IP : 拡張内部ゲートウェイ ルーティング プロトコル(EIGRP)

EIGRP メッセージ認証の設定例

2014 年 9 月 6 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 2 月 27 日) | 英語版 (2014 年 8 月 12 日) | フィードバック


このドキュメントは PBM IT Solutions 社の Cliff Stewart 氏から寄せられた情報に基づくものです。


目次


概要

このドキュメントでは、Enhanced IGRP(EIGRP)ルータにメッセージ認証を追加する方法と、ルーティング テーブルを故意の破損や偶発的な破損から保護する方法を説明しています。

ルータの EIGRP メッセージに認証を追加することにより、ルータでは、同じ事前共有キーが認識されている他のルータからのルーティング メッセージのみが受け入れられるようになります。 この認証を設定していないと、別のユーザが他のルート情報または矛盾するルート情報を使用して他のルータをネットワークに導入した場合に、ルータのルーティング テーブルが破損され、DoS 攻撃を受ける危険性があります。 そのため、ルータ間を送信される EIGRP メッセージに認証を追加することにより、ネットワークに他のルータが意図的にまたは誤って追加され、問題が発生することを防ぐことができます。

注意 注意: 注意:ルータのインターフェイスに EIGRP メッセージ認証が追加されると、相手のルータにもメッセージ認証が設定されるまで、このルータでは相手のルータからのルーティング メッセージが受信されなくなります。 これにより、ネットワーク上のルーティング通信が中断されます。 詳細は、「Dallas に設置されているルータのみで設定されている場合のメッセージ」を参照してください。

前提条件

要件

  • すべてのルータで時刻を正確に設定する必要があります。 詳細については、『NTP の設定』を参照してください。

  • 実稼働中の EIGRP の設定が推奨されます。

使用するコンポーネント

この文書に記載されている情報は Cisco IOS® ソフトウェアリリース 11.2 およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/82110/eigrp-authentication-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

このシナリオでは、ネットワーク管理者は、Dallas に設置されているハブ ルータと Fort Worth および Houston のリモート サイトの間でやりとりされる EIGRP メッセージの認証を設定したいと考えています。 これら 3 つのルータでは、EIGRP 設定(認証なし)はすでに完了しています。 次の出力例は、Dallas に設置されているルータのものです。

Dallas#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H   Address                 Interface   Hold Uptime   SRTT   RTO  Q  Seq Type
                                        (sec)         (ms)       Cnt Num
1   192.169.1.6             Se0/0.2       11 15:59:57   44   264  0  2
0   192.169.1.2             Se0/0.1       12 16:00:40   38   228  0  3
Dallas#show cdp neigh
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
Houston          Ser 0/0.2          146          R        2611      Ser 0/0.1
FortWorth        Ser 0/0.1          160          R        2612      Ser 0/0.1

EIGRP メッセージ認証の設定

EIGRP メッセージ認証の設定は、次の 2 つのステップから構成されています。

  1. キーチェーンとキーを作成する。

  2. 作成したキーチェーンとキーを使用するように EIGRP 認証を設定する。

このセクションでは、EIGRP メッセージ認証を、Dallas に設置されているルータで設定してから、Fort Worth と Houston に設置されているルータで設定する手順を示しています。

Dallas に設置されているルータでのキーチェーンの作成

ルーティング認証が機能するためには、キーチェーン上のキーが必要です。 認証を有効にする前に、キーチェーンと少なくとも 1 つのキーを作成する必要があります。

  1. グローバル設定モードに入ります。

    Dallas#configure terminal
    
  2. キーチェーンを作成します。 この例では、「MYCHAIN」を使用しています。

    Dallas(config)#key chain MYCHAIN
    
  3. キー番号を指定します。 この例では、「1」を使用しています。

    注: キー番号は、設定に関連するすべてのルータで同じ番号にすることを推奨します。

    Dallas(config-keychain)#key 1
    
  4. キーのためのキー ストリングを規定 して下さい。 securetraffic この例で使用されます。

    Dallas(config-keychain-key)#key-string securetraffic
    
  5. 設定が完了しました。

    Dallas(config-keychain-key)#end
    Dallas#

Dallas に設置されているルータでの認証の設定

キーチェーンとキーを作成したら、そのキーを使用してメッセージ認証を行うように EIGRP を設定する必要があります。 EIGRP が設定されているインターフェイスではこの設定が完了しています。

注意 注意: 注意:Dallas に設置されているルータのインターフェイスに EIGRP メッセージ認証が追加されると、他のルータにもメッセージ認証が設定されるまで、このルータでは他のルータからのルーティング メッセージが受信されなくなります。 これにより、ネットワーク上のルーティング通信が中断されます。 詳細は、「Dallas に設置されているルータのみで設定されている場合のメッセージ」を参照してください。

  1. グローバル設定モードに入ります。

    Dallas#configure terminal
    
  2. グローバル コンフィギュレーション モードで、EIGRP メッセージ認証を設定するインターフェイスを指定します。 この例では、最初のインターフェイスは「Serial 0/0.1」です。

    Dallas(config)#interface serial 0/0.1
    
  3. EIGRP メッセージ認証を有効にします。 ここでは使用される 10 はネットワークの自律システム番号です。 md5 は md5 ハッシュが認証に使用するべきであることを示します。

    Dallas(config-subif)#ip authentication mode eigrp 10 md5
    
  4. 認証で使用するキーチェーンを指定します。 「10」は自律システム番号です。 「MYCHAIN」は、「キーチェーンの作成」セクションで作成したキーチェーンです。

    Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
    Dallas(config-subif)#end
    
  5. インターフェイス Serial 0/0.2 で同じ設定を行います。

    Dallas#configure terminal
    Dallas(config)#interface serial 0/0.2
    Dallas(config-subif)#ip authentication mode eigrp 10 md5
    Dallas(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
    Dallas(config-subif)#end
    Dallas#

Fort Worth に設置されているルータの設定

このセクションでは、Fort Worth に設置されているルータで EIGRP メッセージ認証を設定するために必要なコマンドを説明しています。 ここで示すコマンドの詳しい説明は、「Dallas に設置されているルータでのキーチェーンの作成」と「Dallas に設置されているルータでの認証の設定」を参照してください。

FortWorth#configure terminal
FortWorth(config)#key chain MYCHAIN
FortWorth(config-keychain)#key 1
FortWort(config-keychain-key)#key-string securetraffic
FortWort(config-keychain-key)#end
FortWorth#
Fort Worth#configure terminal
FortWorth(config)#interface serial 0/0.1
FortWorth(config-subif)#ip authentication mode eigrp 10 md5
FortWorth(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
FortWorth(config-subif)#end
FortWorth#

Houston に設置されているルータの設定

このセクションでは、Houston に設置されているルータで EIGRP メッセージ認証を設定するために必要なコマンドを説明しています。 ここで示すコマンドの詳しい説明は、「Dallas に設置されているルータでのキーチェーンの作成」と「Dallas に設置されているルータでの認証の設定」を参照してください。

Houston#configure terminal
Houston(config)#key chain MYCHAIN
Houston(config-keychain)#key 1
Houston(config-keychain-key)#key-string securetraffic
Houston(config-keychain-key)#end
Houston#
Houston#configure terminal
Houston(config)#interface serial 0/0.1
Houston(config-subif)#ip authentication mode eigrp 10 md5
Houston(config-subif)#ip authentication key-chain eigrp 10 MYCHAIN
Houston(config-subif)#end
Houston#

確認

ここでは、設定が正常に動作していることを確認します。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

Dallas に設置されているルータのみで設定されている場合のメッセージ

Dallas に設置されているルータで EIGRP メッセージ認証が設定されると、そのルータでは Fort Worth と Houston に設置されているルータからのメッセージが拒否されるようになります。これは、これらのルータではまだ認証が設定されていないためです。 このことは、Dallas に設置されているルータで debug eigrp packets コマンドを発行すると確認できます。

Dallas#debug eigrp packets
17:43:43: EIGRP: ignored packet from 192.169.1.2 (invalid authentication)
17:43:45: EIGRP: ignored packet from 192.169.1.6 (invalid authentication)

!--- Packets from Fort Worth and Houston are ignored because they are
!--- not yet configured for authentication.

すべてのルータで設定されている場合のメッセージ

3 つのルータすべてで EIGRP メッセージ認証が設定されると、再び EIGRP メッセージがやりとりされるようになります。 このことは、再び debug eigrp packets コマンドを発行すると確認できます。 この場合、Fort Worth と Houston に設置されているルータからの出力は、次のようになります。

FortWorth#debug eigrp packets
00:47:04: EIGRP: received packet with MD5 authentication, key id = 1
00:47:04: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.1

!--- Packets from Dallas with MD5 authentication are received.

Houston#debug eigrp packets
 00:12:50.751: EIGRP: received packet with MD5 authentication, key id = 1
 00:12:50.751: EIGRP: Received HELLO on Serial0/0.1 nbr 192.169.1.5

!--- Packets from Dallas with MD5 authentication are received.

トラブルシューティング

単方向リンク

EIGRP HELLO および両端の Hold-time タイマーを設定して下さい。 一端のだけタイマーを設定する場合、単方向リンクは発生します。

単方向リンクのルータは helloパケットを受信できるかもしれません。 ただし、送信される helloパケットはもう一方で受信されません。 この単方向リンクは通常一端の再試行制限によって超過されるメッセージによって示されます。

再試行制限を表示するために超過しましたりメッセージを、使用します debug eigrp packet および debug ip eigrp 通知コマンドを。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 82110