Cisco IOS-XRにおけるOSPF MD5認証の設定方法を紹介します。
目次
- 1. コマンド一覧
- 2. 仕様説明
- 2.1. 概要
- 2.2. authentication message-digest
- 2.3. message-digest-key
- 3. 設定例
- 3.1. 要件
- 3.2. コンフィグ
- 3.3. 動作確認
- 3.3.1. show ospf interface
- 3.3.2. show ospf neighbor
- 3.3.3. show route ospf
前提条件
本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco IOS XR Software, Version 6.1.3
1. コマンド一覧
本記事で重要なコマンドを以下に示します。
(config)# router ospf <process-name>
(config-ospf)# area <area-id>
(config-ospf-ar)# interface <interface>
(config-ospf-ar-if)# authentication message-digest-key
(config-ospf-ar-if)# message-digest-key <key-id> md5 <key>
2. 仕様説明
2.1. 概要
OSPFにはネイバー認証の機能があります。ネイバー認証はデフォルトでは有効化されていないため、不正なルータとネイバー関係を確立し、意図しないルーティング情報を学習する恐れがあります。ネイバー認証の設定を行うことで、認証されたルータのみとネイバーを確立できるようになるため、安全なルーティング情報の交換が可能です。
OSPFの認証タイプには、クリアテキストのパスワードを使用するプレーンテキスト認証と、暗号化されたパスワードを使用するMD5認証があります。本記事では、MD5認証の設定方法を紹介します。プレーンテキスト認証の設定方法は以下の記事をご参照ください。
2.2. authentication message-digest
MD5認証を有効化するには、インタフェースコンフィギュレーションモードでauthentication message-digestコマンドを使用します。
(config-ospf-ar-if)# authentication message-digest-key
【Sample】
Gi0/0/0/0でMD5認証を有効化する設定例を示します。
(config)# router ospf 1
(config-ospf)# area 0
(config-ospf-ar)# interface GigabitEthernet0/0/0/0
(config-ospf-ar-if)# authentication message-digest-key
2.3. message-digest-key
MD5認証で使用するパスワードを設定するには、インタフェースコンフィギュレーションモードでmessage-digest-keyコマンドを使用します。
(config-ospf-ar-if)# message-digest-key <key-id> md5 <key>
<key-id>でキー番号を指定します。キー番号の値は1~255です。
<key>でMD5認証のパスワードを指定します。文字数は最大16文字です。
【Sample】
Gi0/0/0/0でMD5認証のキー番号を「1」、パスワードを「CISCO」にする設定例を示します。
(config)# router ospf 1
(config-ospf)# area 0
(config-ospf-ar)# interface GigabitEthernet0/0/0/0
(config-ospf-ar-if)# authentication message-digest-key
(config-ospf-ar-if)# message-digest-key 1 md5 CISCO
3. 設定例
3.1. 要件
- XR1とXR2でOSPFプロセス名を「1」として、OSPFを起動してください。
- Gi0/0/0/0とLo0をエリア0に関連付けてください。
- Gi0/0/0/0でMD5認証を有効化し、キー番号は「1」、パスワードは「CISCO」を使用してください。
3.2. コンフィグ
本タスクの要件を満たす設定例を以下に示します。
XR1
hostname XR1
interface Loopback0
ipv4 address 1.1.1.1/32
!
interface GigabitEthernet0/0/0/0
ipv4 address 192.168.12.1/24
!
router ospf 1
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
authentication message-digest
message-digest-key 1 md5 CISCO
!
!
!
end
XR2
hostname XR2
interface Loopback0
ipv4 address 2.2.2.2/32
!
interface GigabitEthernet0/0/0/0
ipv4 address 192.168.12.2/24
!
router ospf 1
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
authentication message-digest
message-digest-key 1 md5 CISCO
!
!
!
end
3.3. 動作確認
3.3.1. show ospf interface
- XR1のGi0/0/0/0でMD5認証が有効化されていることを確認します。
- XR2のGi0/0/0/0でMD5認証が有効化されていることを確認します。
RP/0/0/CPU0:XR1#show ospf interface GigabitEthernet0/0/0/0
Fri Mar 27 16:03:48.611 UTC
GigabitEthernet0/0/0/0 is up, line protocol is up
Internet Address 192.168.12.1/24, Area 0
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1, MTU 1500, MaxPktSz 1500
Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
Backup Designated router (ID) 1.1.1.1, Interface address 192.168.12.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:08:979
Index 2/2, flood queue length 0
Next 0(0)/0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
LS Ack List: current length 0, high water mark 2
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 2.2.2.2 (Designated Router)
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
Multi-area interface Count is 0
RP/0/0/CPU0:XR2#show ospf interface GigabitEthernet0/0/0/0
Fri Mar 27 16:03:52.791 UTC
GigabitEthernet0/0/0/0 is up, line protocol is up
Internet Address 192.168.12.2/24, Area 0
Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1, MTU 1500, MaxPktSz 1500
Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
Backup Designated router (ID) 1.1.1.1, Interface address 192.168.12.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:07:624
Index 2/2, flood queue length 0
Next 0(0)/0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
LS Ack List: current length 0, high water mark 1
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 1.1.1.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
Multi-area interface Count is 0
3.3.2. show ospf neighbor
- XR1とXR2でOSPFネイバーが確立されていることを確認します。
RP/0/0/CPU0:XR1#show ospf neighbor
Fri Mar 27 16:04:07.750 UTC
* Indicates MADJ interface
# Indicates Neighbor awaiting BFD session up
Neighbors for OSPF 1
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:33 192.168.12.2 GigabitEthernet0/0/0/0
Neighbor is up for 00:05:28
Total neighbor count: 1
RP/0/0/CPU0:XR2#show ospf neighbor
Fri Mar 27 16:04:10.900 UTC
* Indicates MADJ interface
# Indicates Neighbor awaiting BFD session up
Neighbors for OSPF 1
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:35 192.168.12.1 GigabitEthernet0/0/0/0
Neighbor is up for 00:05:36
Total neighbor count: 1
3.3.3. show route ospf
- XR1で2.2.2.2/32のルートを学習していることを確認します。
- XR2で1.1.1.1/32のルートを学習していることを確認します。
RP/0/0/CPU0:XR1#show route ospf
Fri Mar 27 16:04:24.989 UTC
O 2.2.2.2/32 [110/2] via 192.168.12.2, 00:05:14, GigabitEthernet0/0/0/0
RP/0/0/CPU0:XR2#show route ospf
Fri Mar 27 16:04:28.159 UTC
O 1.1.1.1/32 [110/2] via 192.168.12.1, 00:05:19, GigabitEthernet0/0/0/0