OSPFv3 認証トレーラに関する情報
OSPFv3 認証トレーラ機能(RFC 7166 で定義されている)は、Open Shortest Path First バージョン 3(OSPFv3)プロトコルパケットを認証する代替メカニズムを提供します。OSPFv3 認証トレーラの前は、OSPFv3 IPsec(RFC 4552 で定義されている)がプロトコルパケットの認証を行う唯一のメカニズムでした。OSPFv3 認証トレーラー機能は、シーケンス番号を介したパケットリプレイ保護も提供し、プラットフォームに依存しません。
非 IPsec 暗号化認証を実行するため、デバイスは OSPFv3 パケットの末尾に特別なデータブロック(認証トレーラ)を追加します。認証トレーラの長さは OSPFv3 パケットの長さに含まれず、IPv6 ペイロード長に含まれます。リンクローカルシグナリング(LLS)ブロックは OSPFv3 hello パケットおよびデータベース記述パケットの OSPFv3 Options フィールドの L-bit 設定で確立されます。存在する場合、LLS データブロックは OSPFv3 パケットとともに暗号化認証計算に含まれます。
新しい認証トレーラビットは OSPFv3 Options フィールドに導入されています。OSPFv3 デバイスは、このリンク上のすべてのパケットに認証トレーラが含まれてることを示すため、OSPFv3 hello パケットおよびデータベース記述パケットで認証トレーラビットを設定する必要があります。OSPFv3 hello パケットおよびデータベース記述パケットの場合、認証トレーラビットは認証トレーラが存在することを示します。他の OSPFv3 パケットタイプでは、OSPFv3 hello およびデータベース記述設定の OSPFv3 認証トレーラビット設定は OSPFv3 ネイバーデータ構造に保持されます。OSPFv3 Options フィールドを含まない OSPFv3 パケットタイプでは、ネイバーデータ構造の設定を使用して認証トレーラが必要かどうかを決定します。認証トレーラビットは、認証トレーラを含むすべての OSPFv3 hello パケットおよびデータベース記述パケットで設定する必要があります。
認証トレーラを設定するには、OSPFv3 では既存の Cisco IOS key chain コマンドを使用します。発信 OSPFv3 パケットでは、次のルールを使用してキー チェーンからキーを選択します。
-
最後に期限切れになるキーを選択します。
-
2 つのキーの終了時間が同じ場合、最も大きいキー ID のキーを選択します。
セキュリティ アソシエーション ID は認証アルゴリズムと秘密鍵にマッピングされ、メッセージダイジェストの生成および検証に使用されます。認証が設定されていても、最後の有効なキーが期限切れになると、パケットはそのキーを使用して送信されます。syslog メッセージも生成されます。有効なキーが使用できない場合は、トレーラ認証なしでパケットが送信されます。パケットが受信されると、そのキーのデータを検索するためにキー ID が使用されます。キーチェーンにキー ID が見つからない、またはセキュリティ アソシエーションが有効でない場合、パケットはドロップされます。そうでない場合、パケットはキー ID で設定されたアルゴリズムとキーを使用して検証されます。キー チェーンはキーのライフタイムを使用するロールオーバーをサポートします。新しいキーは、将来設定する開始時間の送信でキー チェーンに追加できます。この設定により、キーが実際に使用される前に新しいキーをすべてのデバイスで設定できます。
hello パケットの優先順位はその他の OSPFv3 パケットより高いため、発信インターフェイスで順序変更することができます。この再順序付けにより、隣接デバイスでシーケンス番号の検証に関する問題が発生することがあります。シーケンスの不一致を防ぐには、OSPFv3 でパケット タイプごとに個別にシーケンス番号を検証します。認証手順の詳細については、RFC 7166 を参照してください。
ネットワークでの認証トレーラ機能の初期ロールオーバー時に、認証ルートで設定されているデバイスと展開モードを使用してまだ設定されていないデバイスの隣接関係を維持できます。authentication mode deployment コマンドを使用して展開モードが設定されている場合、パケットの処理が異なります。発信パケットの場合は、認証トレーラが設定されていても、OSPF チェックサムが計算されます。着信パケットの場合は、認証トレーラのないパケットまたは認証ハッシュが正しくないパケットはドロップされます。展開モードでは、show ospfv3 neighbor detail コマンドによって最後のパケット認証ステータスが表示されます。authentication mode normal コマンドを使用して通常モードに設定する前に、この情報を使用して、認証トレーラ機能が動作しているかどうかを確認できます。