Cisco IOS-XRでのEIGRP MD5認証の設定方法を紹介します。
目次
1. コマンド一覧
2. 仕様説明
2.1. 概要
2.2. key chainコマンド
2.3. keyコマンド
2.4. key-stringコマンド
2.5. cryptographic-algorithm MD5コマンド
2.6. send-lifetimeコマンド
2.7. authentication-keyコマンド
3. 設定例
3.1. 要件
3.2. コンフィグ
3.3. 解説
3.4. 動作確認
3.4.1. show key chain
3.4.2. show eigrp ipv4 interfaces detail
3.4.3. show eigrp ipv4 neighbors
前提条件
本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco IOS XR Software, Version 6.1.3
1. コマンド一覧
本記事で必要なコマンドを以下に示します。
(config)# key chain <key-chain-name>
(config-KEY-CHAIN)# key <key-id>
(config-KEY-CHAIN-1)# key-string <key-string-text>
(config-KEY-CHAIN-1)# cryptographic-algorithm MD5
(config-KEY-CHAIN-1)# send-lifetime <start-time> [ infinite | <end-time> ]
(config)# router eigrp <as-number>
(config-eigrp)# address-family ipv4
(config-eigrp-af)# interface <interface>
(config-eigrp-af-if)# authentication keychain <key-chain-name>
2. 仕様説明
2.1. 概要
IOS-XRでEIGRP MD5認証を有効化するには以下の流れで設定を行います。
(1) キーチェーンとキーIDの作成
(2) キーの設定
(3) 暗号化アルゴリズムの指定
(4) 有効な送信キーの指定
(5) MD5認証を有効化するインタフェースの指定
2.2. key chainコマンド
キーチェーンを作成するには、key chainコマンドを使用します。
(config)# key chain <key-chain-name>
<key-chain-name>でキーチェーンの名前を指定します。
【Sample】
名前が「KEY-CHAIN」のキーチェーンを作成する設定例を示します。
(config)# key chain KEY-CHAIN
2.3. keyコマンド
キーIDを作成するには、keyコマンドを使用します。
(config-KEY-CHAIN)# key <key-id>
<key-id>でキー番号を指定します。キー番号はネイバーと一致している必要があります。
【Sample】
キーID1を作成する設定例を示します。
(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
2.4. key-stringコマンド
キーを作成するには、key-stringコマンドを使用します。
(config-KEY-CHAIN-1)# key-string <key-string-text>
<key-string-text>でキー(パスワード)を指定します。キーはネイバーと一致している必要があります。
【Sample】
キーID1のキーを「CISCO」にする設定例を示します。
(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# key-string CISCO
2.5. cryptographic-algorithm MD5コマンド
EIGRPではMD5認証のみサポートしています。キーに適用する暗号化アルゴリズムをMD5に指定するには、cryptographic-algorithm MD5コマンドを使用します。
(config-KEY-CHAIN-1)# cryptographic-algorithm MD5
2.6. send-lifetimeコマンド
有効な送信キーを指定するには、send-lifetimeコマンドを使用します。
(config-KEY-CHAIN-1)# send-lifetime <start-time> [ infinite | <end-time> ]
<start-time>でキーが有効になる開始時間を「hh:mm:ss 日 月 年」の形式で指定します。年の範囲は1993~2035です。
<end-time>でキーが無効になる時刻を「hh:mm:ss 日 月 年」の形式で指定します。また、キーが無効にならないように設定するには、infiniteオプションを使用します。
【Sample】
キーの有効期間を無期限にする設定例を示します。
(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# send-lifetime 00:00:00 1 january 1993 infinite
2.7. authentication-keyコマンド
MD5認証を有効化するインタフェースを指定するには、インタフェースコンフィギュレーションモードでauthentication-keyコマンドを使用します。
(config-eigrp-af-if)# authentication keychain <key-chain-name>
<key-chain-name>でキーチェーン名を指定します。
【Sample】
キーチェーン「KEY-CHAIN」を使用して、Gi0/0/0/0でEIGRP MD5認証を有効化する設定例を示します。
(config)# router eigrp 1
(config-eigrp)# address-family ipv4
(config-eigrp-af)# interface GigabitEthernet0/0/0/0
(config-eigrp-af-if)# authentication keychain KEY-CHAIN
3. 設定例
3.1. 要件
- XR1とXR2でEIGRPを次の通りに設定してください。
- Gi0/0/0/0でキーチェーン「KEY-CHAIN」を使用してMD5認証を有効化すること。
- XR1とXR2でキーチェーンを次の通りに設定してください。
- キーチェーン名は「KEY-CHAIN」とすること。
- キーIDは1とすること。
- 送信ライフタイムは無期限とすること。
3.2. コンフィグ
本タスクの要件を満たす設定例を以下に示します。
XR1
hostname XR1
key chain KEY-CHAIN
key 1
key-string CISCO
send-lifetime 00:00:00 january 1 1993 infinite
cryptographic-algorithm MD5
!
!
interface Loopback0
ipv4 address 1.1.1.1/32
!
interface GigabitEthernet0/0/0/0
ipv4 address 192.168.12.1/24
!
router eigrp 1
address-family ipv4
interface GigabitEthernet0/0/0/0
authentication keychain KEY-CHAIN
!
!
!
end
XR2
hostname XR2
key chain KEY-CHAIN
key 1
key-string CISCO
send-lifetime 00:00:00 january 1 1993 infinite
cryptographic-algorithm MD5
!
!
interface Loopback0
ipv4 address 2.2.2.2/32
!
interface GigabitEthernet0/0/0/0
ipv4 address 192.168.12.2/24
!
router eigrp 1
address-family ipv4
interface GigabitEthernet0/0/0/0
authentication keychain KEY-CHAIN
!
!
!
end
3.3. 解説
IOS-XRでのEIGRP MD5認証における注意すべき点は、キーチェーンのキーで暗号化アルゴリズムと有効な送信ライフタイムを指定する必要があることです。
(config)# key chain KEY-CHAIN
(config-KEY-CHAIN)# key 1
(config-KEY-CHAIN-1)# key-string CISCO
(config-KEY-CHAIN-1)# cryptographic-algorithm MD5
(config-KEY-CHAIN-1)# send-lifetime 00:00:00 january 1 1993 infinite
上記設定では、暗号化アルゴリズムをMD5に設定するために、「cryptographic-algorithm MD5」コマンドを使用しています。また、送信ライフタイムの有効期限を無期限にするために、infiniteオプションを付けた「send-lifetime 00:00:00 january 1 1993 infinite」コマンドを使用しています。
それでは、XR2で暗号化アルゴリズムを指定しなかった場合の状態を見てみましょう。
RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 01:53:51.303 UTC
Key-chain: KEY-CHAIN -
Key 1 -- text "0802657D2A36"
Cryptographic-Algorithm -- Not configured
Send lifetime -- 00:00:00, 01 Jan 1993 - Always valid [Valid now]
Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 01:54:01.152 UTC
IPv4-EIGRP Interfaces for AS(1)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Gi0/0/0/0 0 0/0 0 0/10 0 0
Hello interval is 5 sec, hold time is 15 sec
BFD disabled, BFD interval 150 msec, BFD multiplier is 3
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 3/70
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 6
Retransmissions sent: 53 Out-of-sequence rcvd: 0
Bandwidth percent is 50
Total packets received: 2198
Authentication mode: MD5 Key chain: KEY-CHAIN
Current active key id: 1
Key(s) not configured with MD5 cryptographic algorithm
Valid authenticated packets received: 525
Packets dropped due to wrong keychain config: 23
Packets dropped due to missing authentication: 0
Packets dropped due to invalid authentication: 0
Classic peers : 0, Wide peers: 0
Effective Metric:
Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 01:54:11.832 UTC
% IPv4-EIGRP: No neighbors found for vrf default of EIGRP 1.
show eigrp ipv4 interfaces detailコマンドを確認すると、「Key(s) not configured with MD5 cryptographic algorithm」と出力されています。これは暗号化アルゴリズムにMD5を使用するキーが存在しないことを示しています。そして、show eigrp ipv4 neighborsコマンドを確認すると、ネイバーは確立されていないことが分かります。
次に、有効な送信ライフタイムを指定しなかった場合を見てみましょう。
RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 02:09:27.159 UTC
Key-chain: KEY-CHAIN -
Key 1 -- text "0802657D2A36"
Cryptographic-Algorithm -- MD5
Send lifetime -- Not configured
Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 02:09:35.948 UTC
IPv4-EIGRP Interfaces for AS(1)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Gi0/0/0/0 0 0/0 0 0/10 0 0
Hello interval is 5 sec, hold time is 15 sec
BFD disabled, BFD interval 150 msec, BFD multiplier is 3
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 4/72
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 7
Retransmissions sent: 53 Out-of-sequence rcvd: 0
Bandwidth percent is 50
Total packets received: 2402
Authentication mode: MD5 Key chain: KEY-CHAIN
No active key found in keychain database
Valid authenticated packets received: 532
Packets dropped due to wrong keychain config: 220
Packets dropped due to missing authentication: 0
Packets dropped due to invalid authentication: 0
Classic peers : 0, Wide peers: 0
Effective Metric:
Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 02:09:46.478 UTC
% IPv4-EIGRP: No neighbors found for vrf default of EIGRP 1.
show eigrp ipv4 interfaces detailコマンドを確認すると、「No active key found in keychain database」と出力されています。これはアクティブなキーが存在しないことを示しています。そして、show eigrp ipv4 neighborsコマンドを確認すると、ネイバーは確立されていないことが分かります。
最後に、暗号化アルゴリズムと有効な送信ライフタイムを指定した場合を見てみましょう。
RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 02:31:42.887 UTC
Key-chain: KEY-CHAIN -
Key 1 -- text "0802657D2A36"
Cryptographic-Algorithm -- MD5
Send lifetime -- 00:00:00, 01 Jan 1993 - Always valid [Valid now]
Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 02:31:51.527 UTC
IPv4-EIGRP Interfaces for AS(1)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Gi0/0/0/0 1 0/0 18 0/10 0 0
Hello interval is 5 sec, hold time is 15 sec
BFD disabled, BFD interval 150 msec, BFD multiplier is 3
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 4/74
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 8
Retransmissions sent: 53 Out-of-sequence rcvd: 0
Bandwidth percent is 50
Total packets received: 2693
Authentication mode: MD5 Key chain: KEY-CHAIN
Current active key id: 1
Valid authenticated packets received: 788
Packets dropped due to wrong keychain config: 254
Packets dropped due to missing authentication: 0
Packets dropped due to invalid authentication: 0
Classic peers : 0, Wide peers: 1
Effective Metric:
Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 02:32:01.646 UTC
IPv4-EIGRP Neighbors for AS(1) VRF default
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.12.1 Gi0/0/0/0 14 00:19:46 18 200 0 18
正常にネイバーが確立されていることが分かります。
以上より、IOS-XRでのEIGRP MD5認証では、キーチェーンのキーで暗号化アルゴリズムと有効な送信ライフタイムを指定する必要があります。
3.4. 動作確認
3.4.1. show key chain
show key chainコマンドで以下を確認します。
・キーチェーンが「KEY-CHAIN」、キーIDが1であること。
・暗号化アルゴリズムがMD5であること。
・送信ライフタイムがValidであること。
RP/0/0/CPU0:XR1#show key chain
Sat Feb 22 01:33:42.126 UTC
Key-chain: KEY-CHAIN -
Key 1 -- text "123A2C243124"
Cryptographic-Algorithm -- MD5
Send lifetime -- 00:00:00, 01 Jan 1993 - Always valid [Valid now]
Accept lifetime -- Not configured
RP/0/0/CPU0:XR2#show key chain
Sat Feb 22 01:34:33.552 UTC
Key-chain: KEY-CHAIN -
Key 1 -- text "0802657D2A36"
Cryptographic-Algorithm -- MD5
Send lifetime -- 00:00:00, 01 Jan 1993 - Always valid [Valid now]
Accept lifetime -- Not configured
3.4.2. show eigrp ipv4 interfaces detail
show eigrp ipv4 interfaces detailコマンドで以下を確認します。
・Gi0/0/0/0にキーチェーン「KEY-CHAIN」が設定され、キーID1がアクティブであること。
RP/0/0/CPU0:XR1#show eigrp ipv4 interfaces detail
Sat Feb 22 01:39:01.834 UTC
IPv4-EIGRP Interfaces for AS(1)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Gi0/0/0/0 1 0/0 14 0/10 0 0
Hello interval is 5 sec, hold time is 15 sec
BFD disabled, BFD interval 150 msec, BFD multiplier is 3
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 4/23
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 7
Retransmissions sent: 10 Out-of-sequence rcvd: 2
Bandwidth percent is 50
Total packets received: 2062
Authentication mode: MD5 Key chain: KEY-CHAIN
Current active key id: 1
Valid authenticated packets received: 356
Packets dropped due to wrong keychain config: 0
Packets dropped due to missing authentication: 14
Packets dropped due to invalid authentication: 0
Classic peers : 0, Wide peers: 1
Effective Metric:
Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
Reliability: 255, Load: 1, MTU: 1500
RP/0/0/CPU0:XR2#show eigrp ipv4 interfaces detail
Sat Feb 22 01:39:05.454 UTC
IPv4-EIGRP Interfaces for AS(1)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Gi0/0/0/0 1 0/0 26 0/10 0 0
Hello interval is 5 sec, hold time is 15 sec
BFD disabled, BFD interval 150 msec, BFD multiplier is 3
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 3/70
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 6
Retransmissions sent: 53 Out-of-sequence rcvd: 0
Bandwidth percent is 50
Total packets received: 2004
Authentication mode: MD5 Key chain: KEY-CHAIN
Current active key id: 1
Valid authenticated packets received: 354
Packets dropped due to wrong keychain config: 0
Packets dropped due to missing authentication: 0
Packets dropped due to invalid authentication: 0
Classic peers : 0, Wide peers: 1
Effective Metric:
Bandwidth: 1000000 Kbit, Delay: 10000000 picosecond,
Reliability: 255, Load: 1, MTU: 1500
3.4.3. show eigrp ipv4 neighbors
show eigrp ipv4 neighborsコマンドで以下を確認します。
・XR1とXR2でEIGRPネイバーが確立されていること。
RP/0/0/CPU0:XR1#show eigrp ipv4 neighbors
Sat Feb 22 01:43:28.885 UTC
IPv4-EIGRP Neighbors for AS(1) VRF default
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.12.2 Gi0/0/0/0 10 00:31:41 14 200 0 22
RP/0/0/CPU0:XR2#show eigrp ipv4 neighbors
Sat Feb 22 01:43:33.465 UTC
IPv4-EIGRP Neighbors for AS(1) VRF default
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.12.1 Gi0/0/0/0 13 00:31:46 26 200 0 14