Cisco IOS サービス品質(QoS)ソリューション コ ンフィギュレーション ガイド
RSVP メッセージ認証
RSVP メッセージ認証
発行日;2012/02/06 | 英語版ドキュメント(2011/05/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

RSVP メッセージ認証

目次

RSVP メッセージ認証に関する前提条件

RSVP メッセージ認証に関する制約事項

RSVP メッセージ認証に関する情報

RSVP メッセージ認証の機能設計

グローバル認証とパラメータ継承

ネイバー単位キー

キー チェーン

RSVP メッセージ認証の利点

RSVP メッセージ認証の設定方法

インターフェイス上での RSVP のイネーブル化

RSVP 認証タイプの設定

RSVP 認証キーの設定

RSVP キー暗号化のイネーブル化

RSVP 認証チャレンジのイネーブル化

RSVP 認証ライフタイムの設定

RSVP 認証ウィンドウ サイズの設定

RSVP 認証のアクティブ化

RSVP メッセージ認証の確認

キー チェーンの設定

RSVP ネイバーへのキー チェーンのバインディング

トラブルシューティングのヒント

RSVP メッセージ認証の設定例

インターフェイス単位の RSVP メッセージ認証:例

ネイバー単位の RSVP メッセージ認証:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

用語集

RSVP メッセージ認証

Resource Reservation Protocol(RSVP; リソース予約プロトコル)メッセージ認証機能は、ネットワークに対する Quality of Service(QoS; サービス品質)アクセスを制御する安全な方法を提供します。

RSVP メッセージ認証機能の履歴

リリース
変更点

12.2(15)T

この機能が追加されました。

12.0(26)S

Fast Reroute(FRR)ノードまたはリンク保護を使用するインターフェイスと、SONET(POS)インターフェイス上のパケットに対する FRR の RSVP hello に関する制限事項が追加されました。

12.0(29)S

ネイバー単位キーに対するサポートが追加されました。

12.2(33)SRA

この機能は、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2(33)SXH

この機能は、Cisco IOS Release 12.2(33)SXH に統合されました。

プラットフォームと Cisco IOS および Catalyst OS ソフトウェア イメージのサポート情報の検索

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

RSVP メッセージ認証に関する前提条件

RSVP が、ネットワーク内の 1 つのリンクを共有している少なくとも 2 つの隣接するルータ上の 1 つ以上のインターフェイス上で設定されていることを確認してください。

RSVP メッセージ認証に関する制約事項

RSVP メッセージ認証機能は、RSVP ネイバーの認証専用です。

RSVP メッセージ認証機能では、その多くが認証済みの RSVP ネイバー上に存在するさまざまな QoS アプリケーションやユーザを区別できません。

特定のキー チェーンに含まれる 1 つのキーの異なる送信ライフタイムと受信ライフタイムはサポートされません。すべての RSVP キー タイプが双方向です。

グレースフル リスタート hello メッセージの認証は、ネイバー単位のキーと Access Control List(ACL; アクセス コントロール リスト)単位のキーに対してサポートされますが、インターフェイス単位のキーに対してはサポートされません。

ip rsvp authentication key コマンドと ip rsvp authentication key-chain コマンドは、同じルータ インターフェイス上で使用できません。

Multiprotocol Label Switching/Traffic Engineering(MPLS/TE; マルチプロトコル ラベル スイッチング/トラフィック エンジニアリング)設定の場合は、ネイバー単位キーと一緒に物理アドレスとルータ ID を使用します。

RSVP メッセージ認証に関する情報

RSVP メッセージ認証を設定するには、次の概念を理解しておく必要があります。

「RSVP メッセージ認証の機能設計」

「グローバル認証とパラメータ継承」

「ネイバー単位キー」

「キー チェーン」

「RSVP メッセージ認証の利点」

RSVP メッセージ認証の機能設計

ネットワーク管理者は、セキュリティ ドメインを設定して、RSVP 要求を開始する一連のシステムを制御できる必要があります。

RSVP メッセージ認証機能を使用すれば、RSVP ネットワーク内のネイバーは、安全なハッシュを使用してすべての RSVP シグナリング メッセージをデジタル署名できます。つまり、RSVP メッセージの受信側は、ACL を使用して ip rsvp neighbor コマンドを発行した場合のように送信側の IP アドレスにのみ依存するのではなく、メッセージの送信側を確認できます。

署名は、RFC 2747 で規定されているように、RSVP メッセージ内の RSVP 整合性オブジェクトを使用して RSVP ホップ単位で実現されます。この方式では、偽造やメッセージ改ざんに対する保護が提供されます。ただし、受信側で、受信した RSVP メッセージ内のデジタル署名を確認するためには、送信側で使用されたセキュリティ キーを取得する必要があります。

ネットワーク管理者が、共有ネットワーク上の RSVP ネイバー インターフェイスに共通のキーを手動で設定します。サンプル設定を図 1 に示します。

図 1 RSVP メッセージ認証の設定

グローバル認証とパラメータ継承

キー、タイプ、ウィンドウ サイズ、ライフタイム、およびチャレンジを含むすべての認証パラメータに対してグローバル デフォルトを設定できます。これらのデフォルトは、ネイバーまたはインターフェイスの認証をイネーブルにするたびに継承されます。ただし、継承されたグローバル デフォルトが無視される場合は、これらのパラメータをネイバー単位またはインターフェイス単位で個別に設定することもできます。

グローバル認証とパラメータ継承を使用すれば、ネイバー単位またはインターフェイス単位の属性を変更しなくても認証をイネーブルまたはディセーブルにできるため、設定を簡略化できます。グローバル デフォルト キーを設定するコマンドとグローバルに認証をイネーブルにするコマンドを使用して、すべてのネイバーに対する認証をアクティブにできます。ただし、すべてのネイバーに同じキーを使用した場合は、ネットワーク セキュリティが脆弱になります。


) RSVP では、パラメータが複数のレベル(インターフェイス単位、ネイバー単位、またはグローバル)で設定される場合に使用される認証パラメータを選択するときに、次のルールが適用されます。RSVP は、最も特殊なものから最も特殊でないものに移動します。つまり、ネイバー単位、インターフェイス単位、グローバルの順です。このルールは、RSVP メッセージを認証するための正しいキーの設定を検索する場合のルール(ネイバー単位、ACL 単位、インターフェイス単位、グローバルの順)と少し異なります。


ネイバー単位キー

図 2 で、Internet Service Provider(ISP; インターネット サービス プロバイダー)のルータ A と B、A と C、および A と D 間の認証をイネーブルにするには、ISP が共通キーを共有する必要があります。ただし、共通キーを共有すると、ISP ルータの B と C、C と D、および B と D 間の認証もイネーブルになります。ISP ごとにセキュリティ ドメインが異なる可能性があるため、すべての ISP 間で認証が必要なわけではありません。

図 2 イーサネット上での RSVP メッセージ認証の設定

ISP ルータ A 上で、ISP ルータ B、C、および D 用の複数のキーを作成して、それらを RSVP コマンドを使用してそれぞれの IP アドレスに割り当てます。その他のルータ上で、ISP ルータ A の IP アドレスと通信するためのキーを作成します。

キー チェーン

RSVP ネイバーごとに、一意でライフタイムが異なる固有の ID を使用してキーのリストを設定できます。これによって、サービスを中断することなく、自動的にキーを所定のインターバルで変更できます。自動キー ローテーションは、信頼できないソースで現在のキーが入手、推定、または推測された場合に発生する可能性のある問題を最小化することによって、ネットワーク セキュリティを強化します。


) キーのライフタイムに重複時間ウィンドウを使用する場合は、RSVP から Cisco IOS ソフトウェア キー マネージャ コンポーネントに時間 T から始まる次のライブ キーが要求されます。キー マネージャは、開始時間 S と終了時間 E が S <= T <= E の関係を満たす最初のキーが見つかるまで、キー チェーン内を移動します。したがって、最小値(E-T)を持つキーが次に使用されることはありません。


RSVP メッセージ認証の利点

セキュリティの向上

RSVP メッセージ認証機能は、RSVP ベースのスプーフィング攻撃の機会を大幅に削減し、ネットワークに対する QoS アクセスを制御するための安全な方法を提供します。

複数の環境

RSVP メッセージ認証機能は、Traffic Engineering(TE; トラフィック エンジニアリング)環境や非 TE 環境で使用できるだけでなく、Subnetwork Bandwidth Manager(SBM)と一緒に使用できます。

複数のプラットフォームとインターフェイス

RSVP メッセージ認証機能は、サポートされているすべての RSVP プラットフォームまたはインターフェイス上で使用できます。

RSVP メッセージ認証の設定方法

次の設定パラメータは、RSVP に対して、さまざまな RSVP メッセージ内の整合性オブジェクトの生成および確認方法を指示します。


) 完全と最小の 2 つの設定手順があります。インターフェイスとネイバーの 2 種類の認証手順があります。


インターフェイス単位認証 -- 完全設定

インターフェイス単位認証の完全設定に関する次の手順を実行します。

「インターフェイス上での RSVP のイネーブル化」(必須)

「RSVP 認証タイプの設定」(任意)

「RSVP 認証キーの設定」(必須)

「RSVP キー暗号化のイネーブル化」(任意)

「RSVP 認証チャレンジのイネーブル化」(任意)

「RSVP 認証ライフタイムの設定」(任意)

「RSVP 認証ウィンドウ サイズの設定」(任意)

「RSVP 認証のアクティブ化」(必須)

「RSVP メッセージ認証の確認」(任意)

インターフェイス単位認証 -- 最小設定

インターフェイス単位認証の最小設定に関する次の手順を実行します。

「インターフェイス上での RSVP のイネーブル化」(必須)

「RSVP 認証キーの設定」(必須)

「RSVP 認証のアクティブ化」(必須)

ネイバー単位認証 -- 完全設定

ネイバー単位認証の完全設定に関する次の手順を実行します。

「RSVP 認証タイプの設定」(任意)

「RSVP 認証チャレンジのイネーブル化」(任意)

「RSVP キー暗号化のイネーブル化」(任意)

「RSVP 認証ライフタイムの設定」(任意)

「RSVP 認証ウィンドウ サイズの設定」(任意)

「RSVP 認証のアクティブ化」(必須)

「RSVP メッセージ認証の確認」(任意)

「キー チェーンの設定」(必須)

「RSVP ネイバーへのキー チェーンのバインディング」(必須)

ネイバー単位認証 -- 最小設定

ネイバー単位認証の最小設定に関する次の手順を実行します。

「RSVP 認証のアクティブ化」(必須)

「キー チェーンの設定」(必須)

「RSVP ネイバーへのキー チェーンのバインディング」(必須)

インターフェイス上での RSVP のイネーブル化

インターフェイス上で RSVP をイネーブルにするには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp bandwidth [ interface-kbps [single-flow-kbps]]

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

ステップ 4

ip rsvp bandwidth [ interface-kbps [ single-flow-kbps ]]

 

Router(config-if)# ip rsvp bandwidth 7500 7500

インターフェイス上で RSVP をイネーブルにします。

オプションの interface-kbps 引数と single-flow-kbps 引数は、それぞれ複数の RSVP フローまたは単一のフローによって割り当てることができる帯域幅を指定します。値は 1 ~ 10,000,000 です。

(注) イネーブルにする各インターフェイスに対してこのコマンドを繰り返します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP 認証タイプの設定

RSVP 認証タイプを設定するには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication type { md5 | sha-1 }

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

(注) ネイバー用の認証タイプを設定している場合、または、グローバル デフォルトを設定している場合は、この手順を省略します。

ステップ 4

ip rsvp authentication type { md5 | sha-1 }

 

インターフェイス認証の場合:

Router(config-if)# ip rsvp authentication type sha-1

 

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 type sha-1

または

Router(config)# ip rsvp authentication neighbor access-list 1 type sha-1

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication type sha-1

インターフェイス上で、またはグルーバルに RSVP メッセージ内で暗号化署名を生成するために使用されるアルゴリズムを指定します。

アルゴリズムは、md5 のデフォルトと、md5 よりも新しく安全な sha-1 です。

を省略します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP 認証キーの設定

RSVP 認証キーを設定するには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication key passphrase

5. exit

6. ip rsvp authentication key-chain chain

7. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

進みます。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

(注) キー チェーンのみを設定する場合は、この手順を省略してステップ 6 に進みます。

ステップ 4

ip rsvp authentication key passphrase

 

Router(config-if)# ip rsvp authentication key 11223344

 

認証アルゴリズム用のデータ文字列(キー)を指定します。

キーは、8 ~ 40 文字で構成されます。スペースと複数の単語を含めることができます。また、暗号化することも、表示時にクリア テキストで表示することもできます。

(注) キー チェーンを設定する場合は、この手順を省略します。

ステップ 5

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

ip rsvp authentication key-chain chain
 

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 key-chain xzy

または

Router(config)# ip rsvp authentication neighbor access-list 1 key-chain xzy

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication key-chain xzy

認証アルゴリズム用のデータ文字列(キー チェーン)を指定します。

キー チェーンには、少なくとも 1 つのキーを含める必要がありますが、最大 2,147,483647 個のキーを含めることができます。

コマンドは、同じルータ インターフェイス上で使用できません。これらのコマンドは相互排他的ですが、エラー メッセージは表示されません。

を省略します。

ステップ 7

end

 

Router(config)# end

特権 EXEC モードに戻ります。

RSVP キー暗号化のイネーブル化

キーをルータ設定に保存するときに RSVP キー暗号化をイネーブルにするには、次のタスクを実行します (これによって、設定ファイルからクリア テキスト キーが漏えいするのを防ぐことができます)。

手順の概要

1. enable

2. configure terminal

3. key config-key 1 string

4. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

key config-key 1 string

 

Router(config)# key config-key 1 11223344

設定ファイル内のキー暗号化をイネーブルにします。

引数には 8 文字まで含めることができます。

ステップ 4

end

 

Router(config)# end

特権 EXEC モードに戻ります。

RSVP 認証チャレンジのイネーブル化

RSVP 認証チャレンジをイネーブルにするには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication challenge

5. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

(注) ネイバー用の認証チャレンジを設定している場合、または、グローバル デフォルトを設定している場合は、この手順を省略します。

ステップ 4

ip rsvp authentication challenge

 

インターフェイス認証の場合:

Router(config-if)# ip rsvp authentication challenge

 

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 challenge

または

Router(config)# ip rsvp authentication neighbor access-list 1 challenge

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication challenge

RSVP でネットワーク上の新しいチャレンジ対応ネイバーが検出されたときに、インターフェイス上で、またはグローバルにチャレンジ/応答ハンドシェークが実行できるようにします。

を省略します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP 認証ライフタイムの設定

RSVP ネイバー間のセキュリティ アソシエーションのライフタイムを設定するには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication lifetime hh : mm : ss

5. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

(注) ネイバー用の認証ライフタイムを設定している場合、または、グローバル デフォルトを設定している場合は、この手順を省略します。

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

ステップ 4

ip rsvp authentication lifetime hh : mm : ss

 

インターフェイス認証の場合:

Router(config-if)# ip rsvp authentication lifetime 00:05:00

 

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 lifetime 00:05:00

または

Router(config)# ip rsvp authentication neighbor access-list 1 lifetime 00:05:00

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication 00:05:00

インターフェイス上で、またはグローバルに RSVP で RSVP ネイバーとのセキュリティ アソシエーションを維持する時間を制御します。

hh:mm:ss のデフォルト セキュリティ アソシエーションは 30 分です。範囲は 1 秒~ 24 時間です。

を省略します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP 認証ウィンドウ サイズの設定

RSVP 認証ウィンドウ サイズを設定するには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication window-size n

5. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

(注) ネイバーのウィンドウ サイズを設定している場合、または、グローバル デフォルトを設定している場合は、この手順を省略します。

ステップ 4

ip rsvp authentication window-size n

 

インターフェイス認証の場合:

Router(config-if)# ip rsvp authentication window-size 2

 

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 window-size 2

または

Router(config)# ip rsvp authentication neighbor access-list 1 window-size

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication window-size 2

インターフェイス上で、またはグローバルに順不同で受信可能な認証済みメッセージの最大数を指定します。

デフォルト値は 1 メッセージで、範囲は 1 ~ 64 メッセージです。

を省略します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP 認証のアクティブ化

RSVP 認証をアクティブにするには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication

5. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

type number 引数は、設定するインターフェイスを識別します。

(注) ネイバー用の認証を設定している場合、または、グローバル デフォルトを設定している場合は、この手順を省略します。

ステップ 4

ip rsvp authentication

 

インターフェイス認証の場合:

Router(config-if)# ip rsvp authentication

ネイバー認証の場合:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1

または

Router(config)# ip rsvp authentication neighbor access-list 1

 

グローバル デフォルトの場合:

Router(config)# ip rsvp authentication

インターフェイス上で、またはグローバルに RSVP 暗号化認証をアクティブにします。

を省略します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

RSVP メッセージ認証の確認

RSVP メッセージ認証機能が動作していることを確認するには、次のタスクを実行します。

手順の概要

1. enable

2. show ip rsvp interface [detail] [interface-type interface-number]

3. show ip rsvp authentication [ detail ] [ from { ip-address | hostname }] [ to { ip-address | hostname }]

4. show ip rsvp counters [ authentication | interface interface-unit | neighbor | summary ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip rsvp interface [detail] [interface-type interface-number]

 

Router# show ip rsvp interface detail

RSVP がイネーブルになっているインターフェイスに関する情報(現在の割り当て量と使用可能な帯域幅を含む)を表示します。

オプションの detail キーワードは、帯域幅、シグナリング、および認証パラメータを表示します。

ステップ 3

show ip rsvp authentication [ detail ] [ from { ip-address | hostname }] [ to { ip-address | hostname }]

 

Router# show ip rsvp authentication detail

RSVP によって他の RSVP ネイバーとの間で確立されたセキュリティ アソシエーションを表示します。

オプションの detail キーワードは、IP アドレス、イネーブルにされたインターフェイス、および RSVP によってネイバーとの間で確立されたセキュリティ アソシエーションに関して設定された暗号化認証パラメータを含む状態情報を表示します。

ステップ 4

show ip rsvp counters [ authentication | interface interface-unit | neighbor | summary ]

 
Router# show ip rsvp counters summary
 
Router# show ip rsvp counters authentication

すべての RSVP カウンタを表示します。

(注) エラー カウンタは、認証エラーが発生するたびにインクリメントされますが、認証に関連しないエラーに対してもインクリメントできます。

オプションの authentication キーワードは、RSVP 認証カウンタのリストを表示します。

オプションの interface interface-unit のキーワードと引数の組み合せは、指定されたインターフェイス上で送受信された RSVP メッセージの数を表示します。

オプションの neighbor キーワードは、特定のネイバーで送受信された RSVP メッセージの数を表示します。

オプションの summary キーワードは、ルータで送受信された RSVP メッセージの累積数を表示します。インターフェイス単位のカウンタは出力されません。

キー チェーンの設定

ネイバー認証用のキー チェーンを設定するには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. key chain name-of-chain

4. { key [ key-ID ] | key-string [ text ] | accept-lifetime [s tart-time { infinite | end-time | duration seconds }] | send-lifetime [ start-time { infinite | end-time | duration seconds }]}

5. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

key chain name-of-chain

 

Router(config)# key chain neighbor_V

キー チェーン モードに入ります。

ステップ 4

{ key [ key-ID ] | key-string [ text ] | accept-lifetime [ start-time { infinite | end-time | duration seconds }] | send-lifetime [ start-time { infinite | end-time | duration seconds }]

 

Router(config-keychain)# key 1

 

Router(config-keychain)# key-string ABcXyz

キー チェーン用のパラメータを選択します (これらはサブモードです)。

(注) これらのパラメータの詳細については、『Cisco IOS IP Command Reference, Volume 2 of 4, Routing Protocols, Release 12.3T』を参照してください。

が無視されます。

ステップ 5

end

 

Router(config-keychain)# end

特権 EXEC モードに戻ります。

RSVP ネイバーへのキー チェーンのバインディング

キー チェーンをネイバー認証用の RSVP ネイバーにバインドするには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. ip rsvp authentication neighbor address address key-chain key-chain-name

または

ip rsvp authentication neighbor access-list acl-name or acl - number key-chain key-chain-name

4. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip rsvp authentication neighbor address address key-chain key-chain-name

or

ip rsvp authentication neighbor access-list acl-name or acl-number key-chain key-chain-name

 

Router(config)# ip rsvp authentication neighbor access-list 1 key-chain neighbor_V

キー チェーンを IP アドレスまたは ACL にバインドして、キー チェーン モードに入ります。

コマンドを参照してください。

ステップ 4

end

 

Router(config-keychain)# end

特権 EXEC モードに戻ります。

トラブルシューティングのヒント

RSVP 認証をイネーブルにすると、認証チェックで失敗するたびに、RSVP でシステム エラー イベントが記録されます。これらのイベントは、潜在的なセキュリティ攻撃を示している可能性があるため、デバッギングがイネーブルになっている場合は、表示されるだけでなく、記録もされます。イベントが生成されるタイミングは次のとおりです。

RSVP で正しい暗号署名が含まれていないメッセージが受信された場合。この現象は、1 つ以上のネイバーで認証キーまたはアルゴリズムの設定が間違っているために起きる可能性がありますが、(未遂の)攻撃を示している場合もあります。

RSVP で正しい暗号署名を伴うメッセージが受信されたが、認証シーケンス番号が重複していた場合。この現象は、(未遂の)メッセージ リプレイ アタックを示している場合があります。

RSVP で正しい暗号署名を伴うメッセージが受信されたが、その認証シーケンス番号が受信ウィンドウから外れていた場合。この現象は、有効な RSVP メッセージの並べ替えバーストが原因で起きる可能性がありますが、(未遂の)メッセージ リプレイ アタックを示している場合もあります。

チャレンジの失敗は、タイムアウトまたは不正なチャレンジ応答によって起こります。

RSVP メッセージ認証機能をトラブルシューティングするには、次のコマンドを特権 EXEC モードで使用します。

 

コマンド
目的
Router# debug ip rsvp authentication

RSVP 認証に関する出力を表示します。

Router# debug ip rsvp dump signalling

シグナリング(Path と Resv)メッセージに関する概要を表示します。

Router# debug ip rsvp errors

認証エラーを示すエラー イベントを表示します。

RSVP メッセージ認証の設定例

ここでは、次の設定例について説明します。

「インターフェイス単位の RSVP メッセージ認証:例」

「ネイバー単位の RSVP メッセージ認証:例」

インターフェイス単位の RSVP メッセージ認証:例

次の例では、タイプ、キー、チャレンジ、ライフタイム、およびウィンドウ サイズを含む暗号化認証パラメータが設定されます。また、認証がアクティブにされます。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface e0/0
Router(config-if)# ip rsvp bandwidth 7500 7500
Router(config-if)# ip rsvp authentication type sha-1
Router(config-if)# ip rsvp authentication key 11223344
Router(config-if)# ip rsvp authentication challenge
Router(config-if)# ip rsvp authentication lifetime 00:30:05
Router(config-if)# ip rsvp authentication window-size 2
Router(config-if)# ip rsvp authentication

 

次の show ip rsvp interface detail コマンドの出力では、イーサネット 0/0 インターフェイス用に設定された暗号化認証パラメータに注目してください。

Router# show ip rsvp interface detail
 
Et0/0:
Bandwidth:
Curr allocated: 0 bits/sec
Max. allowed (total): 7500K bits/sec
Max. allowed (per flow): 7500K bits/sec
Max. allowed for LSP tunnels using sub-pools: 0 bits/sec
Set aside by policy (total): 0 bits/sec
Neighbors:
Using IP encap: 0. Using UDP encap: 0
Signalling:
Refresh reduction: disabled
Authentication: enabled
Key: 11223344
Type: sha-1
Window size: 2
Challenge: enabled
 

前の例では、認証キーがクリア テキストで表示されています。 key-config-key 1 string コマンドを入力した場合は、次の例のように暗号化されたキーが表示されます。

Router# show ip rsvp interface detail
 
Et0/0:
Bandwidth:
Curr allocated: 0 bits/sec
Max. allowed (total): 7500K bits/sec
Max. allowed (per flow): 7500K bits/sec
Max. allowed for LSP tunnels using sub-pools: 0 bits/sec
Set aside by policy (total): 0 bits/sec
Neighbors:
Using IP encap: 0. Using UDP encap: 0
Signalling:
Refresh reduction: disabled
Authentication: enabled
Key: <encrypted>
Type: sha-1
Window size: 2
Challenge: enabled

 

次の出力では、 no key config-key 1 コマンドの発行後に、認証キーが暗号化された状態からクリア テキストに変わっていることに注目してください。

Router# show running-config interface e0/0
 
Building configuration...
 
Current configuration :247 bytes
!
interface Ethernet0/0
ip address 192.168.101.2 255.255.255.0
no ip directed-broadcast
ip pim dense-mode
no ip mroute-cache
no cdp enable
ip rsvp bandwidth 7500 7500
ip rsvp authentication key 7>70>9:7<872>?74
ip rsvp authentication
end
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# no key config-key 1
Router(config)# end

 

Router# show running-config
*Jan 30 08:02:09.559:%SYS-5-CONFIG_I:Configured from console by console
int e0/0
Building configuration...
 
Current configuration :239 bytes
!
interface Ethernet0/0
ip address 192.168.101.2 255.255.255.0
no ip directed-broadcast
ip pim dense-mode
no ip mroute-cache
no cdp enable
ip rsvp bandwidth 7500 7500
ip rsvp authentication key 11223344
ip rsvp authentication
end

ネイバー単位の RSVP メッセージ認証:例

次の例では、ネイバーごとに 2 つずつのキーからなるキー チェーンが定義され、ネイバー V、Y、および Z 用のアクセス リストとキー チェーンが作成され、各ネイバーに対する認証が明示的かつグローバルにイネーブルにされます。ただし、指定されたネイバーのメッセージのみが受け入れられます。他の送信元からのメッセージは拒否されます。これによって、ネットワークのセキュリティが強化されます。

セキュリティ上の理由から、キーは定期的に変更する必要があります。最初のキーの有効期限が切れると、第 2 のキーが自動的に有効になります。その時点で、最初のキーの文字列を新しい値に変更し、第 2 のキーの有効期限が切れたあとに送信ライフタイムが有効になるように設定します。キーの有効期限が切れたときにその更新を要求するためにルータでそのイベントが記録されます。

各ネイバーの最初のキーと第 2 のキーのライフタイムが重複しています。これによって、クロック同期問題が発生して、ネイバーで必要なときにキーを切り替えられなくなる可能性があります。Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用してネイバーのクロックとタイム サーバを同期させるようにネイバーを設定することによって、このような重複を回避できます。

MPLS/TE 設定の場合は、物理アドレスとルータ ID が付与されます。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# key chain neighbor_V
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string R72*UiAXy
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 2
Router(config-keychain-key)# key-string Pl349&DaQ
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# key chain neighbor_Y
Router(config-keychain)# key 3
Router(config-keychain-key)# key-string *ZXFwR!03
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 4
Router(config-keychain-key)# key-string UnGR8f&lOmY
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# key chain neighbor_Z
Router(config-keychain)# key 5
Router(config-keychain-key)# key-string P+T=77&/M
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 6
Router(config-keychain-key)# key-string payattention2me
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# end

key-config-key 1 string コマンドを使用して、インターフェイスごと、ネイバーごと、またはグローバルにキー チェーンを暗号化できます。


Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list standard neighbor_V
Router(config-std-nacl)# permit 10.0.0.1 <------- physical address
Router(config-std-nacl)# permit 10.0.0.2 <------- physical address
Router(config-std-nacl)# permit 10.0.0.3 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip access-list standard neighbor_Y
Router(config-std-nacl)# permit 10.0.0.4 <------- physical address
Router(config-std-nacl)# permit 10.0.0.5 <------- physical address
Router(config-std-nacl)# permit 10.0.0.6 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip access-list standard neighbor_Z
Router(config-std-nacl)# permit 10.0.0.7 <------- physical address
Router(config-std-nacl)# permit 10.0.0.8 <------- physical address
Router(config-std-nacl)# permit 10.0.0.9 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip rsvp authentication neighbor access-list neighbor_V key-chain neighbor_V
Router(config)# ip rsvp authentication neighbor access-list neighbor_Y key-chain neighbor_Y
Router(config)# ip rsvp authentication neighbor access-list neighbor_Z key-chain neighbor_Z
Router(config)# ip rsvp authentication
Router(config)# end

その他の関連資料

次の項で、RSVP メッセージ認証機能に関する参考資料を紹介します。

関連資料

内容
参照先

RSVP コマンド:完全なコマンドの構文、コマンド モード、デフォルト、使用上の注意事項、および例

『Cisco IOS Quality of Service Solutions Command Reference』

シグナリング、分類、輻輳管理を含む QoS 機能

Quality of Service Overview 』モジュール

ローカル ポリシー サポートとネイバー単位キー認証を含む AS 間機能

MPLS Traffic Engineering--Inter-AS-TE 』モジュール

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 1321

『The MD5 Message Digest Algorithm』

RFC 2104

『HMAC: Keyed-Hashing for Messaging Authentication』

RFC 2205

『Resource Reservation Protocol』

RFC 2209

『RSVP--Version 1 Message Processing Rules』

RFC 2401

『Security Architecture for the Internet Protocol』

RFC 2747

『RSVP Cryptographic Authentication』

RFC 3097

『RSVP Crytographic Authentication--Updated Message Type Value』

RFC 3174

『US Secure Hash Algorithm 1 (SHA1)』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

コマンド リファレンス

次のコマンドは、このモジュールで説明した機能で導入または修正されたものです。これらのコマンドの詳細については、 http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html にある『 Cisco IOS Quality of Service Solutions Command Reference 』を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、Cisco IOS マスター コマンド リストを参照してください。

clear ip rsvp authentication

debug ip rsvp authentication

ip rsvp authentication

ip rsvp authentication challenge

ip rsvp authentication key

ip rsvp authentication key-chain

ip rsvp authentication lifetime

ip rsvp authentication neighbor

ip rsvp authentication type

ip rsvp authentication window-size

show ip rsvp authentication

show ip rsvp counters

show ip rsvp interface

用語集

DMZ :非武装地帯。パブリック ネットワークと企業ネットワーク間の中立地帯。

QoS :Quality Of Service。転送システムのパフォーマンスの尺度の 1 つであり、転送品質とサービスのアベイラビリティを反映したものです。

RSVP :Resource Reservation Protocol(リソース予約プロトコル)。IP ネットワーク上でリソースの予約をサポートするためのプロトコル。IP エンド システム上で動作しているアプリケーションは、RSVP を使用して、受信するパケット ストリームの特性(帯域幅、ジッタ、最大バーストなど)を他のノードに示すことができます。

TE :トラフィック エンジニアリング。標準のルーティング方式が使用されていた場合に選択されたであろうパス以外のパス上のネットワーク経由でトラフィックを転送するために使用されるテクニックとプロセス。

キー :復号化されるまで判読不可能な出力を生成するアルゴリズムに従ってソース データに組み込まれたデータ文字列。

信頼されたネイバー :情報へのアクセスが許可されたルータ。

スプーフィング :実際には送信されていないアドレスから届いたように偽装しているパケットの動作。スプーフィングは、フィルタやアクセス リストなどのネットワーク セキュリティ メカニズムを欺くように設計されています。

セキュリティ アソシエーション :RSVP で特定の RSVP ネイバーからの RSVP シグナリング メッセージを認証するために必要なすべての情報を保持するために使用されるメモリ ブロック。

帯域幅 :ネットワーク信号に対して使用可能な最高周波数と最低周波数の差。この用語は、特定のネットワーク メディアまたはプロトコルの格付けされたスループット容量を表すためにも使用されます。

フロー :ネットワーク上の 2 つのエンドポイント間(2 台の LAN ステーション間など)を流れるデータのストリーム。単一の回線上で複数のフローを転送できます。

ルータ :1 つ以上のメトリックを使用して、ネットワーク トラフィックを転送すべき最適のパスを決定するネットワーク レイヤ装置。ルータは、ネットワーク レイヤ情報に基づいて、ネットワーク間でパケットを転送します。