目次
概要
前提条件
要件
使用するコンポーネント
表記法
背景説明
設定
ネットワーク ダイアグラム
設定
平文認証の設定
MD5 認証の設定
検証
平文認証の確認
MD5 認証の確認
トラブルシューティング
トラブルシューティングのためのコマンド
関連情報
この文書では、Routing Information Protocol version 2(RIPv2)におけるルーティング情報交換プロセスの認証の設定例について説明します。
RIPv2のCiscoインプリメンテーションは認証の2つのモードをサポートします: 平文認証と Message Digest 5(MD5)認証 非暗号化テキスト認証モードは認証が有効になるとき、各RIPv2パケットのデフォルト設定です。 非暗号化テキスト認証は非暗号化認証パスワードが各RIPv2パケットで送信されるのでセキュリティが問題のとき使用するべきではありません。
注: Ripバージョン1 (RIPv1)は認証をサポートしません。 である場合RIPv2パケットを送信し、受信します、インターフェイスのRIP認証を有効にすることができます。
このドキュメントを読む人は次の基本的な理解がある必要があります:
この文書は特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 Cisco IOS®ソフトウェアバージョン11.1から始まって、RIPv2はサポートされ、従って設定で与えられるすべてのコマンドはCisco IOS®ソフトウェアバージョン11.1およびそれ以降でサポートされます。
資料の設定はこれらのソフトウェアおよびハードウェアバージョンを使用してテストされ、アップデートされます:
この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。
文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。
今日のネットワーク設計者にとって、セキュリティは最も重要な関心事の 1 つになっています。 ネットワークのセキュリティには、ルータ間でのルーティング情報の交換に関するセキュリティも含まれます。たとえば、ルーティング テーブルに書き込まれる情報が有効なものであること、これがネットワークの妨害を意図するような発信者から送られたり、改ざんされたりしたものではないことの確認などです。 攻撃者は、不正な更新情報を持ち込んでルータが誤った宛先にデータを送るようにしたり、ネットワークのパフォーマンスを著しく低下させようとします。 さらに、不正なルート更新によってルーティング テーブルの内容が破壊されることもありますが、これは設定がよくないこと(ネットワークの境界に対して passive interface コマンドが使用されていないなど)、あるいはルータの動作不良が原因で発生します。 このような理由でルータで動作するルーティング更新プロセスを認証することは慎重を要します。
このセクションでは、この文書で説明する機能の設定に必要な情報を提供します。
注: この文書で使用されているコマンドの詳細を調べるには、Command Lookup ツールを使用してください(登録ユーザのみ)。
この文書では、次の図に示すネットワーク設定を使用しています。
上記の次の設定例のために使用されるネットワークは2つのルータで構成されています; RIPおよび定期的にルーティングアップデートを交換することを実行しているルータRB、およびルータRA。 このシリアル リンクを経由するルーティング情報の交換は、認証を受ける必要があります。
RIPv2での認証を設定するためにこれらのステップを遂行して下さい:
-
名前のキーホルダーを定義して下さい。
注: キーホルダーはインターフェイスで使用できるキーのセットを判別します。 キーホルダーが設定されない場合、認証はそのインターフェイスで実行された。
-
キーホルダーのキーかキーを定義して下さい。
-
キーで使用されるべきパスワードかキーストリングを規定して下さい。
これは認証されるルーティングプロトコルを使用してパケットで伝送され、受け取る必要がある認証文字列です。 (下記に与えられる例でストリングの値は234です。)
-
インターフェイスの認証を有効にし、使用されるべきキーホルダーを規定して下さい。
認証がインターフェイス基礎ごとのaで有効になるので、RIPv2を実行するルータはある種のインターフェイスの認証のために設定し、他のインターフェイスの認証なしで操作できます。
-
インターフェイスが平文かMD5認証を使用するかどうか規定して下さい。
RIPv2で使用されるデフォルトの認証は認証が前のステップで有効になるとき、非暗号化テキスト認証です。 このように、場合非暗号化テキスト認証を使用している、このステップが必要となりません。
-
Configure鍵管理(このステップはオプションです)。
キー管理は制御認証鍵の方式です。 これが別のものに形式1認証鍵を移行するのに使用されています。 詳細については、IP Routing Protocol-Independent機能の設定の" Manage Authentication Keys "セクションを参照して下さい。
RIP 更新を認証する 2 種類の方法のうちの 1 つは、平文認証を使用する方法です。 この方法は、次の表に示すように設定します。
|
RA |
key chain kal
!--- Name a key chain. A key chain may contain more than one key for added security.
!--- It need not be identical on the remote router.
key 1
!--- This is the Identification number of an authentication key on a key chain.
!--- It need not be identical on the remote router.
key-string 234
!--- The actual password or key-string.
!--- It needs to be identical to the key-string on the remote router.
!
interface Loopback0
ip address 70.70.70.70 255.255.255.255
!
interface Serial0
ip address 141.108.0.10 255.255.255.252
ip rip authentication key-chain kal
!--- Enables authentication on the interface and configures
!--- the key chain that will be used.
!
router rip
version 2
network 141.108.0.0
network 70.0.0.0
|
|
RB |
key chain kal
key 1
key-string 234
!
interface Loopback0
ip address 80.80.80.1 255.255.255.0
!
interface Serial0
ip address 141.108.0.9 255.255.255.252
ip rip authentication key-chain kal
clockrate 64000
!
router rip
version 2
network 141.108.0.0
network 80.0.0.0
|
コマンドの詳細な情報に関しては、Cisco IOS IPコマンドレファレンスを参照して下さい。
MD5 認証は、シスコによって追加されたオプションの認証モードであり、RFC 1723 で定義された平文認証を基にしています。
設定は平文認証の場合と同じですが、ip rip authentication mode md5 コマンドを追加する部分が異なっています。 ユーザはMD5認証方式へのリンクの両端でルータインターフェイスを設定する必要がありま両側のキー番号およびキーストリングマッチを確かめます。
|
RA |
key chain kal
!--- Need not be identical on the remote router.
key 1
!--- Needs to be identical on remote router.
key-string 234
!--- Needs to be identical to the key-string on the remote router.
!
interface Loopback0
ip address 70.70.70.70 255.255.255.255
!
interface Serial0
ip address 141.108.0.10 255.255.255.252
ip rip authentication mode md5
!--- Specifies the type of authentication used
!--- in RIPv2 packets.
!--- Needs to be identical on remote router.
!-- To restore clear text authentication, use the no form of this command.
ip rip authentication key-chain kal
!
router rip
version 2
network 141.108.0.0
network 70.0.0.0
|
|
RB |
key chain kal
key 1
key-string 234
!
interface Loopback0
ip address 80.80.80.1 255.255.255.0
!
interface Serial0
ip address 141.108.0.9 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain kal
clockrate 64000
!
router rip
version 2
network 141.108.0.0
network 80.0.0.0
|
コマンドの詳細な情報に関しては、Cisco IOSコマンドレファレンスを参照して下さい。
このセクションは設定を確認するために情報をきちんとはたらいています提供します。
上記のようにルータを設定することで、すべてのルーティング更新の交換が、許可される前に認証されるようになります。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。
注: Debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
RB#debug ip rip
RIP protocol debugging is on
*Mar 3 02:11:39.207: RIP: received packet with text authentication 234
*Mar 3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0
*Mar 3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops
RB#show ip route
R 70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0
80.0.0.0/24 is subnetted, 1 subnets
C 80.80.80.0 is directly connected, Loopback0
141.108.0.0/30 is subnetted, 1 subnets
C 141.108.0.8 is directly connected, Serial0
平文認証を使用することで、ローカルのルーティング交換プロセスには参加し得ないルータからのルーティング更新を排除でき、ネットワーク設計が向上します。 しかし、この認証方式は万全ではありません。 パスワード(この例の234)は平文で交換されます。 これは簡単に捕捉され、利用されてしまう可能性があります。 先に述べたように、セキュリティが問題になる場合には、平文認証よりも MD5 認証の方を使用してください。
上に示されているようにRAおよびRBルータを設定することによって、すべてのルーティング更新交換は受け入れられる前に認証されます。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。
RB#debug ip rip
RIP protocol debugging is on
*Mar 3 20:48:37.046: RIP: received packet with MD5 authentication
*Mar 3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0
*Mar 3 20:48:37.050: 70.0.0.0/8 via 0.0.0.0 in 1 hops
RB#show ip route
R 70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0
80.0.0.0/24 is subnetted, 1 subnets
C 80.80.80.0 is directly connected, Loopback0
141.108.0.0/30 is subnetted, 1 subnets
C 141.108.0.8 is directly connected, Serial0
MD5 認証では、強力なハッシング アルゴリズムとして知られている単方向の MD5 ハッシュ アルゴリズムを使用しています。 このモードの認証では、ルーティング更新によって認証の目的でパスワードが搬送されることはありません。 その代わり、MD5 アルゴリズムによって 128 ビットのメッセージがパスワードの目的で作成され、このメッセージが認証用に送信されます。 従って、それはセキュアであるので非暗号化テキスト認証上のMD5認証を使用するために推奨しましたあります。
このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。
特定の show コマンドは、アウトプットインタープリタ(登録ユーザ専用)によってサポートされています。これにより、show コマンド出力の分析を表示できます。
debug ip ripコマンドはRIPv2認証関連の問題の解決に使用することができます。
注: debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。
注: 以下は近接ルータ間で同一の必要がある認証関連のパラメータのうちのどれかが一致していないとき、debug ip ripコマンド出力の例です。 これはルーティングテーブルに受け取ったルートをインストールしない1つのまたは両方のルータという結果に終るかもしれません。
RA#debug ip rip
RIP protocol debugging is on
*Mar 1 06:47:42.422: RIP: received packet with text authentication 234
*Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication)
RB#debug ip rip
RIP protocol debugging is on
*Mar 1 06:48:58.478: RIP: received packet with text authentication 235
*Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)
ルータがRIPによってルートを学習していないことをshow ip routeコマンドからの以下に示したものです:
RB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
80.0.0.0/24 is subnetted, 1 subnets
C 80.80.80.0 is directly connected, Loopback0
141.108.0.0/30 is subnetted, 1 subnets
C 141.108.0.8 is directly connected, Serial0
RB#
注1: 非暗号化テキスト認証モードを使用した場合、次のパラメータが認証の成功のための近接ルータで一致していることを確かめて下さい。
注 2: MD5認証モード、なぜなら認証の成功を使用した場合次のパラメータが近接ルータで一致していることを確かめて下さい。
|