マルチプロトコル ラベル スイッチング コンフィギュ レーション ガイド、Cisco IOS Release 15.1S
MPLS LDP - ロスレス MD5 セッション認証
MPLS LDP - ロスレス MD5 セッション認証
発行日;2012/01/30 | 英語版ドキュメント(2012/01/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 16MB) | フィードバック

目次

MPLS LDP - ロスレス MD5 セッション認証

この章の構成

の前提条件

の制約事項

に関する情報

での MPLS LDP メッセージの交換方法

MPLS LDP MD5 パスワード機能の発展

でのキーチェーンの使用

オーバーラップするパスワードへのルールの適用

パスワード ロールオーバー期間のガイドライン

LDP パスワードの問題の解決

の設定方法

キーチェーンを使用した の設定

MPLS LDP パスワード ロールオーバーの変更およびイベントの表示のイネーブル

パスワードの変更

の設定例

キーチェーン(対称)を使用した の設定:例

キーチェーン(非対称)を使用した の設定:例

パスワードの変更:例

キーチェーンなしのロールオーバーを使用した パスワードの変更:例

キーチェーンのあるロールオーバーを使用した パスワードの変更:例

キーチェーンのあるフォールバック パスワードを使用した パスワードの変更:例

の変更:一般的な設定ミスの例

正しくないキーチェーン LDP パスワード設定:例

アクセス リスト設定の問題の回避

LDP セッション障害を回避するための別のキーを使用した の変更:例

2 番めのロールオーバー期間がない場合に TCP 認証および LDP セッションが失敗することがある:例

TCP 認証と LDP セッションの失敗を防ぐためのキーチェーンの再設定:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

の機能情報

MPLS LDP - ロスレス MD5 セッション認証

MPLS LDP - ロスレス MD5 セッション認証機能を使用すると、Label Distribution Protocol(LDP; ラベル配布プロトコル)セッションを切断して再確立することなく、LDP セッションをパスワードで保護できます。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「MPLS LDP - ロスレス MD5 セッション認証の機能情報」を参照してください。

プラットフォームと Cisco IOS および Catalyst OS ソフトウェア イメージのサポート情報の検索

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

MPLS LDP - ロスレス MD5 セッション認証の前提条件

MPLS LDP - ロスレス MD5 セッション認証機能は、MPLS LDP MD5 グローバル コンフィギュレーション機能に対する拡張です。MPLS LDP - ロスレス MD5 セッション認証機能を設定する前に、Message Digest Algorithm 5(MD5)が MPLS LDP と連携して LDP セグメントが正しく保護されるようにする方法について、『 MPLS--LDP MD5 Global Configuration 』の機能の章を参照してください。


) MPLS LDP - ロスレス MD5 セッション認証機能は、MPLS LDP を設定する前に設定する必要があります。


MPLS LDP - ロスレス MD5 セッション認証機能を設定する前に、Label Switch Router(LSR; ラベル スイッチ ルータ)で次の機能を設定します。

シスコ エクスプレス フォワーディングまたは分散シスコ エクスプレス フォワーディング

スタティックまたはダイナミック ルーティング

MPLS Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の MPLS VPN ルーティングおよび Virtual Private Forwarding(VRF; バーチャル プライベート フォワーディング)インスタンス

MPLS VPN VRF の MPLS LDP - ロスレス MD5 セッション認証


) VRF が削除されると、その VRF のロスレス MD5 セッション認証が自動的に削除されます。


MPLS LDP - ロスレス MD5 セッション認証の制約事項

MD5 保護は、ピア間の LDP セッションに適用されます。ピア間の Tag Distribution Protocol(TDP; タグ配布プロトコル)セッションは保護されません。

MPLS LDP - ロスレス MD5 セッション認証に関する情報

MPLS LDP - ロスレス MD5 セッション認証機能を設定する前に、次の概念を理解する必要があります。

「MPLS LDP - ロスレス MD5 セッション認証での MPLS LDP メッセージの交換方法」

「MPLS LDP MD5 パスワード機能の発展」

「MPLS LDP - ロスレス MD5 セッション認証でのキーチェーンの使用」

「オーバーラップするパスワードへのルールの適用」

「パスワード ロールオーバー期間のガイドライン」

「LDP パスワードの問題の解決」

MPLS LDP - ロスレス MD5 セッション認証での MPLS LDP メッセージの交換方法

MPLS LDP メッセージ(ディスカバリ、セッション、アドバタイズメント、および通知メッセージ)は、2 つのチャネルを介して LDP ピア間で交換されます。

LDP ディスカバリ メッセージは、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)パケットとして既知の LDP ポートに送信されます。

セッション、アドバタイズメント、および通知メッセージは、2 つの LDP ピア間に確立されている TCP 接続経由で交換されます。

MPLS LDP - ロスレス MD5 セッション認証機能を使用すると、LDP セッションを切断して再確立することなく、LDP セッションをパスワードで保護できます。LDP セッションを中断せずに MD5 パスワードを実装および変更できます。

MPLS LDP MD5 パスワード機能の発展

LDP MD5 保護の初期バージョンでは、2 つの LDP ピア間で認証をイネーブルにでき、TCP 接続で送信された各セグメントはピア間で検証されました。認証は、両方の LDP ピアで同じパスワードを使用して設定されました。そうでないと、ピア セッションは確立されませんでした。 mpls ldp neighbor コマンドは、 password キーワードを指定して発行されました。MD5 保護がイネーブルになると、ルータは既存の LDP セッションを切断し、ネイバー ルータとの新しいセッションを確立しました。

その後、LDP MD5 をピア間ベースではなくグローバルにイネーブルにできる MPLS - LDP MD5 グローバル コンフィギュレーションという改善された MD5 保護機能が導入されました。この機能を使用して、LDP ネイバーのセットに対するパスワード要件を設定できました。MPLS LDP MD5 グローバル コンフィギュレーション機能により、LDP セッションを維持する能力も向上しました。ピアとの LDP セッションは、そのピアのパスワードが変更されても自動的には切断されませんでした。新しいパスワードは、次回ピアとの LDP セッションが確立されるときに実装されました。

MPLS LDP - ロスレス MD5 セッション認証機能は、MPLS LDP MD5 グローバル コンフィギュレーション機能をベースにしています。ただし、MPLS LDP - ロスレス MD5 セッション認証機能には次の拡張機能が含まれます。

LDP セッションを中断せずに LDP MD5 セッション認証をアクティブ化または変更する。

複数のパスワードを設定して、1 つのパスワードを現在使用し、他のパスワードをあとで使用できる。

1 つのパスワードを着信 TCP セグメントに使用し、別のパスワードを発信 TCP セグメントに使用できる非対称パスワードを設定する。

一定期間オーバーラップするようにパスワードを設定する。この機能は、2 つの LSR のクロックが同期していない場合に役立ちます。

これらの機能拡張は、 key-chain コマンドを使用して使用できます。これにより、キーチェーン設定に従って異なる時点で異なるキー ストリングを使用できます。

MPLS LDP - ロスレス MD5 セッション認証でのキーチェーンの使用

MPLS LDP - ロスレス MD5 セッション認証機能では、キーチェーンを使用して、各方向で交換する LDP トラフィックの認証に異なる MD5 キーを指定できます。

次の例では、3 つのパスワードが設定されています。

キー 1 では lab パスワードを指定します。 send-lifetime コマンドでは、2007 年 11 月 2 日午前 10:00:00 から 2007 年 12 月 2 日午前 10:00:00 までの発信 TCP セグメントを lab パスワードで認証できるようにします。 accept-lifetime コマンドは、lab パスワードが着信 TCP セグメントの認証に使用されないように設定されます。 accept-lifetime コマンドでは、lab パスワードを 1970 年 1 月 1 日に 1 秒間イネーブルにします。日付を過去に設定し、1 秒の持続時間をイネーブルにすることにより、着信 TCP セグメントのパスワードが即時に期限切れになります。 accept-lifetime コマンドがキーチェーン設定から省略されている場合、パスワードは着信 TCP セグメントに対して常に有効になります。

キー 2 およびキー 3 では、それぞれ lab2 および lab3 パスワードを指定します。 send-lifetime コマンドでは、パスワードを 1970 年 1 月 1 日に 1 秒間イネーブルにします。日付を過去に設定し、1 秒の持続時間をイネーブルにすることにより、発信 TCP セグメントのパスワードが即時に期限切れになります。 send-lifetime コマンドがキーチェーン設定から省略されている場合、パスワードは発信 TCP セグメントに対して常に有効になります。キー 2 およびキー 3 の accept-lifetime コマンドでは、それぞれ 2007 年 11 月 2 日午前 10:00:00 から 2007 年 11 月 17 日午前 10:00:00 まで、および 2007 年 11 月 17 日午前 10:00:00 から 2007 年 12 月 2 日午前 10:00:00 までの着信 TCP セグメントをパスワードで認証できるようにします。

key chain ldp-pwd
key 1
key-string lab
send-lifetime 10:00:00 Nov 2 2007 10:00:00 Dec 2 2007
accept-lifetime 00:00:00 Jan 1 1970 duration 1
key 2
key-string lab2
send-lifetime 00:00:00 Jan 1 1970 duration 1
accept-lifetime 10:00:00 Nov 2 2007 10:00:00 Nov 17 2007
key 3
key-string lab3
send-lifetime 00:00:00 Jan 1 1970 duration 1
accept-lifetime 10:00:00 Nov 17 2007 10:00:00 Dec 2 2007
!
mpls ldp password option 1 for nbr-acl key-chain ldp-pwd

オーバーラップするパスワードへのルールの適用

オーバーラップするパスワードは、2 つの LSR に同期していないクロックがある場合に役立つことがあります。オーバーラップするパスワードによって、TCP パケットがドロップされない期間がもたらされます。オーバーラップするパスワードには次のルールが適用されます。

現在のパスワードの send-lifetime 値が期限切れになる前に次のパスワードの send-lifetime 値が開始した場合、より短いキー ID のパスワードがオーバーラップ期間中に使用されます。現在のパスワードの send-lifetime 値は、より短い send-lifetime 値を設定することで短縮できます。同様に、現在のパスワードの send-lifetime 値は、より長い send-lifetime 値を設定することで延長できます。

現在のパスワードの accept-lifetime 値が期限切れになる前に次のパスワードの accept-lifetime 値が開始した場合は、次のパスワードと現在のパスワードの両方が同時に使用されます。次のパスワード情報が TCP に渡されます。TCP は、現在のパスワードで着信セグメントの認証に失敗した場合に、次のパスワードで認証を試行します。TCP は、新しいパスワードを使用してセグメントを認証した場合に、現在のパスワードを破棄し、その時点から新しいパスワードを使用します。

着信または発信セグメントのパスワードが期限切れになり、追加の有効なパスワードが設定されない場合は、次のいずれかの処理が実行されます。

パスワードがネイバーに必要な場合は、LDP によって既存のセッションがドロップされます。

パスワードがネイバーに必要でない場合は、LDP によって、認証を必要としないセッションへのロールオーバーが試行されます。両方の LSR でパスワードが同時に期限切れにならないかぎり、この試行も失敗します。

パスワード ロールオーバー期間のガイドライン

ロールオーバー期間中は、古いパスワードと新しいパスワードの両方が有効です。これにより、2 つの LDP ネイバー間でクロックが同期していない場合に円滑なロールオーバーが行われます。キーチェーンを使用してパスワードが設定されている場合、ロールオーバー期間は 2 つの連続する受信パスワード間の accept-lifetime オーバーラップと等しくなります。

新しい MD5 認証キーの更新を保証するために、最小のロールオーバー期間(2 つの連続する MD5 キー更新間の期間)は、LDP キープアライブ インターバル時間の値よりも長くなっている必要があります。LDP セッション保持時間がデフォルト値の 3 分に設定されている場合、LDP キープアライブ インターバルは 1 分です。最小ロールオーバー期間は 5 分である必要があります。ただし、最小ロールオーバー期間は 15 ~ 30 分に設定することを推奨します。

シームレスなロールオーバーを実現するために、次のガイドラインに従ってください。

キーチェーンを設定する前に、ピア LSR 上のローカル時間が同じであることを確認します。

キーチェーンの設定ミスを示すエラー メッセージ(TCP-6-BADAUTH)をチェックします。

次のパスワード メッセージをチェックすることにより、適切なキーチェーン設定を検証します。

%LDP-5-PWDCFG: Password configuration changed for 10.1.1.1:0
%LDP-5-PWDRO: Password rolled over for 10.1.1.1:0

LDP パスワードの問題の解決

予期しないネイバーが LDP セッションを開こうとした場合、または LDP パスワード設定が無効な場合は、LDP によってエラー メッセージが表示されます。一部の既存の LDP デバッグでも、パスワード情報が表示されます。

潜在的な LDP ネイバーにパスワードが必要な場合に、そのネイバーにパスワードが設定されていないと、そのネイバーからの LDP hello メッセージは LSR によって無視されます。LSR は、hello メッセージを処理し、ネイバーとの TCP 接続を確立しようとする場合に、エラー メッセージを表示し、ネイバーとの LDP セッションの確立を停止します。エラーはレート制限され、次の形式になります。

00:00:57: %LDP-5-PWD: MD5 protection is required for peer 10.2.2.2:0(glbl), no password configured
 

パスワードが LDP ピア間で一致しない場合は、TCP によって、より小さいルータ ID を持つ LSR、つまり TCP 接続の確立でパッシブ ロールを持つルータに次のエラー メッセージが表示されます。

00:01:07: %TCP-6-BADAUTH: Invalid MD5 digest from 10.2.2.2(11051) to 10.1.1.1(646)
 

一方のピアにパスワードが設定され、もう一方のピアに設定されていない場合は、TCP によって、パスワードが設定されている LSR に次のエラー メッセージが表示されます。

00:02:07: %TCP-6-BADAUTH: No MD5 digest from 10.1.1.1(646) to 10.2.2.2(11099)

MPLS LDP - ロスレス MD5 セッション認証の設定方法

ここでは、次の各手順について説明します。

「キーチェーンを使用した MPLS LDP - ロスレス MD5 セッション認証の設定」(任意)

「MPLS LDP パスワード ロールオーバーの変更およびイベントの表示のイネーブル」(任意)

「MPLS LDP - ロスレス MD5 セッション認証パスワードの変更」(任意)

キーチェーンを使用した MPLS LDP - ロスレス MD5 セッション認証の設定

キーチェーンを使用して MPLS LDP - ロスレス MD5 セッション認証機能を設定するには、次の作業を実行します。キーチェーンを使用すると、キーチェーン設定に従って異なる時点で異なるキー ストリングを使用できます。MPLS LDP は、適切なキーチェーンを照会して、指定されたキーチェーンの現在アクティブなキーとキー ID を取得します。

手順の概要

1. enable

2. configure terminal

3. access-list access-list-number { permit | deny } { type-code wildcard-mask | ip-ad dress mask }

4. key chain name-of-chain

5. key key-id

6. key-string string

7. accept-lifetime { start-time | local start-time } { duration seconds | end-time | infinite }

8. send-lifetime { start-time | local start-time } { duration seconds | end-time | infinite }

9. exit

10. exit

11. mpls ldp [ vrf vrf-name ] password option number for acl { key-chain keychain-name | [ 0 | 7 ] password }

12. exit

13. show mpls ldp neighbor [ vrf vrf-name | all ] [ ip-address | interface ] [ detail ] [ graceful-restart ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

access-list access-list-number { permit | deny } { type-code wildcard-mask | ip-address mask }

 

Router(config)# access-list 10 permit 10.2.2.2

アクセス リストを作成します。

ステップ 4

key chain name-of-chain

 

Router(config)# key chain ldp-pwd

ルーティング プロトコルの認証をイネーブルにし、認証キーのグループを識別します。

キーチェーン コンフィギュレーション モードを開始します。

ステップ 5

key key-id

 

Router(config-keychain)# key 1

キーチェーンの認証キーを識別します。

key-id 値は数字である必要があります。

キーチェーン キー コンフィギュレーション モードを開始します。

ステップ 6

key-string string

 

Router(config-keychain-key)# key-string pwd1

キーの認証文字列を指定します。

string 値は、1 ~ 80 文字の大文字または小文字の英数字である必要があります。最初の文字には数字を使用できません。

ステップ 7

accept-lifetime { start-time | local start-time } { duration seconds | end-time | infinite }

 

Router(config-keychain-key)# accept-lifetime 10:00:00 Jan 13 2007 10:00:00 Jan 13 2009

キーチェーンの認証キーを着信 TCP セグメントの検証に使用できる期間を指定します。

start-time 引数では開始時刻を識別し、local start-time 引数ではローカル時間帯での開始時刻を識別します。両方の引数に同じパラメータが必要です。

(注) 時間の参照は、ルータのクロックの時間帯設定によって決まります。時間帯が設定されていない場合、デフォルトの時間帯では Coordinated Universal Time(UTC; 協定世界時)の時間が使用されます。設定されている場合は、Eastern Standard Time(EST; 東部標準時)または Pacific Standard Time(PST; 太平洋標準時)時間帯が使用されます。

hh:mm:ss は時間のフォーマットです。

1 ~ 31 の日付を入力します。

月の名前を入力します。

現在から 2035 までの年を入力します。

開始時刻を入力したら、次の中から選択します。

duration キーワードで、キーのライフタイム期間を秒単位で設定します。

end-time 引数で、停止する時刻を設定します。これらのパラメータは、 start-time argument で使用されるパラメータと同じです。

infinite キーワードで、accept-lifetime 期間を期限切れにしないことができます。

no accept-lifetime 値が定義されている場合、関連付けられた受信パスワードは着信 TCP セグメントの認証に有効です。

ステップ 8

send-lifetime { start-time | local start-time } { duration seconds | end-time | infinite }

 

Router(config-keychain-key)# send-lifetime 10:00:00 Jan 13 2007 10:00:00 Jan 13 2009

キーチェーンの認証キーを発信 TCP セグメントの検証に使用できる期間を指定します。 start-time 引数では開始時刻を識別し、local start-time 引数ではローカル時間帯での開始時刻を識別します。両方の引数に同じパラメータが必要です。

(注) 時間の参照は、ルータのクロックの時間帯設定によって決まります。時間帯が設定されていない場合、デフォルトの時間帯では UTC の時間が使用されます。設定されている場合は、EST または PST 時間帯が使用されます。

hh : mm : ss は時間のフォーマットです。

1 ~ 31 の日付を入力します。

月の名前を入力します。

1993 ~ 2035 の年を入力します。

開始時刻を入力したら、次の中から選択します。

duration キーワードで、送信ライフタイム期間を秒単位で設定します。

end-time 引数で、停止する時刻を設定します。これらのパラメータは、 start-time argument で使用されるパラメータと同じです。

infinite キーワードで、送信ライフタイム期間が期限切れにならないようにすることができます。

no send-lifetime 値が定義されている場合、関連付けられた送信パスワードは発信 TCP セグメントの認証に有効です。

ステップ 9

exit

 

Router(config-keychain-key)# exit

キーチェーン キー コンフィギュレーション モードを終了します。

ステップ 10

exit

 

Router(config-keychain)# exit

キーチェーン コンフィギュレーション モードを終了します。

ステップ 11

mpls ldp [ vrf vrf-name ] password option number for acl { key-chain keychain-name | [ 0 | 7 ] password }

 

Router(config)# mpls ldp password option 1 for 10 keychain ldp-pwd

指定したアクセス リストで LDP ルータ ID が許可されているネイバーとの LDP セッションに MD5 パスワードを設定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

number 引数には、ネイバー パスワードの特定時にアクセス リストが評価される順序を指定します。有効な範囲は、1 ~ 32767 です。

for acl キーワードと引数のペアには、パスワードが適用されるネイバーの LDP ルータ ID が含まれているアクセス リストの名前を指定します。 acl 引数には標準の IP アクセス リストの値(1 ~ 99)だけを使用できます。

key-chain keychain-name キーワードと引数のペアには、使用するキーチェーンの名前を指定します。

0 7 のキーワードでは、そのあとに入力されたパスワードを非表示に(暗号化)するかどうかを指定します。

0 では、暗号化されないパスワードを指定します。

7 では、暗号化されるパスワードを指定します。

password 引数には、指定した LDP セッションに使用する MD5 パスワードを指定します。

ステップ 12

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 13

show mpls ldp neighbor [ vrf vrf-name | all ] [ ip-address | interface ] [ detail ] [ graceful-restart ]

 

Router# show mpls ldp neighbor detail

LDP セッションのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VRF インスタンスの LDP ネイバーが表示されます。

ip-address 引数には、パスワード保護が設定された IP アドレスを持つネイバーを指定します。

interface 引数には、このインターフェイスを介してアクセス可能な LDP ネイバーを指定します。

detail キーワードを指定すると、このネイバーのパスワード情報などの情報が長形式で表示されます。表示される項目は次のとおりです。

このネイバーにパスワードが必須かどうか(required/not required)

パスワード ソース(neighbor/fallback/番号(オプション番号))

このネイバーに最後に設定されたパスワードが TCP セッションによって使用されているか(in use)、または TCP セッションで古いパスワードが使用されるか(stale)

graceful-restart キーワードを指定すると、各ネイバーのグレースフル リスタート情報が表示されます。

MPLS LDP パスワード ロールオーバーの変更およびイベントの表示のイネーブル

ネイバーにパスワードが必要な場合に、ネイバーにパスワードが設定されていないと、次のデバッグ メッセージが表示されます。

00:05:04: MDSym5 protection is required for peer 10.2.2.2:0(glbl), but no password configured.

設定変更に関連するイベントとパスワード ロールオーバー イベントをイネーブルにするには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. mpls ldp logging password configuration [ rate-limit number ]

4. mpls ldp logging password rollover [ rate-limit number ]

5. exit

6. debug mpls ldp transport events

または

debug mpls ldp transport connections

手順の詳細


ステップ 1 enable

このコマンドでは、特権 EXEC モードをイネーブルにします。プロンプトが表示されたらパスワードを入力します。

ステップ 2 configure terminal

このコマンドでは、グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 3 mpls ldp logging password configuration [ rate-limit number ]

このコマンドを使用して、設定変更に関連するイベントの表示をイネーブルにします。出力には、新しいパスワードが設定されたか既存のパスワードが変更または削除されたときのイベントが表示されます。1 分間に 1 ~ 60 メッセージのレート制限を指定できます。

ステップ 4 mpls ldp logging password rollover [ rate-limit number ]

このコマンドを使用して、パスワード ロールオーバー イベントに関連するイベントの表示をイネーブルにします。新しいパスワードが認証に使用されたとき、または認証がディセーブルにされたときにイベントが表示されます。1 分間に 1 ~ 60 メッセージのレート制限を指定できます。

ステップ 5 exit

このコマンドでは、グローバル コンフィギュレーション モードを終了します。

ステップ 6 debug mpls ldp transport events

または

debug mpls ldp transport connections

どちらのコマンドでも、セッション TCP MD5 オプションが変更されたときに通知が表示されます。

例を示します。

00:03:44: ldp: MD5 setup for peer 10.2.2.2:0(glbl); password changed to adfas
00:05:04: ldp: MD5 setup for peer 10.52.52.2:0(vpn1(1)); password changed to [nil]


 

MPLS LDP - ロスレス MD5 セッション認証パスワードの変更

MPLS LDP - ロスレス MD5 セッション認証機能では、既存の LDP セッションを閉じて再確立することなく、LDP セッション認証用の MD5 パスワードを変更できます。

手順の概要

1. enable

2. configure terminal

3. mpls ldp [ vrf vrf-name ] password rollover duration minutes

4. mpls ldp [ vrf vrf-name ] password fallback {key-chain keychain-name | [ 0 | 7 ] password }

5. no mpls ldp neighbor [ vrf vpn-name ] ip-address password password

6. exit

7. show mpls ldp neighbor [ vrf vrf-name ] [ ip-address | interface ] [ detail ] [ graceful-restart ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mpls ldp [ vrf vrf-name ] password rollover duration minutes

 

Router(config)# mpls ldp password rollover duration 7

新しいパスワードが有効になる前の期間を設定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

minutes 引数には、このルータでパスワード ロールオーバーが発生する前の時間を 5 ~ 65535 分で指定します。

ステップ 4

mpls ldp [ vrf vrf-name ] password fallback { key-chain keychain-name | [ 0 | 7 ] password }

 

Router(config)# mpls ldp password fallback key-chain fallback

ピアとの LDP セッションに MD5 パスワードを設定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

key-chain keychain-name キーワードと引数のペアには、双方向 LDP トラフィックの交換を認証する MD5 キーの指定に使用されるキーチェーンの名前を指定します。

0 7 のキーワードでは、そのあとに入力されたパスワードを非表示に(暗号化)するかどうかを指定します。

0 では、暗号化されないパスワードを指定します。

7 では、暗号化されるパスワードを指定します。

password 引数には、指定した LDP セッションに使用する MD5 パスワードを指定します。

ステップ 5

no mpls ldp neighbor [ vrf vpn-name ] ip-address password password
 

Router(config)# no mpls ldp neighbor 10.11.11.11 password lab1

指定したネイバーとのセッション TCP 接続の MD5 チェックサムを計算するためのパスワードの設定をディセーブルにします。

vrf vpn-name 引数には、指定したネイバーの VRF インスタンスを任意に指定します。

ip-address 引数では、ネイバー ルータ ID を識別します。

password password キーワードと引数のペアは、ルータが指定されたネイバーとのセッション TCP 接続の MD5 チェックサムを計算するために必要です。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 7

show mpls ldp neighbor [ vrf vrf-name ] [ ip-address | interface ] [ detail ] [ graceful-restart ]

 

Router# show mpls ldp neighbor detail

LDP セッションのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VRF インスタンスの LDP ネイバーが表示されます。

ip-address 引数には、パスワード保護が設定された IP アドレスを持つネイバーを指定します。

interface 引数には、このインターフェイスを介してアクセス可能な LDP ネイバーがリストされます。

detail キーワードを指定すると、このネイバーのパスワード情報などの情報が長形式で表示されます。表示される項目は次のとおりです。

このネイバーにパスワードが必須かどうか(required/not required)

パスワード ソース(neighbor/fallback/番号(オプション番号))

このネイバーに最後に設定されたパスワードが TCP セッションによって使用されているか(in use)、または TCP セッションで古いパスワードが使用されるか(stale)

graceful-restart キーワードを指定すると、各ネイバーのグレースフル リスタート情報が表示されます。

MPLS LDP - ロスレス MD5 セッション認証の設定例

ここでは、次の設定例について説明します。

「キーチェーン(対称)を使用した MPLS LDP - ロスレス MD5 セッション認証の設定:例」

「キーチェーン(非対称)を使用した MPLS LDP - ロスレス MD5 セッション認証の設定:例」

「MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例」

「キーチェーンなしのロールオーバーを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例」

「キーチェーンのあるロールオーバーを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例」

「キーチェーンのあるフォールバック パスワードを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例」

「MPLS LDP - ロスレス MD5 セッション認証の変更:一般的な設定ミスの例」

「LDP セッション障害を回避するための別のキーを使用した MPLS LDP - ロスレス MD5 セッション認証の変更:例」

キーチェーン(対称)を使用した MPLS LDP - ロスレス MD5 セッション認証の設定:例

次に、対称 MD5 キーを使用した 2 つのピア LSR の設定例を示します。

LSR1

access-list 10 permit 10.2.2.2
mpls ldp password required for 10
mpls ldp password option 1 for 10 ldp-pwd
!
key chain ldp-pwd
key 1
key-string pwd1
send-lifetime 10:00:00 Jan 1 2007 10:00:00 Feb 1 2007
accept-lifetime 09:00:00 Jan 1 2007 11:00:00 Feb 1 2007
!
interface loopback0
ip address 10.1.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.1.1 255.255.255.254
mpls label protocol ldp
tag-switching ip

LSR2

access-list 10 permit 10.1.1.1
mpls ldp password required for 10
mpls ldp password option 1 for 10 ldp-pwd
!
key chain ldp-pwd
key 1
key-string pwd1
send-lifetime 10:00:00 Jan 1 2007 10:00:00 Feb 1 2007
accept-lifetime 09:00:00 Jan 1 2007 11:00:00 Feb 1 2007
!
interface loopback0
ip address 10.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.254
mpls label protocol ldp
tag-switching ip

キーチェーン(非対称)を使用した MPLS LDP - ロスレス MD5 セッション認証の設定:例

次に、非対称 MD5 キーを使用した 2 つのピア LSR の設定例を示します。

LSR1

access-list 10 permit 10.2.2.2
mpls ldp password required for 10
mpls ldp password option 1 for 10 ldp-pwd
!
key chain ldp-pwd
key 1
key-string pwd1
accept-lifetime 00:00:00 Jan 1 2005 duration 1
send-lifetime 10:00:00 Jan 1 2007 10:00:00 Feb 1 2007
key 2
key-string pwd2
accept-lifetime 09:00:00 Jan 1 2007 11:00:00 Feb 1 2007
send-lifetime 00:00:00 Jan 1 2005 duration 1
!
interface loopback0
ip address 10.1.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.1.1 255.255.255.254
mpls label protocol ldp
tag-switching ip

LSR2

access-list 10 permit 10.1.1.1
mpls ldp password required for 10
mpls ldp password option 1 for 10 ldp-pwd
!
key chain ldp-pwd
key 1
key-string pwd2
accept-lifetime 00:00:00 Jan 1 2005 duration 1
send-lifetime 10:00:00 Jan 1 2007 10:00:00 Feb 1 2007
key 2
key-string pwd1
accept-lifetime 09:00:00 Jan 1 2007 11:00:00 Feb 1 2007
send-lifetime 00:00:00 Jan 1 2005 duration 1
!
interface loopback0
ip address 10.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.254
mpls label protocol ldp
tag-switching ip

MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例

次に、LSR A、LSR B、および LSR C の既存のパスワード設定例を示します。

LSR A の既存の設定

mpls ldp router-id loopback0 force
mpls ldp neighbor 10.11.11.11 password lab1
mpls ldp neighbor 10.12.12.12 password lab1
mpls label protocol ldp
!
interface loopback0
ip address 10.10.10.10 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.1 255.255.0.0
mpls ip
!
interface Ethernet2/0
ip address 10.0.0.1 255.255.0.0
mpls ip

LSR B の既存の設定

mpls ldp router-id loopback0 force
mpls ldp neighbor 10.10.10.10 password lab1
mpls label protocol ldp
!
interface loopback0
ip address 10.11.11.11 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.2 255.255.0.0
mpls ip

LSR C の既存の設定

mpls ldp router-id loopback0 force
mpls ldp neighbor 10.10.10.10 password lab1
mpls label protocol ldp
!
interface loopback0
ip address 10.12.12.12 255.255.255.255
!
interface Ethernet2/0
ip address 10.0.0.2 255.255.0.0
mpls ip
!
 

次に、すべてのルータ上ですべてのパスワードを変更する十分な時間が確保されるように、 mpls ldp password rollover duration コマンドを使用して LSR A、LSR B、および LSR C にロスレス パスワード変更を設定する例を示します。

LSR A の新しい設定

mpls ldp password rollover duration 10
mpls ldp password fallback lab2
no mpls ldp neighbor 10.11.11.11 password lab1
no mpls ldp neighbor 10.12.12.12 password lab1

LSR B の新しい設定

mpls ldp password rollover duration 10
mpls ldp password fallback lab2
no mpls ldp neighbor 10.10.10.10 password lab1

LSR C の新しい設定

mpls ldp password rollover duration 10
mpls ldp password fallback lab2
no mpls ldp neighbor 10.10.10.10 password lab1
 

10 分が経過すると、パスワードが変更されます。LSR A に対する次のシステム ロギング メッセージは、パスワード ロールオーバーが成功したことを確認します。

%LDP-5-PWDRO: Password rolled over for 10.11.11.11:0
%LDP-5-PWDRO: Password rolled over for 10.12.12.12:0

キーチェーンなしのロールオーバーを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例

MPLS LDP - ロスレス MD5 セッション認証パスワードは、キーチェーンなしのパスワード ロールオーバーを使用することにより(既存の LDP セッションを切断せずに)ロスレス方式で変更できます。

次に、LSR A および LSR B の既存のパスワード設定例を示します。

LSR A の既存の設定

mpls ldp router-id loopback0 force
mpls ldp neighbor 10.11.11.11 password lab1
mpls label protocol ldp
!
interface loopback0
ip address 10.10.10.10 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.1 255.255.0.0
mpls ip

LSR B の既存の設定

mpls ldp router-id loopback0 force
mpls ldp neighbor 10.10.10.10 password lab1
mpls label protocol ldp
!
interface loopback0
ip address 10.11.11.11 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.2 255.255.0.0
mpls ip
 

次に、LSR A および LSR B の新しいパスワード設定例を示します。


) ロールオーバー期間は、影響を受けるすべてのルータ上でパスワードを変更するのに十分な長さである必要があります。


LSR A の新しい設定

mpls ldp password rollover duration 10
mpls ldp neighbor 10.11.11.11 password lab2

LSR B の新しい設定

mpls ldp password rollover duration 10
mpls ldp neighbor 10.10.10.10 password lab2
 

10 分(ロールオーバー期間)が経過したあと、パスワードが変更され、次のシステム ロギング メッセージによって LSR A でのパスワード ロールオーバーが確認されます。

%LDP-5-PWDRO: Password rolled over for 10.11.11.11:0

キーチェーンのあるロールオーバーを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例

MPLS LDP - ロスレス MD5 セッション認証 パスワードは、キーチェーンのあるパスワード ロールオーバーを使用することによりロスレス方式で変更できます。次の設定例は、新しいパスワードが ldp-pwd である、LSR A、LSR B、および LSR C の新しいパスワード キーチェーン設定を示しています。

この例では、目的のキーチェーンが最初に設定されます。最初のキーのペアは、着信 TCP セグメントを認証し(recv key)、発信 TCP セグメントの MD5 ダイジェストを計算します( xmit key )。これらのキーは、 lab 1 で現在使用されているキーと同じである必要があります。キーチェーン内の 2 番めの recv key は、数分後も有効である必要があります。2 番めの xmit key はあとで有効になります。


) ロールオーバー期間は、影響を受けるすべてのルータ上でパスワードを変更するのに十分な長さである必要があります。


LSR A の新しい設定

mpls ldp password rollover duration 10
access-list 10 permit 10.11.11.11
access-list 10 permit 10.12.12.12
!
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
accept-lifetime 10:15:00 Jan 1 2007 10:45:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
accept-lifetime 10:15:00 Feb 1 2007 10:45:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd
no mpls ldp neighbor 10.11.11.11 password lab1
no mpls ldp neighbor 10.12.12.12 password lab1

LSR B の新しい設定

mpls ldp password rollover duration 10
access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
accept-lifetime 10:15:00 Jan 1 2007 10:45:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
accept-lifetime 10:15:00 Feb 1 2007 10:45:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd
no mpls ldp neighbor 10.10.10.10 password lab1

LSR C の新しい設定

mpls ldp password rollover duration 10
access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
accept-lifetime 10:15:00 Jan 1 2007 10:45:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
accept-lifetime 10:15:00 Feb 1 2007 10:45:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd
no mpls ldp neighbor 10.10.10.10 password lab1
 

10 分が経過したあと、パスワードが変更され、次のシステム ロギング メッセージによって LSR A でのパスワード ロールオーバーが確認されます。

%LDP-5-PWDRO: Password rolled over for 10.11.11.11:0
%LDP-5-PWDRO: Password rolled over for 10.12.12.12:0

キーチェーンのあるフォールバック パスワードを使用した MPLS LDP - ロスレス MD5 セッション認証パスワードの変更:例

MPLS LDP - ロスレス MD5 セッション認証パスワードは、キーチェーンでのロールバックを行っている場合に、フォールバック パスワードを使用してロスレス方式で変更できます。


) フォールバック パスワードは、他のキーチェーンが設定されていない場合にだけ使用されます。キーチェーンが設定されている場合、フォールバック パスワードは使用されません。


次に、LSR A、LSR B、および LSR C の既存のパスワード設定例を示します。

LSR A の既存の設定

mpls ldp router-id loopback0 force
mpls label protocol ldp
!
interface loopback0
ip address 10.10.10.10 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.1 255.255.0.0
mpls ip
!
interface Ethernet2/0
ip address 10.0.0.1 255.255.0.0
mpls ip
!
access-list 10 permit 10.11.11.11
access-list 10 permit 10.12.12.12
!
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR B の既存の設定

mpls ldp router-id loopback0 force
mpls label protocol ldp
!
interface loopback0
ip address 10.11.11.11 255.255.255.255
!
interface Ethernet1/0
ip address 10.2.0.2 255.255.0.0
mpls ip
!
access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR C の既存の設定

mpls ldp router-id loopback0 force
mpls label protocol ldp
!
interface loopback0
ip address 10.12.12.12 255.255.255.255
!
interface Ethernet2/0
ip address 10.0.0.2 255.255.0.0
mpls ip
!
access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd

) フォールバック キーチェーンは、キーチェーン ldp-pwdno mpls ldp password option 5 for 10 key-chain ldp-pwd コマンドを使用して削除されないかぎり使用されません。


次に、フォールバック パスワードに対して 1 つのキーチェーンが ldp-pwd という名前で設定され、別のキーチェーンが fallback という名前で設定されている LSR A、LSR B、および LSR C の新しい設定例を示します。


) ロールオーバー期間は、影響を受けるすべてのルータ上でパスワードを変更するのに十分な長さである必要があります。


LSR A の新しい設定

mpls ldp password rollover duration 10
!
key chain fallback
key 10
key-string fbk1
!
mpls ldp password fallback key-chain fallback
!
no mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR B の新しい設定

mpls ldp password rollover duration 10
!
key chain fallback
key 10
key-string fbk1
!
mpls ldp password fallback key-chain fallback
!
no mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR C の新しい設定

mpls ldp password rollover duration 10
key chain fallback
key 10
key-string fbk1
!
mpls ldp password fallback key-chain fallback
!
no mpls ldp password option 5 for 10 key-chain ldp-pwd
 

10 分が経過したあと、パスワードが変更され、次のシステム ロギング メッセージによって LSR A でのパスワード ロールオーバーが確認されます。

%LDP-5-PWDRO: Password rolled over for 10.11.11.11:0
%LDP-5-PWDRO: Password rolled over for 10.12.12.12:0

MPLS LDP - ロスレス MD5 セッション認証の変更:一般的な設定ミスの例

ここでは、MPLS LDP - ロスレス MD5 セッション認証パスワードがロスレス方式で移行される場合に発生する可能性のある一般的な設定ミスの例について説明します。設定ミスにより、LDP セッションで予想外の動作が発生することがあります。

「正しくないキーチェーン LDP パスワード設定:例」

「アクセス リスト設定の問題の回避」

正しくないキーチェーン LDP パスワード設定:例

設定ミスは、キーチェーン ベースのコマンドを mpls ldp password option for key-chain コマンドとともに使用する場合に発生することがあります。この設定で accept-lifetime または send-lifetime コマンドが指定されていない場合に、キーチェーンに 3 つ以上のキーがあると設定ミスが発生することがあります。

次に、キーチェーンの LSR A および LSR B に対して 3 つのパスワードがある正しくないキーチェーン設定例を示します。

LSR A の正しくないキーチェーン LDP パスワード設定

access-list 10 permit 10.11.11.11
!
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR B の正しくないキーチェーン LDP パスワード設定

access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd
 

この例では、LSR A と LSR B の両方について、3 番めの send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007 コマンド の期間中、設定された 3 つのすべてのキーが受信キーとして有効で、最後に設定されたキーだけが送信キーとして有効です。キーチェーン解決ルールでは、キー 10 および 11 が受信キーとして使用され、最後のキー 12 だけを送信キーとして使用できることが指示されます。送信キーと受信キーが不一致なため、LDP セッションはアクティブなままになりません。


) キーチェーンに 3 つ以上のパスワードが設定されている場合、ロールオーバーを有効にするには accept-lifetime コマンドと send-lifetime コマンドの両方を正しく設定する必要があります。


次に、キーチェーンに複数のパスワードがある正しいキーチェーン設定の例を示します。

LSR A の正しいキーチェーン LDP パスワード設定

access-list 10 permit 10.11.11.11
!
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
accept-lifetime 10:15:00 Jan 1 2007 10:45:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
accept-lifetime 10:15:00 Feb 1 2007 10:45:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd

LSR B の正しいキーチェーン LDP パスワード設定

access-list 10 permit 10.10.10.10
key chain ldp-pwd
key 10
key-string lab1
send-lifetime 10:00:00 Jan 1 2007 10:30:00 Jan 1 2007
accept-lifetime 10:00:00 Jan 1 2007 10:45:00 Jan 1 2007
key 11
key-string lab2
send-lifetime 10:30:00 Jan 1 2007 10:30:00 Feb 1 2007
accept-lifetime 10:15:00 Jan 1 2007 10:45:00 Feb 1 2007
key 12
key-string lab3
send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007
accept-lifetime 10:15:00 Feb 1 2007 10:45:00 Mar 1 2007
!
mpls ldp password option 5 for 10 key-chain ldp-pwd
 

上記の例では、LSR A と LSR B の両方について、3 番めの send-lifetime 10:30:00 Feb 1 2007 10:30:00 Mar 1 2007 コマンドの期間中、最後のキー 12 だけが送信キーおよび受信キーとして有効です。したがって、LDP セッションはアクティブなままになります。

アクセス リスト設定の問題の回避

アクセス リストを変更または削除する場合には注意してください。空のアクセス リストは、デフォルトで「すべて許可」を意味します。このため、 mpls ldp password option for key-chain コマンドまたは mpls ldp password option for コマンドが MPLS LDP MD5 セッション認証に使用され、コマンドで指定されたアクセス リストが変更または削除の結果として空になった場合は、ルータ上のすべての LDP セッションでパスワードが予期されます。この設定により、LDP セッションで予期しない動作が発生することがあります。この状況を回避するには、各 LSR に正しいアクセス リストが指定されていることを確認してください。

LDP セッション障害を回避するための別のキーを使用した MPLS LDP - ロスレス MD5 セッション認証の変更:例

MPLS LDP - ロスレス MD5 セッション認証機能は、指定されたロールオーバー期間が設定されている場合に機能します。通常、1 つのロールオーバー期間は、2 つの連続する受信キーに対して設定されている 2 つの受け入れライフタイム値とオーバーラップします。LDP プロセスは、最新の有効な送信および受信キーに対する更新をキーチェーン マネージャに 1 分ごとに要求します。LDP は、最新のキー セットをデータベース内の前回の更新のキーと比較して、キーが削除、変更、またはロールオーバーされたかどうかを判断します。ロールオーバーが発生すると、LDP プロセスはロールオーバーを検出し、次の受信キーで TCP をプログラムします。

最初のキーで送信および受け入れライフタイム値が使用され、2 番めのキーが設定されていない 2 つのキーを MPLS LDP - ロスレス MD5 セッション認証機能に使用するように LDP が設定されている場合は、LDP セッションが失敗することがあります。設定では、2 つのロールオーバーがあり、ロールオーバー期間が 1 つしかない特殊なケースが作成されます。

ここでは、この問題とその解決方法の例を示します。

「2 番めのロールオーバー期間がない場合に TCP 認証および LDP セッションが失敗することがある:例」

「TCP 認証と LDP セッションの失敗を防ぐためのキーチェーンの再設定:例」

2 番めのロールオーバー期間がない場合に TCP 認証および LDP セッションが失敗することがある:例

次の設定では、最初のロールオーバーは「secondpass」から「firstpass」です。2 番めのロールオーバーでは「firstpass」から「secondpass」に戻ります。この設定の唯一のロールオーバーは、「firstpass」と「secondpass」の間でオーバーラップしています。1 つのロールオーバー期間がないため、LDP は、最初のロールオーバーだけを実行し、2 番めのロールオーバーは実行しません。これにより、TCP 認証が失敗し、LDP セッションが失敗します。

 
key chain ldp-pwd
key 1
key-string firstpass
accept-lifetime 01:03:00 Sep 10 2007 01:10:00 Sep 10 2007
send-lifetime 01:05:00 Sep 10 2007 01:08:00 Sep 10 2007
key 2
key-string secondpass
 

TCP 認証と LDP セッションは、2 番めのキーが送信され、受け入れライフタイムが設定されている場合にも失敗することがあります。この場合、最初のキーの受け入れライフタイムは、2 番めのキーの受け入れライフタイムのサブセットです。例を示します。

 
key chain ldp-pwd
key 1
key-string firstpass
accept-lifetime 01:03:00 Sep 10 2007 01:10:00 Sep 10 2007
send-lifetime 01:05:00 Sep 10 2007 01:08:00 Sep 10 2007
key 2
key-string secondpass
accept-lifetime 01:03:00 Sep 9 2007 01:10:00 Sep 11 2007
send-lifetime 01:05:00 Sep 9 2007 01:08:00 Sep 11 2007

TCP 認証と LDP セッションの失敗を防ぐためのキーチェーンの再設定:例

設定でキーチェーンの最後のキーが常に有効になるように指定する必要がある場合は、キーチェーンに少なくとも 2 つのキーを設定します。各キーは、送信および受け入れライフタイム期間の両方で設定する必要があります。例を示します。

 
key chain ldp-pwd
key 1
key-string firstpass
accept-lifetime 01:03:00 Sep 10 2007 01:10:00 Sep 10 2007
send-lifetime 01:05:00 Sep 10 2007 01:08:00 Sep 10 2007
key 2
key-string secondpass
accept-lifetime 01:06:00 Sep 10 2007 01:17:00 Sep 10 2007
send-lifetime 01:08:00 Sep 10 2007 01:15:00 Sep 10 2007
key 3
key-string thirdpass
 

設定で、最初のキーチェーンに時間間隔を指定する必要がある場合は、その間隔後に 2 番めのキーを永続的に使用するように切り替えます。これは、2 番めのキーの開始時刻が最初のキーの終了時刻の少し前に開始するように設定し、2 番めのキーがその間隔後に永続的に有効になるように設定することで行います。例を示します。

 
key chain ldp-pwd
key 1
key-string firstpass
accept-lifetime 00:03:00 Sep 10 2007 01:10:00 Sep 10 2007
send-lifetime 00:05:00 Sep 10 2007 01:08:00 Sep 10 2007
key 2
key-string secondpass
accept-lifetime 01:06:00 Sep 10 2007 infinite
send-lifetime 01:08:00 Sep 10 2007 infinite
 

設定で、2 番めのキー、最初のキー、さらに再び 2 番めのキーの順に 2 つのキーを指定する必要がある場合は、適切なロールオーバー期間とともに 3 つのキーをその順序で指定します。例を示します。

 
key chain ldp-pwd
key 1
key-string firstpass
accept-lifetime 00:03:00 Sep 10 2007 01:10:00 Sep 10 2007
send-lifetime 00:05:00 Sep 10 2007 01:08:00 Sep 10 2007
key 2
key-string secondpass
accept-lifetime 01:06:00 Sep 10 2007 01:17:00 Sep 10 2007
send-lifetime 01:08:00 Sep 10 2007 01:15:00 Sep 10 2007
key 3
key-string firstpass
accept-lifetime 01:13:00 Sep 10 2007 infinite
send-lifetime 01:15:00 Sep 10 2007 infinite

その他の関連資料

ここでは、MPLS LDP - ロスレス MD5 セッション認証機能に関する関連資料について説明します。

関連資料

関連項目
参照先

MPLS Label Distribution Protocol(LDP; ラベル配布プロトコル)

『MPLS Label Distribution Protocol』

MD5 パスワードに対する LDP 実装の拡張

『MPLS LDP MD5 Global Configuration』

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

このリリースによってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、この章に記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Multiprotocol Label Switching Command Reference 』( http://www.cisco.com/en/US/docs/ios/mpls/command/reference/mp_book.html )を参照してください。Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )を使用してください。

mpls ldp logging password configuration

mpls ldp logging password rollover

mpls ldp neighbor password

mpls ldp password fallback

mpls ldp password option

mpls ldp password required

mpls ldp password rollover duration

show mpls ldp discovery

show mpls ldp neighbor

show mpls ldp neighbor password

MPLS LDP - ロスレス MD5 セッション認証の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 MPLS LDP - ロスレス MD5 セッション認証の機能情報

機能名
リリース
機能情報

MPLS LDP - ロスレス MD5 セッション認証

12.0(33)S
12.2(33)SRC
12.2(33)SB
12.4(20)T

この機能を使用すると、LDP セッションを切断して再確立することなく、LDP セッションをパスワードで保護できます。

この機能は、Cisco IOS Release12.0(33)S で導入されました。

次のコマンドが導入または変更されました。 mpls ldp logging password configuration mpls ldp logging password rollover mpls ldp neighbor password mpls ldp password fallback mpls ldp password option mpls ldp password required mpls ldp password rollover duration show mpls ldp discovery show mpls ldp neighbor show mpls ldp neighbor password

この機能は、Cisco IOS Release 12.2(33)SRC に統合されました。

この機能は、Cisco IOS Release12.2(33)SB に統合されました。

この機能は、Cisco IOS Release12.4(20)T に統合されました。


 

このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2007-2008 Cisco Systems, Inc.
All rights reserved.

Copyright © 2007-2011, シスコシステムズ合同会社.
All rights reserved.