Mikan Network Lab.

ネットワーク技術やCisco製品に関して、勉強・検証した内容を発信しています。

Mikan Network Lab.

IOS-XRにおけるOSPF MD5認証の設定方法

Cisco IOS-XRにおけるOSPF MD5認証の設定方法を紹介します。

目次

前提条件

本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco IOS XR Software, Version 6.1.3

1. コマンド一覧

本記事で重要なコマンドを以下に示します。

(config)# router ospf <process-name>
(config-ospf)# area <area-id>
(config-ospf-ar)# interface <interface>
(config-ospf-ar-if)# authentication message-digest-key
(config-ospf-ar-if)# message-digest-key <key-id> md5 <key>

2. 仕様説明

2.1. 概要

OSPFにはネイバー認証の機能があります。ネイバー認証はデフォルトでは有効化されていないため、不正なルータとネイバー関係を確立し、意図しないルーティング情報を学習する恐れがあります。ネイバー認証の設定を行うことで、認証されたルータのみとネイバーを確立できるようになるため、安全なルーティング情報の交換が可能です。

OSPFの認証タイプには、クリアテキストのパスワードを使用するプレーンテキスト認証と、暗号化されたパスワードを使用するMD5認証があります。本記事では、MD5認証の設定方法を紹介します。プレーンテキスト認証の設定方法は以下の記事をご参照ください。

2.2. authentication message-digest

MD5認証を有効化するには、インタフェースコンフィギュレーションモードでauthentication message-digestコマンドを使用します。

(config-ospf-ar-if)# authentication message-digest-key

【Sample】
Gi0/0/0/0でMD5認証を有効化する設定例を示します。

(config)# router ospf 1
(config-ospf)# area 0
(config-ospf-ar)# interface GigabitEthernet0/0/0/0
(config-ospf-ar-if)# authentication message-digest-key

2.3. message-digest-key

MD5認証で使用するパスワードを設定するには、インタフェースコンフィギュレーションモードでmessage-digest-keyコマンドを使用します。

(config-ospf-ar-if)# message-digest-key <key-id> md5 <key>

<key-id>でキー番号を指定します。キー番号の値は1~255です。

<key>でMD5認証のパスワードを指定します。文字数は最大16文字です。

【Sample】
Gi0/0/0/0でMD5認証のキー番号を「1」、パスワードを「CISCO」にする設定例を示します。

(config)# router ospf 1
(config-ospf)# area 0
(config-ospf-ar)# interface GigabitEthernet0/0/0/0
(config-ospf-ar-if)# authentication message-digest-key
(config-ospf-ar-if)# message-digest-key 1 md5 CISCO

3. 設定例

3.1. 要件

  • XR1とXR2でOSPFプロセス名を「1」として、OSPFを起動してください。
  • Gi0/0/0/0とLo0をエリア0に関連付けてください。
  • Gi0/0/0/0でMD5認証を有効化し、キー番号は「1」、パスワードは「CISCO」を使用してください。

構成図

3.2. コンフィグ

本タスクの要件を満たす設定例を以下に示します。

 XR1 

hostname XR1
interface Loopback0
 ipv4 address 1.1.1.1/32
!
interface GigabitEthernet0/0/0/0
 ipv4 address 192.168.12.1/24
!
router ospf 1
 area 0
  interface Loopback0
  !
  interface GigabitEthernet0/0/0/0
   authentication message-digest
   message-digest-key 1 md5 CISCO
  !
 !
!
end

 XR2 

hostname XR2
interface Loopback0
 ipv4 address 2.2.2.2/32
!
interface GigabitEthernet0/0/0/0
 ipv4 address 192.168.12.2/24
!
router ospf 1
 area 0
  interface Loopback0
  !
  interface GigabitEthernet0/0/0/0
   authentication message-digest
   message-digest-key 1 md5 CISCO
  !
 !
!
end

3.3. 動作確認

3.3.1. show ospf interface

  • XR1のGi0/0/0/0でMD5認証が有効化されていることを確認します。
  • XR2のGi0/0/0/0でMD5認証が有効化されていることを確認します。

RP/0/0/CPU0:XR1#show ospf interface GigabitEthernet0/0/0/0
Fri Mar 27 16:03:48.611 UTC

GigabitEthernet0/0/0/0 is up, line protocol is up
  Internet Address 192.168.12.1/24, Area 0
  Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1
  Transmit Delay is 1 sec, State BDR, Priority 1, MTU 1500, MaxPktSz 1500
  Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
  Backup Designated router (ID) 1.1.1.1, Interface address 192.168.12.1
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:08:979
  Index 2/2, flood queue length 0
  Next 0(0)/0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  LS Ack List: current length 0, high water mark 2
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 2.2.2.2  (Designated Router)
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
    Youngest key id is 1
  Multi-area interface Count is 0
RP/0/0/CPU0:XR2#show ospf interface GigabitEthernet0/0/0/0
Fri Mar 27 16:03:52.791 UTC

GigabitEthernet0/0/0/0 is up, line protocol is up
  Internet Address 192.168.12.2/24, Area 0
  Process ID 1, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
  Transmit Delay is 1 sec, State DR, Priority 1, MTU 1500, MaxPktSz 1500
  Designated Router (ID) 2.2.2.2, Interface address 192.168.12.2
  Backup Designated router (ID) 1.1.1.1, Interface address 192.168.12.1
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:07:624
  Index 2/2, flood queue length 0
  Next 0(0)/0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 0 msec, maximum is 0 msec
  LS Ack List: current length 0, high water mark 1
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 1.1.1.1  (Backup Designated Router)
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
    Youngest key id is 1
  Multi-area interface Count is 0
3.3.2. show ospf neighbor

  • XR1とXR2でOSPFネイバーが確立されていることを確認します。

RP/0/0/CPU0:XR1#show ospf neighbor
Fri Mar 27 16:04:07.750 UTC

* Indicates MADJ interface
# Indicates Neighbor awaiting BFD session up

Neighbors for OSPF 1

Neighbor ID     Pri   State           Dead Time   Address         Interface
2.2.2.2         1     FULL/DR         00:00:33    192.168.12.2    GigabitEthernet0/0/0/0
    Neighbor is up for 00:05:28

Total neighbor count: 1
RP/0/0/CPU0:XR2#show ospf neighbor
Fri Mar 27 16:04:10.900 UTC

* Indicates MADJ interface
# Indicates Neighbor awaiting BFD session up

Neighbors for OSPF 1

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.1         1     FULL/BDR        00:00:35    192.168.12.1    GigabitEthernet0/0/0/0
    Neighbor is up for 00:05:36

Total neighbor count: 1
3.3.3. show route ospf

  • XR1で2.2.2.2/32のルートを学習していることを確認します。
  • XR2で1.1.1.1/32のルートを学習していることを確認します。

RP/0/0/CPU0:XR1#show route ospf
Fri Mar 27 16:04:24.989 UTC

O    2.2.2.2/32 [110/2] via 192.168.12.2, 00:05:14, GigabitEthernet0/0/0/0
RP/0/0/CPU0:XR2#show route ospf
Fri Mar 27 16:04:28.159 UTC

O    1.1.1.1/32 [110/2] via 192.168.12.1, 00:05:19, GigabitEthernet0/0/0/0