この文書では、Routing Information Protocol version 2(RIPv2)におけるルーティング情報交換プロセスの認証の設定例について説明します。
RIPv2 の Cisco 実装では、2 種類の認証モードがサポートされます。 平文認証と Message Digest 5(MD5)認証 平文認証モードは、認証が有効な場合、すべての RIPv2 パケットのデフォルト設定です。 平文認証は、暗号化されていない認証パスワードが RIPv2 パケットごとに送信されるため、セキュリティが問題になる場合には使用しないでください。
注: RIP バージョン 1(RIPv1)では、認証がサポートされていません。 RIPv2 パケットを送受信する場合は、インターフェイスで RIP 認証を有効にできます。
このドキュメントの読者は次の項目に関する基本知識が必要です。
RIPv1 と RIPv2
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 Cisco IOS® ソフトウェア バージョン 11.1 以降では RIPv2 がサポートされているため、この設定で指定されるすべてのコマンドが Cisco IOS® ソフトウェア バージョン 11.1 以降でサポートされます。
このドキュメントの設定は、次のソフトウェアとハードウェアのバージョンを使用してテストされ、更新されます。
Cisco 2500 シリーズ ルータ
Cisco IOS ソフトウェア バージョン 12.3(3)
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
今日のネットワーク設計者にとって、セキュリティは最も重要な関心事の 1 つになっています。 ネットワークのセキュリティには、ルータ間でのルーティング情報の交換に関するセキュリティも含まれます。たとえば、ルーティング テーブルに書き込まれる情報が有効なものであること、これがネットワークの妨害を意図するような発信者から送られたり、改ざんされたりしたものではないことの確認などです。 攻撃者は、不正な更新情報を持ち込んでルータが誤った宛先にデータを送るようにしたり、ネットワークのパフォーマンスを著しく低下させようとします。 さらに、不正なルート更新によってルーティング テーブルの内容が破壊されることもありますが、これは設定がよくないこと(ネットワークの境界に対して passive interface コマンドが使用されていないなど)、あるいはルータの動作不良が原因で発生します。 このため、ルータ上で実行されるルーティング更新プロセスの認証は慎重に行われます。
この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは次の図に示すネットワーク構成を使用しています。
次の設定例で使用される上記のネットワークは、2 台のルータ、 ルータ RA およびルータ RB で構成され、どちらも RIP を実行し、定期的にルーティング更新の交換を実行しています。 このシリアル リンクを経由するルーティング情報の交換は、認証を受ける必要があります。
RIPv2 で認証を設定するには、次の手順を実行します。
名前の付いたキー チェーンを定義します。
注: キー チェーンによって、そのインターフェイスで使用できるキー セットが決まります。 キーチェーンが設定されていない場合、そのインターフェイスで認証は実行されません。
キー チェーンに 1 つ以上のキーを定義します。
キーで使用するパスワードまたはキー ストリングを指定します。
これは、認証されるルーティング プロトコルを使用するパケットで送受信される必要がある認証文字列です (次の例では、文字列の値は 234 です)。
インターフェイスの認証を有効にして、使用するキー チェーンを指定します。
認証はインターフェイス単位で有効にするため、RIPv2 を実行しているルータは、特定のインターフェイスで認証の設定ができ、他のインターフェイスでは認証なしで動作できます。
インターフェイスで平文を使用するか、MD5 認証を使用するかを指定します。
前の手順で認証を有効にしている場合、RIPv2 で使用されるデフォルトの認証は、平文認証です。 したがって平文認証を使用している場合、この手順は必要ありません。
キー管理を設定します(この手順は任意選択です)。
キー管理は認証キーを制御する方法です。 これは、ある認証キーから別の認証キーへの移行に使用されます。 詳細については、『IP ルーティングのプロトコル独立型機能の設定』の「認証キーの管理」の項を参照してください。
RIP 更新を認証する 2 種類の方法のうちの 1 つは、平文認証を使用する方法です。 この方法は、次の表に示すように設定します。
RA |
---|
key chain kal !--- Name a key chain. A key chain may contain more than one key for added security. !--- It need not be identical on the remote router. key 1 !--- This is the Identification number of an authentication key on a key chain. !--- It need not be identical on the remote router. key-string 234 !--- The actual password or key-string. !--- It needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal !--- Enables authentication on the interface and configures !--- the key chain that will be used. ! router rip version 2 network 141.108.0.0 network 70.0.0.0 |
RB |
---|
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0 |
コマンドの詳細については、『Cisco IOS IP コマンド リファレンス』を参照してください。
MD5 認証は、元の RFC 1723 で定義された 平文認証に、シスコが追加したオプションの認証モードです。 設定は平文認証の場合と同じですが、ip rip authentication mode md5 コマンドを追加する点が異なっています。 MD5 認証方式では、ユーザがのリンクの両側のルータ インターフェイスを設定する必要があり、両側のキー番号とキー ストリングが一致しなければなりません。
RA |
---|
key chain kal !--- Need not be identical on the remote router. key 1 !--- Needs to be identical on remote router. key-string 234 !--- Needs to be identical to the key-string on the remote router. ! interface Loopback0 ip address 70.70.70.70 255.255.255.255 ! interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication mode md5 !--- Specifies the type of authentication used !--- in RIPv2 packets. !--- Needs to be identical on remote router. !-- To restore clear text authentication, use the no form of this command. ip rip authentication key-chain kal ! router rip version 2 network 141.108.0.0 network 70.0.0.0 |
RB |
---|
key chain kal key 1 key-string 234 ! interface Loopback0 ip address 80.80.80.1 255.255.255.0 ! interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0 |
コマンドの詳細については、『Cisco IOS コマンド リファレンス』を参照してください。
このセクションでは、設定が正常に動作しているかどうかを確認するための情報について説明します。
上記のようにルータを設定することで、すべてのルーティング更新の交換が、許可される前に認証されるようになります。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。
注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
RB#debug ip rip RIP protocol debugging is on *Mar 3 02:11:39.207: RIP: received packet with text authentication 234 *Mar 3 02:11:39.211: RIP: received v2 update from 141.108.0.10 on Serial0 *Mar 3 02:11:39.211: RIP: 70.0.0.0/8 via 0.0.0.0 in 1 hops RB#show ip route R 70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0 80.0.0.0/24 is subnetted, 1 subnets C 80.80.80.0 is directly connected, Loopback0 141.108.0.0/30 is subnetted, 1 subnets C 141.108.0.8 is directly connected, Serial0
平文認証を使用することで、ローカルのルーティング交換プロセスには参加し得ないルータからのルーティング更新を排除でき、ネットワーク設計が向上します。 しかし、この認証方式は万全ではありません。 平文認証では、パスワード(この例では 234)が交換されます。 これは簡単に捕捉され、利用されてしまう可能性があります。 先に述べたように、セキュリティが問題になる場合には、平文認証よりも MD5 認証の方を使用してください。
上記のように RA ルータと RB ルータを設定することで、すべてのルーティング更新の交換が、受け入れの前に認証されるようになります。 このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。
RB#debug ip rip RIP protocol debugging is on *Mar 3 20:48:37.046: RIP: received packet with MD5 authentication *Mar 3 20:48:37.046: RIP: received v2 update from 141.108.0.10 on Serial0 *Mar 3 20:48:37.050: 70.0.0.0/8 via 0.0.0.0 in 1 hops RB#show ip route R 70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0 80.0.0.0/24 is subnetted, 1 subnets C 80.80.80.0 is directly connected, Loopback0 141.108.0.0/30 is subnetted, 1 subnets C 141.108.0.8 is directly connected, Serial0
MD5 認証では、強力なハッシング アルゴリズムとして知られている単方向の MD5 ハッシュ アルゴリズムを使用しています。 このモードの認証では、ルーティング更新によって認証の目的でパスワードが搬送されることはありません。 その代わり、MD5 アルゴリズムによって 128 ビットのメッセージがパスワードの目的で作成され、このメッセージが認証用に送信されます。 したがって、MD5 の方がより安全な方法であるため、平文認証よりも MD5 認証を使うことを推奨します。
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。
debug ip rip コマンドは、RIPv2 認証関連の問題のトラブルシューティングに使用できます。
注: debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。
注: 隣接ルータ間で一致する必要がある認証関連のパラメータのいずれも一致しない場合の、debug ip rip コマンドの出力例を次に示します。 この結果、いずれかのルータまたは両方のルータが、ルーティング テーブルに受信したルートをインストールしない可能性があります。
RA#debug ip rip RIP protocol debugging is on *Mar 1 06:47:42.422: RIP: received packet with text authentication 234 *Mar 1 06:47:42.426: RIP: ignored v2 packet from 141.108.0.9 (invalid authentication) RB#debug ip rip RIP protocol debugging is on *Mar 1 06:48:58.478: RIP: received packet with text authentication 235 *Mar 1 06:48:58.482: RIP: ignored v2 packet from 141.108.0.10 (invalid authentication)
show ip route コマンドの次の出力は、RIP を介してルートがルータを学習していないことを示しています。
RB#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 80.0.0.0/24 is subnetted, 1 subnets C 80.80.80.0 is directly connected, Loopback0 141.108.0.0/30 is subnetted, 1 subnets C 141.108.0.8 is directly connected, Serial0 RB#
注 1: 平文認証モードを使用する場合、認証が正常に終了するためには、次のパラメータが隣接ルータで一致していることを確認してください。
キー ストリング
認証モード
注 2: MD5 認証モードを使用する場合、認証が正常に終了するためには、次のパラメータが隣接ルータで一致していることを確認してください。
キー ストリング
キー番号
認証モード