digest-key 1 md5 CISCO
すると、MD5認証キーが対向で設定されていないデバックログが出力されます。
*Jun 18 12:50:05.039: OSPF-1 ADJ Fa0/0.23: Rcv pkt from 192.168.23.3 :
Mismatched Authentication Key - No message digest key 0 on interface
では、R3でMD5認証キーを設定します。
R3(config)# int fastEthernet 0/0.23 R3(config-subif)# ip ospf message-digest-key 1 md5 CISCO
R2のHelloパケットを確認すると、Key id が1としてMD5認証情報が送信されています。
MD5認証キーが不一致の場合
R2でdebug ip ospf adjを有効にし、R3のOSPF MD5認証キーをCISCO1に設定し、R2とR3でMD5認証キーを不一致にしてます。
R2# debug ip ospf adj OSPF adjacency debugging is on
R3(config)# interface FastEthernet0/0.23 R3(config-subif)# no ip ospf message-digest-key 1 md5 CISCO R3(config-subif)# ip ospf message-digest-key 1 md5 CISCO1
すると、R2で認証キーが不一致のデバッグログが出力されます。
*Jun 18 12:59:36.579: OSPF-1 ADJ Fa0/0.23: Rcv pkt from 192.168.23.3 :
Mismatched Authentication Key - Message Digest
しばらくすると、ネイバーがダウンします。
*Jun 18 12:59:39.063: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 from FULL to DOWN, Neighbor Down: Dead timer expired
コメント