Mikan Network Lab.

ネットワーク技術やCisco製品に関して、勉強・検証した内容を発信しています。

Mikan Network Lab.

IOS-XR: EIGRP - MD5認証

Cisco IOS-XRでのEIGRP MD5認証の設定方法を紹介します。

目次

1. コマンド一覧
2. 仕様説明
 2.1. 概要
 2.2. key chainコマンド
 2.3. keyコマンド
 2.4. key-stringコマンド
 2.5. cryptographic-algorithm MD5コマンド
 2.6. send-lifetimeコマンド
 2.7. authentication-keyコマンド
3. 設定例
 3.1. 要件
 3.2. コンフィグ
 3.3. 解説
 3.4. 動作確認
  3.4.1. show key chain
  3.4.2. show eigrp ipv4 interfaces detail
  3.4.3. show eigrp ipv4 neighbors

前提条件

本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco IOS XR Software, Version 6.1.3

1. コマンド一覧

本記事で必要なコマンドを以下に示します。

(config)# key chain <key-chain-name>
(config-KEY-CHAIN)# key <key-id>
(config-KEY-CHAIN-1)# key-string <key-string-text>
(config-KEY-CHAIN-1)# cryptographic-algorithm MD5
(config-KEY-CHAIN-1)# send-lifetime <start-time> [ infinite | <end-time> ]

(config)# router eigrp <as-number>
(config-eigrp)# address-family ipv4
(config-eigrp-af)# interface <interface>
(config-eigrp-af-if)# authentication keychain <key-chain-name>

2. 仕様説明

2.1. 概要

IOS-XRでEIGRP MD5認証を有効化するには以下の流れで設定を行います。

(1) キーチェーンとキーIDの作成
(2) キーの設定
(3) 暗号化アルゴリズムの指定
(4) 有効な送信キーの指定
(5) MD5認証を有効化するインタフェースの指定

2.2. key chainコマンド

キーチェーンを作成するには、key chainコマンドを使用します。

(config)# key chain <key-chain-name>

<key-chain-name>でキーチェーンの名前を指定します。

【Sample】
名前が「KEY-CHAIN」のキーチェーンを作成する設定例を示します。

(config)# key chain KEY-CHAIN

2.3. keyコマンド

キーIDを作成するには、keyコマンドを使用します。

(config-KEY-CHAIN)# key <key-id>

<key-id>でキー番号を指定します。キー番号はネイバーと一致している必要があります。

【Sample】
キーID1を作成する設定例を示します。

(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1

2.4. key-stringコマンド

キーを作成するには、key-stringコマンドを使用します。

(config-KEY-CHAIN-1)# key-string <key-string-text>

<key-string-text>でキー(パスワード)を指定します。キーはネイバーと一致している必要があります。

【Sample】
キーID1のキーを「CISCO」にする設定例を示します。

(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# key-string CISCO

2.5. cryptographic-algorithm MD5コマンド

EIGRPではMD5認証のみサポートしています。キーに適用する暗号化アルゴリズムをMD5に指定するには、cryptographic-algorithm MD5コマンドを使用します。

(config-KEY-CHAIN-1)# cryptographic-algorithm MD5

2.6. send-lifetimeコマンド

有効な送信キーを指定するには、send-lifetimeコマンドを使用します。

(config-KEY-CHAIN-1)# send-lifetime <start-time> [ infinite | <end-time> ]

<start-time>でキーが有効になる開始時間を「hh:mm:ss 日 月 年」の形式で指定します。年の範囲は1993~2035です。

<end-time>でキーが無効になる時刻を「hh:mm:ss 日 月 年」の形式で指定します。また、キーが無効にならないように設定するには、infiniteオプションを使用します。

【Sample】
キーの有効期間を無期限にする設定例を示します。

(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# send-lifetime 00:00:00 1 january 1993 infinite

2.7. authentication-keyコマンド

MD5認証を有効化するインタフェースを指定するには、インタフェースコンフィギュレーションモードでauthentication-keyコマンドを使用します。

(config-eigrp-af-if)# authentication keychain <key-chain-name>

<key-chain-name>でキーチェーン名を指定します。

【Sample】
キーチェーン「KEY-CHAIN」を使用して、Gi0/0/0/0でEIGRP MD5認証を有効化する設定例を示します。

(config)# router eigrp 1
(config-eigrp)# address-family ipv4
(config-eigrp-af)# interface GigabitEthernet0/0/0/0
(config-eigrp-af-if)# authentication keychain KEY-CHAIN

3. 設定例

3.1. 要件

  • XR1とXR2でEIGRPを次の通りに設定してください。
    • Gi0/0/0/0でキーチェーン「KEY-CHAIN」を使用してMD5認証を有効化すること。

  • XR1とXR2でキーチェーンを次の通りに設定してください。
    • キーチェーン名は「KEY-CHAIN」とすること。
    • キーIDは1とすること。
    • 送信ライフタイムは無期限とすること。

構成図

3.2. コンフィグ

本タスクの要件を満たす設定例を以下に示します。

 XR1 

hostname XR1
key chain KEY-CHAIN
 key 1
  key-string CISCO
  send-lifetime 00:00:00 january 1 1993 infinite
  cryptographic-algorithm MD5
 !
!
interface Loopback0
 ipv4 address 1.1.1.1/32
!
interface GigabitEthernet0/0/0/0
 ipv4 address 192.168.12.1/24
!
router eigrp 1
 address-family ipv4
  interface GigabitEthernet0/0/0/0
   authentication keychain KEY-CHAIN
  !
 !
!
end

 XR2 

hostname XR2
key chain KEY-CHAIN
 key 1
  key-string CISCO
  send-lifetime 00:00:00 january 1 1993 infinite
  cryptographic-algorithm MD5
 !
!
interface Loopback0
 ipv4 address 2.2.2.2/32
!
interface GigabitEthernet0/0/0/0
 ipv4 address 192.168.12.2/24
!
router eigrp 1
 address-family ipv4
  interface GigabitEthernet0/0/0/0
   authentication keychain KEY-CHAIN
  !
 !
!
end

3.3. 解説

IOS-XRでのEIGRP MD5認証における注意すべき点は、キーチェーンのキーで暗号化アルゴリズムと有効な送信ライフタイムを指定する必要があることです。

(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# key-string CISCO
(config-KEY-CHAIN-1)# cryptographic-algorithm MD5
(config-KEY-CHAIN-1)# send-lifetime 00:00:00 january 1 1993 infinite

上記設定では、暗号化アルゴリズムをMD5に設定するために、「cryptographic-algorithm MD5」コマンドを使用しています。また、送信ライフタイムの有効期限を無期限にするために、infiniteオプションを付けた「send-lifetime 00:00:00 january 1 1993 infinite」コマンドを使用しています。

それでは、XR2で暗号化アルゴリズムを指定しなかった場合の状態を見てみましょう。

RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 01:53:51.303 UTC

Key-chain: KEY-CHAIN -

  Key 1 -- text "0802657D2A36"
    Cryptographic-Algorithm -- Not configured
    Send lifetime --  00:00:00, 01 Jan 1993 - Always valid  [Valid now]
    Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 01:54:01.152 UTC

IPv4-EIGRP Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Gi0/0/0/0          0        0/0         0       0/10           0           0
  Hello interval is 5 sec, hold time is 15 sec
  BFD disabled, BFD interval 150 msec, BFD multiplier is 3
  Next xmit serial <none>
  Un/reliable mcasts: 0/0  Un/reliable ucasts: 3/70
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 6
  Retransmissions sent: 53  Out-of-sequence rcvd: 0
  Bandwidth percent is 50
  Total packets received: 2198
  Authentication mode: MD5  Key chain: KEY-CHAIN
  Current active key id: 1
  Key(s) not configured with MD5 cryptographic algorithm
  Valid authenticated packets received: 525
  Packets dropped due to wrong keychain config: 23
  Packets dropped due to missing authentication: 0
  Packets dropped due to invalid authentication: 0
  Classic peers : 0, Wide peers: 0
  Effective Metric:
    Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
    Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 01:54:11.832 UTC

% IPv4-EIGRP: No neighbors found for vrf default of EIGRP 1.

show eigrp ipv4 interfaces detailコマンドを確認すると、「Key(s) not configured with MD5 cryptographic algorithm」と出力されています。これは暗号化アルゴリズムにMD5を使用するキーが存在しないことを示しています。そして、show eigrp ipv4 neighborsコマンドを確認すると、ネイバーは確立されていないことが分かります。

次に、有効な送信ライフタイムを指定しなかった場合を見てみましょう。

RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 02:09:27.159 UTC

Key-chain: KEY-CHAIN -

  Key 1 -- text "0802657D2A36"
    Cryptographic-Algorithm -- MD5
    Send lifetime -- Not configured
    Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 02:09:35.948 UTC

IPv4-EIGRP Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Gi0/0/0/0          0        0/0         0       0/10           0           0
  Hello interval is 5 sec, hold time is 15 sec
  BFD disabled, BFD interval 150 msec, BFD multiplier is 3
  Next xmit serial <none>
  Un/reliable mcasts: 0/0  Un/reliable ucasts: 4/72
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 7
  Retransmissions sent: 53  Out-of-sequence rcvd: 0
  Bandwidth percent is 50
  Total packets received: 2402
  Authentication mode: MD5  Key chain: KEY-CHAIN
  No active key found in keychain database
  Valid authenticated packets received: 532
  Packets dropped due to wrong keychain config: 220
  Packets dropped due to missing authentication: 0
  Packets dropped due to invalid authentication: 0
  Classic peers : 0, Wide peers: 0
  Effective Metric:
    Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
    Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 02:09:46.478 UTC

% IPv4-EIGRP: No neighbors found for vrf default of EIGRP 1.

show eigrp ipv4 interfaces detailコマンドを確認すると、「No active key found in keychain database」と出力されています。これはアクティブなキーが存在しないことを示しています。そして、show eigrp ipv4 neighborsコマンドを確認すると、ネイバーは確立されていないことが分かります。

最後に、暗号化アルゴリズムと有効な送信ライフタイムを指定した場合を見てみましょう。

RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 02:31:42.887 UTC

Key-chain: KEY-CHAIN -

  Key 1 -- text "0802657D2A36"
    Cryptographic-Algorithm -- MD5
    Send lifetime --  00:00:00, 01 Jan 1993 - Always valid  [Valid now]
    Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 02:31:51.527 UTC

IPv4-EIGRP Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Gi0/0/0/0          1        0/0        18       0/10           0           0
  Hello interval is 5 sec, hold time is 15 sec
  BFD disabled, BFD interval 150 msec, BFD multiplier is 3
  Next xmit serial <none>
  Un/reliable mcasts: 0/0  Un/reliable ucasts: 4/74
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 8
  Retransmissions sent: 53  Out-of-sequence rcvd: 0
  Bandwidth percent is 50
  Total packets received: 2693
  Authentication mode: MD5  Key chain: KEY-CHAIN
  Current active key id: 1
  Valid authenticated packets received: 788
  Packets dropped due to wrong keychain config: 254
  Packets dropped due to missing authentication: 0
  Packets dropped due to invalid authentication: 0
  Classic peers : 0, Wide peers: 1
  Effective Metric:
    Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
    Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 02:32:01.646 UTC

IPv4-EIGRP Neighbors for AS(1) VRF default

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.12.1            Gi0/0/0/0         14 00:19:46   18   200  0  18

正常にネイバーが確立されていることが分かります。

以上より、IOS-XRでのEIGRP MD5認証では、キーチェーンのキーで暗号化アルゴリズムと有効な送信ライフタイムを指定する必要があります。

3.4. 動作確認

3.4.1. show key chain

show key chainコマンドで以下を確認します。
・キーチェーンが「KEY-CHAIN」、キーIDが1であること。
・暗号化アルゴリズムがMD5であること。
・送信ライフタイムがValidであること。

RP/0/0/CPU0:XR1#show key chain
Sat Feb 22 01:33:42.126 UTC

Key-chain: KEY-CHAIN -

  Key 1 -- text "123A2C243124"
    Cryptographic-Algorithm -- MD5
    Send lifetime --  00:00:00, 01 Jan 1993 - Always valid  [Valid now]
    Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 01:34:33.552 UTC

Key-chain: KEY-CHAIN -

  Key 1 -- text "0802657D2A36"
    Cryptographic-Algorithm -- MD5
    Send lifetime --  00:00:00, 01 Jan 1993 - Always valid  [Valid now]
    Accept lifetime -- Not configured
3.4.2. show eigrp ipv4 interfaces detail

show eigrp ipv4 interfaces detailコマンドで以下を確認します。
・Gi0/0/0/0にキーチェーン「KEY-CHAIN」が設定され、キーID1がアクティブであること。

RP/0/0/CPU0:XR1#show eigrp ipv4 interfaces detail
Sat Feb 22 01:39:01.834 UTC

IPv4-EIGRP Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Gi0/0/0/0          1        0/0        14       0/10           0           0
  Hello interval is 5 sec, hold time is 15 sec
  BFD disabled, BFD interval 150 msec, BFD multiplier is 3
  Next xmit serial <none>
  Un/reliable mcasts: 0/0  Un/reliable ucasts: 4/23
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 7
  Retransmissions sent: 10  Out-of-sequence rcvd: 2
  Bandwidth percent is 50
  Total packets received: 2062
  Authentication mode: MD5  Key chain: KEY-CHAIN
  Current active key id: 1
  Valid authenticated packets received: 356
  Packets dropped due to wrong keychain config: 0
  Packets dropped due to missing authentication: 14
  Packets dropped due to invalid authentication: 0
  Classic peers : 0, Wide peers: 1
  Effective Metric:
    Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
    Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 01:39:05.454 UTC

IPv4-EIGRP Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Gi0/0/0/0          1        0/0        26       0/10           0           0
  Hello interval is 5 sec, hold time is 15 sec
  BFD disabled, BFD interval 150 msec, BFD multiplier is 3
  Next xmit serial <none>
  Un/reliable mcasts: 0/0  Un/reliable ucasts: 3/70
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 6
  Retransmissions sent: 53  Out-of-sequence rcvd: 0
  Bandwidth percent is 50
  Total packets received: 2004
  Authentication mode: MD5  Key chain: KEY-CHAIN
  Current active key id: 1
  Valid authenticated packets received: 354
  Packets dropped due to wrong keychain config: 0
  Packets dropped due to missing authentication: 0
  Packets dropped due to invalid authentication: 0
  Classic peers : 0, Wide peers: 1
  Effective Metric:
    Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
    Reliability: 255, Load: 1, MTU: 1500
3.4.3. show eigrp ipv4 neighbors

show eigrp ipv4 neighborsコマンドで以下を確認します。
・XR1とXR2でEIGRPネイバーが確立されていること。

RP/0/0/CPU0:XR1#show eigrp ipv4 neighbors
Sat Feb 22 01:43:28.885 UTC

IPv4-EIGRP Neighbors for AS(1) VRF default

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.12.2            Gi0/0/0/0         10 00:31:41   14   200  0  22
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 01:43:33.465 UTC

IPv4-EIGRP Neighbors for AS(1) VRF default

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.12.1            Gi0/0/0/0         13 00:31:46   26   200  0  14