| 機械翻訳のご利用について |
| 機械翻訳版 - August 23, 2005 |
| ライター翻訳版 - August 30, 2004 |
| 英語版 - August 23, 2005 |
| Document ID: 13697 |
目次
概要
前提条件
要件
使用するコンポーネント
表記法
背景説明
設定
ネットワーク ダイアグラム
非暗号化テキスト認証のための設定
MD5 認証の設定
検証
平文認証の確認
MD5 認証の確認
トラブルシューティング
平文認証のトラブルシューティング
MD5 認証のトラブルシューティング
関連情報
概要
この文書では、OSPF 隣接ルータを柔軟に認証できる Open Shortest Path First(OSPF)認証の設定例を説明します。 セキュアな方法のルーティング更新の情報を交換するためにOSPFの認証を有効にすることができます。 OSPF認証はまたはMD5どれも(またはヌル)、簡単のどちらである場合もありません。 認証方式は「どれも」認証がOSPFのために使用されないし、それがデフォルトの方式であることを意味しません。 シンプル認証によって、パスワードはネットワーク上のクリアテキストで入ります。 MD5認証によって、パスワードはネットワークを渡りません。 MD5はRFC 1321で指定されるmessage-digestのアルゴリズムです。 MD5はセキュアOSPF認証のモードとみなされます。 認証を設定するとき、同じタイプの認証で全体のエリアを設定して下さい。 Cisco IOS Software release 12.0(8)から開始して? 、認証はインターフェイスごとにサポートされます。 これはまたRFC 2328、付録D
で述べられます。 この機能はCiscoバグID CSCdk33792 (登録ユーザのみ)に追加されます。
前提条件
要件
このドキュメントを読む人はOSPFルーティングのプロトコルの基本概念について詳しく知っているはずです。 OSPFルーティングのプロトコルの情報に関してはOpen Shortest Path Firstのドキュメンテーションを参照して下さい。
使用するコンポーネント
この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
Cisco 2503 ルータ
-
Cisco IOSソフトウェアリリース12.2 (27)
この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
背景説明
これらはOSPFによってサポートされる認証の3つの各種タイプです。
-
ヌル認証 - タイプ 0 とも呼ばれ、パケット ヘッダーには認証情報が含まれていないことを意味します。 これがデフォルト設定です。
-
認証この平文はまたType-1と呼ばれ、簡単なクリアテキストパスワードを使用します。
-
認証このMD5はまたType-2と呼ばれ、MD5暗号パスワードを使用します。
認証を設定する必要はありません。 しかし認証を設定した場合、同じセグメント上のすべてのピア ルータで、パスワードと認証方式が同じである必要があります。 この文書の例では、平文認証と MD5 認証の両方の設定を示します。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザ専用)。
ネットワーク ダイアグラム
この文書では、次のネットワーク設定を使用します。
非暗号化テキスト認証のための設定
平文認証は、より安全度が高い MD5 認証をエリア内のデバイスがサポートできない場合に使用されます。 平文認証の場合、インターネットワークは「スニファ攻撃」に対する脆弱性が残されたままです。この場合、プロトコル アナライザによってパケットが捕捉され、パスワードが読み取られる可能性があります。 しかし平文認証は、セキュリティのためよりもむしろ、OSPF の再設定を実行している場合に有効です。 たとえば、共通のブロードキャスト ネットワークを共有している古い OSPF ルータと新しい OSPF ルータで、別のパスワードを使用して、それらの相互の会話を防止できます。 平文認証パスワードはエリア全体で同一である必要はありませんが、隣接ルータ間では同じである必要があります。
|
R2-2503 |
|---|
interface Loopback0
ip address 70.70.70.70 255.255.255.255
!
interface Serial0
ip address 192.16.64.2 255.255.255.0
ip ospf authentication-key kal
!--- The Key value is set as "kal".
!--- It is the password that is sent across the network.
clockrate 64000
!
router ospf 10
log-adjacency-changes
network 70.0.0.0 0.255.255.255 area 0
network 192.16.64.0 0.0.0.255 area 0
area 0 authentication
!--- Plain text authentication is enabled for
!--- all interfaces in Area 0.
|
|
R1-2503 |
|---|
interface Loopback0 ip address 172.16.10.36 255.255.255.240 ! interface Serial0 ip address 192.16.64.1 255.255.255.0 ip ospf authentication-key kal !--- The Key value is set as "kal". !--- It is the password that is sent across the network. ! router ospf 10 network 172.16.0.0 0.0.255.255 area 0 network 192.16.64.0 0.0.0.255 area 0 area 0 authentication !--- Plain text authentication is enabled !--- for all interfaces in Area 0. |
注: 設定内の area authentication コマンドによって、特定エリア内のルータのすべてのインターフェイスに対し、認証がイネーブルになります。 またインターフェイスの下でインターフェイスのための非暗号化テキスト認証を設定するのにip ospf authenticationコマンドを使用できます。 インターフェイスが属しているエリアで別の認証方式が使われている場合、または認証方式が使われていない場合でも、このコマンドを使用できます。 それはエリアのために設定される認証方式を無効にします。 これは、同じエリアに属している別のインターフェイスで異なる認証方式を使用する必要がある場合に有効です。
MD5 認証の設定
MD5 認証では、平文認証よりも安全度が高いセキュリティが提供されます。 この方式では、MD5 アルゴリズムを使用して、OSPF パケットとパスワード(またはキー)の内容からハッシュ値を計算します。 このハッシュ値は、キー ID と減少しないシーケンス番号とともに、パケット内に置かれて送信されます。 同じパスワードを知っている受信側は、独自でハッシュ値を計算します。 メッセージの何も変更しない場合、レシーバのハッシュ値はメッセージと送信される送信側のハッシュ値と一致する必要があります。
キー ID により、ルータは複数のパスワードを参照できます。 このため、パスワードのマイグレーションが簡単になり、安全度も高くなります。 たとえば、あるパスワードから別のパスワードにマイグレーションする場合には、別のキー ID でパスワードを設定した後で、最初のキーを削除します。 シーケンス番号は、リプレイ攻撃を防止します。この攻撃では OSPF パケットの捕捉と変更が行われた後、ルータに再送信されます。 平文認証と同様、MD5 認証パスワードはエリア全体で同じである必要はありません。 しかし、隣接ルータ間では同じである必要があります。
注: Ciscoはルータすべてのservice password-encryptionコマンドを設定することを推奨します。 これによりルータはコンフィギュレーション・ファイルのあらゆるディスプレイのパスワードを暗号化します、ルータの設定のテキストのコピーの観察によって学ばれるパスワードに対して守ります。
|
R2-2503 |
|---|
interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 192.16.64.2 255.255.255.0 ip ospf message-digest-key 1 md5 kal !--- Message digest key with ID "1" and !--- Key value (password) is set as "kal". clockrate 64000 ! router ospf 10 network 192.16.64.0 0.0.0.255 area 0 network 70.0.0.0 0.255.255.255 area 0 area 0 authentication message-digest --> !--- MD5 authentication is enabled for !--- all interfaces in Area 0. |
|
R1-2503 |
|---|
interface Loopback0 ip address 172.16.10.36 255.255.255.240 ! interface Serial0 ip address 192.16.64.1 255.255.255.0 ip ospf message-digest-key 1 md5 kal !--- Message digest key with ID "1" and !--- Key (password) value is set as "kal". ! router ospf 10 network 172.16.0.0 0.0.255.255 area 0 network 192.16.64.0 0.0.0.255 area 0 area 0 authentication message-digest !--- MD5 authentication is enabled for !--- all interfaces in Area 0. |
注: 設定内の area authentication message-digest コマンドによって、特定エリア内のルータのすべてのインターフェイスに対し、認証がイネーブルになります。 またインターフェイスの下で特定のインターフェイスのためのMD5認証を設定するのにIP ospfのauthentication message-digestのコマンドを使用できます。 インターフェイスが属しているエリアで別の認証方式が使われている場合、または認証方式が使われていない場合でも、このコマンドを使用できます。 それはエリアのために設定される認証方式を無効にします。 これは、同じエリアに属している別のインターフェイスで異なる認証方式を使用する必要がある場合に有効です。
検証
これらのセクションはコンフィギュレーション作業をきちんと確認するのに使用できる情報を提供します。
特定の show コマンドは、アウトプットインタープリタ(登録ユーザ専用)によってサポートされています。これにより、show コマンド出力の分析を表示できます。
平文認証の確認
この出力が示すようにインターフェイスのために設定される認証種別を表示するのにshow ip ospf interfaceコマンドを使用して下さい。 ここでは、シリアル0インターフェイスは非暗号化テキスト認証のために設定されます。
R1-2503# show ip ospf interface serial0
Serial0 is up, line protocol is up
Internet Address 192.16.64.1/24, Area 0
Process ID 10, Router ID 172.16.10.36, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:04
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 4 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)
Simple password authentication enabled
show ip ospf neighborコマンドはこの出力が示すので、隣接の詳細で構成されているネイバーテーブルを表示します。
R1-2503# show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 70.70.70.70 1 FULL/ - 00:00:31 192.16.64.2 Serial0
show ip routeコマンドはこの出力が示すので、ルーティング・テーブルを表示します。
R1-2503# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
70.0.0.0/32 is subnetted, 1 subnets
O 70.70.70.70 [110/65] via 192.16.64.2, 00:03:28, Serial0
172.16.0.0/28 is subnetted, 1 subnets
C 172.16.10.32 is directly connected, Loopback0
C 192.16.64.0/24 is directly connected, Serial0
MD5 認証の確認
この出力が示すようにインターフェイスのために設定される認証種別を表示するのにshow ip ospf interfaceコマンドを使用して下さい。 ここでは、シリアル0インターフェイスはキーID 「1"でMD5認証のために設定されました。
R1-2503# show ip ospf interface serial0
Serial0 is up, line protocol is up
Internet Address 192.16.64.1/24, Area 0
Process ID 10, Router ID 172.16.10.36 , Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:05
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 4 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 70.70.70.70
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
show ip ospf neighborコマンドはこの出力が示すので、隣接の詳細で構成されているネイバーテーブルを表示します。
R1-2503# show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 70.70.70.70 1 FULL/ - 00:00:34 192.16.64.2 Serial0 R1-2503#
show ip routeコマンドはこの出力が示すので、ルーティング・テーブルを表示します。
R1-2503# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
70.0.0.0/32 is subnetted, 1 subnets
O 70.70.70.70 [110/65] via 192.16.64.2, 00:01:23, Serial0
172.16.0.0/28 is subnetted, 1 subnets
C 172.16.10.32 is directly connected, Loopback0
C 192.16.64.0/24 is directly connected, Serial0
トラブルシューティング
このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。 認証プロセスをキャプチャするためにdebug ip ospf adjコマンドを発行して下さい。 この debug コマンドは、隣接ルータとの関係を確立する前に実行する必要があります。
注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
平文認証のトラブルシューティング
R1-2503のためのdeb IP ospf adjの出力は非暗号化テキスト認証が正常であると示します。
R1-2503# debug ip ospf adj 00:50:57: %LINK-3-UPDOWN: Interface Serial0, changed state to down 00:50:57: OSPF: Interface Serial0 going Down 00:50:57: OSPF: 172.16.10.36 address 192.16.64.1 on Serial0 is dead, state DOWN 00:50:57: OSPF: 70.70.70.70 address 192.16.64.2 on Serial0 is dead, state DOWN 00:50:57: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from FULL to DOWN, Neighbor Down: Interface down or detached 00:50:58: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x80000009 00:50:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down 00:51:03: %LINK-3-UPDOWN: Interface Serial0, changed state to up 00:51:03: OSPF: Interface Serial0 going Up 00:51:04: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x8000000A 00:51:04: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up 00:51:13: OSPF: 2 Way Communication to 70.70.70.70 on Serial0, state 2WAY 00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2486 opt 0x42 flag 0x7 len 32 00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x19A4 opt 0x42 flag 0x7 len 32 mtu 1500 state EXSTART 00:51:13: OSPF: First DBD and we are not SLAVE 00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2486 opt 0x42 flag 0x2 len 72 mtu 1500 state EXSTART 00:51:13: OSPF: NBR Negotiation Done. We are the MASTER 00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2487 opt 0x42 flag 0x3 len 72 00:51:13: OSPF: Database request to 70.70.70.70 00:51:13: OSPF: sent LS REQ packet to 192.16.64.2, length 12 00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2487 opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 00:51:13: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2488 opt 0x42 flag 0x1 len 32 00:51:13: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2488 opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 00:51:13: OSPF: Exchange Done with 70.70.70.70 on Serial0 00:51:13: OSPF: Synchronized with 70.70.70.70 on Serial0, state FULL !--- Indicates the neighbor adjacency is established. 00:51:13: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from LOADING to FULL, Loading Done 00:51:14: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x8000000B R1-2503#
これはルータで設定される認証の種類にミスマッチがあるときdebug ip ospf adjコマンドの出力です。 この出力はルータR2-2503がタイプ0認証のために設定される一方ルータR1-2503がタイプ1の認証を使用することを示したものです。 これはルータR2-2503がヌル認証(0)タイプのために設定される一方ルータR1-2503が非暗号化テキスト認証(タイプ1)のために設定されることを意味します。
R1-2503# debug ip ospf adj 00:51:23: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch Authentication type. !--- Input packet specified type 0, you use type 1.
これは認証鍵(パスワード)値にミスマッチがあるときdebug ip ospf adjコマンドの出力です。 この場合、ルータは両方とも非暗号化テキスト認証(タイプ1)のために設定されますが、キー(パスワード)値にミスマッチがあります。
R1-2503# debug ip ospf adj 00:51:33: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch Authentication Key - Clear Text
MD5 認証のトラブルシューティング
これはMD5認証が正常なときR1-2503のためのdebug ip ospf adjコマンドの出力です。
R1-2503# debug ip ospf adj 00:59:03: OSPF: Send with youngest Key 1 00:59:13: OSPF: Send with youngest Key 1 00:59:17: %LINK-3-UPDOWN: Interface Serial0, changed state to down 00:59:17: OSPF: Interface Serial0 going Down 00:59:17: OSPF: 172.16.10.36 address 192.16.64.1 on Serial0 is dead, state DOWN 00:59:17: OSPF: 70.70.70.70 address 192.16.64.2 on Serial0 is dead, state DOWN 00:59:17: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from FULL to DOWN, Neighbor Down: Interface down or detached 00:59:17: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x8000000E 00:59:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down 00:59:32: %LINK-3-UPDOWN: Interface Serial0, changed state to up 00:59:32: OSPF: Interface Serial0 going Up 00:59:32: OSPF: Send with youngest Key 1 00:59:33: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x8000000F 00:59:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: 2 Way Communication to 70.70.70.70 on Serial0, state 2WAY !--- Both neighbors configured for Message !--- digest authentication with Key ID "1". 00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2125 opt 0x42 flag 0x7len 32 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x11F3 opt 0x42 flag 0x7 len 32 mtu 1500 state EXSTART 00:59:42: OSPF: First DBD and we are not SLAVE 00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2125 opt 0x42 flag 0x2 len 72 mtu 1500 state EXSTART 00:59:42: OSPF: NBR Negotiation Done. We are the MASTER 00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2126 opt 0x42 flag 0x3 len 72 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: Database request to 70.70.70.70 00:59:42: OSPF: sent LS REQ packet to 192.16.64.2, length 12 00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2126 opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 00:59:42: OSPF: Send DBD to 70.70.70.70 on Serial0 seq 0x2127 opt 0x42 flag 0x1len 32 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: Send with youngest Key 1 00:59:42: OSPF: Rcv DBD from 70.70.70.70 on Serial0 seq 0x2127 opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 00:59:42: OSPF: Exchange Done with 70.70.70.70 on Serial0 00:59:42: OSPF: Synchronized with 70.70.70.70 on Serial0, state FULL 00:59:42: %OSPF-5-ADJCHG: Process 10, Nbr 70.70.70.70 on Serial0 from LOADING to FULL, Loading Done 00:59:43: OSPF: Build router LSA for area 0, router ID 172.16.10.36, seq 0x80000010 00:59:43: OSPF: Send with youngest Key 1 00:59:45: OSPF: Send with youngest Key 1 R1-2503#
これはルータで設定される認証の種類にミスマッチがあるときdebug ip ospf adjコマンドの出力です。 この出力はルータR2-2503がタイプ1の認証(非暗号化テキスト認証)を使用する一方ルータR1-2503がタイプ2 (MD5)の認証を使用することを示したものです。
R1-2503# debug ip ospf adj 00:59:33: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch Authentication type. !--- Input packet specified type 1, you use type 2.
これは認証のために使用するキーIDにミスマッチがあるときdebug ip ospf adjコマンドの出力です。 この出力はルータR2-2503がキーID 2.とMD5認証を使用する一方ルータR1-2503がキーID 1とMD5認証を使用することを示したものです。
R1-2503# debug ip ospf adj 00:59:33: OSPF: Send with youngest Key 1 00:59:43: OSPF: Rcv pkt from 192.16.64.2, Serial0 : Mismatch Authentication Key - No message digest key 2 on interface
R1-2503のためのこのdebug ip ospf adjコマンドの出力はキー1およびMD5認証のためのキー両方2が移行の一部として設定されるとき示します。
R1-2503# debug ip ospf adj 00:59:43: OSPF: Send with youngest Key 1 00:59:53: OSPF: Send with youngest Key 2 !--- Informs that this router is also configured !--- for Key 2 and both routers now use Key 2. 01:00:53: OSPF: 2 Way Communication to 70.70.70.70 on Serial0, state 2WAY R1-2503#
関連情報
- 仮想リンクでの OSPF 認証設定
- show ip ospf neighbor コマンドが初期状態のネイバを表示する理由
- OSPF コマンド
- OSPF 設定例
- OSPF テクノロジーに関するサポート ページ
- テクニカルサポート&ドキュメンテーション - シスコシステムズ