IP : IP ルーティング

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ネットワーク ダイアグラム
      設定
      平文認証の設定
      MD5 認証の設定
検証
      平文認証の確認
      MD5 認証の確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連情報

概要

この文書では、Routing Information Protocol version 2（RIPv2）におけるルーティング情報交換プロセスの認証の設定例について説明します。

RIPv2のCiscoインプリメンテーションは認証の2つのモードをサポートします: 平文認証と Message Digest 5（MD5）認証 非暗号化テキスト認証のモードは認証が有効になるとき、各RIPv2パケットのデフォルト設定です。 非暗号化テキスト認証は非暗号化認証パスワードが各RIPv2パケットで送信されるのでセキュリティが問題のとき使用するべきではありません。

注： Ripバージョン1 (RIPv1)は認証をサポートしません。 RIPv2パケットを送受信する場合、インターフェイスのRIPの認証を有効にすることができます。

前提条件

要件

このドキュメントを読む人に次の基本的な理解がある必要があります:

• RIPv1およびRIPv2

使用するコンポーネント

この文書は特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 Cisco IOSから始まってか。 ソフトウェアのバージョン11.1、RIPv2サポートされるおよび従ってすべてのコマンド設定でサポートされますCisco IOSで与えられますか。 ソフトウェアのバージョン11.1およびそれ以降。

資料の設定はこれらのを使用してテストされ、ソフトウェアおよびハードウェア・バージョンをアップデートされます:

• Cisco 2500 シリーズ ルータ

• Cisco IOSソフトウェアバージョン12.3 (3)

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期（デフォルト）の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

背景説明

今日のネットワーク設計者にとって、セキュリティは最も重要な関心事の 1 つになっています。 ネットワークのセキュリティには、ルータ間でのルーティング情報の交換に関するセキュリティも含まれます。たとえば、ルーティング テーブルに書き込まれる情報が有効なものであること、これがネットワークの妨害を意図するような発信者から送られたり、改ざんされたりしたものではないことの確認などです。 攻撃者は、不正な更新情報を持ち込んでルータが誤った宛先にデータを送るようにしたり、ネットワークのパフォーマンスを著しく低下させようとします。 さらに、不正なルート更新によってルーティング テーブルの内容が破壊されることもありますが、これは設定がよくないこと（ネットワークの境界に対して passive interface コマンドが使用されていないなど）、あるいはルータの動作不良が原因で発生します。 このような理由でルータで動作するルーティング更新プロセスを認証することは慎重を要します。

設定

このセクションでは、この文書で説明する機能の設定に必要な情報を提供します。

注： この文書で使用されているコマンドの詳細を調べるには、Command Lookup ツールを使用してください（登録ユーザのみ）。

ネットワーク ダイアグラム

この文書では、次の図に示すネットワーク設定を使用しています。

上記の次の設定例のために使用されるネットワークは2つのルータで構成されています; RIPおよび定期的にルーティングアップデートを交換することを実行しているルータのRB、およびルータRA。 このシリアル リンクを経由するルーティング情報の交換は、認証を受ける必要があります。

設定

RIPv2での認証を設定するためにこれらのステップを遂行して下さい:

1. 名前のキーホルダーを定義して下さい。

   注： キーホルダーはインターフェイスで使用できるキーのセットを判別します。 キーホルダーが設定されない場合、認証はそのインターフェイスで行われません。

2. キーホルダーのキーかキーを定義して下さい。

3. キーで使用されるべきパスワードかキーストリングを指定して下さい。

   これは認証されるルーティング・プロトコルを使用してパケットで送受信する必要がある認証文字列です。 (下記に与えられる例にストリングの値は234です。)

4. インターフェイスの認証を有効にし、使用されるべきキーホルダーを指定して下さい。

   認証がインターフェイスの基礎ごとのaで有効になるので、RIPv2を実行するルータはある種のインターフェイスの認証のために設定し、他のインターフェイスの認証なしで操作できます。

5. インターフェイスが平文かMD5認証を使用するかどうか指定して下さい。

   RIPv2で使用されるデフォルトの認証は認証が前のステップで有効になるとき、非暗号化テキスト認証です。 このように、場合非暗号化テキスト認証を使用している、このステップが必要となりません。

6. キー管理を設定して下さい(このステップはオプションです)。

   キー管理は制御の認証鍵の方式です。 これが別のものに形式1の認証鍵を移行するのに使用されています。 詳細については、IP Routing Protocol-Independent機能の設定の" Manage Authentication Keys "セクションを参照して下さい。

平文認証の設定

RIP 更新を認証する 2 種類の方法のうちの 1 つは、平文認証を使用する方法です。 この方法は、次の表に示すように設定します。

key chain kal

!--- Name a key chain. A key chain may contain more than one key for added security. 
!--- It need not be identical on the remote router.


key 1

!--- This is the Identification number of an authentication key on a key chain.
!--- It need not be identical on the remote router. 


key-string 234

!--- The actual password or key-string.
!--- It needs to be identical to the key-string on the remote router.


!

 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

ip rip authentication key-chain kal

!--- Enables authentication on the interface and configures
!--- the key chain that will be used.


!

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

key chain kal

key 1
key-string 234


!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0 

 

コマンドの詳細な情報に関しては、Cisco IOS IPのコマンドレファレンスを参照して下さい。

MD5 認証の設定

MD5 認証は、シスコによって追加されたオプションの認証モードであり、RFC 1723 で定義された平文認証を基にしています。 設定は平文認証の場合と同じですが、ip rip authentication mode md5 コマンドを追加する部分が異なっています。 ユーザはMD5認証の方式へのリンクの両端でルータ・インターフェイスを設定する必要がありま両側のキー番号およびキーのストリングマッチを確かめます。

key chain kal


!--- Need not be identical on the remote router.


 key 1


!--- Needs to be identical on remote router.


key-string 234


!--- Needs to be identical to the key-string on the remote router.


 !



 interface Loopback0 

  ip address 70.70.70.70 255.255.255.255 

 ! 

 interface Serial0 

  ip address 141.108.0.10 255.255.255.252

  ip rip authentication mode md5

!--- Specifies the type of authentication used
!--- in RIPv2 packets.
!--- Needs to  be identical on remote router.
!-- To restore clear text authentication, use the no form of this command.


  ip rip authentication key-chain kal

 !

 router rip 

  version 2 

  network 141.108.0.0 

  network 70.0.0.0

key chain kal

key 1

key-string 234

!

interface Loopback0 

 ip address 80.80.80.1 255.255.255.0 

!

interface Serial0 

 ip address 141.108.0.9 255.255.255.252 

 ip rip authentication mode md5

 ip rip authentication key-chain kal

 clockrate 64000 

!

router rip 

 version 2 

 network 141.108.0.0 

 network 80.0.0.0

コマンドの詳細な情報に関しては、Cisco IOSコマンドのレファレンスを参照して下さい。

検証

平文認証の確認

このセクションは設定を確認するために情報をきちんとはたらいています提供します。

上記のようにルータを設定することで、すべてのルーティング更新の交換が、許可される前に認証されるようになります。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。

注： debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

RB#debug ip rip

 RIP protocol debugging is on

*Mar  3 02:11:39.207: RIP: received packet with text authentication 234

*Mar  3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops

RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

平文認証を使用することで、ローカルのルーティング交換プロセスには参加し得ないルータからのルーティング更新を排除でき、ネットワーク設計が向上します。 しかし、この認証方式は万全ではありません。 パスワード(この例の234)は平文で交換されます。 これは簡単に捕捉され、利用されてしまう可能性があります。 先に述べたように、セキュリティが問題になる場合には、平文認証よりも MD5 認証の方を使用してください。

MD5 認証の確認

上に示されているようにRAおよびRBのルータを設定することによって、すべてのルーティング更新交換は受け入れられる前に認証されます。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。

RB#debug ip rip   

 RIP protocol debugging is on

*Mar  3 20:48:37.046: RIP: received packet with MD5 authentication

*Mar  3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0

*Mar  3 20:48:37.050:  70.0.0.0/8 via 0.0.0.0 in 1 hops



RB#show ip route  

R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0

     80.0.0.0/24 is subnetted, 1 subnets

C       80.80.80.0 is directly connected, Loopback0

     141.108.0.0/30 is subnetted, 1 subnets

C       141.108.0.8 is directly connected, Serial0

MD5 認証では、強力なハッシング アルゴリズムとして知られている単方向の MD5 ハッシュ アルゴリズムを使用しています。 このモードの認証では、ルーティング更新によって認証の目的でパスワードが搬送されることはありません。 その代わり、MD5 アルゴリズムによって 128 ビットのメッセージがパスワードの目的で作成され、このメッセージが認証用に送信されます。 従って、それはセキュアであるので非暗号化テキスト認証上のMD5認証を使用するために推奨しましたあります。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

特定の show コマンドは、アウトプットインタープリタ（登録ユーザ専用）によってサポートされています。これにより、show コマンド出力の分析を表示できます。

debug ip ripコマンドはRIPv2認証関連の問題の解決に使用することができます。

注： debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。

注： 以下は近接ルータ間で同一の必要がある認証関連のパラメータのうちのどれかが一致していないとき、debug ip ripコマンドの出力の例です。 これはルーティング・テーブルに受け取ったルートをインストールしない1つのまたは両方のルータという結果に終るかもしれません。

RA#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:47:42.422: RIP: received packet with text authentication 234

   *Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication)


   RB#debug ip rip

   RIP protocol debugging is on



   *Mar 1 06:48:58.478: RIP: received packet with text authentication 235

   *Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)

ルータがRIPによってルートを学習していないことをshow ip routeコマンドからの以下に示したものです:

RB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP       
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set
		 
80.0.0.0/24 is subnetted, 1 subnets

   C 80.80.80.0 is directly connected, Loopback0

   	141.108.0.0/30 is subnetted, 1 subnets

   C 141.108.0.8 is directly connected, Serial0

   RB#

注 1： 非暗号化テキスト認証のモードを使用した場合、次のパラメータが認証の成功のための近接ルータで一致していることを確かめて下さい。

• キーストリング

• 認証モード

注 2： MD5認証のモード、なぜなら認証の成功を使用した場合次のパラメータが近接ルータで一致していることを確かめて下さい。

• キーストリング

• キー番号

• 認証モード

関連情報

• ルーティング情報プロトコル(RIP)への紹介
• RIPの設定
• IPルーティングのプロトコル独立した機能の設定
• RIPコマンド
• Cisco IOS IPのコマンドレファレンス、4の音量2: ルーティング・プロトコル、リリース12.3
• RIPのTechnology Supportページ
• IPルーティングのプロトコルTechnology Supportページ
• テクニカル サポート - シスコシステムズ