【EIGRP】ネイバー認証(SHA-256)

EIGRP

前回、MD5を使用したネイバー認証の設定例を確認しました。以下、記事を参考にしてください。

【EIGRP】ネイバー認証(MD5)
 不正なルータからのルート情報を受信しないよう、ネイバーとなるルートを認証することができます。ここでは、MD5を使用した認証設定を確認します。 R2とR3間は以下記事の通り、EIGRPネイバーである設定は完了しているとします。...

認証強度を高めるため、SHA256によるネイバー認証も可能です。

ただし、SHA256によるネイバー認証は、名前付きモードNamed mode)で設定する必要があります。名前付きモードについては、以下の記事を参考にしてください。

【EIGRP】名前付きモード(Named Mode)の設定
IOS15系では、EIGRPの設定方法として、名前付きモード(Named Mode)がサポートされています。(従来の設定方法はクラッシックモードと呼ばれます)従来のクラシックモードでは、例えば、グローバルレベル設定(router ...
スポンサーリンク

基本設定

以下の構成で、R2とR3間で、SHA256によるネイバー認証をします。

まず、名前付きモードでR2とR3でEIGRPを設定します。

R2(config)# router eigrp Named-EIGRP 
R2(config-router)#  address-family ipv4 unicast autonomous-system 100
R2(config-router-af)#   network 2.2.2.2 0.0.0.0
R2(config-router-af)#   network 192.168.23.0
R2(config-router-af)# exit
R2(config-router)# exit
R2(config)#
R3(config)# router eigrp Named-EIGRP
R3(config-router)#  address-family ipv4 unicast autonomous-system 100
R3(config-router-af)#   network 3.3.3.3 0.0.0.0
R3(config-router-af)#   network 192.168.23.0
R3(config-router-af)# exit
R3(config-router)# exit
R3(config)#

%DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 192.168.23.2 (FastEthernet0/0.23) 
is up: new adjacency
スポンサーリンク

SHA256認証の有効化

インタフェース単位で、SHA256認証を有効にします。af-interfaceモードへ移行します。

R2(config)# router eigrp Named-EIGRP 
R2(config-router)# address-family ipv4 unicast autonomous-system 100
R2(config-router-af)# af-interface fastEthernet 0/0.23
R2(config-router-af-interface)# ?
Address Family Interfaces configuration commands:
  authentication      authentication subcommands
  bandwidth-percent   Set percentage of bandwidth percentage limit
  bfd                 Enable Bidirectional Forwarding Detection
  dampening-change    Percent interface metric must change to cause update
  dampening-interval  Time in seconds to check interface metrics
  default             Set a command to its defaults
  exit-af-interface   Exit from Address Family Interface configuration mode
  hello-interval      Configures hello interval
  hold-time           Configures hold time
  next-hop-self       Configures EIGRP next-hop-self
  no                  Negate a command or set its defaults
  passive-interface   Suppress address updates on an interface
  shutdown            Disable Address-Family on interface
  split-horizon       Perform split horizon
  summary-address     Perform address summarization

authentication コマンドにより、認証を有効化します。modeの後、ヘルプを見ると、MD5SHA256を選択できます。

R2(config-router-af)# af-interface fastEthernet 0/0.23
R2(config-router-af-interface)# authentication mode ?
  hmac-sha-256  HMAC-SHA-256 Authentication
  md5           Keyed message digest

SHA256を選択すると、パスワードを入力できます。

R2(config-router-af-interface)# authentication mode hmac-sha-256 ?
  <0-7>  Encryption type (0 to disable encryption, 7 for proprietary)
  LINE   password

ここでは、パスワードをSHA256KEYと設定します。

R2(config-router-af)# af-interface fastEthernet 0/0.23
R2(config-router-af-interface)# authentication mode hmac-sha-256 SHA256KEY

するとR2でAuth failureによるネイバー接続エラーが出力されます。

%DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 192.168.23.3 (FastEthernet0/0.23) 
is down: Auth failure

R3でもSHA256認証を有効にします。

R3(config)# router eigrp Named-EIGRP 
R3(config-router)#  address-family ipv4 unicast autonomous-system 100
R3(config-router-af)#   af-interface FastEthernet0/0.23
R3(config-router-af-interface)#  authentication mode hmac-sha-256 SHA256KEY

%DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 192.168.23.2 (FastEthernet0/0.23) 
is up: new adjacency

すると、ネイバーとの隣接が確立されます。

パケットキャプチャを見ると、認証でSHA256を使用し、パスワードに応じたダイジェストが送信されていることがわかります。

コメント

タイトルとURLをコピーしました