マルチプロトコル ラベル スイッチング コンフィギュ レーション ガイド、Cisco IOS Release 15.1S
MPLS - LDP MD5 グローバル コンフィギュ レーション
MPLS - LDP MD5 グローバル コンフィギュレーション
発行日;2012/01/30 | 英語版ドキュメント(2012/01/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 16MB) | フィードバック

目次

MPLS - LDP MD5 グローバル コンフィギュレーション

この章の構成

の前提条件

の制約事項

に関する情報

ピア間の LDP メッセージに対する LDP MD5 保護の機能拡張

LDP MD5 パスワードの設定情報

ルーティング テーブルの LDP MD5 パスワードの設定

機能の設定方法

LDP セッションのパスワード要件

LDP MD5 パスワード保護の対象にする LDP ネイバーの特定

前提条件

LDP セッションの LDP MD5 パスワードの設定

指定したネイバーの LDP MD5 パスワードの設定

指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定

選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定

LDP MD5 設定の確認

機能の設定例

LDP セッションの LDP MD5 パスワードの設定:例

指定したネイバーの LDP セッションに対する LDP MD5 パスワードの設定:例

指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定:例

選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

の機能情報

用語集

MPLS - LDP MD5 グローバル コンフィギュレーション

MPLS - LDP MD5 グローバル コンフィギュレーション機能は、Message Digest 5(MD5)パスワードの Label Distribution Protocol(LDP; ラベル配布プロトコル)実装の機能拡張を提供します。この機能では、LDP MD5 をピア単位ではなくグローバルにイネーブルにすることができます。この機能を使用すると、一連の LDP ネイバーのパスワード要件を設定して、未認証のピアによる LDP セッションの確立を防いだり、スプーフィングされた TCP メッセージをブロックしたりできます。

このマニュアルでは、LDP MD5 保護のグローバル コンフィギュレーションに関する情報および設定情報を示します。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「MPLS - LDP MD5 グローバル コンフィギュレーションの機能情報」を参照してください。

プラットフォームと Cisco IOS および Catalyst OS ソフトウェア イメージのサポート情報の検索

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

MPLS - LDP MD5 グローバル コンフィギュレーションの前提条件

Label Switch Router(LSR; ラベル スイッチ ルータ)でシスコ エクスプレス フォワーディングまたは分散シスコ エクスプレス フォワーディングがイネーブルになっている必要があります。

LSR のルーティング(スタティックまたはダイナミック)が設定されている必要があります。

LSR で Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)LDP が設定されている必要があります。ただし、MPLS LDP を設定する前に LDP MD5 保護を設定できます。LDP MD5 保護は、MPLS LDP を設定してから使用できます。

VRF の MPLS LDP MD5 グローバル コンフィギュレーションを設定する場合は、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)Routing/Forwarding(VRF; VPN ルーティング/転送)インスタンスが設定されている必要があります。VRF を削除すると、その VRF の LDP MD5 グローバル コンフィギュレーションは自動的に削除されます。

MPLS - LDP MD5 グローバル コンフィギュレーションの制約事項

このマニュアルで説明されている MD5 保護は、LDP セッションだけに適用されます。このマニュアルで説明されているすべての機能拡張は、Tag Distribution Protocol(TDP; タグ配布プロトコル)セッションに影響しません。

MPLS - LDP MD5 グローバル コンフィギュレーションに関する情報

MPLS - LDP MD5 グローバル コンフィギュレーション機能を設定する前に、次のことを理解しておく必要があります。

「ピア間の LDP メッセージに対する LDP MD5 保護の機能拡張」

「LDP MD5 パスワードの設定情報」

「ルーティング テーブルの LDP MD5 パスワードの設定」

ピア間の LDP メッセージに対する LDP MD5 保護の機能拡張

MPLS - LDP MD5 グローバル コンフィギュレーション機能は、MD5 パスワードの LDP サポートを次のように拡張します。

MD5 保護が必要なピアを指定できる。これにより、予期しないピアによる LDP セッションの確立を防ぐことができます。

ピアのグループにパスワードを設定できる。これにより、LDP パスワードの設定管理のスケーラビリティが向上します。

ピアによって確立された LDP セッションは、そのピアのパスワードが変更されても自動的には切断されない。ピアによって次回 LDP セッションが確立されるときに、新しいパスワードが使用されます。

新しいパスワードを使用する時期を制御できる。ピアで新しいパスワードを設定してから、新しいパスワードの使用を強制できます。

ネイバー ノードでグレースフル リスタートがサポートされている場合、LDP セッションはグレースフル リスタートする。LDP MD5 パスワードの設定は、スタンバイ Route Processor(RP; ルート プロセッサ)にチェックポイントされます。LDP MD5 パスワードは、新しいアクティブな RP がスイッチオーバー後にネイバーとの LDP セッションを確立しようとしたときに、ルータによって使用されます。

LDP セッション、アドバタイズメント、および通知メッセージは、2 つの LDP ピア間で TCP 接続を使用して交換されます。TCP 接続を使用して交換された LDP メッセージを保護するように TCP MD5 オプションを設定できます。この保護は、LDP ピアごとに設定できます。その結果、LDP は、パスワードが設定されていない LSR から送信された LDP hello メッセージを無視します(LDP は hello メッセージを送信した各ネイバーとの LDP セッションを確立しようとします)。

MPLS - LDP MD5 グローバル コンフィギュレーション機能の導入前は、MD5 保護が必要な各 LDP ピアに個別のパスワードを設定する必要がありました。複数の LDP ピアに同じパスワードを使用する場合でも、その必要がありました。この機能の導入前は、ピアのパスワードが変更された場合、LDP はそのピアとの LDP セッションをただちに切断しました。

LDP MD5 パスワードの設定情報

MPLS - LDP MD5 グローバル コンフィギュレーション機能の導入前、LDP ネイバーのパスワードの設定には mpls ldp neighbor [ vrf vrf-name ] ip-address password [ 0 | 7 ] password コマンドを使用していました。このコマンドは、ルータ ID が指定された VRF 内の IP アドレスである 1 つのネイバーに対してパスワードを設定します。LSR は、LDP ネイバーごとにこのような設定を持たないか、または 1 つ持つことができます。

MPLS - LDP MD5 グローバル コンフィギュレーション機能で提供されるコマンドを使用すると、複数の LDP ネイバーに対してパスワードを設定できます。

ネットワークの MD5 パスワード保護を設定する前に、ピア間の LDP セッションのパスワードが LDP によって特定される方法を理解する必要があります。LDP は、入力されたコマンドに基づいてセッションのパスワードを特定します。

mpls ldp password vrf vrf-name required [ for acl ] コマンドは、ネイバーの LDP ルータ ID を許可するオプションの acl 引数を指定するか、または acl 引数を指定しないで入力できます。パスワードを設定するコマンドを入力する必要があります。そのようにしないと、LDP は疑わしいネイバーとのセッションを確立できません。

次のパスワード特定プロセスのコマンドでは、 A.B.C.D:N は VRF vpn1 内の LDP ネイバーとネイバーの LDP ID を表しています。

A.B.C.D はネイバーのルータ ID

N はネイバーのラベル スペース ID

ネイバーのラベル スペース A.B.C.D:N の LDP セッションのパスワードを特定するために、LDP はパスワード コマンドを次に示す順に調べます。

次のコマンドが設定されている場合:

mpls ldp neighb or vrf vpn1 A.B.C.D password pwd-nbr

LDP セッションのパスワードは pwd-nbr です。LDP はそれ以上調べず、指定されたパスワードを使用します。

 

それ以外の場合、LDP は 1 つ以上の mpls ldp vrf vpn1 password option コマンドが設定されているかどうかを確認します。LDP は、コマンドを number 引数の昇順に( number-1st から number-n へ )検討します。例を示します。

mpls ldp vrf vpn1 password option number-1st for acl-1st pwd-1st

LDP は、ネイバーのピア ルータ ID( A.B.C.D )をこのコマンドと比較します。 A.B.C.D がコマンドのアクセス リスト acl-1st で許可されている場合、セッションのパスワードはコマンドのパスワード、つまり pwd-1st です。

A.B.C.D が acl-1st で許可されていない場合、LDP は昇順で次の number 引数( number-2nd )が指定されたコマンドを調べます。

mpls ldp vrf vpn1 password option number-2nd for acl-2nd pwd-2nd

A.B.C.D がコマンドのアクセス リスト acl-2nd で許可されている場合、セッションのパスワードは pwd-2nd です。

A.B.C.D がアクセス リスト acl-2nd で許可されていない場合、LDP は次の状態になるまで A.B.C.D とアクセス リストを照合します。

アクセス リストによって許可されている A.B.C.D が見つかった。コマンドのパスワードがセッションのパスワードです。

このコマンドの number-nth 引数( n は、このコマンドで指定した最大の number 引数)を処理した。

mpls ldp vrf vpn1 password option number-nth for acl-nth pwd-nth コマンドで一致するものが見つからず、したがってパスワードがない場合、LDP は次のコマンドが設定されているどうかを確認します。

mpls ldp password vrf vpn1 fallback pwd-fback

このコマンドが設定されている場合、セッションのパスワードは pwd-fback です。

それ以外の場合、LDP によってパスワードが見つからなければ、セッションのパスワードは設定されていません。LDP はセッションの TCP 接続に MD5 保護を使用しません。

ルーティング テーブルの LDP MD5 パスワードの設定

MPLS - LDP MD5 グローバル コンフィギュレーション機能により、LDP ネイバー間またはピア間の LDP セッションのパスワード保護を設定できるコマンドが導入されます。これらのコマンドは、グローバル ルーティング テーブルまたは VRF 内のルートに適用できます。

コマンドで vrf キーワードが指定されていない場合、コマンドはデフォルトでグローバル ルーティング テーブルに適用されます。次のサンプル コマンドは、グローバル ルーティング テーブル内のルートに適用されます。

Router# mpls ldp password required
Router# mpls ldp password option 15 for 99 pwd-acl
Router# mpls ldp password fallback pwd-fbck
 

VRF 内のルートに LDP MD5 パスワード保護を設定できるのは、LSR でその VRF が設定されている場合だけです。VRF 名を指定し、その名前の VRF が LSR で設定されていない場合、LDP は警告を出力し、コマンドを廃棄します。VRF を削除すると、その VRF のパスワード設定が削除されます。次のサンプル コマンドは、VRF(たとえば、VRF vpn1)内のルートに適用されます。

Router# mpls ldp vrf vpn1 password required
Router# mpls ldp vrf vpn1 password option 15 for 99 pwd-acl
Router# mpls ldp vrf vpn1 password fallback pwd-flbk

MPLS - LDP MD5 グローバル コンフィギュレーション機能の設定方法

MPLS - LDP MD5 グローバル コンフィギュレーション機能を設定するには、次の作業を実行します。

「LDP MD5 パスワード保護の対象にする LDP ネイバーの特定」(必須)

「LDP セッションの LDP MD5 パスワードの設定」(必須)

「LDP MD5 設定の確認」(任意)

LDP セッションのパスワード要件

セキュリティ上の理由から、特定のネイバーのセットにパスワード保護が必要になる場合があります。たとえば、未認証のピアによる LDP セッションが確立されるのを防いだり、スプーフィングされた TCP メッセージをブロックしたりするためです。このセキュリティを強制するために、MD5 保護が必要なネイバーとの LDP セッションにセキュリティ要件を設定できます(TCP セッションではパスワードが使用されます)。

ネイバーにパスワード要件を設定し、ネイバーにパスワードを設定しなかった場合、LDP はそのネイバーとの LDP セッションを切断します。パスワード要件とパスワードを設定し、パスワードが LDP セッションで使用されない場合も、LDP はネイバーとの LDP セッションを切断します。

ネイバーにパスワードが必須で、そのネイバーとの LDP セッションがパスワードを使用するように設定されている場合、ネイバーのパスワードを削除する設定を行うと、LDP セッションは切断されます。

不要な LDP セッションのフラッピングを防ぐには、この項で説明する作業を実行し、LDP パスワードを変更するときに注意する必要があります。

LDP MD5 パスワード保護の対象にする LDP ネイバーの特定

LDP MD5 パスワード保護の対象にする LDP ネイバーを特定するには、次の作業を実行します。

前提条件

LDP セッションのパスワードの設定を開始する前に、MD5 保護が必要なネイバーまたはピアのグループを特定する必要があります。例を示します。

複数のカスタマーが同じコア ルータを使用する場合がある。セキュリティを確保するには、それぞれのカスタマーに異なるパスワードを設定します。

ネットワークにいくつかの部門別 VRF が定義されている場合がある。各 VRF にパスワード保護を提供できます。

セキュリティ上の理由から、ピアの特定のグループにパスワード保護が必要な場合がある。パスワード保護により、不要な LDP セッションが確立されるのを防止できます。

LDP セッションのパスワードの設定を開始する前に、LDP MD5 パスワード保護が必要なネイバーまたはピアのグループを特定する必要があります。この作業では、図 1 のネットワークを使用して、LDP MD5 保護の対象にする LDP ネイバーを特定する方法を示します。

LDP MD5 保護の対象にする LDP ネイバーまたはピアのグループを特定したら、パスワード保護を必須にするかどうか、および各ピアに使用するパスワード コマンドを決定する必要があります。

手順の概要

1. LDP MD5 パスワード保護の対象にする LDP ネイバーまたはピアのグループを特定します。

2. 各ネイバーまたはピアのグループに必要な LDP MD5 保護を決定します。

手順の詳細


ステップ 1 LDP MD5 パスワード保護の対象にする LDP ネイバーまたはピアのグループを特定します。

この作業では、図 1 のネットワークを使用して、LDP MD5 保護の対象にする LDP ネイバーを特定する方法を示します。

図 1 に、次のトポロジを持つサンプル ネットワークを示します。

Provider Edge(PE; プロバイダー エッジ)ルータ PE1 と Customer Edge(CE; カスタマー エッジ)ルータ CE1 の間、および PE1 と CE2 の間に Carrier Supporting Carrier(CSC)が設定されている。

PE1 と PE2 の間に、レイヤ 3 VPN をサポートする Internal Border Gateway Protocol(IBGP; 内部ボーダー ゲートウェイ プロトコル)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)IPv4(VPNv4)が設定されている。

CE1 と CE3 が VRF VPN1 内にある。CE2 と CE4 が別の VRF VPN2 にあります。

図 1 サンプル ネットワーク:LDP MD5 保護の対象にする LDP ネイバーの特定

 

図 1 のサンプル ネットワークでは、PE 1 で次のそれぞれについて個別のパスワードを設定できます。

VRF VPN1

VRF VPN2

PE1 で P1、P2、CE1、および CE2 のパスワード要件を設定することもできます。

ステップ 2 各ネイバーまたはピアのグループに必要な LDP MD5 保護を決定します。

1 つのピアまたはネイバーとの LDP セッション、たとえば PE1 から CE1 へのセッションのパスワードを設定する必要がある場合は、 mpls ldp neighbor [ vrf vrf-name ] ip-address password [ 0 | 7 ] password-string コマンドを使用できます。 ip-address は、ネイバーのルータ ID です。手順については、「LDP セッションの LDP MD5 パスワードの設定」を参照してください。

1 組のピア(たとえば、P1 と P2)に LDP セッション パスワードを設定する必要がある場合は、これらのルータへのアクセスを許可して他のすべてのルータに対するアクセスを拒否するアクセス リストを設定できます。手順については、「選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定」を参照してください。

VRF vpn1 メンバ間の通信にパスワードが必要な場合は、VRF vpn1 のパスワード要件とパスワードを設定できます。ネットワークに複数の VRF がある場合は、各 VRF にパスワードを設定できます。手順については、「指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定」を参照してください。


 

LDP セッションの LDP MD5 パスワードの設定

ここでは、LDP セッションの LDP MD5 パスワードの設定に関する情報と手順を示します。ルータを不要な LDP セッションから保護し、LDP セッションのセキュリティを確保するには、LDP MD5 パスワードを設定します。LDP セッションのセキュリティは、特定のネイバー、特定の VRF 内またはグローバル ルーティング テーブルの LDP ピア、あるいは LDP ネイバーの特定のセットに対して確保できます。

ネットワーク内の LDP MD5 パスワード保護が必要な LDP ネイバーまたは LDP ピアを特定したら、必要に応じて次の手順を実行して、LDP セッションの LDP MD5 パスワードを設定します。

「指定したネイバーの LDP MD5 パスワードの設定」

「指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定」

「選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定」

指定したネイバーの LDP MD5 パスワードの設定

指定したネイバーの LDP MD5 パスワードを設定するには、次の作業を実行します。

LDP は、まずルータとネイバー間のパスワード( mpls ldp neighbor [ vrf vrf-name ] ip-address password pwd-string コマンドで設定)を検索します。このコマンドでパスワードが設定されている場合、LDP は他のコマンドで設定されたパスワードをチェックする前に、そのパスワードを使用します。

パスワード保護が必要な各ネイバーまたはピアに対してコンフィギュレーション コマンドを追加する必要があります。

前提条件

MD5 パスワード保護が必要な LDP ネイバーまたはピアを特定します。

手順の概要

1. enable

2. configure terminal

3. mpls ldp neighbor [ vrf vrf-name ] ip-address password [ 0 | 7 ] password-string

4. end

5. show mpls ldp neighbor [ vrf vrf-name | all ] [ ip- address | interface ] [ detail ] [ graceful-restart ]

6. show mpls ldp neighbor [ vrf vrf-name ] [ ip- address | interface ] password [ pending | current ]

7. show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mpls ldp neighbor [ vrf vrf-name ] ip-address password [ 0 | 7 ] password-string

 

Router(config)# mpls ldp neighbor vrf vpn1 10.1.1.1 password nbrce1pwd

指定したネイバーとのセッション TCP 接続の MD5 チェックサムを計算するために、パスワード キーを設定します。

vrf vrf-name キーワードと引数のペアには、指定したネイバーの VPN ルーティングおよび転送インスタンスを指定します。

ip-address 引数には、ネイバーを識別するルータ ID(IP アドレス)を指定します。

[ 0 | 7 ] キーワードでは、そのあとに入力されたパスワードを暗号化するかどうかを指定します。

0 を指定すると、パスワードはクリアテキストの(暗号化されない)ままです。

7 を指定すると、パスワードはシスコ独自の暗号化方式で暗号化されます。

password-string 引数には、指定したネイバーとのセッション TCP 接続の MD5 チェックサムを計算するために使用されるパスワード キーを指定します。

ステップ 4

end

 

Router(config)# end

終了して、特権 EXEC モードに戻ります。

ステップ 5

show mpls ldp neighbor [ vrf vrf-name | all ] [ ip-address | interface ] [ detail ] [ graceful-restart ]

 

Router# show mpls ldp neighbor vrf vpn1 detail

LDP セッションのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VRF インスタンス( vrf-name )の LDP ネイバーが表示されます。

all キーワードを指定すると、デフォルトのルーティング ドメイン内の VPN を含む、すべての VPN の LDP ネイバー情報が表示されます。

ip-address 引数には、パスワード保護を設定した IP アドレスを持つネイバーを指定します。

interface 引数には、このインターフェイスを介してアクセス可能な LDP ネイバーを指定します。

detail キーワードを指定すると、このネイバーのパスワード情報などの情報が長形式で表示されます。表示される項目は次のとおりです。

このネイバーにパスワードが必須かどうか(required または not required)

パスワード ソース(neighbor、fallback、または番号(オプション番号))

このネイバーに最後に設定されたパスワードが TCP セッションによって使用されているか(in use)、または TCP セッションで古いパスワードが使用されるか(stale)

graceful-restart キーワードを指定すると、各ネイバーのグレースフル リスタート情報が表示されます。

ステップ 6

show mpls ldp neighbor [ vrf vrf-name ] [ ip-address | interface ] password [ pending | current ]

 

Router# show mpls ldp neighbor vrf vpn1 password

確立された LDP セッションで使用されているパスワード情報を表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VRF インスタンス( vrf-name )の LDP ネイバーが表示されます。

ip-address 引数には、パスワード保護を設定した IP アドレスを持つネイバーを指定します。

interface 引数には、このインターフェイスを介してアクセス可能な LDP ネイバーを指定します。

pending キーワードを指定すると、パスワードが現在の設定とは異なる LDP セッションが表示されます。

current キーワードを指定すると、パスワードが現在の設定と同じである LDP セッションが表示されます。

このコマンドにオプションのキーワードを指定しない場合は、確立されているすべての LDP セッションのパスワード情報が表示されます。

ステップ 7

show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

 

Router# show mpls ldp discovery vrf vpn1 detail

LDP ディスカバリ プロセスのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VRF インスタンス( vrf-name )のネイバー ディスカバリ情報が表示されます。

all キーワードを指定すると、デフォルトのルーティング ドメイン内の VPN を含む、すべての VPN の LDP ディスカバリ情報が表示されます。

detail キーワードを指定すると、LSR 上のすべての LDP ディスカバリ ソースに関する詳細情報が表示されます。

指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定

指定した VRF に基づくピアとの LDP セッションに LDP MD5 パスワードを設定するには、次の作業を実行します。この作業では、グローバル ルーティング テーブルに基づくピアとの LDP セッションに LDP MD5 パスワードを設定することもできます。

この作業を実行すると、特定の VRF またはグローバル ルーティング テーブルに基づくピアとの LDP セッションが保護されます。パスワード要件を設定する場合は、 mpls ldp password required コマンドを使用できます。

LDP ネイバーのセットとの LDP セッションにだけ MD5 保護が必要な場合は、LDP ネイバーの目的のセットを許可して残りのネイバーを拒否する標準の IP アクセス リストを設定します。「選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定」を参照してください。

前提条件

MD5 パスワード保護が必要な LDP ピアを特定します。

手順の概要

1. enable

2. configure terminal

3. mpls ldp [ vrf vrf-name ] password fallback [ 0 | 7 ] password

4. mpls ldp [ vrf vrf-name ] password required [ for acl ]

5. end

6. show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mpls ldp [ vrf vrf-name ] password fallback [ 0 | 7 ] password

 

Router(config)# mpls ldp vrf vpn1 password fallback 0 vrfpwdvppn1

ピアとの LDP セッションに MD5 パスワードを設定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

[ 0 | 7 ] キーワードでは、そのあとに入力されたパスワードを暗号化するかどうかを指定します。

0 を指定すると、パスワードはクリアテキストの(暗号化されない)ままです。

7 を指定すると、パスワードはシスコ独自の暗号化方式で暗号化されます。

password 引数には、指定した VRF またはグローバル ルーティング テーブルを使用して接続が確立されたピアとの LDP セッションに使用する MD5 パスワードを指定します。

例では、VRF の MD5 パスワードを設定しています。

ステップ 4

mpls ldp [ vrf vrf-name ] password required [ for acl ]

 

Router(config)# mpls ldp vrf vpn1 password required

LDP ピア間のセッションの確立時に LDP でパスワードを使用する必要があることを指定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

for acl キーワードと引数のペアには、アクセス リストを指定し、LDP ルータ ID がそのアクセス リストで許可されているネイバーとの LDP セッションにだけパスワードが必須であることを指定します。 acl 引数には標準の IP アクセス リストだけを使用できます。

ステップ 5

end

 

Router(config)# end

終了して、特権 EXEC モードに戻ります。

ステップ 6

show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

 

Router# show mpls ldp discovery detail

LDP ディスカバリ プロセスのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VPN ルーティングおよび転送インスタンス( vrf-name )のネイバー ディスカバリ情報が表示されます。

all キーワードを指定すると、デフォルトのルーティング ドメイン内の VPN を含む、すべての VPN の LDP ディスカバリ情報が表示されます。

detail キーワードを指定すると、LSR 上のすべての LDP ディスカバリ ソースに関する詳細情報が表示されます。

このコマンドを使用して、すべての LDP ネイバーのパスワード設定が正しいことを確認します。

選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定

選択したピア グループとの LDP セッションに LDP MD5 パスワードを設定するには、次の作業を実行します。

選択したピア グループとの LDP セッションにだけ MD5 保護が必要な場合は、目的のピア グループ(LDP ルータ ID で指定)とのセッションを許可し、残りのピアとのセッションを拒否する標準の IP アクセス リストを設定します。これらのネイバーまたはピアにパスワードやパスワード要件を設定すると、未認証のピアによる LDP セッションの確立を防止できるため、セキュリティが確保されます。

前提条件

MD5 パスワード保護が必要なピア グループを特定し、そのピア グループとの LDP セッションを許可するアクセス リストを定義します。

手順の概要

1. enable

2. configure terminal

3. mpls ldp [ vrf vrf-name ] password option number for acl [ 0 | 7 ] password

4. mpls ldp [ vrf vrf-name ] password required [ for acl ]

5. end

6. show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

mpls ldp [ vrf vrf-name ] password option number for acl [ 0 | 7 ] password

 

Router(config)# mpls ldp password option 25 for 10 aclpwdfor10

指定したアクセス リストで LDP ルータ ID が許可されているネイバーとの LDP セッションに MD5 パスワードを設定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

number 引数には、ネイバー パスワードの特定時にアクセス リストが評価される順序を指定します。有効な範囲は、1 ~ 32767 です。

for acl キーワードと引数のペアには、パスワードが適用されるネイバーの LDP ルータ ID が含まれているアクセス リストの名前を指定します。 acl 引数には標準の IP アクセス リストの値(1 ~ 99)だけを使用できます。

[ 0 | 7 ] キーワードでは、そのあとに入力されたパスワードを暗号化するかどうかを指定します。

0 を指定すると、パスワードはクリアテキストの(暗号化されない)ままです。

7 を指定すると、パスワードはシスコ独自の暗号化方式で暗号化されます。

password 引数には、指定した LDP セッションに使用する MD5 パスワードを指定します。

ステップ 4

mpls ldp [ vrf vrf-name ] password required [ for acl ]

 

Router(config)# mpls ldp password required for 10

LDP ピア間のセッションの確立時に LDP でパスワードを使用する必要があることを指定します。

vrf vrf-name キーワードと引数のペアには、LSR で設定されている VRF を指定します。

for acl キーワードと値のペアには、アクセス リストの名前を指定します。アクセス リストでは、LDP ルータ ID がアクセス リストで許可されているネイバーとの LDP セッションにだけパスワードが必須であることを指定します。 acl 引数には標準の IP アクセス リストだけを使用できます。

ステップ 5

end

 

Router(config)# end

終了して、特権 EXEC モードに戻ります。

ステップ 6

show mpls ldp discovery [ vrf vrf-name | all ] [ detail ]

 

Router# show mpls ldp discovery detail

LDP ディスカバリ プロセスのステータスを表示します。

vrf vrf-name キーワードと引数のペアを指定すると、指定した VPN ルーティングおよび転送インスタンス( vrf-name )のネイバー ディスカバリ情報が表示されます。

all キーワードを指定すると、デフォルトのルーティング ドメイン内の VPN を含む、すべての VPN の LDP ディスカバリ情報が表示されます。

detail キーワードを指定すると、LSR 上のすべての LDP ディスカバリ ソースに関する詳細情報が表示されます。

このコマンドを使用して、すべての LDP ネイバーのパスワード設定が正しいことを確認します。

LDP MD5 設定の確認

LDP MD5 セキュア セッションがすべての LDP ネイバーに設定したとおりであることを確認するには、次の作業を実行します。

手順の概要

1. enable

2. show mpls ldp discovery detail

3. show mpls ldp neighbor detail

4. show mpls ldp neighbor password [ pending | current ]

5. exit

手順の詳細


ステップ 1 enable

このコマンドを使用して、特権 EXEC モードをイネーブルにします。プロンプトが表示されたらパスワードを入力します。例を示します。

Router> enable
Router#

 

ステップ 2 show mpls ldp discovery detail

このコマンドを使用して、LDP MD5 パスワード情報が各ネイバーに設定したとおりであることを確認します。例を示します。

Router# show mpls ldp discovery detail
 
Local LDP Identifier:
10.1.1.1:0
Discovery Sources:
Interfaces:
Ethernet1/0 (ldp): xmit/recv
Hello interval: 5000 ms; Transport IP addr: 10.1.1.1
LDP Id: 10.4.4.4:0
Src IP addr: 10.0.20.4; Transport IP addr: 10.4.4.4
Hold time: 15 sec; Proposed local/peer: 15/15 sec
Password: not required, none, stale
Targeted Hellos:
10.1.1.1 -> 10.3.3.3 (ldp): passive, xmit/recv
Hello interval: 10000 ms; Transport IP addr: 10.1.1.1
LDP Id: 10.3.3.3:0
Src IP addr: 10.3.3.3; Transport IP addr: 10.3.3.3
Hold time: 90 sec; Proposed local/peer: 90/90 sec
Password: required, neighbor, in use
 

Password フィールドには、パスワードのステータスに対応する次のいずれかの値が表示されます。

Required または not required:パスワード設定が必要かどうかを示します。

Neighbor、none、オプション番号、または fallback:パスワードが設定されたときのパスワード ソースを示します。

In use(現在)または stale(以前):現在の LDP セッション パスワードの使用ステータスを示します。

コマンドの出力を調べて設定を確認します。

ステップ 3 show mpls ldp neighbor detail

このコマンドを使用して、ネイバーのパスワード情報が設定したとおりであることを確認します。例を示します。

Router# show mpls ldp neighbor detail
 
Peer LDP Ident: 10.3.3.3:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.3.3.3.11018 - 10.1.1.1.646
Password: required, neighbor, in use
State: Oper; Msgs sent/rcvd: 167/167; Downstream; Last TIB rev sent 9
Up time: 02:24:02; UID: 5; Peer Id 3;
LDP discovery sources:
Targeted Hello 10.1.1.1 -> 10.3.3.3, passive;
holdtime: 90000 ms, hello interval: 10000 ms
Addresses bound to peer LDP Ident:
10.3.3.3 10.0.30.3
Peer holdtime: 180000 ms; KA interval: 60000 ms; Peer state: estab
Peer LDP Ident: 10.4.4.4:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.4.4.4.11017 - 10.1.1.1.646
Password: not required, none, stale
State: Oper; Msgs sent/rcvd: 9/9; Downstream; Last TIB rev sent 9
Up time: 00:05:35; UID: 6; Peer Id 1;
LDP discovery sources:
Ethernet1/0; Src IP addr: 10.0.20.4
holdtime: 15000 ms, hello interval: 5000 ms
Addresses bound to peer LDP Ident:
10.0.40.4 10.4.4.4 10.0.20.4
Peer holdtime: 180000 ms; KA interval: 60000 ms; Peer state: estab
 

ステップ 4 show mpls ldp neighbor password [ pending | current ]

このコマンドを使用して、LDP セッションで必要なパスワード設定(現在の設定と同じ、または異なる設定)が使用されていることを確認します。 pending キーワードを指定すると、パスワードが現在の設定とは異なる LDP セッションの情報が表示されます。 current キーワードを指定すると、パスワードが現在の設定と同じである LDP セッションの情報が表示されます。

例を示します。

Router# show mpls ldp neighbor password
 
Peer LDP Ident: 10.4.4.4:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.4.4.4.11017 - 10.1.1.1.646
Password: not required, none, stale
State: Oper; Msgs sent/rcvd: 57/57
Peer LDP Ident: 10.3.3.3:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.3.3.3.11018 - 10.1.1.1.646
Password: required, neighbor, in use
State: Oper; Msgs sent/rcvd: 216/215
 
Router# show mpls ldp neighbor password pending
 
Peer LDP Ident: 10.4.4.4:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.4.4.4.11017 - 10.1.1.1.646
Password: not required, none, stale
State: Oper; Msgs sent/rcvd: 57/57
 
Router# show mpls ldp neighbor password current
 
Peer LDP Ident: 10.3.3.3:0; Local LDP Ident 10.1.1.1:0
TCP connection: 10.3.3.3.11018 - 10.1.1.1.646
Password: required, neighbor, in use
State: Oper; Msgs sent/rcvd: 216/215
 

このコマンドを実行すると、確立された LDP セッションで使用されているパスワード情報が表示されます。コマンドでオプションの pending または current キーワードを入力しない場合、確立されたすべての LDP セッションのパスワード情報が表示されます。

ステップ 5 exit

このコマンドを使用して、ユーザ EXEC モードに戻ります。例を示します。

Router# exit
Router>
 


 

MPLS - LDP MD5 グローバル コンフィギュレーション機能の設定例

ここでは、MPLS - LDP MD5 グローバル コンフィギュレーション機能の設定例について説明します。

「LDP セッションの LDP MD5 パスワードの設定:例」

指定したネイバーの LDP セッションに対する LDP MD5 パスワードの設定:例

次に、指定したネイバーの LDP セッションに LDP MD5 パスワードを設定する例を示します。

enable
configure terminal
mpls ldp vrf vpn1 10.1.1.1 password nbrscrtpwd
end
 

この例では、LDP ルータ ID が 10.1.1.1 であるネイバーの LDP セッションに使用するパスワードとして nbrscrtpwd を設定しています。このネイバーとの通信には、VRF vpn1 が使用されます。

指定した VRF に基づくピアとの LDP セッションに対する LDP MD5 パスワードの設定:例

次に、指定した VRF に基づくピアとの LDP セッションに LDP MD5 パスワードを設定する例を示します。VRF vpn1 を使用して通信する LDP ピアで使用するパスワードとして vrfpwdvpn1 が設定されています。パスワードは必須です。パスワードが指定されない場合、LDP はセッションを切断します。

enable
configure terminal
mpls ldp vrf vpn1 password fallback vrfpwdvpn1
mpls ldp vrf vpn1 password required
end
 

次に、グローバル ルーティング テーブルを使用して通信するピアのセッションに使用するパスワードを設定する例を示します。

enable
configure terminal
mpls ldp password fallback vrfpwdvppn1

end

選択したピア グループとの LDP セッションに対する LDP MD5 パスワードの設定:例

次に、選択したピア グループとの LDP セッションに LDP MD5 パスワードを設定する例を示します。アクセス リスト 10 に必須のパスワード aclpwdfor10 が設定されています。このパスワードを使用する必要があるのは、アクセス リスト 10 で許可されている LDP ルータ ID だけです。

enable
configure terminal
mpls ldp password option 25 for 10 aclpwdfor10
mpls ldp password required for 10
end
 

アクセス リスト 10 は、次のように定義されています。

enable
configure terminal
access-list 10 permit 10.1.1.1
access-list 10 permit 10.3.3.3
access-list 10 permit 10.4.4.4
access-list 10 permit 10.1.1.1
access-list 10 permit 10.2.2.2
end

 

その他の関連資料

ここでは、MPLS - LDP MD5 グローバル コンフィギュレーション機能に関する関連資料について説明します。

関連資料

関連項目
参照先

LDP の設定作業

『MPLS LDP MD5 Global Configuration』

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC または変更された RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、この章に記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS Multiprotocol Label Switching Command Reference 』( http://www.cisco.com/en/US/docs/ios/mpls/command/reference/mp_book.html )を参照してください。Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool( http://tools.cisco.com/Support/CLILookup )を使用するか、または『 Cisco IOS Master Command List, All Releases 』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )にアクセスしてください。

mpls ldp password fallback

mpls ldp password option

mpls ldp password required

show mpls ldp discovery

show mpls ldp neighbor

show mpls ldp neighbor password

MPLS - LDP MD5 グローバル コンフィギュレーションの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 MPLS - LDP MD5 グローバル コンフィギュレーションの機能情報

機能名
リリース
機能情報

MPLS - LDP MD5 グローバル コンフィギュレーション

12.2(28)SB 12.0(32)SY
12.2(33)SRB
12.4(20)T

MPLS - LDP MD5 グローバル コンフィギュレーション機能は、Message Digest 5(MD5)パスワードの Label Distribution Protocol(LDP; ラベル配布プロトコル)実装の機能拡張を提供します。この機能では、LDP MD5 をピア単位ではなくグローバルにイネーブルにすることができます。この機能を使用すると、一連の LDP ネイバーのパスワード要件を設定して、未認証のピアによる LDP セッションの確立を防いだり、スプーフィングされた TCP メッセージをブロックしたりできます。

この機能は、12.2(28)SB で導入されました。

この機能は、Cisco IOS Release 12.0(32)SY に統合されました。

この機能は、Cisco IOS Release 12.2(33)SRB に統合されました。

この機能は、Cisco IOS Release 12.4(20)T に統合されました。

この機能に関する詳細については、次の各項を参照してください。

「ピア間の LDP メッセージに対する LDP MD5 保護の機能拡張」

「LDP MD5 パスワードの設定情報」

「ルーティング テーブルの LDP MD5 パスワードの設定」

「LDP セッションのパスワード要件」

「LDP MD5 パスワード保護の対象にする LDP ネイバーの特定」

「LDP MD5 パスワード保護の対象にする LDP ネイバーの特定」

「LDP セッションの LDP MD5 パスワードの設定」

「LDP MD5 設定の確認」

この機能により、次のコマンドが変更されました。 mpls ldp password fallback mpls ldp password option mpls ldp password required show mpls ldp discovery show mpls ldp neighbor show mpls ldp neighbor password

用語集

BGP :Border Gateway Protocol(ボーダー ゲートウェイ プロトコル)。External Gateway Protocol(EGP; 外部ゲートウェイ プロトコル)の代わりに使用されるドメイン間ルーティング プロトコル。BGP システムは、他の BGP システムと到達可能性情報を交換します。BGP は RFC 1163 で定義されています。

CE ルータ :Customer Edge(カスタマー エッジ)ルータ。カスタマー ネットワークの一部であり、Provider Edge(PE; プロバイダー エッジ)ルータへのインターフェイスとなるルータ。

CSC :Carrier Supporting Carrier。サービス プロバイダーが、そのバックボーン ネットワークのセグメントを別のサービス プロバイダーが使用できるようにする状況。別のプロバイダーにバックボーン ネットワークのセグメントを提供するサービス プロバイダーは、バックボーン キャリアと呼ばれます。バックボーン ネットワークのセグメントを使用するサービス プロバイダーは、カスタマー キャリアと呼ばれます。

EGP :Exterior Gateway Protocol(外部ゲートウェイ プロトコル)。自律システム間でルーティング情報を交換するためのインターネット プロトコル。EGP は RFC 904 に記載されています。EGP を一般用語の外部ゲートウェイ プロトコルと混同しないでください。EGP は、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)に置き換えられ、サポートされなくなりました。

LDP :Label Distribution Protocol(ラベル配布プロトコル)。パケットの転送に使用されるラベルのネゴシエーションで使用される Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)対応ルータ間の標準プロトコル。このプロトコルのシスコ独自のバージョンは、Tag Distribution Protocol(TDP; タグ配布プロトコル)です。

LDP ピア :別の LSR からラベル スペース情報を受信する Label Switch Router(LSR; ラベル スイッチ ルータ)。LSR に別の LSR または複数の LSR にアドバタイズするラベル スペースがある場合、ラベル スペース情報を受信する LSR(LDP ピア)ごとに 1 つの Label Distribution Protocol(LDP; ラベル配布プロトコル)セッションが存在します。

MD5 :Message Digest 5。128 ビットのハッシュを生成する一方向ハッシュ アルゴリズム。MD5 と Secure Hash Algorithm(SHA)は、両方とも MD4 のバリエーションであり、MD4 ハッシュ アルゴリズムのセキュリティを強化するように設計されています。シスコは、IPSec フレームワーク内での認証にハッシュを使用します。SNMP v.2 では、メッセージ認証に MD5 を使用して、通信の整合性の確認、メッセージ発信者の認証、およびその適時性のチェックを行います。

MPLS :Multiprotocol Label Switching(マルチプロトコル ラベル スイッチング)。ラベルを使用して IP トラフィックを転送するスイッチング方式。各ラベルによって、ネットワーク内のルータおよびスイッチは、事前に確立された IP ルーティング情報に基づくパケットの転送先を指示されます。

PE ルータ :Provider Edge(プロバイダー エッジ)ルータ。Customer Edge(CE; カスタマー エッジ)ルータに接続されたサービス プロバイダーのネットワークを構成するルータ。すべての Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の処理は、PE ルータで行われます。

VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。ネットワーク間で転送されるトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では、トンネリングが使用され、すべての情報が IP レベルで暗号化されます。

VRF :VPN routing and forwarding(VPN ルーティングおよび転送)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。