【OSPF】MD5認証設定

OSPF

 OSPFでは、不正なルータとネイバー関係にならないよう、認証を設定することができます。 認証にはプレーンテキストを使用した認証とMD5 認証があります。ここでは、MD5認証についてまとめます。

 まず、OSPFの基本設定をします。

R2(config)# router ospf 1
R2(config-router)# network 192.168.23.0 0.0.0.255 area 0
R2(config-router)# network 2.2.2.2 0.0.0.0 area 0

R3(config)# router ospf 1
R3(config-router)# network 192.168.23.0 0.0.0.255 area 0
R3(config-router)# network 3.3.3.3 0.0.0.0 area 0

 では、MD5認証を有効化し、認証キーをCISCOに設定します。

スポンサーリンク

MD5認証の有効化

 MD5認証の有効化はインターフェース単位の設定、もしくはエリア全体に設定の2通りがあります。

インタフェース単位に設定する方法

 インタフェース単位で、OSPF MD5認証を有効化します。R2のインタフェースで認証を有効化します。

R2(config)# int fastEthernet 0/0.23
R2(config-subif)# ip ospf authentication message-digest

 R2のOSPFインタフェース状態を確認します。

R2# show ip ospf interface
Loopback0 is up, line protocol is up
  Internet Address 2.2.2.2/32, Area 0, Attached via Network Statement
  Process ID 1, Router ID 2.2.2.2, Network Type LOOPBACK, Cost: 1
  Topology-MTID    Cost    Disabled    Shutdown      Topology Name
        0           1         no          no            Base
  Loopback interface is treated as a stub Host
FastEthernet0/0.23 is up, line protocol is up
  Internet Address 192.168.23.2/24, Area 0, Attached via Network Statement
  Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
  Topology-MTID    Cost    Disabled    Shutdown      Topology Name
        0           1         no          no            Base
  Transmit Delay is 1 sec, State DR, Priority 1
  Designated Router (ID) 2.2.2.2, Interface address 192.168.23.2
  No backup designated router on this network
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:06
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 0, Adjacent neighbor count is 0
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
      No key configured, using default key id 0

 R2のHelloパケットを確認すると、Auth TypeCryptographic となっています。

 しばらくすると、ネイバーがダウンします。

*Jun 18 12:33:50.543: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 
from FULL to DOWN, Neighbor Down: Dead timer expired

 R2でdebug ip ospf adjを有効すると、R3と認証タイプが異なることで、ネイバーがダウンしてることがわかります。

R2#debug ip ospf adj
OSPF adjacency debugging is on

*Jun 18 12:40:25.367: OSPF-1 ADJ   Fa0/0.23: Rcv pkt from 192.168.23.3 : 
Mismatched Authentication type. Input packet specified type 1, we use type 2

 では、R3のインタフェースでMD5認証を有効化します。

R3(config)# interface FastEthernet0/0.23
R3(config-subif)# ip ospf authentication message-digest

 すると、ネイバーがアップします。

*Jun 18 12:41:40.495: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on FastEthernet0/0.23 
from LOADING to FULL, Loading Done

エリア単位でのMD5認証の有効化

 OSPFインタフェースが多い場合など、エリア単位で一括でMD5認証を有効化できます。R2のエリア0でMD5認証を有効化します。

R2(config)# router ospf 1
R2(config-router)# area 0 authentication message-digest

 R2のOSPFインタフェースを確認します。

R2# show ip ospf interface
Loopback0 is up, line protocol is up
  Internet Address 2.2.2.2/32, Area 0, Attached via Network Statement
  Process ID 1, Router ID 2.2.2.2, Network Type LOOPBACK, Cost: 1
  Topology-MTID    Cost    Disabled    Shutdown      Topology Name
        0           1         no          no            Base
  Loopback interface is treated as a stub Host
FastEthernet0/0.23 is up, line protocol is up
  Internet Address 192.168.23.2/24, Area 0, Attached via Network Statement
  Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
  Topology-MTID    Cost    Disabled    Shutdown      Topology Name
        0           1         no          no            Base
  Transmit Delay is 1 sec, State DR, Priority 1
  Designated Router (ID) 2.2.2.2, Interface address 192.168.23.2
  No backup designated router on this network
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:04
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 0, Adjacent neighbor count is 0
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
      No key configured, using default key id 0

 しばらくすると、ネイバーがダウンします。

*Jun 18 12:44:52.615: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 
from FULL to DOWN, Neighbor Down: Dead timer expired

 では、R3でもエリア0でMD5認証を有効化します

R3(config)# router ospf 1
R3(config-router)# area 0 authentication message-digest

 しばらくすると、ネイバーがアップします。

*Jun 18 12:48:19.027: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 
from LOADING to FULL, Loading Done
スポンサーリンク

MD5認証キーの設定

 R2でdebug ip ospf adjを有効にし、インタフェースにOSPF MD5認証キーとしてCISCOを設定します。

R2# debug ip ospf adj
OSPF adjacency debugging is on

R2(config)# int fastEthernet 0/0.23
R2(config-subif)# ip ospf message-digest-key 1 md5 CISCO

 すると、MD5認証キーが対向で設定されていないデバックログが出力されます。

*Jun 18 12:50:05.039: OSPF-1 ADJ   Fa0/0.23: Rcv pkt from 192.168.23.3 : 
Mismatched Authentication Key - No message digest key 0 on interface

 では、R3でMD5認証キーを設定します。

R3(config)# int fastEthernet 0/0.23
R3(config-subif)# ip ospf message-digest-key 1 md5 CISCO

 R2のHelloパケットを確認すると、Key id が1としてMD5認証情報が送信されています。

スポンサーリンク

MD5認証キーが不一致の場合

 R2でdebug ip ospf adjを有効にし、R3のOSPF MD5認証キーをCISCO1に設定し、R2とR3でMD5認証キーを不一致にしてます。

R2# debug ip ospf adj 
OSPF adjacency debugging is on
R3(config)# interface FastEthernet0/0.23
R3(config-subif)# no ip ospf message-digest-key 1 md5 CISCO
R3(config-subif)# ip ospf message-digest-key 1 md5 CISCO1

 すると、R2で認証キーが不一致のデバッグログが出力されます。

*Jun 18 12:59:36.579: OSPF-1 ADJ   Fa0/0.23: Rcv pkt from 192.168.23.3 : 
 Mismatched Authentication Key - Message Digest

 しばらくすると、ネイバーがダウンします。

*Jun 18 12:59:39.063: %OSPF-5-ADJCHG: Process 1, Nbr 3.3.3.3 on FastEthernet0/0.23 
from FULL to DOWN, Neighbor Down: Dead timer expired

コメント

タイトルとURLをコピーしました